Ich habe eine Domäne mit Windows Server 2012 R2-Box, auf der die OpenVPN 2.3.13-Client-Software installiert ist. Wenn die VPN-Verbindung aktiv ist, wird die "Ethernet 2" -Verbindung (TAP-Schnittstelle) von NLA neben der Haupt-LAN-Netzwerkkarte in die Kategorie "Domänennetzwerk" eingeordnet. Idealerweise möchte ich die VPN-Schnittstelle der Kategorie Öffentlich zuordnen können. Ich habe es über PowerShell versucht, erhalte aber ständig diesen Fehler:
Die Netzwerkkategorie kann aus einem der folgenden möglichen Gründe nicht festgelegt werden: PowerShell wird nicht mit erhöhten Rechten ausgeführt. Die Netzwerkkategorie kann nicht von 'DomainAuthenticated' geändert werden. Vom Benutzer initiierte Änderungen an NetworkCategory werden aufgrund der Gruppenrichtlinieneinstellung 'Network List Manager-Richtlinien' verhindert. In Zeile: 1 Zeichen: 1 + Set-NetConnectionProfile -InterfaceIndex 15 -NetworkCategory Public + ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ + CategoryInfo: PermissionDenied: (MSFT_NetConnect ... 72AADA665483} "): root / StandardCi ... nnectionProfile) [Set-NetConnectionProfile], CimException + FullyQualifiedErrorId: MI RESULT 2, Set-NetConnectionProfile
15 ist die Schnittstellennummer von "Ethernet 2"
Es ist erwähnenswert, dass ich diesen Befehl in einer PowerShell-Sitzung mit erhöhten Rechten ausführe und alle verfügbaren Gruppenrichtlinienobjektrichtlinien ausprobiert habe, aber der Fehler wird ständig ausgelöst. Die meisten Informationen zu NLA schlagen vor, dass der Wechsel zwischen privat und öffentlich funktionieren sollte, aber DomainAuthenicated scheint ein bisschen anders zu sein.
Die Registrierungsmethode hat kein aktuelles Profil für Ethernet 2 und kann daher auch nicht auf diese Weise geändert werden.
Gibt es überhaupt eine Möglichkeit, den TAP-Adapter zur Veröffentlichung zu zwingen? Die OpenVPN-Verbindung selbst überschreibt das Standard-Gateway der Haupt-Netzwerkkarte nicht und verwendet das Subnetz 10.0.0.0/8. Die Tatsache, dass ich route-nopull
die Routen verwende und überschreibe, könnte Teil des Problems sein, wie NLA die Netzwerke erkennt.
Ethernet adapter Ethernet 2:
Connection-specific DNS Suffix . :
Link-local IPv6 Address . . . . . : fe80::xxxx:xxxx:xxxx:xxxx%xx
IPv4 Address. . . . . . . . . . . : 10.xx.xx.xx
Subnet Mask . . . . . . . . . . . : 255.255.255.252
Default Gateway . . . . . . . . . :
Der Hauptgrund für die Zuweisung des öffentlichen Profils liegt in den Firewall-Regeln. Ich habe Probleme, zu verhindern, dass bestimmte Anwendungen nur die VPN-Schnittstelle verwenden. In diesem Fall scheint es am besten zu funktionieren, Netzwerkprofil-basierte Firewall-Regeln zu schreiben Schreiben von Regeln basierend auf der lokalen IP-Adresse, aber das hat nicht funktioniert.
quelle
user initiated changes to NetworkCategory are being prevented due to the Group Policy setting 'Network List Manager Policies
- Dies scheint zu bedeuten, dass vom Benutzer initiierte Änderungen über Gruppenrichtlinien verhindert werden. Um vom Benutzer initiierte Änderungen zuzulassen, muss das Gruppenrichtlinienobjekt so konfiguriert werden, dass dies möglich ist. Haben Sie den Domänen-GP gefunden, in dem dies konfiguriert ist?When the VPN connection is active the "Ethernet 2" (TAP interface) connection is placed into the Domain Network category alongside the main LAN NIC by NLA.
Ist das nicht der ganze Sinn von VPN? Wenn Sie die Sicherheit für VPN-Benutzer erhöhen möchten, legen Sie deren Einstellungen in derDomainAuthenticated
Kategorie höher und in höher festPublic
.gpupdate /force
Ich kann diesen Fehler nicht umgehen, unabhängig davon, welche Einstellungen ich ändere.Antworten:
Im Folgenden wird WMI / CIM verwendet.
quelle
Das Entfernen der Adressen des 'öffentlichen' Adapters aus der Liste der Abhöradressen Ihres DNS-Servers würde den Trick tun.
quelle
Überprüfen Sie die dritte Option "Verwenden der Firewall" auf dieser Seite: https://evansblog.thebarrs.info/2013/02/windows-server-force-your-network.html
Sie können das DomainAuthenticated-Netzwerkprofil verhindern, indem Sie mithilfe der Windows-Firewall eine ausgehende Regel erstellen, um den Windows-Dienst "Network Location Awareness" zu blockieren. Stellen Sie sicher, dass Sie die lokale IP des VPN-Adapters in der Regel angeben, damit andere Adapter nicht betroffen sind. Der VPN-Adapter sollte jetzt als "öffentliches" Netzwerkprofil klassifiziert werden.
quelle