Verständnisfrage zu NAP
Ich habe mir gerade das Video zum Thema Network Access Protektion von ITFreeTraining.com angesegen und habe ein kleines Verständnisproblem.
Hallo zusammen,
wie oben beschrieben hat das Video von ITFreeTraining eine kleine Frage bei mir offen gelassen.
Zur Erläuterung der Funktionsweise und der Anwendung von NAP, wird im Video folgendes Schaubild verwendet:
(Quelle: Network Access Protection bei ITFreeTraining.com)
Das ergibt auch soweit alles Sinn. Jedoch verstehe ich nicht, wie der RODC und der DHCP-Server im "Remidiation Network" sich mit den anderen Servern im "Production Network" verbinden und replizieren sollen. Das "Remidiation Network" soll ja extra vom "Production Network" getrennt sein, um Schaden zu verhindern, aber der Kontakt z. B. zwischen den einzelnen DCs ist doch Pflicht.
Wo habe ich da einen Denkfehler ?
Danke für Eure Antworten und einen schönen Abend !!!
tbnwadm
Hallo zusammen,
wie oben beschrieben hat das Video von ITFreeTraining eine kleine Frage bei mir offen gelassen.
Zur Erläuterung der Funktionsweise und der Anwendung von NAP, wird im Video folgendes Schaubild verwendet:
(Quelle: Network Access Protection bei ITFreeTraining.com)
Das ergibt auch soweit alles Sinn. Jedoch verstehe ich nicht, wie der RODC und der DHCP-Server im "Remidiation Network" sich mit den anderen Servern im "Production Network" verbinden und replizieren sollen. Das "Remidiation Network" soll ja extra vom "Production Network" getrennt sein, um Schaden zu verhindern, aber der Kontakt z. B. zwischen den einzelnen DCs ist doch Pflicht.
Wo habe ich da einen Denkfehler ?
Danke für Eure Antworten und einen schönen Abend !!!
tbnwadm
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 193001
Url: https://administrator.de/forum/verstaendnisfrage-zu-nap-193001.html
Ausgedruckt am: 22.12.2024 um 15:12 Uhr
10 Kommentare
Neuester Kommentar
Auch Dein "Switch" kann ja eine Firewall besitzen.
Das Remediation Network ist doch einfach erklärt: so lange sie dort drin sitzen, werden die Rechner gepatcht und können dank der Firewall-Regeln für dies Netz nicht an das Produktivnetz. das heißt nicht, dass nicht für einzelne IPs wie den RODC Ausnahmen geschaltet werden könnten.
Das Remediation Network ist doch einfach erklärt: so lange sie dort drin sitzen, werden die Rechner gepatcht und können dank der Firewall-Regeln für dies Netz nicht an das Produktivnetz. das heißt nicht, dass nicht für einzelne IPs wie den RODC Ausnahmen geschaltet werden könnten.
Darauf geht http://blogs.technet.com/b/nap/archive/2007/07/28/network-access-protec ... ein:
Do network users have administrative privileges on their computers?
If you are considering using DHCP enforcement, keep in mind that one of the weaknesses of DHCP enforcement is that it can be overridden by assigning a static IP address to the client computer. Because DHCP enforcement is based on entries in the IPv4 routing table, it cannot prevent a malicious user who is a local administrator from manually changing the IPv4 routing table and gaining access to the protected network, thus bypassing NAP policy enforcement.
If you are considering using DHCP enforcement, keep in mind that one of the weaknesses of DHCP enforcement is that it can be overridden by assigning a static IP address to the client computer. Because DHCP enforcement is based on entries in the IPv4 routing table, it cannot prevent a malicious user who is a local administrator from manually changing the IPv4 routing table and gaining access to the protected network, thus bypassing NAP policy enforcement.