本文提供了以下问题的解决方案:当网络连接中断并还原时,WSFC 中的 Windows 防火墙规则会阻止 UDP 通信。
原始 KB 数: 2701206
现象
在 Windows Server 2008 R2 环境中,当与网络的连接中断并还原时,可能会阻止入站 UDP 通信。 在这种情况下,入站 TCP 和 ICMP 通信也可能被阻止。
如果 Windows 防火墙启用了入站 UDP 通信,则会出现此问题。 此问题可能受影响的服务之一是 Windows Server 故障转移群集(WSFC)。 虽然默认情况下可能启用检测信号通信(UDP 3343),但可能会阻止通信。 出现此问题时,故障转移群集管理器中的通信状态显示为“无法访问”。
注意
可以从以下规则引用 Windows 防火墙的入站 UDP 通信设置:
[具有高级安全性的 Windows 防火墙] - [入站规则]
原因
由于 Windows 防火墙中存在问题,因此会出现此问题。 与网络的连接中断,然后在 Windows 防火墙重新加载配置文件时还原。 在这种情况下,意外的规则可能会阻止群集中所需的通信端口。
解决方法 1:使用 netsh 命令
在 netsh 提升的命令提示符下运行以下命令:
netsh advfirewall firewall show rule "Failover Clusters (UDP-In)"
netsh advfirewall firewall set rule "Failover Clusters (UDP-In)" new enable=no
netsh advfirewall firewall show rule "Failover Clusters (UDP-In)"
注意
- 使用此方法时,群集服务可能会停止。 因此,如果可能,应在启动此方法之前停止群集服务,然后在完成其他步骤后重启群集服务。
- 使用此方法时,也会禁用“故障转移群集(UDP-in)”规则。
- 群集服务通过在启动时设置 UDP 的防火墙端口来启用节点通信。
解决方法 2:将 Windows 防火墙与高级安全加载项配合使用
运行“具有高级安全性的 Windows 防火墙”Microsoft管理控制台加载项。 为此,请按照下列步骤进行操作:
- 单击“开始”,在“搜索程序和文件”框中键入 wf.msc,然后单击“程序”下的 wf.msc。
- 单击 “入站规则” 。
- 找到并选择 故障转移群集(UDP-In) 规则。
- 禁用或删除 故障转移群集(UDP-In) 规则。
注意
- 使用此方法时,群集服务可能会停止。 因此,如果可能,应在启动此方法之前停止群集服务,然后在完成其他步骤后重启群集服务。
- 使用此方法时,也会禁用“故障转移群集(UDP-in)”规则。
- 群集服务通过在启动时设置 UDP 的防火墙端口来启用节点通信。
解决方法 3:禁用网络列表服务
若要禁用网络列表服务服务,请执行以下步骤:
- 单击“开始”,在“搜索程序和文件”框中键入服务,然后按 Enter。
- 在“服务(本地)”下的“名称”列中,右键单击“网络列表服务”,然后单击“属性”。
- 在 “常规 ”选项卡上,将 “启动类型 ”框设置为 “已禁用”。
- 单击“应用>确定”。
- 重新启动计算机。
注意
在禁用网络列表服务之前,应考虑此操作进行以下更改:
- 默认情况下,Windows 防火墙现在将选择公共配置文件。 因此,必须为“域”或“专用配置文件”设置的规则添加到公共配置文件。
- 网络共享中心不显示配置文件类型或网络连接状态。
- 网络连接图标不再显示在 Windows 任务栏上。
断开网络列表服务连接后发生的更改仅限于显示网络信息。 它们不会影响系统行为。
Status
Microsoft已确认这是 Windows 防火墙中的已知问题。