问题描述

在Windows系统的ECS实例中，无法使用浏览器访问外部网络，如图所示。

可能原因

造成该问题的原因与Windows实例通过外部访问网络不通的处理类似，常见问题原因参考如下。

• 公网ISP运营商的管控。

• Windows实例异常行为，导致阿里云安全策略阻止该Windows实例访问外部网络。

• Windows实例安全组配置错误。

• Windows实例性能问题。

• Windows实例上防火墙策略限制。

• Windows实例安装的第三方杀毒软件存在限制。

• Windows实例被病毒、木马影响。

• Windows实例TCP/IP协议栈自身存在Bug或者兼容性问题。

• Windows实例安装了路由与远程服务后，配置错误。

• Windows实例路由表、网络配置错误。

解决方案

您可以通过对比测试和使用工具抓取网络包来进行问题排查，并针对性解决问题，方法如下：

方法一：对比测试排查

您可以根据实际情况，选择对应的排查步骤。

在云安全中心中检查Windows实例状态，确认Windows状态正常

1. 在云安全中心，您可以先在云安全中心的主机资产页面查看实例是否存在风险。

   具体操作，请参见管理服务器。

2. 您可以通过单击目标实例ID进入实例详情页面，查看ECS实例的漏洞信息、应用漏洞信息、防御信息、安全设置、安全告警处理等内容，然后针对相关告警或通知处理问题使Windows实例状态恢复正常。

3. 检查Windows实例是否与该网站所在的特定网段网络不通。

   如果仅Windows实例与该网站所在的特定网段网络不通，则可能与运营商管控有关。此时，您可以在CMD命令提示符中使用ping 网段命令对相关的多个网段进行对比测试，操作步骤如下：

   说明

   ping 网段命令仅针对特定网络不通而不适合排查所有网络故障问题。

   1. 打开命令提示符。

      1. 在桌面左下角，单击图标，然后在搜索框输入cmd。

      2. 单击命令提示符。

         进入命令提示符。

   2. 在命令提示符中，执行ping 网段命令，对相关的多个网段进行对比测试。

在命令提示符中，执行ipconfig /all命令，检查网卡配置是否正确

1. 打开命令提示符。

   1. 在桌面左下角，单击图标，然后在搜索框输入cmd。

   2. 单击命令提示符。

      进入命令提示符。

2. 执行ipconfig /all命令，查看网卡配置信息。

3. 在桌面输入ncpa.cpl打开网络共享与管理中心，检查网卡状态是否正常收发。

   1. 桌面左下角，单击图标，在搜索框输入ncpa.cpl，然后单击ncpa.cpl。

   2. 在网络连接页面，双击目标网卡。

      查看网卡状态是否正常收发，如果正常，则表示网卡正常启用。

在命令提示符中，通过nslookup或ping命令，检查是否存在DNS解析问题

具体操作，请参见Windows实例内部自定义域名解析与本地网络域名解析不一致导致无法访问网站如何处理？或Windows实例ping外网地址提示“一般故障”。

检查Windows实例是否存在性能问题

Windows实例可能存在CPU资源占用高、内存耗尽、带宽占用满、网络动态端口耗尽等问题，您可以通过如下方式进行检查：

• 使用工具进行分析，具体操作，请参见Windows系统内存分析工具的介绍。

• 通过ECS控制台或云监控控制台查看Windows实例相关性能信息，具体操作，请参见查看实例监控信息。

检查Windows实例的安全组规则是否正确

您可以查看Windows实例的安全组规则，如果配置错误，您需要更改安全组配置为允许所有网络通信进行测试。

• 查看Windows实例安全组规则的具体操作，请参见在实例详情页面查看单个实例信息。

• 添加或修改安全组规则的具体操作，请参见添加安全组规则或修改安全组规则。

检查防火墙策略配置是否正确

您可以先禁用Windows实例上的防火墙，然后测试是否可以正常访问。如果防护墙禁用后，可以访问，则您需要检查防火墙策略配置，具体操作如下：

1. 在桌面左下角，选择 > 服务器管理器。

2. 在服务器管理器页面，单击左侧导航栏的本地服务器。

3. 在属性区域，单击Windows Defender防火墙右侧的防火墙状态。

4. 在Windows安全中心页面，按照界面操作，关闭防火墙。

5. 重新访问网站。

   如果可以正常访问，则您需要继续检查防火墙策略配置。具体操作，请参见Windows Server系统的ECS实例防火墙策略的配置方法。

禁用或者卸载Windows实例中第三方杀毒软件后，重新访问网站

您可以参考第三方杀毒软件对应的相关文档禁用或者卸载Windows实例中的第三方杀毒软件，然后重新访问网站。

运行Windows Update程序，安装最新版本的补丁

该操作可以排除操作系统TCP/IP协议栈自身问题，操作步骤如下：

1. 在桌面左下角，单击图标，在搜索框输入update，然后单击检查更新。

2. 在Windows更新页面，单击下载，安装最新版本的补丁。

3. 重新访问网站。

方法二：工具抓取网络包进行分析

在Windows实例上使用抓包工具（例如Wireshark）抓取数据包，根据抓包结果分析网络包中是否存在DNS解析、ARP解析或者TCP连接无法建立的问题。具体操作，请参见Windows实例通过外部访问网络不通的处理。