Wygląda na to, że można zastosować izolację domeny, ale chciałbym rozwiązania, które nie wymaga IPsec, a ściślej mówiąc, nie wymaga IPsec na serwerze plików. Protokół IPsec, jeśli jest wykonywany w oprogramowaniu, ma duży narzut procesora, a nasze urządzenia NAS nie obsługują żadnego odciążenia.
Celem jest uniknięcie uwierzytelnienia użytkowników korzystających z niezarządzanych maszyn w celu uzyskania dostępu do zasobów sieciowych. Ochrona dostępu do sieci (NAP) i różne punkty wymuszające wyglądały obiecująco, ale nie mogłem znaleźć kuloodpornego sposobu ich użycia [który nie wymaga IPsec na serwerze plików].
Myślałem, że kiedy użytkownik domeny uzyskuje dostęp do skrzynki NAS, najpierw będzie potrzebował biletu Kerberos z AD, więc jeśli AD może w jakiś sposób zweryfikować komputer, który żądał biletu, znajduje się w domenie, mam rozwiązanie.
źródło
Odpowiedzi:
Tak. Użyj ipSec. Domeny są zaprojektowane właśnie w ten sposób.
Również narzut nie jest tak wysoki, jeśli nie używasz IpSec do SZYFROWANIA ruchu, tylko do sprawdzania tożsamości punktu końcowego.
źródło