Изменение профиля сети Windows с «DomainAuthenticated» на общедоступный


10

У меня есть домен, присоединенный к Windows Server 2012 R2, на котором установлено клиентское программное обеспечение OpenVPN 2.3.13. Когда VPN-соединение активно, соединение «Ethernet 2» (интерфейс TAP) помещается NLA в категорию «Доменная сеть» рядом с основной сетевой картой LAN. В идеале я хочу иметь возможность назначить интерфейс VPN для категории Public. Я пробовал через PowerShell, но постоянно получаю эту ошибку:

Невозможно установить NetworkCategory по одной из следующих возможных причин: не запущен PowerShell с повышенными правами; Сетевая категория не может быть изменена с 'DomainAuthenticated'; Изменения, инициированные пользователем в NetworkCategory, предотвращаются из-за параметра групповой политики «Политики диспетчера списка сетей». В строке: 1 символ: 1 + Set-NetConnectionProfile -InterfaceIndex 15 -NetworkCategory Public + ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ + CategoryInfo: PermissionDenied: (MSFT_NetConnect ... 72AADA665483} "): root / StandardCi ... nnectionProfile) [Set-NetConnectionProfile], CimException + FullyQualifiedErrorId: MI RESULT 2, Set-NetConnectionProfile

15 - номер интерфейса «Ethernet 2»

Стоит отметить, что я запускаю эту команду в сеансе PowerShell с повышенными правами и перепробовал все доступные политики GPO, но постоянно выдается ошибка. Большая часть информации о NLA предполагает, что переключение между Private и Public должно работать, но DomainAuthenicated выглядит немного иначе.

Метод реестра не имеет фактического профиля для Ethernet 2, поэтому его нельзя изменить таким же образом.

Есть ли способ заставить адаптер TAP быть общедоступным? Само соединение OpenVPN не переопределяет шлюз по умолчанию основного сетевого адаптера и использует подсеть 10.0.0.0/8. Тот факт, что я использую route-nopullи переопределяю маршруты, может быть частью проблемы, связанной с тем, как NLA обнаруживает сети.

Ethernet adapter Ethernet 2:

Connection-specific DNS Suffix  . :
Link-local IPv6 Address . . . . . : fe80::xxxx:xxxx:xxxx:xxxx%xx
IPv4 Address. . . . . . . . . . . : 10.xx.xx.xx
Subnet Mask . . . . . . . . . . . : 255.255.255.252
Default Gateway . . . . . . . . . :

Основная причина необходимости назначения общего профиля - правила брандмауэра. У меня возникают проблемы с тем, чтобы некоторые приложения не могли использовать только интерфейс VPN, в этом случае лучше всего подходит возможность написания правил брандмауэра на основе сетевого профиля, я пробовал написание правил на основе локального IP-адреса, но это не сработало.


1
user initiated changes to NetworkCategory are being prevented due to the Group Policy setting 'Network List Manager Policies- Это может означать, что инициируемые пользователем изменения предотвращаются с помощью групповой политики. Чтобы разрешить инициируемые пользователем изменения, необходимо настроить GPO, чтобы разрешить это. Вы нашли домен GP, где это настроено?
Joeqwerty

@joeqwerty Я просматривал объект групповой политики локально и через домен в разделе «Конфигурация компьютера / Конфигурация Windows / Параметры безопасности / Политики диспетчера списка сетей», ни один из параметров не допускает изменения.
Джеймс Уайт

Похоже, в вашей учетной записи с повышенными правами отсутствует право на изменение категории NetworkCategory. Возможно, вам придется добавить это или снять / ослабить ограничение на него. technet.microsoft.com/en-us/library/jj966256(v=ws.11).aspx . Но, похоже, вы можете устанавливать объекты разрешений только для «неопознанных» сетей.
Ксалори

Кроме того, When the VPN connection is active the "Ethernet 2" (TAP interface) connection is placed into the Domain Network category alongside the main LAN NIC by NLA. разве это не весь смысл VPN? Если вы хотите повысить безопасность для пользователей VPN, установите их настройки выше в DomainAuthenticatedкатегории и еще выше в Public.
Ксалори

Я пытался изменить этот объект групповой политики, поскольку он не позволяет вносить изменения, как локально, так и посредством политики домена, и при запуске gpupdate /forceя не могу обойти эту ошибку, независимо от того, какие настройки я изменяю.
Джеймс Уайт

Ответы:


1

Ниже будет использоваться WMI / CIM.

get-ciminstance -Namespace root/StandardCimv2 -ClassName MSFT_NetConnectionProfile -Filter "interfacealias='Ethernet 2'" | set-ciminstance -property @{NetworkCategory="1"}

Извините, получил ту же ошибку. Это ошибка, если вы попытаетесь установить значение DomainAuthenticated.
Тим Хайнц

Set-CimInstance: невозможно установить для NetworkCategory значение DomainAuthenticated. Этот тип сетевой категории будет установлен автоматически при аутентификации в доменной сети. В строке: 1 символ: 124 + ... lias = 'Ethernet 2' "| Set-CimInstance -Property @ {NetworkCategory = '2'} + ~~~~~~~~~~~~~~~~~ ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ CategoryInfo: InvalidArgument: (MSFT_NetConnect ... 5A09504828DA} "): CimInstance) [Установить -C imInstance], CimException + FullyQualifiedErrorId: MI RESULT 4, Microsoft.Management.Infrastructure.CimCmdlets.SetCimInstan ceCommand
Тим Хайнц

К сожалению, я все еще получаю ту же ошибку в отношении политики домена, блокирующей изменение, так как я работаю в качестве администратора PowerShell, как и раньше. В этом случае я пытаюсь отодвинуть Ethernet 2 от настройки DomainAuthenicated, но в моем случае это принудительно и не может быть изменено.
Джеймс Уайт

@Pandorica, как вы упомянули, похоже, что после присоединения к домену NetworkCategory блокируется в DomainAuthenticated.
Тим Хайнц

1
Я тоже наткнулся на эту статью в своих поисках. В большинстве случаев, однако, кажется, что это обратное тому, чего я пытаюсь достичь, переключаясь с DomainAuthenicated. Возможно, мне просто придется принять это, вероятно, невозможно.
Джеймс Уайт

0

Удаление адресов «публичного» адаптера из списка адресов прослушивания вашего DNS-сервера поможет вам.


0

Просмотрите третий вариант «Использование брандмауэра» на этой странице: https://evansblog.thebarrs.info/2013/02/windows-server-force-your-network.html.

Вы можете предотвратить использование сетевого профиля DomainAuthenticated с помощью брандмауэра Windows, чтобы создать правило для исходящих сообщений, чтобы заблокировать службу Windows «Информация о расположении сети». Убедитесь, что в правиле указан локальный IP-адрес адаптера VPN, чтобы он не влиял на другие адаптеры. Адаптер VPN теперь следует классифицировать как «общедоступный» сетевой профиль.

Используя наш сайт, вы подтверждаете, что прочитали и поняли нашу Политику в отношении файлов cookie и Политику конфиденциальности.
Licensed under cc by-sa 3.0 with attribution required.