Es scheint, dass dies durch Domänenisolierung erreicht werden kann, aber ich hätte gerne eine Lösung, die kein IPsec erfordert, oder genauer gesagt, die kein IPsec auf dem Dateiserver erfordert. IPsec, wenn es in Software implementiert wird, hat einen großen CPU-Overhead und unsere NAS-Boxen unterstützen keinerlei Offload.
Das Ziel besteht darin, zu verhindern, dass authentifizierte Benutzer über nicht verwaltete Computer auf Netzwerkressourcen zugreifen. Network Access Protection (NAP) und die verschiedenen Durchsetzungspunkte sahen vielversprechend aus, aber ich konnte keine absolut sichere Methode finden, sie zu verwenden [die kein IPsec auf dem Dateiserver erfordert].
Ich dachte, wenn ein Domänenbenutzer auf die NAS-Box zugreift, benötigt er zunächst ein Kerberos-Ticket von AD. Wenn AD also irgendwie überprüfen könnte, ob sich der Computer, der das Ticket angefordert hat, in der Domäne befindet, hätte ich eine Lösung.
Antwort1
Ja. Verwenden Sie ipSec. Domänen sind genau so konzipiert.
Außerdem ist der Overhead nicht so hoch, wenn Sie IpSec nicht zum VERSCHLÜSSELN des Datenverkehrs verwenden, sondern nur zum Überprüfen der Endpunktidentität.