溫馨提示×
您好,登錄后才能下訂單哦!
點擊 登錄注冊 即表示同意《億速云用戶服務條款》
您好,登錄后才能下訂單哦!
為了提高辦公區網絡安全,現要求所有的工位端口都需要開啟802.1x認證,未通過認證或者認證超時的客戶端會被分配至與辦公網隔離的Guest VLAN中
對于已經安裝操作系統的機器,只需要開啟相關的服務即可,但是遇到需要使用MDT部署服務的時候,問題來了...
正常MDT部署流程:
插入網線-開機-選擇網卡啟動-從WDS服務器獲取IP-從WDS服務獲取啟動映象-進入PE-選擇部署序列-部署
開啟1X認證后流程:
插入網線-開機-選擇網卡啟動-無法獲取IP-退出PXE Boot
可以看到開啟了1x認證后,由于機器被分配到Guest VLAN中,無法正常與MDT交互,導致無法網啟,那么如何解決呢
1:在Guest VLAN的 IP Helper-address中加入MDT的服務器地址
2:第一步完成后就已經可以使用MDT部署系統了,如果想盡量限制Guest VLAN訪問服務器的可以做如下操作:
ip access-list extended guest-vlan //創建ACL permit tcp any host <MDT服務器地址> eq 135 //用于MDT服務器RPC服務 permit tcp any host <MDT服務器地址> eq 445 //用于MDT服務器文件傳輸 permit tcp any host <MDT服務器地址> eq 9800 //用于MDT服務器文件傳輸進程監聽 permit tcp any host <MDT服務器地址> eq 9801 //同上 permit udp any host <MDT服務器地址> //MDT服務UDP協議多為動態端口
如果MDT部署的機器需要加域,則還需要在ACL中允許加域需要的相關端口
permit udp any host <DC服務器地址> eq 42 //WINS復制 permit udp any host <DC服務器地址> eq 53 //DNS permit udp any host <DC服務器地址> eq 88 //Kerberos permit udp any host <DC服務器地址> eq 135 //RPC permit udp any host <DC服務器地址> eq 137 //NetBIOS名稱服務 permit udp any host <DC服務器地址> eq 138 //NetBIOS數據文報服務 permit udp any host <DC服務器地址> eq 389 //LDAP ping permit udp any host <DC服務器地址> eq 445 //Microsoft-DS traffic permit udp any host <DC服務器地址> eq 1512 //WINS解析 permit tcp any host <DC服務器地址> //DC認證TCP協議多為動態端口
(PS:因為項目已經完成,本文只有解決思路和注意事項,以作筆記之用)
---END---
免責聲明:本站發布的內容(圖片、視頻和文字)以原創、轉載和分享為主,文章觀點不代表本網站立場,如果涉及侵權請聯系站長郵箱:is@yisu.com進行舉報,并提供相關證據,一經查實,將立刻刪除涉嫌侵權內容。
