Я борюсь с Server 2008 R2 NLA и брандмауэром Windows.
В настоящее время мы тестируем развертывание брандмауэра Windows через GP и имеем тестовый сервер, который включает брандмауэр для домена, частного и общедоступного. Общедоступный и частный настроены на блокировку, в то время как домен имеет профиль по умолчанию (незапрашиваемый входящий заблокирован, исходящий разрешен). Настройки применены правильно, связь не прерывается. Все ищет красавчика дори.
Последние обновления Windows вызвали проблему, поэтому мы вернулись к моментальному снимку (виртуальная машина, работающая на ESXi 5). Теперь брандмауэр подключается под общим профилем, и вся связь прервана. Из-за того, что GP контролирует политику, я не могу отключить политику или сбросить политику на коробке. Единственное решение, которое мы нашли, - это остановить службу брандмауэра и удалить компьютер из GPO. Это позволяет нормально общаться.
У меня был Google, и я видел, что в январе 2012 года было исправление (KB2524478), которое решило эту проблему, но оно уже развернуто, и исправление заявляет, что оно не нужно. Я предполагаю, что что-то в NLA неправильно связывает себя с общедоступным соединением, но я не вижу способа переопределить сетевое расположение в профиле домена.
Есть ли у кого-нибудь предложения о том, как я могу решить эту проблему дальше? Я не хочу изменять процедуру, чтобы отключить службу, перезагрузить и снова включить, поскольку я считаю, что это обходной путь.
РЕДАКТИРОВАТЬ: Прочтите о NLA, я заметил, что следующее поведение считается начальным процессом:
"Во всех случаях обнаружение начинается так же, как и в Windows XP. Если конкретное DNS-имя подключения совпадает с ключом реестра« HKEY_Local_Machine \ Software \ Microsoft \ Windows \ CurrentVersion \ Group Policy \ History \ NetworkName », то компьютер попытается для связи с контроллером домена через LDAP. Если оба эти шага завершатся успешно, вы получите профиль домена. Важно отметить, что в случае успеха обработка останавливается здесь. Это позволяет вам перемещаться по нескольким точкам доступа в одном домене без вынуждены останавливаться и идентифицировать каждого из них индивидуально ».
Когда я смотрю на этот ключ реестра на рассматриваемом сервере, и фактически на все те, которые я выбрал наугад, у меня есть пустая запись для этого. Это ожидаемое поведение или это значение должно содержать имя леса?