我正在努力解决 Server 2008 R2 NLA 和 Windows 防火墙问题。
目前,我们正在测试通过 GP 推出 Windows 防火墙,并拥有一个启用域、私有和公共防火墙的测试服务器。公共和私有设置为锁定,而域具有默认配置文件(未经请求的入站被阻止,出站被允许)。设置应用正确,没有通信丢失。一切看起来都很好。
最新的 Windows 更新导致出现问题,因此我们恢复到快照(在 ESXi 5 上运行的 VM)。现在防火墙正在公共配置文件下连接,所有通信都中断了。由于 GP 控制策略,我无法禁用策略或重置框上的策略。我们找到的唯一解决方案是停止防火墙服务并从 GPO 中删除计算机。这样就可以正常通信了。
我使用谷歌搜索发现,2012 年 1 月有一个修补程序 (KB2524478) 解决了此问题,但该修补程序已部署,并且修补程序表明不需要它。我猜 NLA 中的某些东西错误地将其自身与公共连接关联起来,但我看不到任何将网络位置覆盖到域配置文件的方法。
有人对我如何进一步排除故障有什么建议吗?我不愿意修改禁用服务、重新启动然后重新启用的过程,因为我觉得这是一种解决方法。
编辑:阅读NLA时我注意到以下行为被认为是初始过程:
“在所有情况下,检测的启动方式与 Windows XP 中的启动方式相同。如果连接特定 DNS 名称与“HKEY_Local_Machine\Software\Microsoft\Windows\CurrentVersion\Group Policy\History\NetworkName”注册表项匹配,则计算机将尝试通过 LDAP 联系域控制器。如果这两个步骤都成功,您将获得域配置文件。重要的是要注意,如果这些步骤成功,处理将在此处停止。这允许您在同一域中的多个接入点之间漫游,而无需停下来分别识别每个接入点。”
当我查看相关服务器上的注册表项时,实际上我随机挑选的所有注册表项也都显示为空白。这是预期的行为吗?还是该值应该包含森林名称?