似乎可以使用網域隔離來完成,但我想要一個不需要 IPsec 的解決方案,或者更準確地說,不需要檔案伺服器上的 IPsec。 IPsec 如果以軟體方式完成,則會產生大量 CPU 開銷,而且我們的 NAS 盒子不支援任何類型的卸載。
目標是避免經過身份驗證的使用者使用非託管電腦存取網路資源。網路存取保護 (NAP) 和各種實作點看起來很有希望,但我找不到使用它們的萬無一失的方法 [這不需要檔案伺服器上的 IPsec]。
我在想,當網域使用者存取 NAS 盒子時,它首先需要來自 AD 的 Kerberos 票證,因此,如果 AD 能夠以某種方式驗證請求票證的電腦是否在網域中,我就會有一個解決方案。
答案1
是的。使用 IPSec。域正是以這種方式設計的。
此外,如果您不使用 IpSec 加密流量,而只是驗證端點身份,開銷也不會那麼高。