我是一名开发人员,并且知道我在一生中计算和开发的任何系统pipe理员/networking/等等东西(不是一个微不足道的数额,但是我离这些任何专家都很远)。
我正在设置3个新的(托pipe的,专用的)Windows Server 2012盒(不在域中),我不知道如何将内部networking的位置设置为私有(看起来这将是最简单和足够安全的,用于各种服务器间通信的防火墙configuration)。
对于连接,我有设置在外部IP上的主NIC,专用子网IP上的次NIC以及在负载平衡器的外部IP(适配器是Microsoft KM-TEST环回适配器)上设置的VIP连接。
只有主NIC连接有一个指定的网关,从我读到这似乎是为什么其他2个连接列为未识别。
我试过在networking列表pipe理器策略下进入本地安全策略,允许用户更改所有networking的位置,但似乎没有效果。 同样,从我读到的内容来看,即使它确实有效,如果Windows无法识别networking,在重启或断开连接等改变之后,它不能重新应用该位置。
我不能强制所有不明身份的networking都是私有的,因为这将包括通过负载平衡器进入的公共stream量的VIP连接。
编辑:我也尝试了两个来自technet的build议,添加一个DNS后缀的连接,我没有看到任何效果,并编辑registry来禁用NLA的适配器,这有一些奇怪的后果 – 连接不再networking和共享中心,我不知道它是如何分类连接。
也许如果我添加一个网关到VIP或次要连接,我可以区分它们,并将私人位置应用到次要位置,但我不确定这可能会引发什么问题,除非看到不推荐。
我宁愿不去configuration内部networking上的3台服务器所需的每个小小的防火墙漏洞,但也许这就是我应该做的事情? 如何才能使辅助NIC连接只有私人?
目前我无法添加评论,所以这里是一个答案的forms的评论…
您提到将网关添加到其他NIC之一。 不要这样做。 只有一个网卡应该有一个默认网关; 所有其他stream量应该使用静态路由语句来引导(路由)。
设置将具有最远端目标networking的NIC上的默认网关。 这样,您可以最大限度地减less需要定义的静态路由的数量。 在像你这样的情况下,你通常会在公共网卡上设置默认网关,因为这可能会与许多“未知”networking通话。 然后,您可以为您众所周知的/很好理解的内部地址范围设置静态路由。
希望这是有道理的。
另外,不要指定任何默认的网关,并通过静态路由(不明智的!
但是回到原来的问题,您需要帮助的是Windows的networking位置感知(NLA)方面。 这方面的一些方面可以使用NETSH来configuration,但是我自己必须要Google,所以恐怕没有太大的帮助。
我确实find了一种方法来识别次要networkinghttps://superuser.com/a/218509/36752 。
基本上,你必须给连接一个Windows的默认网关来识别它,给路由一个更高的指标可以避免多个默认网关的问题。
要添加具有更高路由度量的默认网关,请使用以下命令行input命令:
route -p add 0.0.0.0 mask 0.0.0.0 10.1.1.1 metric 50 if 15 将IP地址10.1.1.1replace为要识别的连接/networking上的其他设备的地址(Windows使用网关的MAC地址作为标识符)。 使用高于其他默认路由的度量值,并使用相应的if#(如果可以使用route print -4查看#和当前的路由度量值)。