似乎可以使用域隔离来实现,但我想要一个不需要 IPsec 的解决方案,或者更准确地说,不需要文件服务器上的 IPsec。如果在软件中完成 IPsec,则会产生很大的 CPU 开销,而我们的 NAS 盒不支持任何类型的卸载。
目标是避免经过身份验证的用户使用非托管计算机访问网络资源。网络访问保护 (NAP) 和各种执行点看起来很有希望,但我找不到使用它们的万无一失的方法 [不需要文件服务器上的 IPsec]。
我在想,当域用户访问 NAS 盒时,它首先需要来自 AD 的 Kerberos 票证,因此如果 AD 可以以某种方式验证请求票证的计算机是否在域中,我就会有一个解决方案。
答案1
是的。使用 ipSec。域名就是按照这种方式设计的。
此外,如果您不使用 IpSec 来加密流量,而仅验证端点身份,则开销也不会那么高。