Ich bin Entwickler und kenne mich mit all den Dingen über Systemadministration, Netzwerke usw. aus, die ich mir im Laufe meines Computer- und Entwicklerlebens angeeignet habe (nicht unerheblich viel, aber ich bin auf diesem Gebiet weit davon entfernt, ein Experte zu sein).
Ich richte drei neue (gehostete, dedizierte) Windows Server 2012-Boxen ein (nicht in einer Domäne) und kann nicht herausfinden, wie ich den Standort des internen Netzwerks auf privat setze (was die Firewall-Konfiguration für die verschiedenen Kommunikationen zwischen den Servern betrifft, scheint dies am einfachsten und ausreichend sicher zu sein).
Für Verbindungen habe ich die primäre Netzwerkkarte, die auf den externen IPs eingerichtet ist, die sekundäre Netzwerkkarte auf der privaten Subnetz-IP und eine VIP-Verbindung, die auf den externen IPs des Lastenausgleichs eingerichtet ist (Adapter ist Microsoft KM-TEST Loopback Adapter).
Nur für die primäre NIC-Verbindung ist ein Gateway angegeben, und soweit ich das gelesen habe, scheint dies der Grund zu sein, warum die anderen beiden Verbindungen als „Nicht identifiziert“ aufgeführt sind.
Ich habe versucht, in die lokale Sicherheitsrichtlinie unter Netzwerklisten-Manager-Richtlinien zu gehen und Benutzern zu erlauben, den Standort für alle Netzwerke zu ändern, aber das scheint keine Wirkung zu haben. Und selbst wenn es eine Wirkung hätte, kann Windows den Standort nach Änderungen wie einem Neustart oder einer Trennung nicht erneut anwenden, wenn es das Netzwerk nicht identifizieren kann, wie ich gelesen habe.
Ich kann nicht alle nicht identifizierten Netzwerke zwingen, privat zu sein, weil das auch die VIP-Verbindung einschließen würde, die für den öffentlichen Datenverkehr bestimmt ist, der über den Lastenausgleich eingeht.
EDIT: Ich habe auch zwei Vorschläge ausprobiert vontechnet, das Hinzufügen eines DNS-Suffixes für die Verbindung, was meines Erachtens keine Auswirkung hatte, und das Bearbeiten der Registrierung, um NLA auf dem Adapter zu deaktivieren, was einige merkwürdige Konsequenzen hatte – die Verbindung war überhaupt nicht mehr im Netzwerk- und Freigabecenter und ich konnte nicht erkennen, wie die Verbindung klassifiziert wurde.
Wenn ich den VIP- oder Sekundärverbindungen ein Gateway hinzufügen würde, könnte ich sie vielleicht unterscheiden und den privaten Standort nur auf die Sekundärverbindungen anwenden, aber ich bin nicht sicher, welche Probleme dies mit sich bringen könnte, außer dass es nicht empfohlen wird.
Ich möchte nicht jede noch so kleine Firewall-Lücke durchgehen und konfigurieren, die ich für die 3 Server im internen Netzwerk benötige, aber vielleicht ist es das, was ich tatsächlich tun sollte? Wie könnte ich sonst die sekundäre NIC-Verbindung ausschließlich privat machen?
Antwort1
Ich kann derzeit keine Kommentare hinzufügen, daher hier ein Kommentar in Form einer Antwort ...
Sie erwähnen, dass Sie einer der anderen Netzwerkkarten ein Gateway hinzufügen möchten. Tun Sie das nicht. Nur eine Netzwerkkarte sollte ein Standard-Gateway haben; der gesamte übrige Datenverkehr sollte mithilfe statischer Routenanweisungen geleitet (geroutet) werden.
Legen Sie das Standard-Gateway auf der Netzwerkkarte fest, die die entferntesten Zielnetzwerke haben wird. Auf diese Weise minimieren Sie die Anzahl der statischen Routen, die Sie definieren müssen. In einer Situation wie Ihrer würden Sie das Standard-Gateway normalerweise auf der öffentlichen Netzwerkkarte festlegen, da diese mit zahlreichen „unbekannten“ Netzwerken kommunizieren könnte. Anschließend legen Sie statische Routen für Ihre bekannten/gut verstandenen internen Adressbereiche fest.
Hoffe, das ist verständlich.
Alternativ können Sie keine Standard-Gateways angeben und alles über statische Routen erledigen (nicht ratsam!).
Aber zurück zu Ihrer ursprünglichen Frage: Sie benötigen Hilfe beim Network Location Awareness (NLA)-Aspekt von Windows. Einige Aspekte davon können mit NETSH konfiguriert werden, aber ich müsste das selbst googeln, also kann ich da leider nicht viel helfen.
Antwort2
Ich habe hier einen Weg gefunden, sekundäre Netzwerke zu identifizierenhttps://superuser.com/a/218509/36752.
Grundsätzlich müssen Sie der Verbindung ein Standard-Gateway zuweisen, damit Windows sie identifizieren kann. Indem Sie der Route eine höhere Metrik zuweisen, vermeiden Sie Probleme mit mehreren Standard-Gateways.
Um ein Standard-Gateway mit einer höheren Routenmetrik hinzuzufügen, geben Sie in der Befehlszeile einen Befehl wie folgt ein:
route -p add 0.0.0.0 mask 0.0.0.0 10.1.1.1 metric 50 if 15
Ersetzen Sie die IP-Adresse 10.1.1.1 durch die Adresse eines anderen Geräts in der Verbindung/im Netzwerk, das Sie identifizieren möchten (Windows verwendet die MAC-Adresse des Gateways als Kennung). Verwenden Sie einen Metrikwert, der höher ist als die andere Standardroute, und verwenden Sie die entsprechende if-Nummer (sowohl if-Nummern als auch aktuelle Routenmetriken können mit angezeigt werden route print -4).