Estoy buscando una buena manera de proteger mis servidores, tengo un conjunto de servidores dedicados que no están en mi oficina pero que están alojados por un proveedor externo. TODOS los servidores tienen una sola IP pública (WAN).
No quiero usar VPN porque mis usuarios no están dispuestos a tener esta restricción, así que fui a una configuración de Firewall de mi servidor de Windows (a través de un GPO) para habilitar IPSec en el aislamiento de dominios.
Todos los servidores requieren una conexión segura para in-bound, que desde mi punto de vista es bastante segura.
Pero una cosa me molesta, para que el modo de autenticación predeterminado (que involucra a Kerberos) funcione en el aislamiento de mi dominio, tuve que configurar el firewall de mi servidor DNS / DC con "Solicitar entrada y salida" (en lugar de predeterminado "Requerido de entrada y solicitud de salida"). Supongo que es necesario para que funcione la autenticación Kerberos.
Una vez más, según tengo entendido, el servidor DNS / DC no está protegido por IPCSec (aunque no sé exactamente qué es realmente "solicitud" en lugar de "requerido").
Mi primera pregunta es: ¿es lo suficientemente seguro? Segunda pregunta: ¿cómo puedo configurar IPSec con el servidor DNS / DC tan protegido como los otros servidores?
Gracias por tu tiempo.