Sim. Use ipSec. Os domínios são projetados exatamente dessa maneira.
Além disso, a sobrecarga não é tão alta se você não usar o IpSec para ENCRYPT o tráfego, apenas para validar a identidade do terminal.
Parece que o isolamento de domínio pode ser usado para realizar, mas eu gostaria de uma solução que não requer IPsec, ou mais precisamente, não requer IPsec no servidor de arquivos. O IPsec, se feito em software, tem uma grande sobrecarga de CPU e nossas caixas NAS não suportam nenhum tipo de descarga.
O objetivo é evitar que usuários autenticados usando máquinas não gerenciadas acessem recursos da rede. A Proteção de Acesso à Rede (NAP) e os vários pontos de execução pareciam promsiing, mas não consegui encontrar uma maneira à prova de balas para usá-los [que não requer IPsec no servidor de arquivos].
Eu estava pensando que quando um usuário de domínio acessa a caixa NAS, primeiro precisará de um tíquete Kerberos do AD, portanto, se o AD pudesse verificar de alguma forma o computador que estava solicitando o tíquete no domínio, eu teria uma solução.
Sim. Use ipSec. Os domínios são projetados exatamente dessa maneira.
Além disso, a sobrecarga não é tão alta se você não usar o IpSec para ENCRYPT o tráfego, apenas para validar a identidade do terminal.
Tags active-directory