Как дать интернет только пользователям домена?

Компьютерный форум OSzone.net (http://forum.oszone.net/index.php)

- Windows Server 2008/2008 R2 (http://forum.oszone.net/forumdisplay.php?f=97)

Как дать интернет только пользователям домена?

Всем привет!
Самостоятельно изучаю Windows Server 2008 R2.
"Застрял" на следующем:
Хочу настроить раздачу интернета только пользователям домена, средствами windows.

Есть Windows Server 2008 R2, на нем две сетевые карты одна 192.168.44.2 получает интернет через циску. Вторая сетевая имеет адрес 10.20.0.1 .
Добавляю роли: AD + ставиться DNS, ставлю DHCP и Маршрутизацию.
Активирую маршрутицацию (NAT) на 10.20.0.1 .
И вот что получается:
Все ПК у которых в настройках стоит IP по DHCP берут мои адреса. Но ладно бы только адреса, так они и инет получают от сервера.
Так вот собственно в чем и вопрос: Можно ли средствами windows добиться что бы интернет получали только пользователи домена? Если можно, то как?

Без стороннего софта нет.

Настрой на сервере (в DHCP) резервирование для клиентов, которым нужно запретить (разрешить) выход в интернет, а в Циске забей этот интервал IP адресов и запрети (разреши) им доступ (закрой все порты или оставь только нужные, например почту) в интернет.

Цитата:

Цитата zai

Резервирование не подходит. Парк ПК достаточно большой (около 300), а сетевое оборудование так же используют другие управления.

IMHO поставить на любом старом железе *nix систему, поднять squid и забыть о нем навсегда. Не подходит такой вариант - под винду полно всевозможных proxy и шлюзов.

возможно можно попробовать поиграться с фаерволом.. там есть три профиля. возможно компьютеры вне домена будут вне профиля "домен"...

Цитата:

Цитата brass_net

под винду полно всевозможных proxy »

Цитата:

Цитата brass_net

поднять squid »

http://www.tmeter.ru/misc/squid/

Цитата:

Цитата vitozillo

Парк ПК достаточно большой (около 300) »

Microsoft Forefront TMG или что нибудь попроще, например Traffic Inspector

Вопросы и ответы не по теме пошли.
Спасибо за ответы по теме! ( С Traffic Inspector знаком. Попробую настроить через Threat Management Gateway.)

Вопрос:
Можно ли средствами windows добиться что бы интернет получали только пользователи домена? Если можно, то как?

Ответ:

Цитата:

Цитата brass_net

Без стороннего софта нет. »

Если все согласны с этим, тема решена!

Как вариант, можно рассмотреть создание на шлюзе политики IPSec, требующую проходить аутентификацию в домене.
http://technet.microsoft.com/en-us/l.../bb742429.aspx

Цитата:

Цитата Denis Dyagilev

Как вариант, можно рассмотреть создание на шлюзе политики IPSec, требующую проходить аутентификацию в домене.
http://technet.microsoft.com/en-us/l.../bb742429.aspx »

спасибо за ссылку, наедаюсь поможет

Брандмауэр, IPsec, RADIUS вот чем я пробовал запретить интернет пользователям не входящих в домен.

Все же попробую поиграться с TMG и буду снова пробовать настроить без стороннего софта.

нашел похожую темку и вот что там советуют:

Внедрите в домене политику IPSec с протоколом AH (чтобы не заниматься шифрованием трафика) и аутентификацией Kerberos для всего или для части IP-трафика. Тогда посторонние компьютеры точно не смогут подключиться к ресурсам домена, даже если вводить правильные логин и пароль. Для доступа в Интернет можно на втором сервере настроить VPN-сервер, так чтобы пользователи проходили аутентификацию на нем, и только через VPN-подключение получали доступ в Интернет.

Так значит все же можно обойтись без привлечения стороннего софта??