場所を設定できるようにネットワークを識別して区別するにはどうすればよいですか?

tag-icon tag-icon networking firewall windows-server-2012 windows gateway
場所を設定できるようにネットワークを識別して区別するにはどうすればよいですか?

私は開発者であり、これまでのコンピューターと開発の人生で学んだシステム管理、ネットワークなどの知識をすべて持っています (かなりの知識ですが、いずれの分野においても専門家からは程遠いです)。

3 つの新しい (ホストされた、専用の) Windows Server 2012 ボックス (ドメイン内ではない) をセットアップしていますが、内部ネットワークの場所をプライベートに設定する方法がわかりません (さまざまなサーバー間通信のファイアウォール構成に関しては、これが最も簡単で十分に安全であると思われます)。

接続については、外部 IP 上に設定されたプライマリ NIC、プライベート サブネット IP 上に設定されたセカンダリ NIC、およびロード バランサーの外部 IP 上に設定された VIP 接続があります (アダプターは Microsoft KM-TEST ループバック アダプターです)。

プライマリ NIC 接続にのみゲートウェイが指定されており、私が読んだところによると、これが他の 2 つの接続が未識別としてリストされる理由のようです。

ネットワーク リスト マネージャー ポリシーの下にあるローカル セキュリティ ポリシーにアクセスして、ユーザーがすべてのネットワークの場所を変更できるようにしてみましたが、効果がないようです。繰り返しになりますが、私が読んだところによると、たとえ効果があったとしても、Windows がネットワークを識別できない場合は、再起動や切断などの変更後に場所を再適用することはできません。

すべての未識別ネットワークを強制的にプライベートにすることはできません。そうすると、ロード バランサーを介して入ってくるパブリック トラフィック用の VIP 接続も含まれるためです。

編集:私はまた、2つの提案を試しましたテクネット接続に DNS サフィックスを追加しましたが、私には何の効果もありませんでした。また、レジストリを編集してアダプタの NLA を無効にしましたが、奇妙な結果になりました。接続がネットワークと共有センターにまったく表示されなくなり、接続がどのように分類されているかわかりませんでした。

おそらく、VIP またはセカンダリ接続にゲートウェイを追加すれば、それらを区別してプライベート ロケーションをセカンダリにのみ適用できるでしょうが、推奨されないこと以外に、これによってどのような問題が発生するかはわかりません。

内部ネットワーク上の 3 台のサーバーに必要なファイアウォールの小さな穴をすべて調べて構成するのは避けたいのですが、おそらくこれが実際に行うべきことでしょうか? セカンダリ NIC 接続をプライベートのみにするには、他にどのような方法がありますか?

答え1

現時点ではコメントを追加できないため、回答という形でコメントさせていただきます。

他の NIC の 1 つにゲートウェイを追加することについて言及されていますが、これは行わないでください。デフォルト ゲートウェイを持つ NIC は 1 つだけにする必要があります。他のすべてのトラフィックは、静的ルート ステートメントを使用して誘導 (ルーティング) する必要があります。

最も多くのリモート ターゲット ネットワークを持つ NIC にデフォルト ゲートウェイを設定します。こうすることで、定義する必要のある静的ルートの数を最小限に抑えることができます。このような状況では、通常はパブリック NIC にデフォルト ゲートウェイを設定します。これは、多数の「不明な」ネットワークと通信する可能性があるためです。次に、よく知られている/よく理解されている内部アドレス範囲に静的ルートを設定します。

これが意味を成すといいのですが。

あるいは、デフォルト ゲートウェイを指定せず、すべてを静的ルート経由で実行します (お勧めできません)。

しかし、元の質問に戻ると、Windows の Network Location Awareness (NLA) の側面についてサポートが必要です。この機能の一部は NETSH を使用して構成できますが、自分で Google で検索する必要があるため、あまり役に立ちません。

答え2

ここでセカンダリネットワークを識別する方法を見つけましたhttps://superuser.com/a/218509/36752

基本的に、Windows が接続を識別できるように、接続にデフォルト ゲートウェイを指定する必要があり、ルートに高いメトリックを指定すると、複数のデフォルト ゲートウェイの問題を回避できます。

より高いルート メトリックを持つデフォルト ゲートウェイを追加するには、コマンド ラインを使用して次のようにコマンドを入力します。

route -p add 0.0.0.0 mask 0.0.0.0 10.1.1.1 metric 50 if 15

IP アドレス 10.1.1.1 を、識別する接続/ネットワーク上の別のデバイスのアドレスに置き換えます (Windows はゲートウェイの MAC アドレスを識別子として使用します)。他のデフォルト ルートよりも高いメトリック値を使用し、適切な if # を使用します (if # と現在のルート メトリックは両方とも で表示できますroute print -4)。

関連情報