Modifica del profilo di rete di Windows da "DomainAuthenticated" a Public

10

Ho un dominio nella casella Windows Server 2012 R2 in cui è installato il software client OpenVPN 2.3.13. Quando la connessione VPN è attiva, la connessione "Ethernet 2" (interfaccia TAP) viene inserita nella categoria Rete di domini accanto alla scheda di rete principale LAN da NLA. Idealmente, voglio essere in grado di assegnare l'interfaccia VPN alla categoria pubblica. Ho provato tramite PowerShell, ma ottengo costantemente questo errore:

Impossibile impostare NetworkCategory a causa di uno dei seguenti motivi possibili: non eseguire PowerShell elevato; NetworkCategory non può essere modificato da "DomainAuthenticated"; le modifiche avviate dall'utente a NetworkCategory sono state impedite a causa dell'impostazione dei criteri di gruppo "Criteri gestore elenco reti". Alla riga: 1 carattere: 1 + Set-NetConnectionProfile -InterfaceIndex 15 -NetworkCategory Public + ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ + CategoryInfo: PermissionDenied: (MSFT_NetConnect ... 72AADA665483} "): root / StandardCi ... nnectionProfile) [Set-NetConnectionProfile], CimException + FullyQualifiedErrorId: MI RESULT 2, Set-NetConnectionProfile

15 è il numero di interfaccia di "Ethernet 2"

Vale la pena notare che sto eseguendo questo comando in una sessione di PowerShell elevata e ho provato tutti i criteri GPO disponibili ma l'errore viene costantemente generato. La maggior parte delle informazioni su NLA suggeriscono che il passaggio da privato a pubblico dovrebbe funzionare, ma DomainAuthenicated sembra un po 'diverso.

Il metodo di registro non ha un profilo effettivo per Ethernet 2, quindi non può essere modificato in questo modo.

Esiste un modo per forzare l'adattatore TAP a essere pubblico? La stessa connessione OpenVPN non sovrascrive il gateway predefinito della scheda NIC principale e utilizza la sottorete 10.0.0.0/8. Il fatto che io utilizzi route-nopulle ignori i percorsi potrebbe essere parte del problema con il modo in cui NLA rileva le reti.

Ethernet adapter Ethernet 2:

Connection-specific DNS Suffix  . :
Link-local IPv6 Address . . . . . : fe80::xxxx:xxxx:xxxx:xxxx%xx
IPv4 Address. . . . . . . . . . . : 10.xx.xx.xx
Subnet Mask . . . . . . . . . . . : 255.255.255.252
Default Gateway . . . . . . . . . :

Il motivo principale per cui è necessario assegnare il profilo pubblico è per le regole del firewall, sto avendo problemi a impedire ad alcune applicazioni di utilizzare solo l'interfaccia VPN, essere in grado di scrivere regole del firewall basate sul profilo di rete sembra funzionare meglio in questo caso, ho provato scrivere regole basate sull'indirizzo IP locale ma questo non ha funzionato.

windows  windows-server-2012-r2  group-policy  openvpn 
James White
fonte
1
user initiated changes to NetworkCategory are being prevented due to the Group Policy setting 'Network List Manager Policies- Ciò sembrerebbe implicare che le modifiche avviate dall'utente siano evitate tramite Criteri di gruppo. Per consentire le modifiche avviate dall'utente, è necessario configurare l'oggetto Criteri di gruppo per consentirlo. Hai individuato il GP di dominio in cui è configurato?
joeqwerty,
@joeqwerty Ho esaminato l'oggetto Criteri di gruppo localmente e tramite dominio in Configurazione computer / Impostazioni di Windows / Impostazioni di sicurezza / Criteri di Gestione elenco reti, nessuna delle impostazioni consente la modifica.
James White,
Sembra che al tuo account elevato manchi il diritto di cambiare NetworkCategory. Potrebbe essere necessario aggiungere questo o rimuovere / allentare una limitazione su di esso. technet.microsoft.com/en-us/library/jj966256(v=ws.11).aspx . Ma sembra che sia possibile impostare solo gli oggetti di autorizzazione utente per le reti "non identificate".
Xalorous,
Inoltre, When the VPN connection is active the "Ethernet 2" (TAP interface) connection is placed into the Domain Network category alongside the main LAN NIC by NLA. non è questo il punto della VPN? Se desideri aumentare la sicurezza per gli utenti VPN, imposta le loro impostazioni più in alto nella DomainAuthenticatedcategoria e anche più in Public.
Xalorous,
Ho provato a modificare l'oggetto Criteri di gruppo non consente ancora la modifica, sia localmente che tramite i criteri di dominio e in esecuzione gpupdate /forceNon riesco a ovviare a questo errore, indipendentemente dalle impostazioni che modifico.
James White,

Risposte:

1

Quanto segue utilizzerà WMI / CIM.

get-ciminstance -Namespace root/StandardCimv2 -ClassName MSFT_NetConnectionProfile -Filter "interfacealias='Ethernet 2'" | set-ciminstance -property @{NetworkCategory="1"}
Tim Haintz
fonte
Scusa, ho avuto lo stesso errore. Questo è l'errore se si tenta di impostarlo su DomainAuthenticated.
Tim Haintz,
Set-CimInstance: impossibile impostare NetworkCategory su 'DomainAuthenticated'. Questo tipo di NetworkCategory verrà impostato automaticamente quando autenticato su una rete di dominio. Alla riga: 1 carattere: 124 + ... lias = 'Ethernet 2' "| Set-CimInstance -Property @ {NetworkCategory = '2'} + ~~~~~~~~~~~~~~~~~ ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ + CategoryInfo: InvalidArgument: (MSFT_NetConnect ... 5A09504828DA} "): CimInstance) [Set -C imInstance], CimException + FullyQualifiedErrorId: MI RESULT 4, Microsoft.Management.Infrastructure.CimCmdlets.SetCimInstan ceCommand
Tim Haintz
Sfortunatamente, continuo a ricevere lo stesso errore per quanto riguarda i criteri di dominio che bloccano la modifica, poiché sto eseguendo come amministratore PowerShell come prima. In questo caso sto cercando di spostare Ethernet 2 lontano dall'impostazione su DomainAuthenicated, ma nel mio caso sembra che questo sia forzato e non possa essere modificato.
James White,
@Pandorica come hai detto, sembra che una volta entrato in un dominio, NetworkCategory sia bloccato in DomainAuthenticated.
Tim Haintz,
1
Ho trovato quell'articolo anche nelle mie ricerche. Nella maggior parte dei casi, tuttavia, sembra essere il contrario di ciò che sto cercando di ottenere, passando da piuttosto che a DomainAuthenicated. Potrei semplicemente accettare che non sia possibile.
James White,
0

Rimuovere gli indirizzi dell'adattatore "pubblico" dall'elenco degli indirizzi di ascolto del tuo server DNS farebbe il trucco.

Edu Schol
fonte
0

Esamina la terza opzione "Utilizzo del firewall" in questa pagina: https://evansblog.thebarrs.info/2013/02/windows-server-force-your-network.html

È possibile impedire il profilo di rete DomainAuthenticated utilizzando Windows Firewall per creare una regola in uscita per bloccare il servizio Windows "Conoscenza della posizione della rete". Assicurati di specificare l'IP locale dell'adattatore VPN nella regola in modo che non influisca su altri adattatori. L'adattatore VPN ora dovrebbe essere classificato come profilo di rete "Pubblico".

user474264
fonte
Utilizzando il nostro sito, riconosci di aver letto e compreso le nostre Informativa sui cookie e Informativa sulla privacy.
Licensed under cc by-sa 3.0 with attribution required.