mh, Evan корректен однако "ненормальный", такая установка кажется Вам.
Google вокруг для документов Microsoft о том, как установить ipsec доменную изоляцию, такую как этот http://www.microsoft.com/downloads/details.aspx?FamilyId=5ACF1C8F-7D7A-4955-A3F6-318FEE28D825&displaylang=en
я использовал многие из этих документов, чтобы приобрести навык, как настроить это на моей домашней LAN. я использую, согласовывают режим для всей политики IPSec. это заставляет весь мой доменный трафик защитить, но позволяет внешним клиентам соединяться в случае необходимости. я использую kerberos для аутентификации вместо pki сервера начиная с ее более легкого для управления, но я работаю свой путь до pki установки сервера.
Ваши другие опции являются продуктами от сторонних поставщиков решений в сфере безопасности как symantec, www.symantec.com/business/network-access-control
и существуют другие там, которые допускают тот же сценарий. heck, Вы могли даже использовать брандмауэр на каждом клиенте/сервере с политиками только общаться с IP в позволить списке и сохранить список всего Mac/IP с помощью dhcp системы регистрации. окна 2 008 r2 теперь имеют dhcp регистрационные опции Mac, о которых я читал немного, который мог быть задан сценарием, чтобы сделать некоторый броский материал позже в будущем.