No lado do Windows, o que você está procurando é Isolamento de domínio e servidor . Você pode jogar com ele usando este labcast
Meu plano de implementação padrão do Windows para uma nova instalação inclui isso. No Windows não é difícil de configurar e oferece muita segurança extra (e não há realmente nenhuma administração "extra", você pode precisar de mais alguns grupos de segurança).
A NAP não requer IPsec (ou mesmo a PKI - somente se você quiser executar o modo nativo). O SCCM é um produto adicional - nada extra é necessário para o isolamento de domínio e servidor. A NAP é projetada principalmente para enviar informações de "integridade" sobre um cliente e, se esse cliente não passar na verificação de "integridade", será adiado para se comunicar apenas com um servidor de remediação. A saúde é definida como configurações de AV de requisitos de patch, configurações de segurança, etc. Você certamente pode usar o SCCM para configurar o IPSEC, mas não é um requisito.
Com o isolamento de domínio e servidor, não tenho a capacidade de verificar esses "problemas" - nem é o ponto. Quando está configurado, estou criptografando o tráfego e garantindo que os servidores e clientes só podem se comunicar com os servidores e clientes necessários para essa função de negócios (por exemplo, estações de trabalho de RH são as únicas estações de trabalho com permissão para se comunicar com o servidor de RH). ).