Zmiana profilu systemu Windows z „DomainAuthenticated” na Public


10

Mam domenę przyłączoną do systemu Windows Server 2012 R2, na którym jest zainstalowane oprogramowanie klienckie OpenVPN 2.3.13. Gdy połączenie VPN jest aktywne, połączenie „Ethernet 2” (interfejs TAP) jest umieszczane w kategorii Network Domain obok głównej karty sieciowej LAN przez NLA. Idealnie chciałbym móc przypisać interfejs VPN do kategorii Public. Próbowałem za pomocą programu PowerShell, ale ciągle pojawia się ten błąd:

Nie można ustawić NetworkCategory z jednego z następujących możliwych powodów: nie uruchomiono programu PowerShell z podwyższonym poziomem uprawnień; NetworkCategory nie można zmienić z „DomainAuthenticated”; inicjowane przez użytkownika zmiany w NetworkCategory są zapobiegane z powodu ustawienia zasad grupy „Network List Manager Policies”. W wierszu: 1 znak: 1 + Set-NetConnectionProfile -InterfaceIndex 15 -NetworkCategory Publiczny + ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ + CategoryInfo: PermissionDenied: (MSFT_NetConnect ... 72AADA665483} "): root / StandardCi ... nnectionProfile) [Set-NetConnectionProfile], CimException + FullyQualifiedErrorId: MI RESULT 2, Set-NetConnectionProfile

15 to numer interfejsu „Ethernet 2”

Warto zauważyć, że uruchamiam to polecenie w podwyższonej sesji PowerShell i próbowałem wszystkich dostępnych zasad GPO, ale błąd jest ciągle zgłaszany. Większość informacji o NLA sugeruje, że przełączanie między prywatnym a publicznym powinno działać, ale DomainAuthenicated wydaje się nieco inny.

Metoda rejestru nie ma rzeczywistego profilu dla Ethernetu 2, więc też nie można go zmienić w ten sposób.

Czy w ogóle istnieje wymuszenie, aby adapter TAP był publiczny? Samo połączenie OpenVPN nie zastępuje domyślnej bramy głównej karty sieciowej i korzysta z podsieci 10.0.0.0/8. Fakt, że używam route-nopulli zastępuję trasy, może być częścią problemu ze sposobem, w jaki NLA wykrywa sieci.

Ethernet adapter Ethernet 2:

Connection-specific DNS Suffix  . :
Link-local IPv6 Address . . . . . : fe80::xxxx:xxxx:xxxx:xxxx%xx
IPv4 Address. . . . . . . . . . . : 10.xx.xx.xx
Subnet Mask . . . . . . . . . . . : 255.255.255.252
Default Gateway . . . . . . . . . :

Głównym powodem konieczności przypisania profilu publicznego są reguły zapory, mam problem z uniemożliwieniem niektórym aplikacjom korzystania tylko z interfejsu VPN, ponieważ pisanie reguł zapory opartych na profilu sieci wydaje się działać najlepiej w tym przypadku, próbowałem pisanie reguł na podstawie lokalnego adresu IP, ale to nie działało.


1
user initiated changes to NetworkCategory are being prevented due to the Group Policy setting 'Network List Manager Policies- Wydaje się to sugerować, że zmiany zainicjowane przez użytkownika są zapobiegane przez zasady grupy. Aby umożliwić zmiany inicjowane przez użytkownika, należy skonfigurować GPO, aby na to zezwalać. Czy zlokalizowałeś GP domeny, w której jest to skonfigurowane?
joeqwerty,

@ joeqwerty Zaglądałem do obiektu zasad grupy lokalnie i za pośrednictwem domeny w obszarze Konfiguracja komputera / Ustawienia systemu Windows / Ustawienia zabezpieczeń / Zasady menedżera listy sieci, żadne z ustawień nie zezwala na zmianę.
James White

Wygląda na to, że Twoje podwyższone konto nie ma prawa do zmiany NetworkCategory. Może być konieczne dodanie tego lub usunięcie / złagodzenie ograniczenia. technet.microsoft.com/en-us/library/jj966256(v=ws.11).aspx . Ale wygląda na to, że możesz ustawić tylko obiekty uprawnień użytkownika dla „niezidentyfikowanych” sieci.
Xalorous,

Ponadto, When the VPN connection is active the "Ethernet 2" (TAP interface) connection is placed into the Domain Network category alongside the main LAN NIC by NLA. czy to nie jest cały punkt VPN? Jeśli chcesz zwiększyć bezpieczeństwo użytkowników VPN, ustaw ich ustawienia wyżej w DomainAuthenticatedkategorii, a jeszcze wyżej w Public.
Xalorous,

Próbowałem zmodyfikować ten obiekt zasad grupy, ale nadal nie zezwala na zmianę, zarówno lokalnie, jak i za pośrednictwem zasad domeny, a działający. gpupdate /forceNie mogę obejść tego błędu bez względu na to, jakie ustawienia zmienię.
James White

Odpowiedzi:


1

Poniżej użyje WMI / CIM.

get-ciminstance -Namespace root/StandardCimv2 -ClassName MSFT_NetConnectionProfile -Filter "interfacealias='Ethernet 2'" | set-ciminstance -property @{NetworkCategory="1"}

Przepraszamy, ten sam błąd. To jest błąd, jeśli spróbujesz ustawić go na DomainAuthenticated.
Tim Haintz

Set-CimInstance: Nie można ustawić NetworkCategory na „DomainAuthenticated”. Ten typ NetworkCategory zostanie ustawiony automatycznie po uwierzytelnieniu w sieci domeny. W wierszu: 1 znak: 124 + ... lias = 'Ethernet 2' "| Set-CimInstance -Property @ {NetworkCategory = '2'} + ~~~~~~~~~~~~~~~~~ ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ + CategoryInfo: InvalidArgument: (MSFT_NetConnect ... 5A09504828DA} "): CimInstance) [Zestaw -C imInstance], CimException + FullyQualifiedErrorId: MI RESULT 4, Microsoft.Management.Infrastructure.CimCmdlets.SetCimInstan ceCommand
Tim Haintz

Niestety nadal pojawia się ten sam błąd w odniesieniu do zasad domeny blokujących zmianę, ponieważ działam jako administrator programu PowerShell jak poprzednio. W tym przypadku próbuję przenieść Ethernet 2 z dala od ustawienia DomainAuthenicated, ale wygląda na to, że w moim przypadku jest to wymuszone i nie można go zmienić.
James White

@Pandorica, jak wspomniałeś, wygląda na to, że po dołączeniu do domeny NetworkCategory zostaje zablokowana w DomainAuthenticated.
Tim Haintz

1
Zetknąłem się również z tym artykułem podczas wyszukiwania. Jednak w większości przypadków wydaje się, że jest to odwrotność tego, co próbuję osiągnąć, przechodząc z zamiast na DomainAuthenicated. Być może będę musiał zaakceptować, że prawdopodobnie nie jest to możliwe.
James White

0

Usunięcie adresów „publicznego” adaptera z listy adresów nasłuchujących twojego serwera DNS załatwi sprawę.


0

Przejrzyj trzecią opcję „Korzystanie z zapory” na tej stronie: https://evansblog.thebarrs.info/2013/02/windows-server-force-your-network.html

Można zapobiec profilowi ​​sieciowemu DomainAuthentified za pomocą Zapory systemu Windows w celu utworzenia reguły wychodzącej w celu zablokowania usługi Windows „Rozpoznawanie lokalizacji sieciowej”. Upewnij się, że w regule podałeś Lokalny adres IP karty VPN, aby nie wpływał on na inne karty. Adapter VPN należy teraz zaklasyfikować jako profil sieci „Publiczny”.

Korzystając z naszej strony potwierdzasz, że przeczytałeś(-aś) i rozumiesz nasze zasady używania plików cookie i zasady ochrony prywatności.
Licensed under cc by-sa 3.0 with attribution required.