Windows Server Ağ Konumlarını Devre Dışı Bırakma

16

Bu özelliğin tam olarak ne denildiğinden emin değilim. Ancak Windows Server 2008 işletim sisteminde, Vista Genel / Özel / Etki Alanı konumlarına sahiptir. Bu, dizüstü bilgisayarlar için anlamlıdır ve sunucular için hiçbir şey ifade etmez.

Benim sorunum bazen bazı ağ bağdaştırıcıları şimdi ortak bir ağ üzerinde olduklarına karar. Bu, "etki alanı" ağları için bile güvenlik duvarını tamamen etkinleştirir. Yani net etki, bazı makineleri yeniden başlatmam ve sonra KVM'ye girip ağın özel olduğunu söyleyene kadar asla ağa geri dönmemeleri.

Bu özelliğin adı nedir? Kapatmak ve tüm ağları "etki alanı" yapmak için kullanabileceğim bir GP ayarı var mı?

Düzenleme: Teşekkürler, bu NLA olduğunu. Etki alanı olmayan bir makinede hizmeti devre dışı bırakmayı denedim ve sadece herkese açık olan her şeyi döndürüyor. Bir etki alanı makinesinde Ağ Listesi Hizmeti durmayı reddediyor - grup ilkesini deneyeceğim.

windows  windows-server-2008  networking  firewall  group-policy 
MichaelGG
kaynak
bununla herhangi bir yer var mı manuel olarak her nic bir konuma belirtmek güzel olurdu
scape

Yanıtlar:

13

Sadece tam olarak bu problemle karşılaştı. Tanımlanamayan ağlar varsayılan olarak "Genel" türüne ayarlıdır. Windows Güvenlik Duvarı'nın Genel ağlarda etkin olmasını, ancak Özel ağlarda etkin olmamasını ve iç ağınızın her zaman "Tanımlanmamış" olmasını istediğinizde bu gariptir.

Windows Server 2008 için "Tanımlanamayan" ağ nedir?

Ağ Listeleri hizmeti (netprofm), ağları tanımlamak ve varsa ağ için ilişkili kaydedilmiş ayarları bulmak için Ağ Konumu Tanıma hizmeti (nlasvc) ile birlikte çalışır. NLA hizmeti, bir ağı tanımlamak için bir Varsayılan Ağ Geçidi veya SSID kullanır, bu nedenle NIC'de bir Varsayılan Ağ Geçidi veya ilişkili SSID yoksa, NLA ağın Tanımlanamayacağını belirler.

Bununla birlikte varsayılanı değiştirebilirsiniz - böylece "Tanımlanamayan" ağlar varsayılan olarak Herkese Açık dışında bir değere ayarlanır:

  1. Yönetimsel Araçlar -> Yerel Güvenlik İlkesi'ni açın.

  2. "Ağ Listesi Yöneticisi İlkeleri" öğesini vurgulayın, ardından sağ paneldeki "Tanımlanmamış Ağlar" ı çift tıklayın.

  3. "Konum Türü" nü "Özel" veya "Genel" olarak ayarlayın.

Windows 2012 Server'da yapılan değişikliğin ekran görüntüsü

Benim için çalıştı!

Jeff Atwood
kaynak
Kimliği belirsiz birden fazla bağlantınız yoksa ve farklı konum ayarlarına sahip olmanız gerekmedikçe çalışır.
quentin-starin
Bu kabul edilen cevap olmalı. Deneyimlerime göre, NLA hizmetini devre dışı bırakmak yeterli değildir. Bazen yazılım güncellemeleri ve / veya diğer değişiklikler bu hizmetin yeniden etkinleştirilmesine neden olabileceğinden, bu eylem (tanımlanamayan ağı varsayılan olarak Özel olarak ayarlamak) daha güvenilirdir. Bu yüzden hem otomatik olarak algılama davranışı istenmeyen rahatsızlık olabileceğinden hem Windows sunucularım hem de masaüstü bilgisayarlarım için yapıyorum. Ağdaki herhangi bir ince değişiklik (VLAN atamaları, yeni erişim noktaları vb.) Yanlış bir pozitif tetikleyebilir ve sonra aniden Windows kendisini karantinaya almaya karar verir.
quickthyme
@qes - Doğru, ancak genellikle bir sunucuda durum böyle olmaz. Sunucunun ağın değiştiğine (birden bire) yanlış karar vermesi durumunda, kullanıcı "ne tür bir ağ olduğunu söyleyene kadar" yeni "ağı normal olarak tanımlanmamış olarak markalar. Varsayılan olarak, tanımlanamayan genel olarak kabul edilir ve bu nedenle sunucuya erişilemez hale gelir ve genellikle onarım için fiziksel erişim gerektirir. Bu özel yaklaşım, sistemin ağı yanlış tanımasını engellemez, aksine Windows'u ne olursa olsun güvenmeye zorlar.
quickthyme
Çalışması için adaptörü yeniden kurmak zorunda kaldım.
Wumms
5

Demek istediğiniz hizmet "Ağ Konumu Tanıma" veya NLA olarak adlandırılır . Ne tür bir bağlantınız olduğunu belirler ve bağlantıya özgü bilgileri diğer uygulamalar veya hizmetler için kullanılabilir hale getirir. Windows Server 2008 işletim sistemindeki Gelişmiş Güvenlik Duvarı, belirli güvenlik duvarı ayarlarını uygulamak için NLA bilgilerini kullanır.

Bu bir Windows Hizmetidir, bu nedenle hizmeti devre dışı bırakabilirsiniz.

splattne
kaynak
Hizmeti devre dışı bıraktım, sonra her şeyi herkese açık hale getirdi. Arrg.
MichaelGG
Ağ Listesi Hizmeti, Ağ Konumu Tanıma'ya bağlı olduğundan, bu sorunu çözmenin en iyi yolu bu değildir. Bunun yerine, Jeff Atwood'un cevabının daha iyi olduğunu düşünüyorum, çünkü işlevselliği bastırmak yerine ağ türünü düzeltmenize izin veriyor.
quickthyme
4

Aynı sorun vardı; zaman zaman somutlaşan ve tek NIC'lerinin "Etki Alanı" arabirimi yerine "Genel" bir arabirim olduğuna karar veren birkaç Windows 2012 sunucusu.

İnterwebs gücü sayesinde, ben rastladım bu yararlı yazı özetlenmiştir, sadece "Ağ Konumu Tanıma" hizmetini yeniden başlatın ve bu düzeltmeleri eğer sorunu görmek için söylüyor. Varsa, sorunun tekrarlanmasını önlemek için, başlangıç ​​tipini "Otomatik" yerine "Otomatik (Gecikmeli Başlatma)" olarak değiştirin.

DrSwordopolis
kaynak
3

Bir ağ profili atamanıza izin verecek bir grup politikası olduğuna inanmıyorum (Ağ Konumu Farkındalığı tarafından belirlenir, daha fazla bilgi burada: http://msdn.microsoft.com/en-us/library/ms739931(VS .85) .aspx )

Ancak, Gelişmiş güvenlik duvarının davranışını tanımlamak için sunuculara grup ilkesi uygulayabilirsiniz (devre dışı bırakma, yönetimsel iş istasyonlarınızdan gelen trafiğe izin verme vb.). Burada böyle yapmak için talimatlar: http://technet.microsoft.com/en-us/library/cc732400.aspx

Sean Earp
kaynak
1

Hizmeti devre dışı bırakmak istiyorsanız, NLA hizmetini devre dışı bırakan özel bir grup ilkesi oluşturabilirsiniz

Ben yeni bir kullanıcı olduğum için size bir bağlantı veremiyorum bu yüzden sadece google bu kelimeleri "grup politikasından hizmeti devre dışı bırak" arama İlk sonuç ne arıyorsun

Sitemizi kullandığınızda şunları okuyup anladığınızı kabul etmiş olursunuz: Çerez Politikası ve Gizlilik Politikası.
Licensed under cc by-sa 3.0 with attribution required.