"DomainAuthenticated"에서 Public으로 Windows 네트워크 프로필 변경

OpenVPN 2.3.13 클라이언트 소프트웨어가 설치된 Windows Server 2012 R2 상자에 도메인이 가입되어 있습니다. VPN 연결이 활성화되면 "이더넷 2"(TAP 인터페이스) 연결이 NLA에 의해 기본 LAN NIC와 함께 도메인 네트워크 범주에 배치됩니다. 이상적으로 VPN 인터페이스를 공개 범주에 할당하고 싶습니다. PowerShell을 통해 시도했지만이 오류가 지속적으로 발생합니다.

가능한 원인은 다음과 같은 이유로 NetworkCategory를 설정할 수 없습니다. NetworkCategory는 'DomainAuthenticated'에서 변경할 수 없습니다. 그룹 정책 설정 '네트워크 목록 관리자 정책'으로 인해 NetworkCategory에 대한 사용자 시작 변경이 방지됩니다. 1 행 : char : 1 + Set-NetConnectionProfile -InterfaceIndex 15 -NetworkCategory Public + ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ + 카테고리 정보 : 권한 거부 : (MSFT_NetConnect ... 72AADA665483} ") : root / StandardCi ... nnectionProfile) [Set-NetConnectionProfile], CimException + FullyQualifiedErrorId : MI 결과 2, Set-NetConnectionProfile

15는 "이더넷 2"의 인터페이스 번호입니다.

주목할만한 점은 상승 된 PowerShell 세션 에서이 명령을 실행하고 사용 가능한 모든 GPO 정책을 시도했지만 오류가 지속적으로 발생한다는 것입니다. NLA에 대한 대부분의 정보는 개인과 공용 간 전환이 작동해야하지만 DomainAuthenicated는 약간 다르게 보입니다.

레지스트리 방법에는 이더넷 2에 대한 실제 프로파일이 없으므로 그렇게 변경할 수 없습니다.

어쨌든 TAP 어댑터를 공개로 설정해야합니까? OpenVPN 연결 자체는 기본 NIC의 기본 게이트웨이를 재정의하지 않으며 10.0.0.0/8 서브넷을 사용합니다. route-nopull경로를 사용 하고 재정의 한다는 사실 은 NLA가 네트워크를 감지하는 방식에있어 문제의 일부일 수 있습니다.

Ethernet adapter Ethernet 2:

Connection-specific DNS Suffix  . :
Link-local IPv6 Address . . . . . : fe80::xxxx:xxxx:xxxx:xxxx%xx
IPv4 Address. . . . . . . . . . . : 10.xx.xx.xx
Subnet Mask . . . . . . . . . . . : 255.255.255.252
Default Gateway . . . . . . . . . :

공개 프로필을 할당해야하는 주된 이유는 방화벽 규칙 때문입니다. 특정 응용 프로그램이 VPN 인터페이스 만 사용하지 못하도록 막는 데 어려움이 있습니다.이 경우 네트워크 프로필 기반 방화벽 규칙을 작성할 수있는 것이 가장 효과적입니다. 로컬 IP 주소를 기반으로 규칙을 작성했지만 작동하지 않았습니다.

— 제임스 화이트
소스

user initiated changes to NetworkCategory are being prevented due to the Group Policy setting 'Network List Manager Policies

-이는 사용자가 시작한 변경이 그룹 정책을 통해 방지되는 것을 의미합니다. 사용자가 시작한 변경을 허용하려면이를 허용하도록 GPO를 구성해야합니다. 이것이 구성된 도메인 GP를 찾으셨습니까?

— joeqwerty

@joeqwerty 컴퓨터 구성 / Windows 설정 / 보안 설정 / 네트워크 목록 관리자 정책의 도메인을 통해 로컬로 GPO를 살펴 봤지만 어떤 설정도 변경할 수 없습니다.

— 제임스 화이트

높은 계정에 NetworkCategory를 변경할 수있는 권한이없는 것 같습니다. 이것을 추가하거나 제한을 제거 / 완화해야 할 수도 있습니다. technet.microsoft.com/en-us/library/jj966256(v=ws.11).aspx . 그러나 '식별되지 않은'네트워크에 대한 사용자 권한 개체 만 설정할 수있는 것 같습니다.

— Xalorous

또한

When the VPN connection is active the "Ethernet 2" (TAP interface) connection is placed into the Domain Network category alongside the main LAN NIC by NLA.

이것이 VPN의 요점이 아닌가? VPN 사용자의 보안을 강화하려면 DomainAuthenticated범주 에서 설정을 높이고,에서 더 높게 설정하십시오 Public.

— Xalorous

GPO를 수정하려고 시도했지만 로컬 및 도메인 정책을 통해 여전히 변경을 허용하지 않으며 실행 gpupdate /force하면 변경하는 설정에 관계없이 해당 오류를 해결할 수 없습니다.

— 제임스 화이트

답변:

아래는 WMI / CIM을 사용합니다.

get-ciminstance -Namespace root/StandardCimv2 -ClassName MSFT_NetConnectionProfile -Filter "interfacealias='Ethernet 2'" | set-ciminstance -property @{NetworkCategory="1"}

— 팀 하인츠
소스

죄송합니다. 같은 오류가 발생했습니다. 시도하고 DomainAuthenticated로 설정하면 오류입니다.

— Tim Haintz

Set-CimInstance : NetworkCategory를 'DomainAuthenticated'로 설정할 수 없습니다. 이 NetworkCategory 유형은 도메인 네트워크에 인증 될 때 자동으로 설정됩니다. 1 행 : char : 124 + ... lias = 'Ethernet 2' "| Set-CimInstance -Property @ {NetworkCategory = '2'} + ~~~~~~~~~~~~~~~~~~ ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ + + 카테고리 정보 : InvalidArgument : (MSFT_NetConnect ... 5A09504828DA} ") : CimInstance) [Set -C imInstance], CimException + FullyQualifiedErrorId : MI RESULT 4, Microsoft.Management.Infrastructure.CimCmdlets.SetCimInstan ceCommand

— Tim Haintz

불행히도 이전과 같이 PowerShell 관리자로 실행 중이므로 변경을 차단하는 도메인 정책과 관련하여 여전히 동일한 오류가 발생합니다. 이 경우 이더넷 2를 DomainAuthenicated로 설정하지 않고 이동하려고 시도하지만 강제로 변경 될 수없는 것처럼 보입니다.

— 제임스 화이트

@Pandorica는 언급했듯이 도메인에 가입하면 NetworkCategory가 DomainAuthenticated에 잠겨있는 것으로 보입니다.

— Tim Haintz

검색에서도 해당 기사를 발견했습니다. 그러나 대부분의 경우, 내가 달성하려고하는 것의 반대, DomainAuthenicated 대신 전환하는 것 같습니다. 아마 가능하지 않을 수도 있습니다.

— 제임스 화이트

DNS 서버의 수신 주소 목록에서 '공용'어댑터의 주소를 제거하면 트릭이 수행됩니다.

— 에두 숄
소스

이 페이지의 세 번째 옵션 인 "방화벽 사용"을 검토하십시오. https://evansblog.thebarrs.info/2013/02/windows-server-force-your-network.html

Windows 방화벽을 사용하여 Windows 서비스 "네트워크 위치 인식"을 차단하는 아웃 바운드 규칙을 만들어 DomainAuthenticated 네트워크 프로필을 방지 할 수 있습니다. 규칙에 VPN 어댑터의 로컬 IP를 지정하여 다른 어댑터에 영향을 미치지 않도록하십시오. VPN 어댑터는 이제 "공개"네트워크 프로파일로 분류되어야합니다.

— 사용자 474264
소스