Windowsネットワークプロファイルを「DomainAuthenticated」からパブリックに変更する

OpenVPN 2.3.13クライアントソフトウェアがインストールされたドメインに参加しているWindows Server 2012 R2ボックスがあります。VPN接続がアクティブな場合、「イーサネット2」（TAPインターフェイス）接続は、NLAによってメインLAN NICと共にドメインネットワークカテゴリに配置されます。理想的には、VPNインターフェイスをパブリックカテゴリに割り当てることができるようにしたいと考えています。私はPowerShellを試してみましたが、このエラーが常に発生します：

次のいずれかの理由により、NetworkCategoryを設定できません。PowerShellを昇格させていない。NetworkCategoryを「DomainAuthenticated」から変更することはできません。ユーザーが開始したNetworkCategoryへの変更は、グループポリシー設定 'Network List Manager Policies'が原因で防止されています。行：1 char：1 + Set-NetConnectionProfile -InterfaceIndex 15 -NetworkCategory Public + ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ + CategoryInfo：PermissionDenied：（MSFT_NetConnect ... 72AADA665483} "）： root / StandardCi ... nnectionProfile）[Set-NetConnectionProfile]、CimException + FullyQualifiedErrorId：MI RESULT 2、Set-NetConnectionProfile

15は「Ethernet 2」のインターフェース番号

注目に値するのは、このコマンドを管理者特権のPowerShellセッションで実行していて、使用可能なすべてのGPOポリシーを試してみましたが、エラーが常にスローされます。NLAに関するほとんどの情報は、プライベートとパブリックの切り替えが機能することを示唆していますが、DomainAuthenicatedは少し異なるようです。

レジストリメソッドにはイーサネット2の実際のプロファイルがないため、そのように変更することもできません。

とにかくTAPアダプターを強制的にパブリックにする方法はありますか？OpenVPN接続自体は、メインNICのデフォルトゲートウェイを上書きせず、10.0.0.0 / 8サブネットを使用します。route-nopullルートを使用してオーバーライドするという事実は、NLAがネットワークを検出する方法の問題の一部である可能性があります。

Ethernet adapter Ethernet 2:

Connection-specific DNS Suffix  . :
Link-local IPv6 Address . . . . . : fe80::xxxx:xxxx:xxxx:xxxx%xx
IPv4 Address. . . . . . . . . . . : 10.xx.xx.xx
Subnet Mask . . . . . . . . . . . : 255.255.255.252
Default Gateway . . . . . . . . . :

パブリックプロファイルを割り当てる必要がある主な理由は、ファイアウォールルールのためです。特定のアプリケーションがVPNインターフェイスのみを使用できないようにしているため、ネットワークプロファイルベースのファイアウォールルールを記述できるので、この場合に最もうまくいくようです。ローカルIPアドレスに基づいてルールを記述しますが、これは機能しませんでした。

— ジェームズホワイト
ソース

user initiated changes to NetworkCategory are being prevented due to the Group Policy setting 'Network List Manager Policies

-これは、ユーザーが開始した変更がグループポリシーによって防止されていることを意味するようです。ユーザーが開始した変更を許可するには、それを許可するようにGPOを構成する必要があります。これが構成されているドメインGPを見つけましたか？

— joeqwerty

@joeqwertyコンピューター構成/ Windows設定/セキュリティ設定/ネットワークリストマネージャーポリシーで、ローカルおよびドメイン経由でGPOを調べましたが、どの設定でも変更できません。

— ジェームズホワイト

昇格したアカウントにNetworkCategoryを変更する権限がないようです。これを追加するか、制限を解除/緩和する必要があります。 technet.microsoft.com/en-us/library/jj966256(v=ws.11).aspx。ただし、「未確認」のネットワークに対してのみユーザー権限オブジェクトを設定できるようです。

— Xalorous

また、

When the VPN connection is active the "Ethernet 2" (TAP interface) connection is placed into the Domain Network category alongside the main LAN NIC by NLA.

これがVPNの要点ではありませんか？VPNユーザーのセキュリティを強化したい場合は、DomainAuthenticatedカテゴリの設定を高く設定し、ではさらに高く設定しますPublic。

— Xalorous

私はそのGPOを変更しようとしましたが、ローカルでもドメインポリシーでも変更はまだ許可されていません。実行してgpupdate /forceいる設定に関係なく、エラーを回避することはできません。

— ジェームズホワイト

回答:

以下ではWMI / CIMを使用します。

get-ciminstance -Namespace root/StandardCimv2 -ClassName MSFT_NetConnectionProfile -Filter "interfacealias='Ethernet 2'" | set-ciminstance -property @{NetworkCategory="1"}

— ティム・ハインツ
ソース

同じエラーが発生しました。これを試行してDomainAuthenticatedに設定すると、これがエラーになります。

— Tim Haintz、2016年

Set-CimInstance：NetworkCategoryを「DomainAuthenticated」に設定できません。このNetworkCategoryタイプは、ドメインネットワークに認証されると自動的に設定されます。行：1 char：124 + ... lias = 'Ethernet 2' "| Set-CimInstance -Property @ {NetworkCategory = '2'} + ~~~~~~~~~~~~~~~~~ ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ + CategoryInfo：InvalidArgument：（MSFT_NetConnect ... 5A09504828DA} "）：CimInstance）[セット-C imInstance]、CimException + FullyQualifiedErrorId：MI RESULT 4、Microsoft.Management.Infrastructure.CimCmdlets.SetCimInstan ceCommand

— Tim Haintz '22

残念ながら、以前と同じようにPowerShell管理者として実行しているため、変更をブロックしているドメインポリシーに関しても同じエラーが発生します。この場合、Ethernet 2をDomainAuthenicatedに設定しないように移動しようとしていますが、私の場合、これは強制されており、変更できないようです。

— ジェームズホワイト

@Pandoricaが言ったように、ドメインに参加すると、NetworkCategoryがDomainAuthenticatedにロックされているようです。

— Tim Haintz、2016年

私も検索でその記事に出くわしました。ただし、ほとんどの場合、それはDomainAuthenicatedに切り替えるのではなく、私が達成しようとしていることの逆のようです。私はおそらくそれが可能ではないことを受け入れなければならないかもしれません。

— ジェームズホワイト

DNSサーバーのリスニングアドレスのリストから「パブリック」アダプターのアドレスを削除すると、うまくいきます。

— エドゥショル
ソース

このページの3番目のオプション「ファイアウォールの使用」を確認してください：https : //evansblog.thebarrs.info/2013/02/windows-server-force-your-network.html

Windowsファイアウォールを使用してアウトバウンドルールを作成し、Windowsサービス「Network Location Awareness」をブロックすることで、DomainAuthenticatedネットワークプロファイルを防止できます。ルールでVPNアダプターのローカルIPを指定して、他のアダプターに影響を与えないようにしてください。これで、VPNアダプターは「パブリック」ネットワークプロファイルとして分類されます。

— user474264
ソース