вторник, 6 марта 2012 г.

Удаленное включение Сетевого Обнаружения (Network Discovery)

При развертывании Windows 7 в корпоративной сети для ускорения процесса развертывания использовалась служба WDS. Думаю, так обычно у всех и происходит. Разумеется, перед "заливкой" образа на WDS, образ немного готовился, были добавлены кое-какие программы, кое-какие компоненты и т.д. Как оказалось позже тут-то меня и поджидала коварная ошибка.

Узким местом при дальнейшей конфигурации уже развернутой операционной системы оказалось отсутствие сетевого доступа к ней. Разобравшись в вопросе, выяснил, что в исходном "чистом" образе выключено Сетевое Обнаружение (Network Discovery).

Далее я постарался описать решение, как удаленно включить сетевое обнаружение на уже развернутой операционной системе Windows 7.

Наиболее подходящим инструментом на первый взгляд выглядит механизм групповых политик. Действительно, этот инструмент позволит нам массово поменять значения параметров на множестве машин. Смотрим в конкретный объект групповых политик и видим следующие разделы:

(Конфигурация Компьютера\Политики\Административные шаблоны\Сеть)

clip_image001

Здесь есть похожие на то что нам нужно следующие разделы:

  • Обнаружение Топологии Связи (Link-Layer)
  • Сетевые подключения\Брандмауэр Windows

В Интернетах можно найти превеликое множество обсуждений в форумах, в которых рекомендуется манипулировать значениями именно в этих двух разделах. Это выглядит вполне правдоподобно, ведь тут есть такие параметры, как:

  • Конфигурация Компьютера\Политики\Административные шаблоны\Сеть\Сетевые подключения\Брандмауэр Windows\Доменный профиль\

clip_image002

  • Конфигурация Компьютера\Политики\Административные шаблоны\Сеть\Обнаружение Топологии Связи (Link-Layer)

clip_image003

Но, увы, изменения этих параметров в групповой политике ничего не дало… (Почему? См. ниже). По-прежнему, при попытке, например, пропинговать настраиваемую машину была тишина. Кроме того, в проводнике при нажатии на значек "Сеть" вылазила подсказка о том, что сетевое обнаружение выключено с предложением включить.

Проводя очередные поиски нашел тред на сайте social.technet.microsoft.com, где в сообщении Joseph Zhou я содержалась панацея.

Вот как это все выглядит, для наглядности нарисовал картинку:

clip_image004

Решение оказалось простым и изящным - использовать общие настройки брандмауэра Windows (а точнее Windows Firewall with Advanced Security).

Сначала готовим эталонный компьютер: настраиваем брандмауэр, включаем сетевое обнаружение и т.д. Затем выполняем следующую команду:

netsh advfirewall export C:\firewall.wfw

В файл firewall.fwf будет выгружены все настройки Windows Firewall, в том числе и те, что не меняются с помощью групповых политик.

Остается только положить файл firewall.wfw на \\<domain.name>\netlogon и написать нехитрый *.bat файл со следующим содержанием:

netsh advfirewall import \\<domain.name>\netlogon\firewall.wfw

Ну и уже этот *.bat файл раздать в качестве сценария автозагрузки компьютера (Путь в объекте групповой политики Конфигурация компьютера\Политики\Конфигурация Windows\Сценарии (Запуск\Завершение). Назначив объект групповой политики на необходимый организационный юнит, перезагружаем машины в этом юните и радуемся результату.

Теперь, если мы захотим изменить настройки Windows Firewall достаточно просто поменять их на эталонной машине, а затем выгрузить в виде файла в сетевую папку, и при следующей перезагрузке ее подхватят необходимые рабочие станции.

 

Почему не сработали настройки объекта групповой политики?

  • Во-первых, потому что параметры, находящиеся в Конфигурация Компьютера\Политики\Административные шаблоны\Сеть\Обнаружение Топологии Связи (Link-Layer) вообще не имеют отношения к самому по себе сетевому обнаружению.
  • Во-вторых, потому что параметры, находящиеся в Конфигурация Компьютера\Политики\Административные шаблоны\Сеть\Сетевые подключения\Брандмауэр Windows\Доменный профиль настраивают параметры Windows Firewall. А вот за сетевое обнаружение отвечает уже Windows Firewall with Advanced Security и настраивается он вот здесь:

Конфигурация компьютера\Политики\Конфигурация Windows\Параметры безопасности\Брандмауэр Windows в режиме повышенной безопасности\

И здесь в разделе Inbound Rules (Правила для входящих подключений) необходимо создать правило с типом Predefined (Предопределенные) и параметром Network Discovery (Обнаружение сети).

4 комментария:

Кирилл Константинович комментирует...

А зачем нужен .bat если можно через Windows Firewall with Advanced Security сделать?

Evgeny Vekovshinin комментирует...

Сделать bat файл можно для того, чтобы разлить настройки по сети на несколько компьютеров

Андрей Батраков комментирует...

спасибо. последний абзац помог! весь день искал как включить это обнаружение групповыми политиками.

Анонимный комментирует...

А как применить настройки брандмауэра к Win XP