Üzerinde OpenVPN 2.3.13 istemci yazılımı yüklü olan Windows Server 2012 R2 kutusuna bir etki alanına katıldım. VPN bağlantısı etkinken Etki Alanı Ağı kategorisine NLA tarafından ana LAN NIC ile birlikte "Ethernet 2" (TAP arayüzü) bağlantısı yerleştirilir. İdeal olarak, VPN arayüzünü Genel kategorisine atamak istiyorum. PowerShell ile denedim, ancak sürekli olarak bu hatayı alın:
Aşağıdaki olası nedenlerden biri nedeniyle NetworkCategory ayarlanamıyor: PowerShell yükseltilmiş çalıştırılmıyor; NetworkCategory, 'DomainAuthenticated' öğesinden değiştirilemez; Ağ İlkesi'nde kullanıcı tarafından başlatılan değişiklikler, Grup İlkesi ayarı 'Ağ Listesi Yöneticisi İlkeleri' nedeniyle engelleniyor. Satırda: 1 karakter: 1 + Set-NetConnectionProfile -InterfaceIndex 15 -NetworkCategory Public + ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ + CategoryInfo: İzin Reddedildi: (MSFT_NetConnect ... 72AADA665483} "): root / StandardCi ... nnectionProfile) [Set-NetConnectionProfile], CimException + FullyQualifiedErrorId: MI RESULT 2, Set-NetConnectionProfile
15, "Ethernet 2" nin arayüz numarasıdır
Onun kayda değer, ben yükseltilmiş bir PowerShell oturumunda bu komutu çalıştırıyorum ve tüm mevcut GPO politikaları denedim var ama hata sürekli atılır. NLA hakkında çoğu bilgi Özel ve Genel arasında geçiş yapmayı önerir, ancak DomainAuthenicated biraz farklı görünüyor.
Kayıt defteri yönteminin Ethernet 2 için gerçek bir profili yoktur, bu nedenle bu şekilde de değiştirilemez.
TAP bağdaştırıcısını Herkese Açık olmaya zorlamak için yine de var mı? OpenVPN bağlantısı, ana NIC'nin varsayılan ağ geçidini geçersiz kılmaz ve 10.0.0.0/8 alt ağını kullanır. Yolları kullanmam route-nopull
ve geçersiz kılmam, NLA'nın ağları algılama biçiminde sorunun bir parçası olabilir.
Ethernet adapter Ethernet 2:
Connection-specific DNS Suffix . :
Link-local IPv6 Address . . . . . : fe80::xxxx:xxxx:xxxx:xxxx%xx
IPv4 Address. . . . . . . . . . . : 10.xx.xx.xx
Subnet Mask . . . . . . . . . . . : 255.255.255.252
Default Gateway . . . . . . . . . :
Genel profili atamanızın ana nedeni güvenlik duvarı kuralları içindir, bazı uygulamaların yalnızca VPN arabirimini kullanmasını engelleme konusunda sorun yaşıyorum, ağ profili tabanlı güvenlik duvarı kuralları yazabilmek bu durumda en iyi şekilde çalışıyor gibi görünüyor, denedim Yerel IP adresine dayalı kurallar yazıyor ancak bu işe yaramadı.
When the VPN connection is active the "Ethernet 2" (TAP interface) connection is placed into the Domain Network category alongside the main LAN NIC by NLA.
bu VPN'nin bütün mesele değil mi? VPN kullanıcıları için güvenliği artırmak istiyorsanız, ayarlarını DomainAuthenticated
kategoride daha yüksek, hatta daha yüksek olarak ayarlayın Public
.
gpupdate /force
hangi ayarları değiştirirsem değiştireyim bu hatayı alamıyorum.
user initiated changes to NetworkCategory are being prevented due to the Group Policy setting 'Network List Manager Policies
- Bu, kullanıcı tarafından başlatılan değişikliklerin Grup İlkesi aracılığıyla engellendiği anlamına gelir. Kullanıcı tarafından başlatılan değişikliklere izin vermek için GPO'nun buna izin verecek şekilde yapılandırılması gerekir. GP'nin yapılandırıldığı yere yerleştirdiniz mi?