看起来域隔离可以用来完成,但我想要一个不需要IPsec的解决scheme,或者更准确地说,不需要文件服务器上的IPsec。 IPsec如果在软件中完成,CPU的开销很大,我们的NAS盒子不支持任何types的卸载。
目标是避免使用非托pipe机器进行身份validation的用户访问networking资源。 networking访问保护(NAP)和各种执行点看起来pr然,但我找不到一个防弹的方式来使用它们[这不需要在文件服务器上的IPsec]。
我在想,当一个域用户访问NAS盒子时,首先需要一个来自AD的Kerberos票据,所以如果AD可以以某种方式validation请求票证的计算机是否在域中,我会有一个解决scheme。
是。 使用ipSec。 域名是以这种方式精心devise的。
另外,如果不使用IpSec来encryptionstream量,开销并不高,只能validation端点身份。