Windows Ağ Profilini “DomainAuthenticated” yerine Public olarak değiştirme


10

Üzerinde OpenVPN 2.3.13 istemci yazılımı yüklü olan Windows Server 2012 R2 kutusuna bir etki alanına katıldım. VPN bağlantısı etkinken Etki Alanı Ağı kategorisine NLA tarafından ana LAN NIC ile birlikte "Ethernet 2" (TAP arayüzü) bağlantısı yerleştirilir. İdeal olarak, VPN arayüzünü Genel kategorisine atamak istiyorum. PowerShell ile denedim, ancak sürekli olarak bu hatayı alın:

Aşağıdaki olası nedenlerden biri nedeniyle NetworkCategory ayarlanamıyor: PowerShell yükseltilmiş çalıştırılmıyor; NetworkCategory, 'DomainAuthenticated' öğesinden değiştirilemez; Ağ İlkesi'nde kullanıcı tarafından başlatılan değişiklikler, Grup İlkesi ayarı 'Ağ Listesi Yöneticisi İlkeleri' nedeniyle engelleniyor. Satırda: 1 karakter: 1 + Set-NetConnectionProfile -InterfaceIndex 15 -NetworkCategory Public + ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ + CategoryInfo: İzin Reddedildi: (MSFT_NetConnect ... 72AADA665483} "): root / StandardCi ... nnectionProfile) [Set-NetConnectionProfile], CimException + FullyQualifiedErrorId: MI RESULT 2, Set-NetConnectionProfile

15, "Ethernet 2" nin arayüz numarasıdır

Onun kayda değer, ben yükseltilmiş bir PowerShell oturumunda bu komutu çalıştırıyorum ve tüm mevcut GPO politikaları denedim var ama hata sürekli atılır. NLA hakkında çoğu bilgi Özel ve Genel arasında geçiş yapmayı önerir, ancak DomainAuthenicated biraz farklı görünüyor.

Kayıt defteri yönteminin Ethernet 2 için gerçek bir profili yoktur, bu nedenle bu şekilde de değiştirilemez.

TAP bağdaştırıcısını Herkese Açık olmaya zorlamak için yine de var mı? OpenVPN bağlantısı, ana NIC'nin varsayılan ağ geçidini geçersiz kılmaz ve 10.0.0.0/8 alt ağını kullanır. Yolları kullanmam route-nopullve geçersiz kılmam, NLA'nın ağları algılama biçiminde sorunun bir parçası olabilir.

Ethernet adapter Ethernet 2:

Connection-specific DNS Suffix  . :
Link-local IPv6 Address . . . . . : fe80::xxxx:xxxx:xxxx:xxxx%xx
IPv4 Address. . . . . . . . . . . : 10.xx.xx.xx
Subnet Mask . . . . . . . . . . . : 255.255.255.252
Default Gateway . . . . . . . . . :

Genel profili atamanızın ana nedeni güvenlik duvarı kuralları içindir, bazı uygulamaların yalnızca VPN arabirimini kullanmasını engelleme konusunda sorun yaşıyorum, ağ profili tabanlı güvenlik duvarı kuralları yazabilmek bu durumda en iyi şekilde çalışıyor gibi görünüyor, denedim Yerel IP adresine dayalı kurallar yazıyor ancak bu işe yaramadı.


1
user initiated changes to NetworkCategory are being prevented due to the Group Policy setting 'Network List Manager Policies- Bu, kullanıcı tarafından başlatılan değişikliklerin Grup İlkesi aracılığıyla engellendiği anlamına gelir. Kullanıcı tarafından başlatılan değişikliklere izin vermek için GPO'nun buna izin verecek şekilde yapılandırılması gerekir. GP'nin yapılandırıldığı yere yerleştirdiniz mi?
joeqwerty

@joeqwerty GPO'ya yerel olarak ve Bilgisayar Yapılandırması / Windows Ayarları / Güvenlik Ayarları / Ağ Listesi Yöneticisi İlkeleri'nde etki alanı aracılığıyla baktım, ayarların hiçbiri değişikliğe izin vermiyor.
James White

Yükseltilmiş hesabınızda NetworkCategory değiştirme hakkının eksik olduğu anlaşılıyor. Bunu eklemeniz veya üzerindeki bir kısıtlamayı kaldırmanız / gevşetmeniz gerekebilir. technet.microsoft.com/en-us/library/jj966256(v=ws.11).aspx . Ancak, yalnızca 'tanımlanamayan' ağlar için kullanıcı izin nesnelerini ayarlayabileceğiniz anlaşılıyor.
16:16

Ayrıca, When the VPN connection is active the "Ethernet 2" (TAP interface) connection is placed into the Domain Network category alongside the main LAN NIC by NLA. bu VPN'nin bütün mesele değil mi? VPN kullanıcıları için güvenliği artırmak istiyorsanız, ayarlarını DomainAuthenticatedkategoride daha yüksek, hatta daha yüksek olarak ayarlayın Public.
Xalorous

GPO'nun hem yerel olarak hem de etki alanı ilkesi ve çalışma yoluyla değişime izin vermediğini değiştirmeyi denedim ve gpupdate /forcehangi ayarları değiştirirsem değiştireyim bu hatayı alamıyorum.
James White

Yanıtlar:


1

Aşağıda WMI / CIM kullanılacaktır.

get-ciminstance -Namespace root/StandardCimv2 -ClassName MSFT_NetConnectionProfile -Filter "interfacealias='Ethernet 2'" | set-ciminstance -property @{NetworkCategory="1"}

Üzgünüz, aynı hatayı aldım. Bu, DomainAuthenticated olarak ayarlamaya çalışırsanız hatadır.
Tim Haintz

Set-CimInstance: NetworkCategory öğesi 'DomainAuthenticated' olarak ayarlanamıyor. Bu NetworkCategory türü bir etki alanı ağında kimliği doğrulandığında otomatik olarak ayarlanır. Satırda: 1 karakter: 124 + ... lias = 'Ethernet 2' "| Set-CimInstance -Property @ {NetworkCategory = '2'} + ~~~~~~~~~~~~~~~~~ ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ + CategoryInfo: InvalidArgument: (MSFT_NetConnect ... 5A09504828DA} "): CimInstance) [Ayarla -C imInstance], CimException + FullyQualifiedErrorId: MI RESULT 4, Microsoft.Management.Infrastructure.CimCmdlets.SetCimInstan ceCommand
Tim Haintz 22:16

Ne yazık ki, daha önce olduğu gibi PowerShell Yöneticisi olarak çalıştığım için, değişikliği engelleyen alan adı politikaları konusunda hala aynı hatayı alıyorum. Bu durumda Ethernet 2'yi DomainAuthenicated olarak ayarlanmaktan uzaklaştırmaya çalışıyorum, ancak benim durumumda bu zorlanmış ve değiştirilemez gibi görünüyor.
James White

@Pandorica, belirttiğiniz gibi, bir etki alanına katıldıktan sonra NetworkCategory'nin DomainAuthenticated içine kilitlenmiş olduğu anlaşılıyor.
Tim Haintz

1
Aramalarımda da bu makaleye rastladım. Ancak çoğu durumda, DomainAuthenicated yerine geçiş yapmaya çalıştığım şeyin tersi gibi görünüyor. Muhtemelen mümkün olmadığını kabul etmek zorunda kalabilirim.
James White

0

'Genel' bağdaştırıcının adreslerinin DNS sunucunuzun dinleme adresleri listesinden kaldırılması hile yapar.


0

Bu sayfadaki üçüncü "Güvenlik Duvarını Kullanma" seçeneğini inceleyin: https://evansblog.thebarrs.info/2013/02/windows-server-force-your-network.html

"Ağ Konumu Tanıma" Windows hizmetini engellemek için Giden kuralı oluşturmak üzere Windows Güvenlik Duvarı'nı kullanarak DomainAuthenticated ağ profilini engelleyebilirsiniz. VPN bağdaştırıcısının Yerel IP'sini diğer bağdaştırıcıları etkilememesi için kuralda belirttiğinizden emin olun. VPN bağdaştırıcısı artık "Genel" ağ profili olarak sınıflandırılmalıdır.

Sitemizi kullandığınızda şunları okuyup anladığınızı kabul etmiş olursunuz: Çerez Politikası ve Gizlilik Politikası.
Licensed under cc by-sa 3.0 with attribution required.