У меня есть коробка Windows Server 2012 R2 с установленной ролью Hyper-V, которая также является контроллером домена. Сервер находится в зоне DMZ сети, и единственный другой ящик Windows - это виртуальная машина Server 2012 R2 на том же сервере. На сервере также находится виртуальная машина веб-прокси, которая является сетевым шлюзом.
Проблема, с которой я сталкиваюсь, заключается в том, что каждый раз, когда сервер загружается, поскольку виртуальная машина веб-прокси еще не запущена, сервер не может найти IP-адрес шлюза и не идентифицирует свой собственный сетевой адаптер как `` Домен '', вместо этого он помечается как «Публичный». Отключение и повторное включение сетевой карты устраняет эту проблему, но не может быть выполнено удаленно, так как порты RDP не открыты для «общедоступных» сетей, что требует поездки в серверную.
Каков наилучший способ заставить сервер повторно оценить сеть, к которой он подключен, чтобы он идентифицировал ее как «Домен» и применял правильные правила брандмауэра в течение разумного времени после загрузки, но так, чтобы виртуальная машина веб-прокси имела время для загрузки тоже?
Не рекомендуется иметь административный доступ к хост-серверу в зависимости от услуг, предоставляемых гостевой виртуальной машиной таким образом. В противном случае, что произойдет, если вам нужно остановить / перезапустить / перенастроить эту виртуальную машину при подключении через шлюз, который она предоставляет? Возможно, вам будет лучше с отдельной сетевой картой управления.
В любом случае, служба, которая определяет, какой профиль брандмауэра загружать, - это служба «Информация о сетевом местоположении». В этом случае перезапуск будет иметь тот же эффект, что и отключение / повторное включение сетевой карты, поэтому вы, возможно, сможете запланировать net stop nlasvc, net start nlasvc (и зависимые службы, такие как служба списка сетей) для запуска после того, как вы считаете, что гостевая виртуальная машина успела загрузиться.
В противном случае включите RDP через профиль публичного брандмауэра, чтобы упростить устранение неполадок. Если сервер находится в демилитаризованной зоне, то брандмауэр демилитаризованной зоны должен защищать доступ в Интернет и предотвращать его превращение в дыру в безопасности.