도메인 격리를 사용하여 달성할 수 있는 것 같지만 IPsec이 필요하지 않거나 더 정확하게는 파일 서버에 IPsec이 필요하지 않은 솔루션을 원합니다. IPsec을 소프트웨어로 수행하면 CPU 오버헤드가 크며 NAS 상자는 어떤 종류의 오프로드도 지원하지 않습니다.
목표는 인증된 사용자가 관리되지 않는 시스템을 사용하여 네트워크 리소스에 액세스하는 것을 방지하는 것입니다. NAP(네트워크 액세스 보호) 및 다양한 적용 지점이 유망해 보였지만 이를 사용할 수 있는 확실한 방법을 찾을 수 없었습니다(파일 서버에 IPsec이 필요하지 않음).
저는 도메인 사용자가 NAS 상자에 액세스할 때 먼저 AD의 Kerberos 티켓이 필요하다고 생각했습니다. 따라서 AD가 어떻게든 티켓을 요청한 컴퓨터가 도메인에 있는지 확인할 수 있다면 해결책이 있을 것입니다.
답변1
예. IPSec을 사용하세요. 도메인은 그런 식으로 설계되었습니다.
또한 IpSec을 사용하여 트래픽을 암호화하지 않고 엔드포인트 ID를 검증하는 경우 오버헤드가 그다지 높지 않습니다.