|
作者: somail [somail] 论坛用户 | 登录 |
网络要求是这样的:用户不登陆到域就不可以上网;域里有很多服务器有OA,杀毒的,与单位业务有关的等,现在在主域机器上做了DHCP和路由, 出现情况是,用户不登陆到域也分配到地址,并且可以上网,整天不登陆域里做自己相关的事,搞的网络都是病毒, 我设想这样是否可以实现:全部私网地址经过net转换为一个公网地址 并且net转换地址受域控制,就是说登陆到域了就给你转换,不登陆就不给转换,现在我老是设置不成功。不要告诉我用组策略啊,组策略也是在登陆域里才能实现的,况且单位多数都是用本本的,不能限制太多。只要他接入单位网络就必须登陆到域,其他不管。 手头硬件资源还是有点, 不要告诉我要第3方软件来实现啊。 防火墙cisco pix515E 路由、交换机挺多,因为业务量大 ,服务器挺紧张的,很快会新到一批机器,望高手给小弟指点一下,我的MSN:miaolei_cn@hotmail.com 大家多交流, 谢谢 |
地主 发表时间: 04-07-30 14:01 |
回复: TecZm [teczm] 版主 | 登录 |
client A-- | client B-- -------switch---firewall---route---Internet | | client N-- | server 建议内网使用固定ip,否则管理起来麻烦; 防病毒可采用网络版杀毒软件或在接入处部署一台防病毒防火墙(因怕老A删我帖子,具体品牌不能推荐) [此贴被 TecZm(teczm) 在 07月30日14时18分 编辑过] |
B1层 发表时间: 04-07-30 14:14 |
回复: Achieve [achieve] 版主 | 登录 |
个人认为,在域控制器上做dhcp是不科学的,因为dhcp是个服务,在未登录域之前这个服务已经起来了,当pc获得了ip地址、网关、dns之后就会通过网关的nat功能访问互联网,这个无可非议,你域控制器只能对域内的譬如OA,杀毒的,与单位业务有关的服务器起作用,不能干涉域以外的网络设备。再说,由于域控制器采用的是名字服务,以后来讲已经是非标准的拉,凡是基于ip的一切应用都会受到与控制器的限制,所以在稍微规模一点的网络上是不适合用的,以后的管理也是很麻烦的,建议网络按照tcp/IP结构重新规划。 |
B2层 发表时间: 04-07-30 14:23 |
回复: somail [somail] 论坛用户 | 登录 |
2楼得楼主可能还没明白我的意思,我的意思是让大家都要登陆域,不登陆到域就不给连入intnet,我试了很多次也都没成功,我的想法是DHCP分配地址给每位用户,但你要接入intnet你就得登陆到域,因为单位得业务服务器都在域里,不登陆域,很多人只上网,不干自己得活,气我啊 杀毒软件是网络版的,安装在主域服务器上,不登陆域杀毒软件不能给用户杀毒,现在是不登陆域也可以上网,而且搞得整个网络都是病毒 用DHCP原因是单位的人计算机水平太凹了,没办法只好这样,动态分配IP了 加我MSN 吧:miaolei_cn@hotmail.com [此贴被 somail(somail) 在 07月30日14时26分 编辑过] |
B3层 发表时间: 04-07-30 14:24 |
回复: TecZm [teczm] 版主 | 登录 |
引用 ---------------------------------------- 不登陆域杀毒软件不能给用户杀毒 ---------------------------------------- 这个没听说过 想要员工干活,靠的是管理!靠技术是起不了多大作用的。 |
B4层 发表时间: 04-07-30 14:28 |
回复: somail [somail] 论坛用户 | 登录 |
版主我能不能在net这块做点文章呢?路由服务不受域控制,我有点受不了,有没有其他好办法呢?给个提示吧,现在的网络把我头搞的疼(单位有3套网,艾 !复杂复杂) |
B5层 发表时间: 04-07-30 14:31 |
回复: TecZm [teczm] 版主 | 登录 |
不保密的话,发拓扑图上来 |
B6层 发表时间: 04-07-30 14:33 |
回复: Achieve [achieve] 版主 | 登录 |
nat(不要在写成net了)是基于ip技术的,域控制是基于名字服务的,你可以试一下把域控制器作为代理网关实现nat,如果不登录域控制器,代理服务器也就是域控制器的nat服务起不来,估计就能实现你的要求。建议试一下 强烈建议不要用域控制手段! |
B7层 发表时间: 04-07-30 14:41 |
回复: TecZm [teczm] 版主 | 登录 |
|
B8层 发表时间: 04-07-30 14:59 |
回复: somail [somail] 论坛用户 | 登录 |
问题是不用域 我的服务器群集做不起来啊,杀毒软件不工作,其他的服务器服务倒是可以来基于TCP/IP来实现网络规划,我刚画了个草图 ,就是发不上来 怎么回事 |
B9层 发表时间: 04-07-30 15:08 |
回复: Achieve [achieve] 版主 | 登录 |
不用域 ,服务器群集当然可以做,网络版杀毒软件也可以工作(咨询一下杀毒厂商的技术支持吧) 那么多人都会发图片,你再研究一下吧 |
B10层 发表时间: 04-07-30 15:22 |
回复: zhangxiong [zhangxiong] 论坛用户 | 登录 |
集群肯定能做的,你试着把你的方案发上来。 顺便顶斑竹一下。 |
B11层 发表时间: 04-08-01 19:44 |
|
20CN网络安全小组版权所有
Copyright © 2000-2010 20CN Security Group. All Rights Reserved.
论坛程序编写:NetDemon
粤ICP备05087286号