...
| Note |
|---|
Система проверки эндпоинта требует работоспособного механизма сброса текущей сессии пользователя с его последующей пере-авторизацией. Поскольку авторизация работает на основе MAC-адреса эндпоинта, а последующий запрос WinRM-сервиса роизводится по его IP-адресу, требуется надежная работоспособность функции DHCP-snooping на сетевом оборудовании, либо интеграция WNAM с DHCP-сервером. |
Система проверки эндпоинта может работать и на 802.1Х подключениях, и на МАВ-подключениях. Обратите внимание, что при включении компьютера в сеть авторизация по МАС-адресу производится сетевым оборудованием, как только начинает функционировать сетевая карта. При этом запрос статуса эндпоинта помещается в очередь, и повторяется указанное в настройках число раз с заданными интервалами (по умолчанию три раза каждые 30 секунд) с тем, чтобы дождаться загрузки ОС, и выполнить в ней заданный PS-скрипт.
Рассмотрим пример первоначального подключения устройства к сети.
При авторизации WNAM не имеет известных данных по эндпоинту, что вызывает срабатывание политики переопределения доступа - в данном случае назначается "карантинный" VLAN 409.
WNAM проводит несколько попыток получения сведений о компьютере за этим IP-адресом, в конце концов они получены:
Это вызывает переавторизацию порта, и назначение нового VLAN (1):
В результате, легитимное устройство оказывается в заданной правилом сегменте сети.
Если подключающееся устройство не легитимно (не является членом домена, не проходит проверку скриптом), тогда EndpointCheck вернет ошибочный статус эндпоинта, и WNAM не осуществит сетевое пере-подключение, оставив устройство в карантинном VLAN.