Я разработчик и знаю все, что системный администратор / сетевое оборудование / и т. Д. Я накопил за всю жизнь вычислений и разработки (немалое количество, но я очень далек от эксперта в этом вопросе).
Я настраиваю 3 новых (размещенных, выделенных) ящика Windows Server 2012 (не в домене), и я не могу понять, как установить частное расположение внутренней сети (кажется, это было бы проще всего и достаточно безопасно, поскольку конфигурация брандмауэра для различного межсерверного взаимодействия).
Для подключений у меня есть основная сетевая карта, которая настроена на внешнем IP-адресе, дополнительная сетевая карта на IP-адрес частной подсети и VIP-соединение, которое настраивается на внешних IP-адресах балансировщика нагрузки (адаптер - это адаптер Microsoft KM-TEST Loopback Adapter).
Шлюз указан только для основного сетевого адаптера, и из того, что я читал, кажется, что два других подключения указаны как неопознанные.
Я попытался войти в локальную политику безопасности в разделе «Политики диспетчера списков сетей» и разрешить пользователям изменять местоположение для всех сетей, но, похоже, это не имеет никакого эффекта. Опять же, из того, что я читал, даже если это имело эффект, если Windows не может идентифицировать сеть, она не может повторно применить местоположение после таких изменений, как перезагрузка или отключение.
Я не могу заставить все неопознанные сети быть частными, потому что это будет включать VIP-соединение, которое предназначено для общедоступного трафика, поступающего через балансировщик нагрузки.
РЕДАКТИРОВАТЬ: я также попробовал два предложения от технет, добавление DNS-суффикса для соединения, которое не оказало никакого влияния, которое я мог различить, и редактирование реестра, чтобы отключить NLA на адаптере, что имело некоторые странные последствия - соединение больше не было в сети и центре общего доступа, и я не мог Расскажи, как классифицировалось соединение.
Возможно, если бы я добавил шлюз к VIP или дополнительным соединениям, я мог бы затем дифференцировать их и применить частное местоположение только к вторичному, но я не уверен, какие проблемы это может вызвать, кроме того, что это не рекомендуется.
Я бы предпочел не настраивать каждую маленькую дыру в брандмауэре, которая мне нужна для 3 серверов во внутренней сети, но, может быть, это то, что мне действительно нужно сделать? Как еще я мог сделать подключение к вторичной сетевой карте только частным?
Я нашел здесь способ определить вторичные сети https://superuser.com/a/218509/36752.
По сути, вы должны назначить соединению шлюз по умолчанию для Windows, чтобы идентифицировать его, а установка более высокой метрики для маршрута позволяет избежать проблем с несколькими шлюзами по умолчанию.
Чтобы добавить шлюз по умолчанию с более высокой метрикой маршрута, используйте командную строку для ввода следующей команды:
route -p add 0.0.0.0 mask 0.0.0.0 10.1.1.1 metric 50 if 15
Замените IP-адрес 10.1.1.1 на адрес другого устройства в соединении / сети, которое вы хотите идентифицировать (Windows использует MAC-адрес шлюза в качестве идентификатора). Используйте значение метрики, которое выше, чем у другого маршрута по умолчанию, и используйте соответствующий if # (как if #, так и текущие метрики маршрута можно просмотреть с помощью route print -4).
В настоящее время я не могу добавлять комментарии, поэтому вот комментарий в виде ответа ...
Вы упомянули добавление шлюза к одному из других сетевых адаптеров. Не делай этого. Только одна сетевая карта должна иметь шлюз по умолчанию; весь остальной трафик должен направляться (маршрутизироваться) с использованием статических операторов маршрута.
Установите шлюз по умолчанию на сетевой карте, которая будет иметь самые удаленные целевые сети. Таким образом вы минимизируете количество статических маршрутов, которые вам нужно определить. В ситуации, подобной вашей, вы обычно устанавливаете шлюз по умолчанию для общедоступной сетевой карты, потому что это может быть связано с многочисленными «неизвестными» сетями. Затем вы устанавливаете статические маршруты для вашего хорошо известного / понятного диапазона (ов) внутренних адресов.
Надеюсь, это имеет смысл.
Как вариант, не указывайте шлюзы по умолчанию и делайте все через статические маршруты (не рекомендуется!).
Но вернемся к вашему исходному вопросу, вам нужна помощь в аспекте Windows Network Location Awareness (NLA). Некоторые аспекты этого можно настроить с помощью NETSH, но мне пришлось бы самому гуглить, так что, боюсь, это не очень поможет.