Eu sou um desenvolvedor e conheço todas as coisas de administrador de sistema/rede/etc que aprendi ao longo de uma vida inteira de computação e desenvolvimento (não uma quantia desprezível, mas estou muito longe de ser um especialista em nada disso).
Estou configurando três novas caixas do Windows Server 2012 (hospedadas, dedicadas) (não em um domínio) e não consigo descobrir como definir o local da rede interna como privada (parece que isso seria mais fácil e suficientemente seguro, na medida em que configuração de firewall para as diversas comunicações entre servidores).
Para conexões, tenho a NIC primária configurada nos IPs externos, a NIC secundária no IP da sub-rede privada e uma conexão VIP configurada nos IPs externos do balanceador de carga (o adaptador é o Microsoft KM-TEST Loopback Adapter).
Somente a conexão NIC primária tem um gateway especificado e, pelo que li, parece ser por isso que as outras 2 conexões estão listadas como Não identificadas.
Tentei entrar na Política de Segurança Local em Políticas do Gerenciador de Lista de Rede e permitir que os usuários alterassem o local de Todas as Redes, mas parece não ter efeito. Novamente, pelo que li, mesmo que tenha efeito, se o Windows não conseguir identificar a rede, ele não poderá reaplicar o local após alterações como reinicialização ou desconexão.
Não posso forçar todas as redes não identificadas a serem privadas porque isso incluiria a conexão VIP, que é para o tráfego público que chega através do balanceador de carga.
EDIT: Também tentei duas sugestões detecnologia, adicionando um sufixo DNS para a conexão que não teve nenhum efeito que consegui discernir e editando o registro para desabilitar o NLA no adaptador, o que teve algumas consequências estranhas - a conexão não estava mais na rede e no centro de compartilhamento e eu não consegui conte como estava classificando a conexão.
Talvez se eu adicionasse um gateway às conexões VIP ou secundárias, eu pudesse diferenciá-las e aplicar o local privado apenas às conexões secundárias, mas não tenho certeza de quais problemas isso pode causar, além de ver que não é recomendado.
Prefiro não passar e configurar cada pequena falha de firewall necessária para os três servidores da rede interna, mas talvez seja isso que eu realmente deva fazer? De que outra forma eu poderia tornar a conexão da NIC secundária apenas privada?
Responder1
Não consigo adicionar comentários no momento, então aqui está um comentário em forma de resposta...
Você mencionou adicionar um gateway a uma das outras NICs. Não faça isso. Apenas uma NIC deve ter um gateway padrão; todo o outro tráfego deve ser guiado (roteado) usando instruções de rota estática.
Defina o gateway padrão na NIC que terá as redes de destino mais remotas. Dessa forma, você minimiza o número de rotas estáticas que precisa definir. Em uma situação como a sua, você normalmente definiria o gateway padrão na NIC pública, porque isso poderia estar se comunicando com inúmeras redes "desconhecidas". Em seguida, você define rotas estáticas para seus intervalos de endereços internos conhecidos/compreendidos.
Espero que isso faça sentido.
Alternativamente, não especifique nenhum gateway padrão e faça tudo através de rotas estáticas (imprudente!).
Mas voltando à sua pergunta original, é com o aspecto do reconhecimento de local de rede (NLA) do Windows que você precisa de ajuda. Alguns aspectos disso podem ser configurados usando NETSH, mas eu mesmo teria que pesquisar isso no Google, então não há muita ajuda nisso, infelizmente.
Responder2
Eu encontrei uma maneira de identificar redes secundárias aquihttps://superuser.com/a/218509/36752.
Basicamente, você deve fornecer à conexão um gateway padrão para que o Windows a identifique e atribuir à rota uma métrica mais alta evita problemas com vários gateways padrão.
Para adicionar um gateway padrão com uma métrica de rota mais alta, use a linha de comando para inserir um comando da seguinte forma:
route -p add 0.0.0.0 mask 0.0.0.0 10.1.1.1 metric 50 if 15
Substitua o endereço IP 10.1.1.1 pelo endereço de outro dispositivo na conexão/rede que você deseja identificar (o Windows usa o endereço MAC do gateway como identificador). Use um valor de métrica que seja maior que a outra rota padrão e use o if # apropriado (tanto os if # quanto as métricas da rota atual podem ser visualizados com route print -4).