我有一个join了Windows Server 2012 R2的域,在其上安装了OpenVPN 2.3.13客户端软件。 当VPN连接处于活动状态时,NLA将“以太网2”(TAP接口)连接放置在主LAN NIC旁边的“域networking”类别中。 理想情况下,我希望能够将VPN接口分配给公共类别。 我试过通过PowerShell,但不断得到这个错误:
由于以下可能的原因之一,无法设置NetworkCategory:未运行PowerShell提升; NetworkCategory不能从“DomainAuthenticated”更改; 由于组策略设置“networking列表pipe理器策略”,用户对NetworkCategory发起的更改将被阻止。 在行:1 char:1 + Set-NetConnectionProfile -InterfaceIndex 15 – NetworkCategory Public + ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ + CategoryInfo:PermissionDenied:(MSFT_NetConnect … 72AADA665483)“): root / StandardCi … nnectionProfile)[Set-NetConnectionProfile],CimException + FullyQualifiedErrorId:MI结果2,Set-NetConnectionProfile
15是“以太网2”的接口号
值得注意的是,我在一个提升的PowerShell会话中运行这个命令,并尝试了所有可用的GPO策略,但是错误总是被抛出。 关于NLA的大多数信息表明,私人和公共之间的切换应该起作用,但DomainAuthenicated似乎有点不同。
registry方法不具有以太网2的实际configuration文件,因此无法以这种方式更改。
无论如何强迫TAP适配器公开? OpenVPN连接本身不覆盖主网卡的默认网关,并使用10.0.0.0/8子网。 我使用route-nopull和覆盖路由的事实可能是NLA检测networking的方式的一部分。
Ethernet adapter Ethernet 2: Connection-specific DNS Suffix . : Link-local IPv6 Address . . . . . : fe80::xxxx:xxxx:xxxx:xxxx%xx IPv4 Address. . . . . . . . . . . : 10.xx.xx.xx Subnet Mask . . . . . . . . . . . : 255.255.255.252 Default Gateway . . . . . . . . . :
需要分配公共configuration文件的主要原因是防火墙规则,我无法阻止某些应用程序仅使用VPN接口,能够编写基于networkingconfiguration文件的防火墙规则似乎在这种情况下效果最好,我试过了编写基于本地IP地址的规则,但这是行不通的。
下面将使用WMI / CIM。
get-ciminstance -Namespace root/StandardCimv2 -ClassName MSFT_NetConnectionProfile -Filter "interfacealias='Ethernet 2'" | set-ciminstance -property @{NetworkCategory="1"}
从DNS服务器的监听地址列表中删除“公共”适配器的地址就可以了。