Cambiar el perfil de red de Windows de "Dominio autenticado" a Público

Tengo un dominio unido a Windows Server 2012 R2 box que tiene instalado el software de cliente OpenVPN 2.3.13. Cuando la conexión VPN está activa, la conexión "Ethernet 2" (interfaz TAP) se coloca en la categoría Red de dominio junto con la NIC LAN principal por NLA. Idealmente, quiero poder asignar la interfaz VPN a la categoría Público. He intentado a través de PowerShell, pero recibo este error constantemente

No se puede establecer la NetworkCategory debido a uno de los siguientes motivos posibles: no se ejecuta PowerShell elevado; NetworkCategory no se puede cambiar de 'DomainAuthenticated'; los cambios iniciados por el usuario en NetworkCategory se impiden debido a la configuración de la Política de grupo 'Políticas del Administrador de lista de red'. En línea: 1 carácter: 1 + Set-NetConnectionProfile -InterfaceIndex 15 -NetworkCategory Public + ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ + CategoryInfo: Permiso denegado: (MSFT_NetConnect ... 72AADA665483} "): root / StandardCi ... nnectionProfile) [Set-NetConnectionProfile], CimException + FullyQualifiedErrorId: MI RESULTADO 2, Set-NetConnectionProfile

15 es el número de interfaz de "Ethernet 2"

Vale la pena señalar, estoy ejecutando este comando en una sesión elevada de PowerShell y he probado todas las políticas de GPO disponibles, pero el error se produce constantemente. La mayoría de la información sobre NLA sugiere que cambiar entre Privado y Público debería funcionar, pero DomainAuthenicated parece un poco diferente.

El método de registro no tiene un perfil real para Ethernet 2, por lo que tampoco se puede cambiar de esa manera.

¿Hay alguna forma de forzar que el adaptador TAP sea público? La conexión OpenVPN en sí no anula la puerta de enlace predeterminada de la NIC principal y utiliza la subred 10.0.0.0/8. El hecho de que use route-nopully anule las rutas podría ser parte del problema con la forma en que NLA detecta las redes.

Ethernet adapter Ethernet 2:

Connection-specific DNS Suffix  . :
Link-local IPv6 Address . . . . . : fe80::xxxx:xxxx:xxxx:xxxx%xx
IPv4 Address. . . . . . . . . . . : 10.xx.xx.xx
Subnet Mask . . . . . . . . . . . : 255.255.255.252
Default Gateway . . . . . . . . . :

La razón principal para la necesidad de asignar el perfil Público es para las reglas del firewall, tengo problemas para evitar que ciertas aplicaciones solo usen la interfaz VPN, poder escribir reglas de firewall basadas en el perfil de red parece funcionar mejor en este caso, lo he intentado escribir reglas basadas en la dirección IP local pero esto no funcionó.

— James White
fuente

user initiated changes to NetworkCategory are being prevented due to the Group Policy setting 'Network List Manager Policies

- Esto parece implicar que los cambios iniciados por el usuario se evitan mediante la Política de grupo. Para permitir cambios iniciados por el usuario, el GPO debe configurarse para permitirlo. ¿Has localizado el dominio GP donde está configurado?

— joeqwerty

@joeqwerty He investigado el GPO localmente y a través del dominio en Configuración de la computadora / Configuración de Windows / Configuración de seguridad / Políticas del Administrador de listas de red, ninguna de las configuraciones permite el cambio.

— James White el

Parece que a su cuenta elevada le falta el derecho de cambiar la categoría de red. Es posible que deba agregar esto o eliminar / relajar una restricción. technet.microsoft.com/en-us/library/jj966256(v=ws.11).aspx . Pero parece que solo puede establecer los objetos de permiso de usuario para redes 'no identificadas'.

— Xalorous

Además,

When the VPN connection is active the "Ethernet 2" (TAP interface) connection is placed into the Domain Network category alongside the main LAN NIC by NLA.

¿no es este el objetivo de VPN? Si desea aumentar la seguridad para los usuarios de VPN, establezca su configuración más arriba en la DomainAuthenticatedcategoría, e incluso más arriba Public.

— Xalorous

Intenté modificar que GPO todavía no permite el cambio, tanto localmente como a través de la política de dominio y en ejecución. gpupdate /forceNo puedo evitar ese error sin importar qué configuración cambie.

— James White

Respuestas:

Lo siguiente usará WMI / CIM.

get-ciminstance -Namespace root/StandardCimv2 -ClassName MSFT_NetConnectionProfile -Filter "interfacealias='Ethernet 2'" | set-ciminstance -property @{NetworkCategory="1"}

— Tim Haintz
fuente

Lo siento, tengo el mismo error. Este es el error si intenta establecerlo en DomainAuthenticated.

— Tim Haintz

Set-CimInstance: no se puede establecer NetworkCategory en 'DomainAuthenticated'. Este tipo de categoría de red se establecerá automáticamente cuando se autentique en una red de dominio. En la línea: 1 carácter: 124 + ... lias = 'Ethernet 2' "| Set-CimInstance -Property @ {NetworkCategory = '2'} + ~~~~~~~~~~~~~~~~~ ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ + CategoryInfo: InvalidArgument: (MSFT_NetConnect ... 5A09504828DA} "): CimInstance) [Set -C imInstance], CimException + FullyQualifiedErrorId: MI RESULTADO 4, Microsoft.Management.Infrastructure.CimCmdlets.SetCimInstan ceCommand

— Tim Haintz

Desafortunadamente, sigo teniendo el mismo error con respecto a las políticas de dominio que bloquean el cambio, ya que me estoy ejecutando como administrador de PowerShell como antes. En este caso, estoy tratando de alejar Ethernet 2 de estar configurado en DomainAuthenicated, pero parece que en mi caso esto es forzado y no se puede cambiar.

— James White el

@Pandorica como mencionó, parece que una vez que se une a un dominio, NetworkCategory está bloqueado en DomainAuthenticated.

— Tim Haintz

Me he encontrado con ese artículo en mis búsquedas también. Sin embargo, en la mayoría de los casos, parece ser lo contrario de lo que estoy tratando de lograr, cambiar de en lugar de a DomainAuthenicated. Puede que tenga que aceptar que probablemente no sea posible.

— James White el

Eliminar las direcciones del adaptador 'público' de la lista de direcciones de escucha de su servidor DNS sería el truco.

— Edu Schol
fuente

Revise la tercera opción "Uso del firewall" en esta página: https://evansblog.thebarrs.info/2013/02/windows-server-force-your-network.html

Puede evitar el perfil de red autenticado por dominio utilizando el Firewall de Windows para crear una regla de salida para bloquear el servicio de Windows "Conocimiento de ubicación de red". Asegúrese de especificar la IP local del adaptador VPN en la regla para que no afecte a otros adaptadores. El adaptador VPN ahora debe clasificarse como perfil de red "Público".

— usuario474264
fuente