Mengubah Profil Jaringan Windows dari "DomainAuthenticated" ke Publik

10

Saya memiliki domain yang bergabung dengan kotak Windows Server 2012 R2 yang memiliki perangkat lunak klien OpenVPN 2.3.13 diinstal di sana. Ketika koneksi VPN aktif, koneksi "Ethernet 2" (antarmuka TAP) ditempatkan ke dalam kategori Jaringan Domain di samping LAN NIC utama oleh NLA. Idealnya saya ingin dapat menetapkan antarmuka VPN ke kategori Publik. Saya sudah mencoba melalui PowerShell, tetapi mendapatkan kesalahan ini terus-menerus:

Tidak dapat mengatur NetworkCategory karena salah satu dari alasan berikut yang mungkin: tidak menjalankan PowerShell yang ditinggikan; NetworkCategory tidak dapat diubah dari 'DomainAuthenticated'; perubahan yang dilakukan pengguna terhadap NetworkCategory sedang dicegah karena pengaturan Kebijakan Grup 'Kebijakan Network List Manager'. Pada baris: 1 karakter: 1 + Set-NetConnectionProfile -InterfaceIndex 15 -NetworkCategory Public + ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ + CategoryInfo: PermissionDenied: (MSFT_NetConnect ... 72AADA665483} "): root / StandardCi ... nnectionProfile) [Set-NetConnectionProfile], CimException + FullyQualifiedErrorId: MI HASULT 2, Set-NetConnectionProfile

15 adalah nomor antarmuka "Ethernet 2"

Perlu dicatat, saya menjalankan perintah ini dalam sesi PowerShell yang ditinggikan dan saya telah mencoba semua kebijakan GPO yang tersedia tetapi kesalahannya terus-menerus terjadi. Sebagian besar informasi tentang NLA menyarankan beralih antara Swasta dan Publik harus bekerja, tetapi DomainAuthenicated tampaknya sedikit berbeda.

Metode registri tidak memiliki profil aktual untuk Ethernet 2, sehingga tidak dapat diubah dengan cara itu.

Apakah ada cara untuk memaksa adaptor TAP menjadi Publik? Koneksi OpenVPN sendiri tidak mengesampingkan gateway default NIC utama dan menggunakan subnet 10.0.0.0/8. Fakta yang saya gunakan route-nopulldan timpa rute mungkin menjadi bagian dari masalah dengan cara NLA mendeteksi jaringan.

Ethernet adapter Ethernet 2:

Connection-specific DNS Suffix  . :
Link-local IPv6 Address . . . . . : fe80::xxxx:xxxx:xxxx:xxxx%xx
IPv4 Address. . . . . . . . . . . : 10.xx.xx.xx
Subnet Mask . . . . . . . . . . . : 255.255.255.252
Default Gateway . . . . . . . . . :

Alasan utama untuk perlu menetapkan profil Publik adalah untuk aturan firewall, saya mengalami masalah mencegah aplikasi tertentu hanya menggunakan antarmuka VPN, mampu menulis aturan firewall berbasis profil jaringan tampaknya berfungsi paling baik dalam hal ini, saya sudah mencoba menulis aturan berdasarkan alamat IP lokal tetapi ini tidak berhasil.

James White
sumber
1
user initiated changes to NetworkCategory are being prevented due to the Group Policy setting 'Network List Manager Policies- Ini tampaknya menyiratkan bahwa perubahan yang dilakukan pengguna dicegah melalui Kebijakan Grup. Untuk memungkinkan perubahan yang dilakukan pengguna, maka GPO harus dikonfigurasi untuk mengizinkannya. Sudahkah Anda menemukan domain GP tempat ini dikonfigurasi?
joeqwerty
@ joeqwerty Saya telah melihat ke GPO secara lokal dan melalui domain di Computer Configuration / Windows Settings / Pengaturan Keamanan / Kebijakan Network List Manager, tidak ada pengaturan yang memungkinkan perubahan.
James White
Sepertinya akun Anda yang ditinggikan tidak memiliki hak untuk mengubah Kategori Jaringan. Anda mungkin perlu menambahkan ini, atau menghapus / melonggarkan batasannya. technet.microsoft.com/en-us/library/jj966256(v=ws.11).aspx . Tapi sepertinya Anda hanya bisa mengatur objek izin pengguna untuk jaringan 'tidak dikenal'.
Xalorous
Juga, When the VPN connection is active the "Ethernet 2" (TAP interface) connection is placed into the Domain Network category alongside the main LAN NIC by NLA. bukankah ini inti dari VPN? Jika Anda ingin meningkatkan keamanan bagi pengguna VPN, atur pengaturannya lebih tinggi di DomainAuthenticatedkategori, dan bahkan lebih tinggi di Public.
Xalorous
Saya sudah mencoba memodifikasi bahwa GPO masih tidak memungkinkan perubahan, baik secara lokal maupun melalui kebijakan domain dan menjalankannya gpupdate /forcesaya tidak dapat mengatasi kesalahan itu, apa pun pengaturan yang saya ubah.
James White

Jawaban:

1

Di bawah ini akan menggunakan WMI / CIM.

get-ciminstance -Namespace root/StandardCimv2 -ClassName MSFT_NetConnectionProfile -Filter "interfacealias='Ethernet 2'" | set-ciminstance -property @{NetworkCategory="1"}
Tim Haintz
sumber
Maaf, ada kesalahan yang sama. Ini adalah kesalahan jika Anda mencoba dan mengaturnya ke DomainAuthenticated.
Tim Haintz
Set-CimInstance: Tidak dapat mengatur Kategori Jaringan ke 'DomainAuthenticated'. Jenis NetworkCategory ini akan ditetapkan secara otomatis ketika dikonfirmasi ke jaringan domain. Pada baris: 1 karakter: 124 + ... lias = 'Ethernet 2' "| Set-CimInstance -Property @ {NetworkCategory = '2'} + ~~~~~~~~~~~~~~~~~ ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ + CategoryInfo: InvalidArgument: (MSFT_NetConnect ... 5A09504828DA} "): CimInstance) [Set -C imInstance], CimException + FullyQualifiedErrorId: MI HASIL 4, Microsoft.Manajemen.Infrastruktur.CimCmdlets.SetCimInstan ceCommand
Tim Haintz
Sayangnya, saya masih mendapatkan kesalahan yang sama sehubungan dengan kebijakan domain yang memblokir perubahan, karena saya menjalankan sebagai Admin PowerShell seperti sebelumnya. Dalam hal ini saya mencoba untuk memindahkan Ethernet 2 dari yang diatur ke DomainAuthenicated, tetapi sepertinya dalam kasus saya ini dipaksa dan tidak dapat diubah.
James White
@ Pandora seperti yang Anda sebutkan, tampaknya setelah Anda bergabung dengan suatu domain, NetworkCategory dikunci ke dalam DomainAuthenticated.
Tim Haintz
1
Saya telah menemukan artikel itu dalam pencarian saya juga. Namun dalam kebanyakan kasus, tampaknya kebalikan dari apa yang saya coba capai, beralih dari daripada ke DomainAuthenicated. Saya mungkin hanya harus menerima itu mungkin tidak mungkin.
James White
0

Menghapus alamat adaptor 'publik' dari daftar alamat mendengarkan server DNS Anda akan melakukan trik.

Edu Schol
sumber
0

Tinjau opsi ketiga "Menggunakan Firewall" di halaman ini: https://evansblog.thebarrs.info/2013/02/windows-server-force-your-network.html

Anda dapat mencegah profil jaringan DomainAuthenticated dengan menggunakan Windows Firewall untuk membuat aturan Outbound untuk memblokir layanan Windows "Kesadaran Lokasi Jaringan". Pastikan untuk menentukan IP Lokal dari adaptor VPN dalam aturan sehingga tidak mempengaruhi adaptor lain. Adaptor VPN sekarang harus diklasifikasikan sebagai profil jaringan "Publik".

pengguna474264
sumber