Компьютерный форум OSzone.net  

Компьютерный форум OSzone.net (http://forum.oszone.net/index.php)
-   Windows Server 2012/2012 R2 (http://forum.oszone.net/forumdisplay.php?f=117)
-   -   Firewall - применяются разные профили (http://forum.oszone.net/showthread.php?t=331186)

Ыть 13-11-2017 12:43 2777213
Firewall - применяются разные профили
 
есть два сервера в датацентре (сеть 10.255.9.0/24). К обоим можно подключаться по RDP через проброшенные порты. На одном из серверов настроил Site-to-site ВПН (RRAS) с сервером в главном офисе (сеть 10.254.1.0/24). Через этот ВПН я могу подключиться по RDP только к одному серверу. К тому серверу, что поднимает VPN я больше не могу подключиться. Посмотрел его логи - а он блокирует подключения по RDP. Как только включаю правило фаервола для публичного профиля - всё работает. Почему один сервер применяет доменный профиль фаервола, а другой сервер применяет публичный профиль фаервола?
И клиент и сервера находятся в одном AD домене, с одним сайтом. И в ДЦ и в главном офисе есть по контроллеру домена. С репликацией всё ок (репликация происходит по отдельному site-to-site VPN).

ko4evneg 14-11-2017 10:30 2777418
Проверьте, на обоих ли интерфейсах, где нужен профиль, выставлен DNS суффикс домена?

Ыть 14-11-2017 11:32 2777438
Если вы про это:
Код:
Connection-specific DNS Suffix  . :
то везде пусто.
если вы про это:
Код:
Primary Dns Suffix  . . . . . . . :
то везде стоит доменное имя.

ko4evneg 14-11-2017 13:45 2777492
Попробуйте указать на нужных интерфейсах доменный суффикс и проверить.

Ыть 15-11-2017 12:22 2777717
Добавил - ничего не поменялосью

и интерфейс и так определяется как доменный:

ko4evneg 16-11-2017 10:58 2777913
Я так понимаю проблема со вторым сервером, который не получает доменный профиль. Интерфейс передергивали после добавления суффикса на нем?
Если не поможет есть вариант зафорсить выбор профиля через политики: https://technet.microsoft.com/en-us/library/jj966256(v=ws.11).aspx

Ыть 16-11-2017 14:30 2777979
Цитата:
Цитата ko4evneg
Интерфейс передергивали после добавления суффикса на нем? »
да.
Цитата:
Цитата ko4evneg
Я так понимаю проблема со вторым сервером, который не получает доменный профиль.
Если не поможет есть вариант зафорсить выбор профиля через политики:»
да, но сервер (его сетевая карта) получает доменный профиль (см. картинку выше, это с проблемного сервера).
Но, отбой идёт, т.к. сервер считает удалённую сеть не доменной и применяет к ней публичный профиль фаервола.
Я не знаю почему, но MS нигде не пишет какие профили применяются к входящему трафику, а только какие профили применяются к сетевой карте. Однако по факту, не важно какой профиль установлен на сетевой карте, все три профиля фаервола применяются в зависимости от сети, из которой приходит запрос. Например:
- есть доменная сеть 10.10.10.0/24. Я включил правило на фаерволе, которое разрешает подключение RDP. Данное правило применяется только к доменному профилю. Следовательно, с любого хоста в сети 10.10.10.0/24 можно будет подключится по RDP к серверу.
- далее, я пробрасываю порт 3389 на своём роутере на сервер, и подключаюсь из интернета имея адрес, к примеру, 87.147.ХХХ.ХХХ. Данный адрес является публичным, по этому фаервол применяет правило для публичного профиля - а оно выключено (т.е. подключение не разрешено) - по этому я не могу подключится из интернета.

в моём же случае, к удалённой доменной сети один сервер применяет доменный профиль фаервола (что правильно), а другой сервер применяет публичный профиль фаервола (что неправильно).


Время: 16:58.

Время: 16:58.
© OSzone.net 2001-