การเปลี่ยนโปรไฟล์เครือข่าย Windows จาก“ DomainAuthenticated” เป็นสาธารณะ

ฉันมีโดเมนเข้าร่วมกล่อง Windows Server 2012 R2 ที่มีซอฟต์แวร์ไคลเอ็นต์ OpenVPN 2.3.13 ติดตั้งอยู่ เมื่อการเชื่อมต่อ VPN เปิดใช้งานการเชื่อมต่อ "Ethernet 2" (อินเทอร์เฟซ TAP) จะถูกวางไว้ในหมวดหมู่โดเมนเครือข่ายพร้อมกับ LAN NIC หลักโดย NLA นึกคิดฉันต้องการที่จะสามารถกำหนดอินเทอร์เฟซ VPN ให้กับหมวดหมู่สาธารณะ ฉันพยายามผ่าน PowerShell แต่ได้รับข้อผิดพลาดนี้อย่างต่อเนื่อง:

ไม่สามารถตั้งค่า NetworkCategory ได้เนื่องจากสาเหตุข้อใดข้อหนึ่งต่อไปนี้: ไม่เรียกใช้ PowerShell แบบยกระดับ NetworkCategory ไม่สามารถเปลี่ยนจาก 'DomainAuthenticated'; มีการป้องกันการเปลี่ยนแปลงที่เกิดจากผู้ใช้ของ NetworkCategory เนื่องจากการตั้งค่านโยบายกลุ่ม 'นโยบายตัวจัดการรายการเครือข่าย' ที่บรรทัด: 1 ถ่าน: 1 + ชุด - NetConnectionProfile -InterfaceIndex 15 -NetworkCategory สาธารณะ + ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ + CategoryInfo: การอนุญาตถูกปฏิเสธ: (MSFT_NetConnect ... 72AADA665483} "): root / StandardCi ... nnectionProfile) [Set-NetConnectionProfile], CimException + FullyQualifiedErrorId: MI RESULT 2, Set-NetConnectionProfile

15 คือหมายเลขอินเตอร์เฟสของ "Ethernet 2"

มันน่าสังเกตว่าฉันกำลังรันคำสั่งนี้ในเซสชัน PowerShell ที่ยกระดับขึ้นและฉันได้ลองใช้นโยบาย GPO ทั้งหมดที่มีอยู่ แต่ข้อผิดพลาดเกิดขึ้นตลอดเวลา ข้อมูลส่วนใหญ่เกี่ยวกับ NLA แนะนำให้สลับระหว่างส่วนตัวและสาธารณะควรใช้งานได้ แต่ DomainAuthenicated ดูเหมือนจะแตกต่างกันเล็กน้อย

วิธีการรีจิสตรีไม่มีโพรไฟล์จริงสำหรับอีเทอร์เน็ต 2 ดังนั้นจึงไม่สามารถเปลี่ยนแปลงได้เช่นกัน

มีการบังคับให้อะแดปเตอร์ TAP เป็นสาธารณะหรือไม่ การเชื่อมต่อ OpenVPN ไม่ได้แทนที่เกตเวย์เริ่มต้นของ NIC หลักและใช้เครือข่ายย่อย 10.0.0.0/8 ความจริงที่ฉันใช้route-nopullและแทนที่เส้นทางอาจเป็นส่วนหนึ่งของปัญหาด้วยวิธีที่ NLA ตรวจพบเครือข่าย

Ethernet adapter Ethernet 2:

Connection-specific DNS Suffix  . :
Link-local IPv6 Address . . . . . : fe80::xxxx:xxxx:xxxx:xxxx%xx
IPv4 Address. . . . . . . . . . . : 10.xx.xx.xx
Subnet Mask . . . . . . . . . . . : 255.255.255.252
Default Gateway . . . . . . . . . :

เหตุผลหลักที่ต้องกำหนดโปรไฟล์สาธารณะสำหรับกฎไฟร์วอลล์ฉันมีปัญหาในการป้องกันไม่ให้แอปพลิเคชันบางอย่างใช้เฉพาะอินเตอร์เฟส VPN การเขียนกฎไฟร์วอลล์ตามโปรไฟล์เครือข่ายดูเหมือนว่าจะทำงานได้ดีที่สุดในกรณีนี้ฉันได้ลองแล้ว การเขียนกฎตามที่อยู่ IP ในเครื่อง แต่ไม่สามารถใช้งานได้

— James White
แหล่งที่มา

user initiated changes to NetworkCategory are being prevented due to the Group Policy setting 'Network List Manager Policies

- สิ่งนี้ดูเหมือนจะบอกเป็นนัยว่าการเปลี่ยนแปลงที่เริ่มโดยผู้ใช้นั้นได้รับการป้องกันผ่านนโยบายกลุ่ม เพื่อให้การเปลี่ยนแปลงเริ่มต้นโดยผู้ใช้ GPO จำเป็นต้องได้รับการกำหนดค่าให้อนุญาต คุณพบโดเมน GP ที่กำหนดค่าไว้หรือไม่

— joeqwerty

@joeqwerty ฉันได้ดู GPO ในพื้นที่และผ่านโดเมนที่การตั้งค่าคอมพิวเตอร์ / การตั้งค่า Windows / การตั้งค่าความปลอดภัย / นโยบายตัวจัดการรายการเครือข่ายไม่มีการตั้งค่าใดที่อนุญาตให้มีการเปลี่ยนแปลง

— James White

ดูเหมือนว่าบัญชีที่ยกระดับของคุณไม่มีสิทธิ์เปลี่ยนประเภท NetworkCategory คุณอาจต้องเพิ่มสิ่งนี้หรือลบ / ผ่อนคลายข้อ จำกัด technet.microsoft.com/en-us/library/jj966256(v=ws.11).aspx แต่ดูเหมือนว่าคุณสามารถตั้งค่าวัตถุการอนุญาตผู้ใช้สำหรับเครือข่าย 'ไม่ปรากฏหลักฐาน' เท่านั้น

— Xalorous

นอกจากนี้

When the VPN connection is active the "Ethernet 2" (TAP interface) connection is placed into the Domain Network category alongside the main LAN NIC by NLA.

นี่ไม่ใช่จุดรวมของ VPN ใช่ไหม หากคุณต้องการที่จะเพิ่มการรักษาความปลอดภัยสำหรับผู้ใช้ VPN, การตั้งค่าของพวกเขาที่สูงขึ้นในหมวดหมู่และสูงขึ้นในDomainAuthenticated Public

— Xalorous

ฉันพยายามแก้ไขว่า GPO นั้นไม่อนุญาตให้ทำการเปลี่ยนแปลงทั้งภายในและผ่านนโยบายโดเมนและการเรียกใช้gpupdate /forceฉันไม่สามารถแก้ไขข้อผิดพลาดนั้นได้ไม่ว่าจะเปลี่ยนการตั้งค่าแบบใดก็ตาม

— James White

คำตอบ:

ด้านล่างจะใช้ WMI / CIM

get-ciminstance -Namespace root/StandardCimv2 -ClassName MSFT_NetConnectionProfile -Filter "interfacealias='Ethernet 2'" | set-ciminstance -property @{NetworkCategory="1"}

— ทิม Haintz
แหล่งที่มา

ขออภัยมีข้อผิดพลาดเดียวกัน นี่เป็นข้อผิดพลาดหากคุณลองและตั้งเป็น DomainAuthenticated

— ทิม Haintz

Set-CimInstance: ไม่สามารถตั้งค่า NetworkCategory เป็น 'DomainAuthenticated' ประเภทเครือข่ายประเภทนี้จะถูกตั้งค่าโดยอัตโนมัติเมื่อรับรองความถูกต้องกับเครือข่ายโดเมน ที่บรรทัด: 1 ตัวอักษร: 124 + ... lias = 'Ethernet 2' "| Set-CimInstance -Property @ {NetworkCategory = '2'} + ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ + CategoryInfo: InvalidArgument: (MSFT_NetConnect ... 5A09504828DA} "): CimInstance) [ตั้งค่า -C imInstance], CimException + FullyQualifiedErrorId: MI RESULT 4, Microsoft.Management.Infrastructure.CimCmdlets.SetCimInstan ceCommand

— ทิม Haintz

น่าเสียดายที่ฉันยังคงได้รับข้อผิดพลาดเดียวกันเกี่ยวกับนโยบายโดเมนที่บล็อกการเปลี่ยนแปลงเนื่องจากฉันใช้งานเป็นผู้ดูแลระบบ PowerShell เหมือน แต่ก่อน ในกรณีนี้ฉันพยายามย้าย Ethernet 2 ออกจากการตั้งค่าเป็น DomainAuthenicated แต่ดูเหมือนว่าในกรณีของฉันสิ่งนี้จะถูกบังคับและไม่สามารถเปลี่ยนแปลงได้

— James White

@Pandorica ตามที่ระบุไว้ปรากฏว่าเมื่อคุณเข้าร่วมโดเมนแล้ว NetworkCategory จะถูกล็อคใน DomainAuthenticated

— ทิม Haintz

ฉันเจอบทความนั้นในการค้นหาด้วย ในกรณีส่วนใหญ่ดูเหมือนว่าจะเป็นสิ่งที่ตรงกันข้ามกับสิ่งที่ฉันพยายามที่จะประสบความสำเร็จเปลี่ยนจากแทนที่จะเป็น DomainAuthenicated ฉันอาจต้องยอมรับมันอาจเป็นไปไม่ได้

— James White

การลบที่อยู่ของอะแดปเตอร์ 'สาธารณะ' ออกจากรายการฟังที่อยู่ของเซิร์ฟเวอร์ DNS ของคุณจะเป็นการหลอกลวง

— Edu Schol
แหล่งที่มา

ตรวจสอบตัวเลือกที่สาม "การใช้ไฟร์วอลล์" ในหน้านี้: https://evansblog.thebarrs.info/2013/02/windows-server-force-your-network.html

คุณสามารถป้องกันโปรไฟล์เครือข่าย DomainAuthenticated โดยใช้ Windows Firewall เพื่อสร้างกฎขาออกเพื่อบล็อกบริการ Windows "Network Awareness" ตรวจสอบให้แน่ใจว่าได้ระบุ Local IP ของอะแดปเตอร์ VPN ในกฎเพื่อไม่ให้มีผลกับอะแดปเตอร์อื่น อะแดปเตอร์ VPN ควรจัดเป็นโปรไฟล์เครือข่าย "สาธารณะ"

— user474264
แหล่งที่มา