我是一名開發人員,知道我在一生的計算和開發過程中學到的任何系統管理/網路/等東西(不是一個微不足道的數量,但我距離這方面的專家還很遠)。
我正在設定3 個新的(託管的、專用的)Windows Server 2012 機器(不在網域中),但我不知道如何將內部網路的位置設為私人(就目前而言,這似乎是最簡單且足夠安全的)用於各種伺服器間通訊的防火牆配置)。
對於連接,我有在外部 IP 上設定的主 NIC、在私人子網路 IP 上設定的輔助 NIC,以及在負載平衡器的外部 IP 上設定的 VIP 連接(適配器是 Microsoft KM-TEST 環回適配器)。
只有主 NIC 連線指定了網關,從我的閱讀來看,這似乎是其他 2 個連線被列為「未識別」的原因。
我嘗試進入網路清單管理器策略下的本機安全性策略並允許使用者更改所有網路的位置,但它似乎沒有效果。同樣,根據我的閱讀,即使它確實有效,如果 Windows 無法識別網絡,它也無法在重新啟動或斷開連接等更改後重新應用該位置。
我無法強制所有未識別的網路均為私人網絡,因為這將包括用於透過負載平衡器傳入的公共流量的 VIP 連接。
編輯:我也嘗試過兩個建議技術網,為連接添加 DNS 後綴,但我無法識別,並編輯註冊表以禁用適配器上的 NLA,這產生了一些奇怪的後果 - 連接根本不再位於網絡和共享中心中,我無法告訴它如何對連接進行分類。
也許如果我向 VIP 或輔助連接添加網關,我可以區分它們並將私人位置僅應用於輔助連接,但除了不建議這樣做之外,我不確定這可能會引發什麼問題。
我不想遍歷並配置內部網路上 3 台伺服器所需的每一個防火牆小漏洞,但也許這就是我真正應該做的?我還能如何將輔助 NIC 連線設定為專用?
答案1
我目前無法添加評論,所以這裡以答案的形式發表評論......
您提到向其他 NIC 之一新增網關。不要這樣做。只有一個 NIC 應該有預設網關;所有其他流量應使用靜態路由語句進行引導(路由)。
在將擁有最遠端目標網路的 NIC 上設定預設閘道。這樣,您可以最大限度地減少需要定義的靜態路由的數量。在像您這樣的情況下,您通常會在公用 NIC 上設定預設網關,因為這可能會與許多「未知」網路進行通訊。然後,您可以為眾所周知/易於理解的內部位址範圍設定靜態路由。
希望這是有道理的。
或者,不要指定任何預設網關,並透過靜態路由執行所有操作(不明智!)。
但回到您最初的問題,您需要幫助的是 Windows 的網路位置感知 (NLA) 方面。它的某些方面可以使用 NETSH 進行配置,但我必須自己 Google 一下,所以恐怕沒有太多幫助。
答案2
我確實找到了一種識別輔助網路的方法https://superuser.com/a/218509/36752。
基本上,您必須為連接提供預設網關,以便 Windows 識別它,並為路由提供更高的指標,以避免多個預設網關的問題。
若要新增具有更高路由度量的預設網關,請使用命令列輸入命令,如下所示:
route -p add 0.0.0.0 mask 0.0.0.0 10.1.1.1 metric 50 if 15
將 IP 位址 10.1.1.1 替換為您要識別的連線/網路上另一台裝置的位址(Windows 使用網關的 MAC 位址作為識別碼)。使用高於其他預設路由的度量值並使用適當的 if #(if # 和目前路由度量都可以使用 查看route print -4)。