我有一台安装了 Hyper-V 角色的 Windows Server 2012 R2 机箱,它也是域控制器。该服务器位于网络的 DMZ 区域,唯一的其他 Windows 机箱是同一服务器上的 Server 2012 R2 虚拟机。该服务器还托管一个 Web 代理 VM,它是网络网关。
我遇到的问题是,每次启动服务器时,由于 Web 代理 VM 尚未启动,服务器无法找到网关 IP,也无法将其自己的网络适配器标识为“域”,而是标记为“公共”。禁用并重新启用 NIC 可以解决此问题,但无法远程完成,因为 RDP 端口不为“公共”网络开放,因此需要前往服务器机房。
让服务器重新评估其所连接的网络的最佳方法是什么,以便它将其标识为“域”并在启动后的合理时间内应用正确的防火墙规则,但使得 Web 代理 VM 也有时间启动?
答案1
以这种方式根据来宾虚拟机提供的服务来管理主机服务器的访问并不是一个特别好的做法。否则,如果您需要在通过虚拟机提供的网关连接时停止/重新启动/重新配置该虚拟机,会发生什么?使用单独的管理 NIC 可能更好。
无论如何,决定加载哪个防火墙配置文件的服务是“网络位置感知”服务。在这种情况下,重新启动该服务将产生与禁用/重新启用 NIC 相同的效果,因此您可以安排在您认为客户虚拟机有时间启动后运行net stop nlasvc(net start nlasvc以及网络列表服务等相关服务)。
否则,通过公共防火墙配置文件启用 RDP 以简化故障排除。如果服务器位于 DMZ 中,则 DMZ 防火墙应将互联网挡在外面,防止其成为安全漏洞。