Запрет / разрешение ответа на ping в Windows Server 2012 и 2016

Параметры Брандмауэра

Самый простой способ запретить или разрешить ping — воспользоваться оснасткой
«Брандмауэр Windows в режиме повышенной безопасности».

Для ее запуска нажимаем клавиши Win+R и вводим команду wf.msc.

Заходим в раздел входящих правил («Правила для входящих подключений»).
Здесь нас интересует предопределенное правило для IPV4 — ″Общий доступ к файлам и принтерам (эхо-запрос — входящий трафик ICMPv4)″.

Обратите внимание, что в таблице присутствуют три правила с одинаковым названием.
На самом деле это одно и то же правило, просто настроенное для разных профилей — одно для доменного профиля, второе для общего и частного.

Отключить/Включить правило

Для того, чтобы выключить/включить правило — выберите его и нажмите на правой панели «Отключить правило»/«Включить правило».

С отключенным правилом Ваш сервер не отвечает на запросы утилиты ping и наоборот, с включенным — отвечает.

Разрешаем Ping в Windows Server 2008

Достаточно часто начинающие администраторы спрашивают, почему Windows Server 2008 не отвечает на пинги (по протоколу ICMP) и как же заставить его отвечать на пакеты ping.

Давайте, сначала разберемся, почему Microsoft решила оставить политику, запрещающую ping эту настройку по-умолчанию. Официальной версии нет, однако предполагается, что это способ противостоять сетевым атакам типа Ping Flooding и POD (Ping of Death). Методика POD достаточно часто используется в атаках по типу «Отказ в обсаживании» (Denial of Service), когда на целевой сервер шлются ICMP ненормально большого размера. При атаках типа Ping flooding осуществляется посылка огромного количества пакетов ping на целевой сервер, в результате, если он настроен отвечать на пакеты ping, большая часть его вычислительных способностей тратится на генерацию ответов на эти пакеты, как следствие – низкая производительность остальных служб (например, HTTP или FTP).

Чтобы разрешить ping в профиле public (в том числе Интернет), перейдите в Administrative
Tools -> Firewall with Advanced Security -> Inbound Rules и найдите правило “File and Printer Sharing (Echo Request – ICMPv4-In)” -> Щелкните правой кнопкой мыши по правилу и выберите “Enable.”

В результате активации правило “FileandPrinterSharing (EchoRequest – ICMPv4-In)” должно стать зеленым.

Кроме того, разрешить ответы на ping (ICMP) в Windows Server можно и из командной строки (особенно актуально для инсталляций Windows Server Core), для чего в командной строке наберите:

Отключить правило можно так:

В Windows Server 2008 R2 также подойдет команда:

ИТ База знаний

Курс по Asterisk

Полезно

— Узнать IP — адрес компьютера в интернете

— Онлайн генератор устойчивых паролей

— Онлайн калькулятор подсетей

— Калькулятор инсталляции IP — АТС Asterisk

— Руководство администратора FreePBX на русском языке

— Руководство администратора Cisco UCM/CME на русском языке

— Руководство администратора по Linux/Unix

Навигация

Серверные решения

Телефония

FreePBX и Asterisk

Настройка программных телефонов

Корпоративные сети

Протоколы и стандарты

Популярное и похожее

Курс по сетям

Пошаговый ввод в домен Windows 10

Основные команды cmd в Windows

Поднимаем контроллер домена на Windows 2008 R2

10 крутых вещей, которые можно сделать с помощью Windows PowerShell

Поднимаем контроллер домена на Windows 2008 R2

Обзор Windows Admin Center

Batch: автоматический перенос файлов в Windows

Еженедельный дайджест

Как разрешить ping в Windows Server 2019

3 минуты чтения

По умолчанию, в Windows Server 2019 брандмауэр настроен на блокировку входящего трафика ICMP. Сюда входят эхо-запросы, которые используются командой ping, и это может затруднить устранение неполадок в сети. Некоторые системы мониторинга используют команду ping для отслеживания доступности серверов.

Обучайся в Merion Academy

Пройди курс по сетевым технологиям

Начать

В этом руководстве рассмотрим, как включить правило, чтобы сервер стал отвечать на ping используя графический интерфейс Windows Server 2019, а также включим разрешающее правило через PowerShell и netsh.

Обычно просто отключают Windows Firewall полностью, однако это не рекомендуется делать в производственной среде, так как брандмауэр Windows хорошо справляется с обеспечением базового уровня защиты системы. Разрешим только конкретное правило, необходимое для успешного выполнения команды ping.

Разрешить проверку связи через брандмауэр Windows

Сначала нам нужно открыть брандмауэр Windows, это можно сделать несколькими способами. Один из методов — просто нажать клавишу Windows, чтобы открыть меню «Start«, а затем начать вводить слово Firewall. Как показано ниже, брандмауэр Windows с расширенной безопасностью должен отображаться, выберите этот пункт.

Еще один быстрый способ: в PowerShell можно просто ввести «firewall» и нажать Enter. Откроется базовый интерфейс брандмауэра, а затем нажать кнопку «Advanced settings» в левой части. Откроется тот же интерфейс, что и через меню «Start«.

Следующий способ открыть Firewall — ввести в CMD такой текст: «firewall.cpl«

В Брандмауэре в расширенном режиме перейдите в Inboud Rules (Правила для входящих подключений).

В перечне правил в Inboud Rules, найдите «File and Printer Sharing (Echo Request — ICMPv4-In)» и активируйте его.

Еще один вариант. Активируем разрешающее правило командлетом Powershell

Полную справку со всеми параметрами можно получить, набрав команду в PowerShell

Вариант создания правила через netsh

Примечание: Включение правила позволит получать ответы только на IPv4 запросы, если нужно получать ответы по IPv6, нужно разблокировать правило такое же правило, только с Echo Request — ICMPv6-In, перечисленное ниже. К тому же имеется несколько профилей: доменный, публичный, частный. Ненужные профили можно отключить в правиле, во вкладке Advanced.

После разблокировки правила сервер должен начать отвечать на запросы ping. С хоста виртуализации или другого пк в локальной сети протестируем ping’ом Windows Server 2019 по адресу 192.168.1.11 перед включением правила, а затем снова после его включения. Ниже видно, что время ожидания первых запросов истекло, так как входящие запросы ICMP были отключены по умолчанию в Windows Server 2019. После включения правила ICMP запросы ping успешно выполняются, что подтверждает ожидаемую работу.

Пример проверки связи:

Резюме

Стандартное правило брандмауэра — блокировать ICMP запросы, в итоге сервер не отвечает на ping. Включив это правило брандмауэра, мы включили команду ping в Windows Server 2019, которая поможет нам устранить неполадки в сети.

ping ping

Область применения: Windows Server (половина ежегодного канала), Windows Server 2019, Windows Server 2016, Windows Server 2012 R2, Windows Server 2012 Applies to: Windows Server (Semi-Annual Channel), Windows Server 2019, Windows Server 2016, Windows Server 2012 R2, Windows Server 2012

Проверяет подключение на уровне IP к другому компьютеру TCP/IP, отправляя сообщения эхо-запросов протокола ICMP. Verifies IP-level connectivity to another TCP/IP computer by sending Internet Control Message Protocol (ICMP) echo Request messages. Отображаются сообщения о получении соответствующих эхо-ответов, а также время кругового пути. The receipt of corresponding echo Reply messages are displayed, along with round-trip times. Ping — это основная команда TCP/IP, используемая для устранения неполадок подключения, доступности и разрешения имен. ping is the primary TCP/IP command used to troubleshoot connectivity, reachability, and name resolution. При использовании без параметров эта команда отображает содержимое справки. Used without parameters, this command displays Help content.

Эту команду также можно использовать для проверки имени компьютера и IP-адреса компьютера. You can also use this command to test both the computer name and the IP address of the computer. Если проверка связи с IP-адресом выполнена успешно, но проверка связи с именем компьютера не выполняется, может возникнуть проблема разрешения имен. If pinging the IP address is successful, but pinging the computer name isn’t, you might have a name resolution problem. В этом случае убедитесь, что указываемое имя компьютера можно разрешить через локальный файл hosts с помощью запросов службы доменных имен (DNS) или методов разрешения имен NetBIOS. In this case, make sure the computer name you are specifying can be resolved through the local Hosts file, by using Domain Name System (DNS) queries, or through NetBIOS name resolution techniques.

Эта команда доступна, только если протокол Интернета (TCP/IP) установлен в качестве компонента в свойствах сетевого адаптера в окне Сетевые подключения. This command is available only if the Internet Protocol (TCP/IP) is installed as a component in the properties of a network adapter in Network Connections.

Синтаксис Syntax

Параметры Parameters

Параметр Parameter	Описание Description
/t /t	Указывает, что команда ping Continue отправляет сообщения эхо-запросов в место назначения, пока не будет прервано. Specifies ping continue sending echo Request messages to the destination until interrupted. Чтобы прервать и отобразить статистику, нажмите клавиши CTRL + ВВОД. To interrupt and display statistics, press CTRL+ENTER. Чтобы прервать выполнение и выйти из этой команды, нажмите клавиши CTRL + C. To interrupt and quit this command, press CTRL+C.
/a /a	Указывает, что разрешение имен должно выполняться на целевом IP-адресе. Specifies reverse name resolution be performed on the destination IP address. В случае успешного выполнения команды Ping отображает соответствующее имя узла. If this is successful, ping displays the corresponding host name.
параметра /n	Указывает число сообщений запроса эха, которые будут отправлены. Specifies the number of echo Request messages be sent. Значение по умолчанию — 4. The default is 4.
/l /l	Задает длину (в байтах) поля данных в сообщениях запроса эха. Specifies the length, in bytes, of the Data field in the echo Request messages. Значение по умолчанию — 32. The default is 32. Максимальный размер — 65 527. The maximum size is 65,527.
/f /f	Указывает, что сообщения эхо-запросов отправляются с флагом «не фрагментировать » в заголовке IP, установленном в значение 1 (доступно только в IPv4). Specifies that echo Request messages are sent with the Do not Fragment flag in the IP header set to 1 (available on IPv4 only). Сообщения эхо-запроса не могут быть фрагментированы маршрутизаторами по пути к назначению. The echo Request message can’t be fragmented by routers in the path to the destination. Этот параметр полезен для устранения неполадок с максимальным количеством блоков передачи (PMTU). This parameter is useful for troubleshooting path Maximum Transmission Unit (PMTU) problems.
/I /I	Задает значение поля срока жизни (TTL) в заголовке IP для отправленных сообщений эхо-запросов. Specifies the value of the Time To Live (TTL) field in the IP header for echo Request messages sent. По умолчанию используется значение TTL по умолчанию для узла. The default is the default TTL value for the host. Максимальный срок жизни — 255. The maximum TTL is 255.
/v /v	Указывает значение поля типа службы (TOS) в IP-заголовке для отправленных сообщений запроса эха (доступно только в IPv4). Specifies the value of the Type Of Service (TOS) field in the IP header for echo Request messages sent (available on IPv4 only). Значение по умолчанию — 0. The default is 0. TOS задаются в виде десятичного значения от 0 до 255. TOS is specified as a decimal value from 0 through 255.
/r /r	Указывает параметр записи маршрута в заголовке IP-адреса, который используется для записи пути, полученного сообщением запроса эха, и соответствующего сообщения о эхо-ответе (доступно только в IPv4). Specifies the Record Route option in the IP header is used to record the path taken by the echo Request message and corresponding echo Reply message (available on IPv4 only). Каждый прыжок в пути использует запись в параметре запись маршрута . Each hop in the path uses an entry in the Record Route option. Если это возможно, укажите значение счетчика , равное или больше, чем число прыжков между источником и назначением. If possible, specify a count equal to or greater than the number of hops between the source and destination. Число должно быть не меньше 1 и не больше 9. The count must be a minimum of 1 and a maximum of 9.
ключ /s	Указывает, что параметр отметка времени Интернета в заголовке IP используется для записи времени прибытия сообщения эхо-запроса и соответствующего сообщения эхо-ответа для каждого прыжка. Specifies that the Internet timestamp option in the IP header is used to record the time of arrival for the echo Request message and corresponding echo Reply message for each hop. Число должно быть не меньше 1 и не больше 4. The count must be a minimum of 1 and a maximum of 4. Это необходимо для адресов назначения, находящейся в локальной связи. This is required for link-local destination addresses.
/j /j	Указывает, что сообщения эхо-запроса используют параметр свободного исходного маршрута в заголовке IP с набором промежуточных назначений, указанных в hostlist (только в IPv4). Specifies the echo Request messages use the Loose Source Route option in the IP header with the set of intermediate destinations specified in hostlist (available on IPv4 only). При свободной маршрутизации последовательные промежуточные назначения могут быть разделены одним или несколькими маршрутизаторами. With loose source routing, successive intermediate destinations can be separated by one or multiple routers. Максимальное число адресов или имен в списке узлов равно 9. The maximum number of addresses or names in the host list is 9. Список узлов представляет собой набор IP-адресов (в точечно-десятичной нотации), разделенных пробелами. The host list is a series of IP addresses (in dotted decimal notation) separated by spaces.
/k /k	Указывает, что сообщения эхо-запроса используют в заголовке IP параметр с максимальным исходным маршрутом с набором промежуточных назначений, указанных в hostlist (доступно только в IPv4). Specifies the echo Request messages use the Strict Source Route option in the IP header with the set of intermediate destinations specified in hostlist (available on IPv4 only). При использовании явной исходной маршрутизации следующее промежуточное назначение должно быть напрямую достижимо (оно должно быть соседом в интерфейсе маршрутизатора). With strict source routing, the next intermediate destination must be directly reachable (it must be a neighbor on an interface of the router). Максимальное число адресов или имен в списке узлов равно 9. The maximum number of addresses or names in the host list is 9. Список узлов представляет собой набор IP-адресов (в точечно-десятичной нотации), разделенных пробелами. The host list is a series of IP addresses (in dotted decimal notation) separated by spaces.
/w /w	Указывает время ожидания сообщения эхо-ответа, соответствующего заданному сообщению запроса эха, в миллисекундах. Specifies the amount of time, in milliseconds, to wait for the echo Reply message corresponding to a given echo Request message. Если ответное сообщение не получено в течение времени ожидания, отображается сообщение об ошибке «запрос был превышен). If the echo Reply message is not received within the time-out, the «Request timed out» error message is displayed. Время ожидания по умолчанию — 4000 (4 секунды). The default time-out is 4000 (4 seconds).
/R /R	Указывает путь к пути приема-передачи, который отслеживается (доступно только в IPv6). Specifies the round-trip path is traced (available on IPv6 only).
Ключ /S	Указывает используемый исходный адрес (доступен только в IPv6). Specifies the source address to use (available on IPv6 only).
/4 /4	Указывает IPv4, используемый для проверки связи. Specifies IPv4 used to ping. Этот параметр не требуется для определения целевого узла с IPv4-адресом. This parameter is not required to identify the target host with an IPv4 address. Необходимо только указать целевой узел по имени. It is only required to identify the target host by name.
/6 /6	Указывает IPv6, используемый для проверки связи. Specifies IPv6 used to ping. Этот параметр не требуется для определения целевого узла с IPv6-адресом. This parameter is not required to identify the target host with an IPv6 address. Необходимо только указать целевой узел по имени. It is only required to identify the target host by name.
Указывает имя узла или IP-адрес назначения. Specifies the host name or IP address of the destination.
/? /?	Отображение справки в командной строке. Displays help at the command prompt.

Пример выходных данных команды ping Example of the ping command output

Примеры Examples

Чтобы проверить связь с целевым 10.0.99.221 и разрешить 10.0.99.221 в его имя узла, введите: To ping the destination 10.0.99.221 and resolve 10.0.99.221 to its host name, type:

Чтобы проверить связь с 10.0.99.221 назначения с 10 сообщениями эхо-запроса, каждый из которых имеет поле данных 1000 байт, введите: To ping the destination 10.0.99.221 with 10 echo Request messages, each of which has a Data field of 1000 bytes, type:

Чтобы проверить связь с назначением 10.0.99.221 и записать маршрут для 4 прыжков, введите: To ping the destination 10.0.99.221 and record the route for 4 hops, type:

Чтобы проверить связь с целевым 10.0.99.221 и указать свободный исходный маршрут 10.12.0.1-10.29.3.1-10.1.44.1, введите: To ping the destination 10.0.99.221 and specify the loose source route of 10.12.0.1-10.29.3.1-10.1.44.1, type: