本文介绍了在Windows实例中访问外部网络不通的处理方法。
问题描述
在Windows系统的ECS实例中,无法使用浏览器访问外部网络。
可能原因
造成该问题的原因与无法远程连接Windows实例的排查方法类似,常见问题原因参考如下。
-
公网ISP运营商的管控。
-
Windows实例异常行为,导致阿里云安全策略阻止该Windows实例访问外部网络。
-
Windows实例安全组配置错误。
-
Windows实例性能问题。
-
Windows实例上防火墙策略限制。
-
Windows实例安装的第三方杀毒软件存在限制。
-
Windows实例被病毒、木马影响。
-
Windows实例TCP/IP协议栈自身存在Bug或者兼容性问题。
-
Windows实例安装了路由与远程服务后,配置错误。
-
Windows实例路由表、网络配置错误。
解决方案
您可以通过对比测试和使用工具抓取网络包来进行问题排查,并针对性解决问题,方法如下:
本文操作以Windows Server 2019 数据中心版 64位中文版操作系统为例进行测试,具体操作以您实际的操作系统版本为准。
方法一:对比测试排查
您可以根据实际情况,选择对应的排查步骤。
在云安全中心中检查Windows实例状态,确认Windows状态正常
-
在云安全中心,您可以先在云安全中心的主机资产页面查看实例是否存在风险。
具体操作,请参见管理服务器。在服务器列表的风险状况列中,查看目标实例是否显示存在风险,单击查看可进入详情。
-
您可以通过单击目标实例ID进入实例详情页面,查看ECS实例的漏洞信息、应用漏洞信息、防御信息、安全设置、安全告警处理等内容,然后针对相关告警或通知处理问题使Windows实例状态恢复正常。
-
检查Windows实例是否与该网站所在的特定网段网络不通。
如果仅Windows实例与该网站所在的特定网段网络不通,则可能与运营商管控有关。此时,您可以在CMD命令提示符中使用
ping 网段命令对相关的多个网段进行对比测试,操作步骤如下:说明ping 网段命令仅针对特定网络不通而不适合排查所有网络故障问题。-
打开命令提示符。
-
在桌面左下角,单击
图标,然后在搜索框输入cmd。 -
单击命令提示符。
进入命令提示符。
-
-
在命令提示符中,执行
ping 网段命令,对相关的多个网段进行对比测试。C:\Users\Administrator>ping xxx.xxx.50.242 正在 Ping xxx.xxx.50.242 具有 32 字节的数据: 来自 xxx.xxx.50.242 的回复: 字节=32 时间=12ms TTL=50 来自 xxx.xxx.50.242 的回复: 字节=32 时间=12ms TTL=50 来自 xxx.xxx.50.242 的回复: 字节=32 时间=12ms TTL=50 来自 xxx.xxx.50.242 的回复: 字节=32 时间=12ms TTL=50 xxx.xxx.50.242 的 Ping 统计信息: 数据包: 已发送 = 4, 已接收 = 4, 丢失 = 0 (0% 丢失), 往返行程的估计时间(以毫秒为单位): 最短 = 12ms, 最长 = 12ms, 平均 = 12ms C:\Users\Administrator>ping xxx.xxx.51.242 正在 Ping xxx.xxx.51.242 具有 32 字节的数据: 请求超时。 请求超时。 请求超时。 请求超时。 xxx.xxx.51.242 的 Ping 统计信息: 数据包: 已发送 = 4, 已接收 = 0, 丢失 = 4 (100% 丢失), C:\Users\Administrator>
-
在命令提示符中,执行ipconfig /all命令,检查网卡配置是否正确
-
打开命令提示符。
-
在桌面左下角,单击
图标,然后在搜索框输入cmd。 -
单击命令提示符。
进入命令提示符。
-
-
执行
ipconfig /all命令,查看网卡配置信息。C:\Users\Administrator>ipconfig /all Windows IP 配置 主机名 . . . . . . . . . . . . . : iZxxxxxxxxxZ 主 DNS 后缀 . . . . . . . . . . . : 节点类型 . . . . . . . . . . . . : 混合 IP 路由已启用 . . . . . . . . . . : 否 WINS 代理已启用 . . . . . . . . . : 否 以太网适配器 以太网: 连接特定的 DNS 后缀 . . . . . . . : 描述. . . . . . . . . . . . . . . : Red xxx 物理地址. . . . . . . . . . . . . : xx-xx-xx-xx-xx-xx DHCP 已启用 . . . . . . . . . . . : 是 自动配置已启用. . . . . . . . . . : 是 本地链接 IPv6 地址. . . . . . . . : fexx::xxxx:xxxx:xxxx:xxxx(首选) IPv4 地址 . . . . . . . . . . . . : 172.16.39.138(首选) 子网掩码 . . . . . . . . . . . . : 255.255.240.0 获得租约的时间. . . . . . . . . . : 20xx-xx-xx 租约过期的时间. . . . . . . . . . : 20xx-xx-xx 默认网关. . . . . . . . . . . . . : 172.16.47.253 DHCP 服务器 . . . . . . . . . . . : 172.16.47.253 DHCPv6 IAID . . . . . . . . . . . : 1xxxxxxxx DHCPv6 客户端 DUID . . . . . . . : 00-xx-xx-xx DNS 服务器 . . . . . . . . . . . : 100.xxx.xxx.xxx 100.xxx.xxx.xxx TCPIP 上的 NetBIOS . . . . . . . : 已启用 C:\Users\Administrator> -
在桌面输入
ncpa.cpl打开网络共享与管理中心,检查网卡状态是否正常收发。-
桌面左下角,单击
图标,在搜索框输入ncpa.cpl,然后单击ncpa.cpl。 -
在网络连接页面,双击目标网卡。
查看网卡状态是否正常收发,如果正常,则表示网卡正常启用。在弹出的网卡状态对话框中,查看活动区域的已发送和已接收字节数是否持续增长,若有数据收发则表示网卡工作正常。
-
在命令提示符中,通过nslookup或ping命令,检查是否存在DNS解析问题
具体操作,请参见Windows实例内部自定义域名解析与本地网络域名解析不一致导致无法访问网站如何处理?或Windows实例ping外网地址提示“一般故障”。
检查Windows实例是否存在性能问题
Windows实例可能存在CPU资源占用高、内存耗尽、带宽占用满、网络动态端口耗尽等问题,您可以通过如下方式进行检查:
-
使用工具进行分析,具体操作,请参见Windows系统内存分析工具的介绍。
-
通过ECS控制台或云监控控制台查看Windows实例相关性能信息,具体操作,请参见查看实例监控信息。
检查Windows实例的安全组规则是否正确
您可以查看Windows实例的安全组规则,如果配置错误,您需要更改安全组配置为允许所有网络通信进行测试。
-
查看Windows实例安全组规则的具体操作,请参见在实例详情页面查看单个实例信息。
检查防火墙策略配置是否正确
您可以先禁用Windows实例上的防火墙,然后测试是否可以正常访问。如果防护墙禁用后,可以访问,则您需要检查防火墙策略配置,具体操作如下:
-
在桌面左下角,选择
> 服务器管理器。 -
在服务器管理器页面,单击左侧导航栏的本地服务器。
-
在属性区域,单击Windows Defender防火墙右侧的防火墙状态。
-
在Windows安全中心页面,按照界面操作,关闭防火墙。页面中显示域网络、专用网络和公用网络(使用中)三个类别,需将各类别的防火墙分别关闭。
-
重新访问网站。
如果可以正常访问,则您需要继续检查防火墙策略配置。具体操作,请参见Windows Server系统的ECS实例防火墙策略的配置方法。
禁用或者卸载Windows实例中第三方杀毒软件后,重新访问网站
您可以参考第三方杀毒软件对应的相关文档禁用或者卸载Windows实例中的第三方杀毒软件,然后重新访问网站。
运行Windows Update程序,安装最新版本的补丁
该操作可以排除操作系统TCP/IP协议栈自身问题,操作步骤如下:
-
在桌面左下角,单击
图标,在搜索框输入update,然后单击检查更新。 -
在Windows更新页面,单击下载,安装最新版本的补丁。
-
重新访问网站。
方法二:工具抓取网络包进行分析
在Windows实例上使用抓包工具(例如Wireshark)抓取数据包,根据抓包结果分析网络包中是否存在DNS解析、ARP解析或者TCP连接无法建立的问题。具体操作,请参见无法远程连接Windows实例的排查方法。