Tôi có một tên miền đã tham gia hộp Windows Server 2012 R2 có cài đặt phần mềm máy khách OpenVPN 2.3.13 trên đó. Khi kết nối VPN được kích hoạt, kết nối "Ethernet 2" (giao diện TAP) được đặt vào danh mục Mạng miền cùng với LAN LAN chính của NLA. Lý tưởng nhất là tôi muốn có thể gán giao diện VPN cho danh mục Công khai. Tôi đã thử qua PowerShell, nhưng liên tục gặp lỗi này:
Không thể đặt NetworkC Category do một trong những lý do có thể sau: không chạy PowerShell nâng cao; NetworkC Category không thể thay đổi từ 'DomainAuthenticated'; những thay đổi do người dùng khởi tạo đối với NetworkC Category đang bị ngăn chặn do cài đặt Chính sách nhóm 'Chính sách quản lý danh sách mạng'. Tại dòng: 1 char: 1 + Set-NetConnectionProfile -Interface Index 15 -NetworkC Category Public + ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ + CategoryInfo: Perm PermDenied: (MSFT_NetConnect ... 72AADA665483} "): root / StandardCi ... nnectionProfile) [Set-NetConnectionProfile], CimException + FullQualifiedErrorId: MI RESULT 2, Set-NetConnectionProfile
15 là số giao diện của "Ethernet 2"
Đáng chú ý, tôi đang chạy lệnh này trong phiên PowerShell nâng cao và tôi đã thử tất cả các chính sách GPO có sẵn nhưng lỗi liên tục bị ném. Hầu hết thông tin về NLA đề nghị chuyển đổi giữa Private và Public nên hoạt động, nhưng DomainAuthenicated có vẻ hơi khác một chút.
Phương thức đăng ký không có cấu hình thực tế cho Ethernet 2, do đó, nó cũng không thể được thay đổi theo cách đó.
Có cách nào để buộc bộ điều hợp TAP là Công khai không? Bản thân kết nối OpenVPN không ghi đè cổng mặc định của NIC chính và sử dụng mạng con 10.0.0.0/8. Việc tôi sử dụng route-nopullvà ghi đè các tuyến đường có thể là một phần của vấn đề với cách NLA phát hiện các mạng.
Ethernet adapter Ethernet 2:
Connection-specific DNS Suffix . :
Link-local IPv6 Address . . . . . : fe80::xxxx:xxxx:xxxx:xxxx%xx
IPv4 Address. . . . . . . . . . . : 10.xx.xx.xx
Subnet Mask . . . . . . . . . . . : 255.255.255.252
Default Gateway . . . . . . . . . :
Lý do chính cần phải gán cấu hình Công khai là cho các quy tắc tường lửa, tôi gặp sự cố khi ngăn một số ứng dụng chỉ sử dụng giao diện VPN, có thể viết các quy tắc tường lửa dựa trên hồ sơ mạng có vẻ hoạt động tốt nhất trong trường hợp này, tôi đã thử viết quy tắc dựa trên địa chỉ IP cục bộ nhưng điều này không hiệu quả.
When the VPN connection is active the "Ethernet 2" (TAP interface) connection is placed into the Domain Network category alongside the main LAN NIC by NLA. phải là toàn bộ quan điểm của VPN không? Nếu bạn muốn tăng bảo mật cho người dùng VPN, hãy đặt cài đặt của họ cao hơn trong DomainAuthenticateddanh mục và thậm chí cao hơn Public.
gpupdate /forceTôi không thể khắc phục lỗi đó cho dù tôi có thay đổi cài đặt nào.
user initiated changes to NetworkCategory are being prevented due to the Group Policy setting 'Network List Manager Policies- Điều này dường như ngụ ý rằng các thay đổi do người dùng khởi tạo bị ngăn chặn thông qua Chính sách nhóm. Để cho phép người dùng bắt đầu thay đổi thì GPO cần phải được cấu hình để cho phép điều đó. Bạn đã định vị miền GP nơi cấu hình này chưa?