Ändern des Windows-Netzwerkprofils von "DomainAuthenticated" in "Public"

10

Ich habe eine Domäne mit Windows Server 2012 R2-Box, auf der die OpenVPN 2.3.13-Client-Software installiert ist. Wenn die VPN-Verbindung aktiv ist, wird die "Ethernet 2" -Verbindung (TAP-Schnittstelle) von NLA neben der Haupt-LAN-Netzwerkkarte in die Kategorie "Domänennetzwerk" eingeordnet. Idealerweise möchte ich die VPN-Schnittstelle der Kategorie Öffentlich zuordnen können. Ich habe es über PowerShell versucht, erhalte aber ständig diesen Fehler:

Die Netzwerkkategorie kann aus einem der folgenden möglichen Gründe nicht festgelegt werden: PowerShell wird nicht mit erhöhten Rechten ausgeführt. Die Netzwerkkategorie kann nicht von 'DomainAuthenticated' geändert werden. Vom Benutzer initiierte Änderungen an NetworkCategory werden aufgrund der Gruppenrichtlinieneinstellung 'Network List Manager-Richtlinien' verhindert. In Zeile: 1 Zeichen: 1 + Set-NetConnectionProfile -InterfaceIndex 15 -NetworkCategory Public + ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ + CategoryInfo: PermissionDenied: (MSFT_NetConnect ... 72AADA665483} "): root / StandardCi ... nnectionProfile) [Set-NetConnectionProfile], CimException + FullyQualifiedErrorId: MI RESULT 2, Set-NetConnectionProfile

15 ist die Schnittstellennummer von "Ethernet 2"

Es ist erwähnenswert, dass ich diesen Befehl in einer PowerShell-Sitzung mit erhöhten Rechten ausführe und alle verfügbaren Gruppenrichtlinienobjektrichtlinien ausprobiert habe, aber der Fehler wird ständig ausgelöst. Die meisten Informationen zu NLA schlagen vor, dass der Wechsel zwischen privat und öffentlich funktionieren sollte, aber DomainAuthenicated scheint ein bisschen anders zu sein.

Die Registrierungsmethode hat kein aktuelles Profil für Ethernet 2 und kann daher auch nicht auf diese Weise geändert werden.

Gibt es überhaupt eine Möglichkeit, den TAP-Adapter zur Veröffentlichung zu zwingen? Die OpenVPN-Verbindung selbst überschreibt das Standard-Gateway der Haupt-Netzwerkkarte nicht und verwendet das Subnetz 10.0.0.0/8. Die Tatsache, dass ich route-nopulldie Routen verwende und überschreibe, könnte Teil des Problems sein, wie NLA die Netzwerke erkennt.

Ethernet adapter Ethernet 2:

Connection-specific DNS Suffix  . :
Link-local IPv6 Address . . . . . : fe80::xxxx:xxxx:xxxx:xxxx%xx
IPv4 Address. . . . . . . . . . . : 10.xx.xx.xx
Subnet Mask . . . . . . . . . . . : 255.255.255.252
Default Gateway . . . . . . . . . :

Der Hauptgrund für die Zuweisung des öffentlichen Profils liegt in den Firewall-Regeln. Ich habe Probleme, zu verhindern, dass bestimmte Anwendungen nur die VPN-Schnittstelle verwenden. In diesem Fall scheint es am besten zu funktionieren, Netzwerkprofil-basierte Firewall-Regeln zu schreiben Schreiben von Regeln basierend auf der lokalen IP-Adresse, aber das hat nicht funktioniert.

windows windows-server-2012-r2 group-policy openvpn James White
quelle
1
user initiated changes to NetworkCategory are being prevented due to the Group Policy setting 'Network List Manager Policies- Dies scheint zu bedeuten, dass vom Benutzer initiierte Änderungen über Gruppenrichtlinien verhindert werden. Um vom Benutzer initiierte Änderungen zuzulassen, muss das Gruppenrichtlinienobjekt so konfiguriert werden, dass dies möglich ist. Haben Sie den Domänen-GP gefunden, in dem dies konfiguriert ist?
Joeqwerty
@joeqwerty Ich habe das Gruppenrichtlinienobjekt lokal und über die Domäne unter Computerkonfiguration / Windows-Einstellungen / Sicherheitseinstellungen / Richtlinien für den Netzwerklisten-Manager überprüft. Keine der Einstellungen erlaubt die Änderung.
James White
Es hört sich so an, als ob Ihrem erhöhten Konto das Recht fehlt, die Netzwerkkategorie zu ändern. Möglicherweise müssen Sie dies hinzufügen oder eine Einschränkung entfernen / lockern. technet.microsoft.com/en-us/library/jj966256(v=ws.11).aspx . Es hört sich jedoch so an, als könnten Sie die Benutzerberechtigungsobjekte nur für "nicht identifizierte" Netzwerke festlegen.
Xalorous
Auch When the VPN connection is active the "Ethernet 2" (TAP interface) connection is placed into the Domain Network category alongside the main LAN NIC by NLA. Ist das nicht der ganze Sinn von VPN? Wenn Sie die Sicherheit für VPN-Benutzer erhöhen möchten, legen Sie deren Einstellungen in der DomainAuthenticatedKategorie höher und in höher fest Public.
Xalorous
Ich habe versucht, dieses Gruppenrichtlinienobjekt so zu ändern, dass die Änderung sowohl lokal als auch über die Domänenrichtlinie noch nicht möglich ist. gpupdate /forceIch kann diesen Fehler nicht umgehen, unabhängig davon, welche Einstellungen ich ändere.
James White

Antworten:

1

Im Folgenden wird WMI / CIM verwendet.

get-ciminstance -Namespace root/StandardCimv2 -ClassName MSFT_NetConnectionProfile -Filter "interfacealias='Ethernet 2'" | set-ciminstance -property @{NetworkCategory="1"}
Tim Haintz
quelle
Entschuldigung, habe den gleichen Fehler. Dies ist der Fehler, wenn Sie versuchen, ihn auf DomainAuthenticated zu setzen.
Tim Haintz
Set-CimInstance: NetworkCategory kann nicht auf 'DomainAuthenticated' gesetzt werden. Dieser NetworkCategory-Typ wird automatisch festgelegt, wenn er bei einem Domänennetzwerk authentifiziert wird. In Zeile: 1 Zeichen: 124 + ... lias = 'Ethernet 2' "| Set-CimInstance -Property @ {NetworkCategory = '2'} + ~~~~~~~~~~~~~~~~~ +~ CategoryInfo: InvalidArgument: (MSFT_NetConnect ... 5A09504828DA} "): CimInstance) [Set -C imInstance], CimException + FullyQualifiedErrorId: MI RESULT 4, Microsoft.Management.Infrastructure.CimCmdlets.SetCimInstan ceCommand
Tim Haintz
Leider wird immer noch der gleiche Fehler in Bezug auf Domänenrichtlinien angezeigt, die die Änderung blockieren, da ich wie zuvor als PowerShell-Administrator ausgeführt werde. In diesem Fall versuche ich, Ethernet 2 nicht mehr auf DomainAuthenicated zu setzen, aber in meinem Fall scheint dies erzwungen zu sein und kann nicht geändert werden.
James White
@Pandorica Wie Sie bereits erwähnt haben, scheint NetworkCategory nach dem Beitritt zu einer Domain an DomainAuthenticated gebunden zu sein.
Tim Haintz
1
Ich bin auf diesen Artikel auch bei meinen Suchen gestoßen. In den meisten Fällen scheint es jedoch das Gegenteil von dem zu sein, was ich erreichen möchte, und nicht von DomainAuthenicated zu wechseln. Ich muss vielleicht einfach akzeptieren, dass es wahrscheinlich nicht möglich ist.
James White
0

Das Entfernen der Adressen des 'öffentlichen' Adapters aus der Liste der Abhöradressen Ihres DNS-Servers würde den Trick tun.

Edu Schol
quelle
0

Überprüfen Sie die dritte Option "Verwenden der Firewall" auf dieser Seite: https://evansblog.thebarrs.info/2013/02/windows-server-force-your-network.html

Sie können das DomainAuthenticated-Netzwerkprofil verhindern, indem Sie mithilfe der Windows-Firewall eine ausgehende Regel erstellen, um den Windows-Dienst "Network Location Awareness" zu blockieren. Stellen Sie sicher, dass Sie die lokale IP des VPN-Adapters in der Regel angeben, damit andere Adapter nicht betroffen sind. Der VPN-Adapter sollte jetzt als "öffentliches" Netzwerkprofil klassifiziert werden.

user474264
quelle