ปิดใช้งานตำแหน่งเครือข่ายเซิร์ฟเวอร์ Windows

16

ฉันไม่แน่ใจว่าคุณลักษณะนี้เรียกว่าอะไร แต่ใน Windows Server 2008 มีตำแหน่ง Vista สาธารณะ / ส่วนตัว / โดเมน สิ่งนี้เหมาะสมสำหรับแล็ปท็อปและไม่มีเลยสำหรับเซิร์ฟเวอร์

ปัญหาของฉันคือบางครั้งอะแดปเตอร์เครือข่ายบางคนตัดสินใจว่าตอนนี้พวกเขาอยู่ในเครือข่ายสาธารณะ สิ่งนี้จะเปิดใช้งานไฟร์วอลล์อย่างสมบูรณ์แม้สำหรับเครือข่าย "โดเมน" ดังนั้นผลกระทบสุทธิคือฉันรีบูตเครื่องบางเครื่องแล้วพวกเขาจะไม่กลับมาบนเครือข่ายจนกว่าเราจะได้ KVM และบอกว่าเครือข่ายนั้นเป็นส่วนตัว

คุณสมบัตินี้มีชื่อว่าอะไร? มีการตั้งค่า GP ที่ฉันสามารถใช้เพื่อปิดและทำให้เครือข่ายทั้งหมดเป็น "โดเมน" หรือไม่

แก้ไข: ขอบคุณนั่นคือ NLA ฉันพยายามปิดการใช้งานบริการบนเครื่องที่ไม่ใช่โดเมนและมันก็พลิกทุกอย่างสาธารณะ บนเครื่องโดเมนบริการรายการเครือข่ายปฏิเสธที่จะหยุด - ฉันจะลองใช้นโยบายกลุ่ม

windows  windows-server-2008  networking  firewall  group-policy 
MichaelGG
แหล่งที่มา
คุณมีทุกที่กับสิ่งนี้หรือไม่? การระบุแต่ละนิกไปยังสถานที่ด้วยตนเองน่าจะดี
เคป

คำตอบ:

13

เพิ่งพบปัญหาตรงนี้ เครือข่ายที่ไม่ระบุจะถูกตั้งค่าเป็นประเภท "สาธารณะ" โดยค่าเริ่มต้น นี่เป็นเรื่องที่น่าอึดอัดใจเมื่อคุณต้องการให้ Windows Firewall ทำงานบนเครือข่ายสาธารณะ แต่ไม่ใช่ส่วนตัว - และเครือข่ายภายในของคุณจะเป็น "ไม่ปรากฏ"

เครือข่าย "ไม่ระบุ" ใน Windows Server 2008 คืออะไร

บริการรายการเครือข่าย (netprofm) ทำงานร่วมกับบริการการรับรู้ตำแหน่งเครือข่าย (nlasvc) เพื่อระบุเครือข่ายและค้นหาการตั้งค่าที่เกี่ยวข้องที่บันทึกไว้สำหรับเครือข่าย (ถ้ามี) บริการ NLA จะใช้เกตเวย์เริ่มต้นหรือ SSID เพื่อระบุเครือข่ายดังนั้นหาก NIC ไม่มีทั้งเกตเวย์เริ่มต้นหรือ SSID ที่เกี่ยวข้อง NLA จะตรวจสอบว่าเครือข่ายนั้นไม่ได้ระบุ

อย่างไรก็ตามคุณสามารถเปลี่ยนค่าเริ่มต้น - เพื่อให้เครือข่ายที่เรียกว่า "ไม่ปรากฏชื่อ" จะถูกเปลี่ยนเป็นสิ่งอื่นที่ไม่ใช่สาธารณะ:

  1. เปิดเครื่องมือการดูแลระบบ -> นโยบายความปลอดภัยท้องถิ่น

  2. ไฮไลต์รายการ "นโยบายรายการผู้จัดการเครือข่าย" จากนั้นดับเบิลคลิกที่ "เครือข่ายที่ไม่ปรากฏ" บนแผงด้านขวา

  3. ตั้งค่า "ประเภทสถานที่ตั้ง" เป็น "ส่วนตัว" หรือ "สาธารณะ"

ภาพหน้าจอของการเปลี่ยนแปลงที่เกิดขึ้นใน Windows 2012 Server

ทำงานให้ฉัน!

Jeff Atwood
แหล่งที่มา
ใช้งานได้เว้นแต่คุณจะมีการเชื่อมต่อหลายอย่างที่ไม่ได้ระบุและต้องการให้มีการตั้งค่าตำแหน่งที่แตกต่างกัน
quentin-starin
นี่ควรเป็นคำตอบที่ยอมรับได้ จากประสบการณ์ของฉันไม่เพียงพอที่จะปิดใช้งานบริการ NLA การดำเนินการนี้ (การตั้งค่าเครือข่ายที่ไม่ระบุชื่อเป็นค่าเริ่มต้นเป็นส่วนตัว) มีความน่าเชื่อถือมากกว่าเนื่องจากบางครั้งการอัปเดตซอฟต์แวร์และ / หรือการเปลี่ยนแปลงอื่น ๆ อาจทำให้บริการดังกล่าวเปิดใช้งานอีกครั้ง ดังนั้นฉันจึงทำทั้งสำหรับเซิร์ฟเวอร์ Windows และเดสก์ท็อปทั้งหมดของฉันเนื่องจากพฤติกรรมการตรวจจับอัตโนมัตินี้อาจเป็นสิ่งที่ไม่พึงปรารถนา การเปลี่ยนแปลงเล็กน้อยในเครือข่าย (การมอบหมาย VLAN, จุดเชื่อมต่อใหม่ที่เพิ่มเข้ามา ฯลฯ ) สามารถก่อให้เกิดผลบวกปลอมและจากนั้น Windows ก็ตัดสินใจกักกันตัวเอง
quickthyme
@qes - จริงยกเว้นปกติแล้วกรณีนี้จะไม่เกิดกับเซิร์ฟเวอร์ ในกรณีที่เซิร์ฟเวอร์ตัดสินใจไม่ถูกต้อง (ในทันที) ว่าเครือข่ายมีการเปลี่ยนแปลงโดยปกติแบรนด์ดังกล่าวจะไม่ระบุชื่อเครือข่าย "ใหม่" จนกว่าผู้ใช้จะบอกว่าเป็นเครือข่ายประเภทใด โดยค่าเริ่มต้นจะไม่ปรากฏชื่อถือเป็นสาธารณะและดังนั้นเซิร์ฟเวอร์จะไม่สามารถเข้าถึงได้ซึ่งมักจะต้องมีการเข้าถึงทางกายภาพเพื่อซ่อมแซม วิธีการเฉพาะนี้ไม่ได้ป้องกันระบบจากการระบุเครือข่ายที่ไม่ถูกต้อง แต่เป็นการบังคับให้ Windows เชื่อถือได้โดยไม่คำนึงถึง
quickthyme
ฉันต้องติดตั้งอะแดปเตอร์ใหม่เพื่อให้ใช้งานได้
Wumms
5

บริการคุณ meantion เรียกว่า"เครือข่ายรับรู้ที่ตั้ง" หรือสนช มันเป็นตัวกำหนดประเภทของการเชื่อมต่อที่คุณมีและทำให้ข้อมูลเฉพาะการเชื่อมต่อสามารถใช้ได้กับแอพพลิเคชั่นหรือบริการอื่น ๆ ไฟร์วอลล์ขั้นสูงใน Windows Server 2008 ใช้ข้อมูล NLA เพื่อใช้การตั้งค่าไฟร์วอลล์เฉพาะ

เป็นบริการ Windows ดังนั้นคุณจึงสามารถปิดใช้งานบริการได้

splattne
แหล่งที่มา
ฉันปิดใช้งานบริการจากนั้นจะตั้งค่าทุกอย่างเป็นสาธารณะ Arrg
MichaelGG
นี่ไม่ใช่วิธีที่ดีที่สุดในการแก้ไขปัญหานี้เนื่องจากบริการรายการเครือข่ายขึ้นอยู่กับการรับรู้ตำแหน่งเครือข่าย แต่ฉันคิดว่าคำตอบของ Jeff Atwood นั้นดีกว่าเพราะมันช่วยให้คุณแก้ไขประเภทของเครือข่ายแทนการระงับการทำงาน
quickthyme
4

มีปัญหาที่แม่นยำเหมือนกัน; เซิร์ฟเวอร์ Windows 2012 สองตัวที่บางครั้งจะเคืองใจและตัดสินใจว่า NIC เพียงตัวเดียวของพวกเขาคืออินเทอร์เฟซ "สาธารณะ" แทนที่จะเป็น "โดเมน" อินเทอร์เฟซ

ฉันได้พบกับโพสต์ที่เป็นประโยชน์ซึ่งสรุปแล้วเพียงแค่บอกว่าจะเริ่มบริการ "การรับรู้ตำแหน่งเครือข่าย" อีกครั้งและดูว่ามันช่วยแก้ไขปัญหาได้หรือไม่ หากเป็นเช่นนั้นการป้องกันไม่ให้เกิดปัญหาซ้ำเพียงเปลี่ยนประเภทการเริ่มต้นจาก "อัตโนมัติ" เป็น "อัตโนมัติ (เริ่มล่าช้า)"

DrSwordopolis
แหล่งที่มา
3

ฉันไม่เชื่อว่ามีนโยบายกลุ่มที่จะช่วยให้คุณกำหนดโปรไฟล์เครือข่าย (ขึ้นอยู่กับการรับรู้ตำแหน่งเครือข่ายข้อมูลเพิ่มเติมที่นี่: http://msdn.microsoft.com/en-us/library/ms739931(VS) .85) .aspx )

อย่างไรก็ตามคุณสามารถใช้นโยบายกลุ่มกับเซิร์ฟเวอร์เพื่อกำหนดลักษณะการทำงานของไฟร์วอลล์ขั้นสูง (ปิดการใช้งานซึ่งจะอนุญาตการรับส่งข้อมูลจากเวิร์กสเตชันการดูแลระบบของคุณ ฯลฯ ) คำแนะนำในการดำเนินการเกี่ยวกับการขายที่นี่: http://technet.microsoft.com/en-us/library/cc732400.aspx

ฌอนเอิร์ป
แหล่งที่มา
1

หากคุณต้องการปิดใช้งานบริการคุณสามารถสร้างนโยบายกลุ่มแบบกำหนดเองที่ปิดใช้งานบริการ NLA

เนื่องจากฉันเป็นผู้ใช้ใหม่ฉันไม่สามารถให้ลิงค์กับคุณดังนั้นเพียงแค่ค้นหาใน google คำเหล่านี้ "ปิดการใช้งานบริการจากนโยบายกลุ่ม" ผลลัพธ์แรกคือสิ่งที่คุณกำลังมองหา

โดยการใช้ไซต์ของเรา หมายความว่าคุณได้อ่านและทำความเข้าใจนโยบายคุกกี้และนโยบายความเป็นส่วนตัวของเราแล้ว
Licensed under cc by-sa 3.0 with attribution required.