ドメイン分離を使用すれば実現できるようですが、IPsec を必要としない、より正確にはファイル サーバー上で IPsec を必要としないソリューションがほしいです。IPsec をソフトウェアで実行すると CPU のオーバーヘッドが大きく、NAS ボックスではいかなる種類のオフロードもサポートされていません。
目標は、認証されたユーザーが管理されていないマシンを使用してネットワーク リソースにアクセスするのを防ぐことです。ネットワーク アクセス保護 (NAP) とさまざまな強制ポイントは有望に見えましたが、それらを確実に使用する方法 (ファイル サーバーで IPsec を必要としない方法) を見つけることができませんでした。
ドメイン ユーザーが NAS ボックスにアクセスするときは、まず AD からの Kerberos チケットが必要になると考えていました。そのため、チケットを要求しているコンピューターがドメイン内にあることを AD が何らかの方法で確認できれば、解決策が得られることになります。
答え1
はい。ipSec を使用してください。ドメインはまさにそのように設計されています。
また、トラフィックの暗号化に IpSec を使用せず、エンドポイント ID の検証のみに使用する場合、オーバーヘッドはそれほど高くありません。