Windows server 2016 не пингуется

Обновлено: 21.11.2024

Я приобрел новый Dell Poweredge T330, на котором Dell предустановила Windows Server 2016 Std.

У меня есть маршрутизатор Draytek, настроенный для работы в локальной сети, его IP-адрес – 192.168.1.1

У меня есть ноутбук с IP-адресом 192.168.1.18 У меня есть существующий сервер, работающий на компьютере с Windows 10, который имеет IP-адрес 192.168.1.10 У меня есть принтер с IP-адресом 192.168.1.13

Я подключил свой новый powerge к локальной сети, и маршрутизатор выделил ему IP-адрес 192.168.1.19

Несмотря на то, что RDP включен, я не могу подключиться к серверу по RDP со своего ноутбука. Когда я пытаюсь пропинговать сервер со своего ноутбука, я получаю сообщение об ошибке «Хост назначения недоступен». Когда я пытаюсь пропинговать powerge со своего старого сервера, я получаю ту же ошибку.

Попытался отключить брандмауэр Windows в локальной сети - безрезультатно.

Кто-нибудь может подсказать, почему мой сервер может пинговать маршрутизатор, но не может пинговать или быть пингованным любыми хостами в той же подсети LAN?

Заранее спасибо :)

Я бы начал с проверки правил входящего трафика в дополнительных настройках брандмауэра. Включение ICMPv4-in может помочь

Спасибо. Брандмауэр Windows отключен, но на всякий случай я перешел к правилам входящего трафика и установил для ICMPv4-In значение «разрешить». Это не решило проблему :(

1 Ответ 1

Вы просите "предложения", а не ответа, так что потерпите меня. Я не знаю, что может происходить на уровне ОС — брандмауэр Windows и тому подобное, но стоит подумать о сетевом уровне.

Чтобы клиент мог пропинговать сервер для двух хостов в одной (немаршрутизируемой) сети, как здесь и должно быть,

  1. клиент запрашивает MAC-адрес сервера (и предоставляет свой MAC-адрес)
  2. сервер отвечает своим MAC-адресом
  3. клиент отправляет запрос ICMP с MAC-адресом сервера
  4. сервер отвечает ICMP-ответом на MAC-адрес клиента

Чтобы шаг 1 работал, клиент должен иметь возможность осуществлять широковещательную рассылку на уровне 2 — некоторые коммутаторы можно настроить таким образом, чтобы предотвратить это (частные виртуальные локальные сети). Маршрутизатор Draytek выглядит как SOHO-коробка, поэтому не должен этому препятствовать, но это возможно.

Для выполнения шага 2 сервер должен ответить правильным MAC-адресом. Возможно, хотя опять же маловероятно, что сервер отвечает MAC-адресом от неправильного интерфейса.

Чтобы шаг 3 работал, клиент должен иметь возможность передавать запрос ICMP. Я предполагаю, что ваш ноутбук может пинговать вещи, так что вряд ли проблема в этом.

Для выполнения шага 4 сервер должен иметь возможность передавать ответ ICMP. Вы упомянули об обновлении правила брандмауэра для входящего IP-адреса, но настроили ли вы исходящий IP-адрес? Вполне вероятно, что вы сможете пропинговать свой шлюз по умолчанию (и, соответственно, получить доступ к другим хостам, которые маршрутизируются от этого шлюза), но не сможете передавать трафик на другие хосты в той же (немаршрутизируемой) сети.

Я бы скачал копию Wireshark и посмотрел, что происходит на сетевом уровне. Это позволит вам определить, связана ли проблема с сетью или операционной системой, и уменьшить потенциальные источники проблемы.

Вы только что развернули блестящий новый рядовой сервер Windows 2012 R2 и присоединили его к домену. После перезапуска сервера вы пытаетесь пропинговать его с одной из других машин домена, но пинг сбрасывается. Вы проверяете Осведомленность о сетевом расположении, так как вы были обожжены этим раньше, но это нормально, и он может видеть домен AD.

Обратите внимание, что в приведенном ниже примере DNS-запрос выполнен успешно. Имя было преобразовано в IP-адрес, да, это правильный адрес, а затем время ожидания ICMP-запросов истекло. Что также может сбить с толку, так это то, что другие машины отвечают на запросы ping. Обратите внимание, что контроллер домена отвечает, а другой сервер — нет. Exchange еще не установлен на этом компьютере.

Обычно в этот момент происходит то, что брандмауэр Windows отключается, и, поскольку проверка связи теперь работает, брандмауэр больше никогда не включается. Это вообще не является хорошей практикой безопасности. Мы стремимся к глубокоэшелонированной защите, и брандмауэры на базе хоста являются частью комплексного решения. Гораздо лучше выяснить, что движет поведением, и тогда мы сможем решить эту проблему.

Поведение брандмауэра Windows по умолчанию

Брандмауэр Windows был представлен еще в Windows XP SP2. XP SP2 был капитальным ремонтом и представил множество функций безопасности. Брандмауэр Windows присутствует и включен по умолчанию в Windows сегодня. В зависимости от установленных ролей и функций Windows вы обнаружите, что включены различные правила брандмауэра Windows. Это действие, выполняемое при установке роли или компонента. Эти правила необходимы для работы роли или функции.

Это объясняет разницу, наблюдаемую выше.Контроллер домена ответил, а базовая ОС — нет. Почему?

Установка роли AD DS также добавляет роль файлового сервера, а роль файлового сервера позволяет его правилам брандмауэра Windows разрешать проверку связи. Это показано ниже.

Контроллер домена Windows 2012 R2

Рядовой сервер Windows 2012 R2. Обратите внимание, что роль файлового сервера не установлена.

Включение IMCP v4 с помощью PowerShell

Чтобы включить правило общего доступа к файлам и принтерам (эхо-запрос — ICMPv4-In) в PowerShell, мы можем использовать приведенные ниже команды. Сначала включаем правило, оно применяется ко всем профилям, а потом проверяем статус:

Обратите внимание, что для IPv6 существует отдельное правило, которое называется Общий доступ к файлам и принтерам (эхо-запрос — ICMPv6-In). Вы также можете использовать ссылку, используя FPS-ICMP6-ERQ-In, см. примечание в конце этого поста о разнице между этими длинными и короткими именами.

Включение IMCP v4 с помощью MMC

Есть несколько способов запустить графический инструмент настройки. Вы найдете брандмауэр Windows в режиме повышенной безопасности в списке в разделе «Администрирование». В качестве альтернативы вы можете запустить WF.msc, и он запустится. Консоль показана ниже. Обратите внимание, что правила отфильтрованы, поэтому отображаются только правила профиля домена. Общий доступ к файлам и принтерам (эхо-запрос — правило ICMPv4-In выделено в большом красном поле.

Щелкните правой кнопкой мыши, чтобы включить правило, и статус изменится с серого на зеленый.

Обратите внимание, что для IPv6 существует отдельное правило, которое называется Общий доступ к файлам и принтерам (эхо-запрос — ICMPv6-In).

Сложность брандмауэра Windows

Вы могли заметить, что в приведенных выше примерах для работы с правилом брандмауэра использовался приведенный ниже синтаксис:

Атрибут Name использовался вместо DisplayName. Это было сделано для того, чтобы сделать вывод более читабельным. В приведенном ниже примере указано полное отображаемое имя правила, и, поскольку оно содержит пробелы, оно должно быть заключено в кавычки. Это немного более громоздко печатать и читать.

Бонус

Теперь, когда вы можете настроить отдельное правило брандмауэра Windows для ICMP, следующим правилом, которое вы, как правило, захотите просмотреть, является правило, разрешающее SMB. Это позволит вам подключаться к общим папкам на удаленном компьютере.

В приведенном ниже руководстве показано, как включить проверку связи в ОС Windows Server 2016 или 2012 R2. Хотя исходный пост был написан, а скриншоты сделаны на основе сервера Windows 2012 R2, те же шаги применимы и для Windows 2012 R2. Если вы хотите включить единственный ответ на запрос ping, не отключая всю службу брандмауэра, вы можете продолжить чтение этого метода.

Всегда полезно включить ping-ответ на серверах Windows 2012 R2/2016, чтобы было легко отслеживать состояние сети и IP-адреса и управлять ими.

Вот работающий сервер Windows 2012 R2, используемый для следующей демонстрации. Как я упоминал ранее, следующие шаги применимы и к серверу Windows 2016.

Простой способ включить проверку связи в Windows Server 2016/2012 R2

Описанный ниже метод также применим для серверов Windows 2012/2016.

1) Перейдите на панель управления с панели чудо-кнопок Windows или выполните поиск по запросу control’. Откройте «Брандмауэр Windows». В других операционных системах, таких как Windows 2016, вы можете попасть в это место через панель управления из строки меню «Пуск».

2) Нажмите "Дополнительные настройки".

3) Нам нужно создать правило брандмауэра, чтобы разрешить эхо-пакеты ICMP, которые используются в команде ping. К счастью, это правило уже есть на сервере Windows 2012/2016, и его нужно просто включить.

Чтобы включить входящее правило, разрешающее пакеты ICMP, выберите «Входящие правила». Узнайте и щелкните правой кнопкой мыши Общий доступ к файлам и принтерам (эхо-запрос –ICMPv4-In’), выберите Включить правило.

Это позволит принимать входящие ping-запросы на сервер Windows 2012 R2/2016 и отвечать на них без полного отключения службы брандмауэра.

Отключение всей службы брандмауэра на рабочих серверах не рекомендуется. Это откроет двери для сетевых угроз и атак без какой-либо базовой сетевой защиты на уровне операционной системы. Следовательно, это лучший способ включить ответ на проверку связи на серверах Windows 2016/2012 R2.

На снимке экрана ниже показано, что сервер Windows начал отвечать на запрос проверки связи, когда было включено указанное выше правило.

Никто не может отправлять ping-запросы вашей системе, чтобы узнать, активна она или нет, когда на вашем компьютере с Windows 10 включен брандмауэр. Вы можете включить ping, отключив брандмауэр, но это может оказаться очень пагубным, так как ваш компьютер будет подвержен внешним угрозам и вредоносным программам. В этой статье мы объясним вам, как разрешить запросы ping, проходящие через брандмауэр в Windows 10. У нас также есть руководство, в котором показано, как использовать команду ping в Windows.

Разрешение проверки связи через брандмауэр в Windows 10

Чтобы разрешить проверку связи с брандмауэром в Windows 10, выполните следующие действия:

Введите панель управления в разделе поиска на панели задач и щелкните результат поиска, чтобы открыть новое окно панели управления. Новое открытое окно панели управления показано на следующем изображении:

Перейдите на вкладку Система и безопасность, расположенную в левом верхнем углу изображения, показанного выше.

Теперь нажмите Брандмауэр Защитника Windows, как показано на изображении выше.

Нажмите Дополнительные настройки.

Как только вы щелкнете по нему, появится окно брандмауэра Защитника Windows в режиме повышенной безопасности, как показано на следующем изображении:

Теперь нажмите Правила для входящих подключений, выделенные на изображении выше.

Прокрутите вниз, чтобы найти «Общий доступ к файлам и принтерам (эхо-запрос — ICMPv4 — входящие)», как выделено на изображении ниже:

Как только вам удастся найти его, просто нажмите на него один раз.

Когда вы щелкнете по нему, в крайней правой части окна появятся некоторые параметры, как показано на следующем рисунке. Нажмите «Включить правило» из этих параметров, чтобы разрешить проверку связи с брандмауэром в Windows 10.

В этом примере я отправил эхо-запрос на свой компьютер с другого компьютера в той же сети после включения этого правила. IP-адрес моей машины выделен на следующем изображении:

На изображении ниже показан успешный ping от брандмауэра после включения этого правила.

Заключение

Следуя описанному выше методу, вы можете легко разрешить проверку связи с брандмауэром в Windows 10, не отключая брандмауэр и не подвергая свою систему внешним угрозам.Всякий раз, когда вы хотите отключить запросы ping от брандмауэра, просто выполните те же действия, и как только вы найдете это правило, просто щелкните его, а затем выберите «Отключить правило». Существует также руководство по созданию расширенных правил брандмауэра в Windows.

Читайте также: