Раздел: Windows
Написано: 13.09.2011
Автор: Antonio
Установили Windows Server 2008 и он не пингуется из сети?
Не беда!
Включить ping в Windows 2008 можно несколькими способами.
1. Простой
Пуск — Настройка — Панель управления — Центр управления сетями — Общий доступ и сетевое обнаружение
Включаем Сетевое обнаружение и Общий доступ к файлам
2. Используя расширенный режим брандмауэра
Пуск — Настройка — Панель управления — Администрирование — Брандмауэр Windows в режиме повышенной безопасности — находим и включаем в правилах для входящих подключений
3. Как включить пинг компьютера в командной строке
Сделать чтобы ваш компьютер можно было пинговать, можно командой
netsh firewall set icmpsetting 8
В Windows Server 2008 R2
netsh advfirewall firewall add rule name="ICMP Allow incoming V4 echo request" protocol=icmpv4:8,any dir=in action=allow
Фразы: разрешить пинговать компьтер из сети, Windows 2008, Windows Server 2008, как включить пинг в фаерволле? расширенный режим брандмауэра как включить?
- Remove From My Forums
-
Question
-
Hello,
I read through a few posts here but couldn’t find what’s wrong.Symptom:
I have 2 Win 2008R2 Servers as VMs on an ESXi 5.1 Server, as well as a «real» computer (Win7 64bit) and a VM with Win7 32bit.
My network at home is 10.10.10.0/24. The servers have 10.10.10.3 and .4, the router (AVM Fritz!Box) is 10.10.10.1, the clients are served by DHCP with 10.10.10.20 and .21. Each computer only has one NIC. Subnet Address is 255.255.255.0 on every computer. DNS
points at the two servers; these have DNS forwarders to my ISPs DNS servers.The router is entered as the standard gateway at both servers, and also in the clients.
I can ping all computers’ IPs, be it VM or real, from all others.
I can ping the router from both the Win 7 machines (real and VM).
But I cannot ping the router at 10.10.10.1 or any computer beyond the router in the Internet from the two servers.
I can access the Internet from both the Win7 machines (real and VM) if I change their DNS addresses to those of my ISP. If I leave them to the servers, I cannot access the Internet, as the servers cannot reach the router and beyond, so they also cannot forward
the DNS requests to the forwarders.I disabled the Windows Firewall on both servers, I have looked into the ARP table for wrong entries for 10.10.10.1 (there were none), I have viewed the routes (pretty straightforward — anything not 10.10.10.0/24 out over 10.10.10.1), but I cannot find the
reason.DNS problems are not yet the problem as even with IP addresses I don’t get to the router and beyond from the servers; from the clients, no problem.
DHCP is done by one of the servers for the clients, DNS and AD is on both servers.
Do you have any idea how this can happen?
Thanks for any input you can offer!
Martin
Answers
-
Try shutting down one of the servers temporarily. Give one of your PCs the IP Address of the server as a static IP. See whether that PC can ping the gateway. If it can, then that would point to a problem in the configuration of the server.
If it can’t, that would point to a problem in the configuration of the gateway.Then try giving the PC a static IP Address which is NOT within the DHCP range but which is also NOT the same as either of the servers. Re-test. If it can’t ping the gateway, then maybe the gateway is having trouble with non-DHCP-assigned
IP addresses?-
Marked as answer by
Tuesday, December 25, 2012 7:47 AM
-
Marked as answer by
- Remove From My Forums
-
Question
-
Hello,
I read through a few posts here but couldn’t find what’s wrong.Symptom:
I have 2 Win 2008R2 Servers as VMs on an ESXi 5.1 Server, as well as a «real» computer (Win7 64bit) and a VM with Win7 32bit.
My network at home is 10.10.10.0/24. The servers have 10.10.10.3 and .4, the router (AVM Fritz!Box) is 10.10.10.1, the clients are served by DHCP with 10.10.10.20 and .21. Each computer only has one NIC. Subnet Address is 255.255.255.0 on every computer. DNS
points at the two servers; these have DNS forwarders to my ISPs DNS servers.The router is entered as the standard gateway at both servers, and also in the clients.
I can ping all computers’ IPs, be it VM or real, from all others.
I can ping the router from both the Win 7 machines (real and VM).
But I cannot ping the router at 10.10.10.1 or any computer beyond the router in the Internet from the two servers.
I can access the Internet from both the Win7 machines (real and VM) if I change their DNS addresses to those of my ISP. If I leave them to the servers, I cannot access the Internet, as the servers cannot reach the router and beyond, so they also cannot forward
the DNS requests to the forwarders.I disabled the Windows Firewall on both servers, I have looked into the ARP table for wrong entries for 10.10.10.1 (there were none), I have viewed the routes (pretty straightforward — anything not 10.10.10.0/24 out over 10.10.10.1), but I cannot find the
reason.DNS problems are not yet the problem as even with IP addresses I don’t get to the router and beyond from the servers; from the clients, no problem.
DHCP is done by one of the servers for the clients, DNS and AD is on both servers.
Do you have any idea how this can happen?
Thanks for any input you can offer!
Martin
Answers
-
Try shutting down one of the servers temporarily. Give one of your PCs the IP Address of the server as a static IP. See whether that PC can ping the gateway. If it can, then that would point to a problem in the configuration of the server.
If it can’t, that would point to a problem in the configuration of the gateway.Then try giving the PC a static IP Address which is NOT within the DHCP range but which is also NOT the same as either of the servers. Re-test. If it can’t ping the gateway, then maybe the gateway is having trouble with non-DHCP-assigned
IP addresses?-
Marked as answer by
Tuesday, December 25, 2012 7:47 AM
-
Marked as answer by
Ping — утилита командной строки для проверки соединений в сетях TCP/IP. Она является одним из основных средств диагностики сети и входит в состав всех современных сетевых операционных систем. Принцип ее работы заключается в том, что она отправляет запросы (ICMP Echo-Request) протокола ICMP указаному узлу и фиксирует поступающие ответы (ICMP Echo-Reply).
Время между отправкой запроса и получением ответа позволяет определить задержки при передаче и частоту потери пакетов, а также оценить загруженность канала передачи данных. Полное отсутствие ICMP-ответов может означать, что удалённый узел неисправен.
В серверных ОС начиная с Windows Server 2008 входящие эхо-запросы по умолчанию запрещены и блокируются брандмауэром Windows. Сделано это скорее всего с целью предотвратить сетевые атаки типа ICMP Flooding (затопление атакуемого узла пакетами ICMP), которые могут вызвать отказ в обслуживании (Denial of Service, DoS). Безопасность конечно важна, однако в результате при попытке проверить доступность сервера мы получаем ошибку.
Для разрешения входящих эхо-запросов необходимо активировать соответствующее правило брандмауэра Windows. Вот несколько вариантов того, как это сделать.
Оснастка Windows Firewall with Adwanced Security
Самый простой способ разрешить ping — воспользоваться оснасткой «Windows Firewall with Adwanced Security». Для ее запуска нажимаем клавиши Win+R и вводим команду wf.msc.
Заходим в раздел входящих правил (Inbound Rules). Здесь нас интересует предопределенное правило для IPV4 — ″File and Printer Sharing (Echo Request — ICMPv4-In)″. Обратите внимание, что в таблице присутствуют два правила с одинаковым названием. На самом деле это одно и то же правило, просто настроенное для разных профилей — одно для доменного профиля, второе для общего и частного.
Активируем правило, отметив галочкой чекбокс Enabled и проверяем, чтобы в поле Action был выбран пункт ″Allow the connection″.
Переходим на вкладку Advanced и выбираем профили, для которых это правило будет действовать. Сохраняем правило и жмем OK. Теперь сервер можно пинговать.
При необходимости в дополнительных мерах безопасности произведем еще несколько настроек, которые защитят сервер от атак и позволят вам спокойно пользоваться Ping-ом.
Переходим на вкладку Scope и в поле Remote IP address указываем, с каких адресов разрешено принимать входящие запросы. Здесь можно указать один адрес, диапазон адресов либо целиком подсеть.
На вкладке Local Principals указываем локальных пользователей или группы, которым разрешается пинговать данный сервер. Как вариант, можно дать разрешение только группе локальных администраторов.
Групповые политики
В доменной среде разрешить Ping можно централизованно, через групповые политики. Открываем в редакторе групповых политик соответствующую GPO и переходим в раздел Computer Configuration–Policies–Windows Settings–Windows Firewall with Adwanced Security. Раскрываем дерево поддразделов и переходим на вкладку Inbound Rule. Кликаем правой клавишей мыши и в контекстном меню выбираем New Rule.
Выбираем Predefined (предопределенные правила) и находим в списке группу правил «File and Printer Sharing».
Находим правило ICMPv4-In и убираем выделение с остальных.
Выбираем для правила действие Allow the connection (разрешить подключениe) и жмем Finish, сохраняя правило.
После того как правило создано, его можно открыть и отредактировать, точно так же как и в локальной оснастке брандмауэра.
Утилита Netsh
Кроме графических средств для управления правилами можно воспользоваться утилитой командной строки netsh. В качестве примера активируем правило ICMPv4-In для всех профилей брандмауэра и ограничим удаленные IP подсетью 192.168.1.0/24:
netsh adwfirewall firewall set rule name= ″File and Printer Sharing (Echo Request — ICMPv4-In)″ new enable= yes action= allow profile= any remoteip= 192.168.1.0/24
Если вы используете Windows Server 2008 (не R2), то команда будет выглядеть немного по другому. Для включения правила:
netsh firewall set icmpsetting 8
И для отключения:
netsh firewall set icmpsetting 8 disable
PowerShell
Также разрешить эхо-запросы можно с помощью PowerShell. Правда воспользоваться этим способом можно только в Windows Server 2012, в остальных ОС отсутствует соответствующий PowerShell модуль. Для активации правила воспользуемся следующей командой:
Set-NetFirewallRule -Name FPS-ICMP-ERQ-In -Enabled True -Profile Any -Action Allow
Вроде бы все. Хотя нет, вспомнил еще один интересный момент. Для нормальной работы службы каталогов Active Directory необходимо, чтобы брандмауэр пропускал ICMP пакеты от клиентских компьютеров к контроллеру домена. Это нужно для получения клиентами сведений групповой политики. Поэтому на контроллерах домена есть отдельное правило брандмауэра, разрешающее входящий ping — ″Active Directory Domain Controller — Echo Request (ICMPv4-In)″. Это правило активно по умолчанию.
Достаточно часто начинающие администраторы спрашивают, почему Windows Server 2008 не отвечает на пинги (по протоколу ICMP) и как же заставить его отвечать на пакеты ping.
Давайте, сначала разберемся, почему Microsoft решила оставить политику, запрещающую ping эту настройку по-умолчанию. Официальной версии нет, однако предполагается, что это способ противостоять сетевым атакам типа Ping Flooding и POD (Ping of Death). Методика POD достаточно часто используется в атаках по типу «Отказ в обсаживании» (Denial of Service), когда на целевой сервер шлются ICMP ненормально большого размера. При атаках типа Ping flooding осуществляется посылка огромного количества пакетов ping на целевой сервер, в результате, если он настроен отвечать на пакеты ping, большая часть его вычислительных способностей тратится на генерацию ответов на эти пакеты, как следствие – низкая производительность остальных служб (например, HTTP или FTP).
Чтобы разрешить ping в профиле public (в том числе Интернет), перейдите в Administrative
Tools -> Firewall with Advanced Security -> Inbound Rules и найдите правило “File and Printer Sharing (Echo Request – ICMPv4-In)” -> Щелкните правой кнопкой мыши по правилу и выберите “Enable.”
В результате активации правило “FileandPrinterSharing (EchoRequest – ICMPv4-In)” должно стать зеленым.
Кроме того, разрешить ответы на ping (ICMP) в Windows Server можно и из командной строки (особенно актуально для инсталляций Windows Server Core), для чего в командной строке наберите:
netsh firewall set icmpsetting 8
Отключить правило можно так:
netsh firewall set icmpsetting 8 disable
В Windows Server 2008 R2 также подойдет команда:
netsh advfirewall firewall add rule name=”ICMP Allow incoming V4 echo request” protocol=icmpv4
Мы поможем правильно эксплуатировать ПО и оборудование.