OpenVPN 2.3.13クライアントソフトウェアがインストールされているドメインに参加しているWindows Server 2012 R2ボックスがあります。 VPN接続がアクティブな場合、「イーサネット2」(TAPインターフェイス)接続は、メインLANと共にドメインネットワークカテゴリに配置されますNIC NLAによって。理想的には、VPNを割り当てられるようにしたいパブリックカテゴリへのインターフェイス。PowerShellを使用して試しましたが、このエラーが常に発生します。
次の理由のいずれかが原因でNetworkCategoryを設定できません。PowerShellを昇格させていない。 NetworkCategoryを「DomainAuthenticated」から変更することはできません。ユーザーが開始したNetworkCategoryへの変更は、グループポリシー設定 'Network List Manager Policies'により禁止されています。行:1 char:1 + Set-NetConnectionProfile -InterfaceIndex 15 -NetworkCategory Public + ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ + CategoryInfo:PermissionDenied:(MSFT_NetConnect ... 72AADA665483} "): root/StandardCi ... nnectionProfile)[Set-NetConnectionProfile]、CimException + FullyQualifiedErrorId:MI RESULT 2、Set-NetConnectionProfile
15は「イーサネット2」のインターフェース番号です
注目に値するのは、このコマンドを管理者特権のPowerShellセッションで実行して、利用可能なすべてのGPOポリシーを試したところですが、エラーが常にスローされます。NLAに関するほとんどの情報では、プライベートとパブリックの切り替えを推奨しています。動作しますが、DomainAuthenicatedは少し異なります。
レジストリメソッドにはイーサネット2の実際のプロファイルがないため、この方法でも変更できません。
とにかくTAPアダプターを強制的にパブリックにする方法はありますか? OpenVPN接続自体は、メインのデフォルトゲートウェイをオーバーライドしませんNICおよび10.0.0.0/8サブネットを使用します。route-nopull
を使用し、ルートをオーバーライドするという事実は、 NLAがネットワークを検出する方法に関する問題。
Ethernet adapter Ethernet 2:
Connection-specific DNS Suffix . :
Link-local IPv6 Address . . . . . : fe80::xxxx:xxxx:xxxx:xxxx%xx
IPv4 Address. . . . . . . . . . . : 10.xx.xx.xx
Subnet Mask . . . . . . . . . . . : 255.255.255.252
Default Gateway . . . . . . . . . :
パブリックプロファイルを割り当てる必要がある主な理由は、ファイアウォールルールのためです。特定のアプリケーションがVPNインターフェイスのみを使用できないようにしているため、ネットワークプロファイルベースのファイアウォールルールを記述できるので、この場合に最もうまくいくようです。ローカルIPアドレスに基づいてルールを記述しますが、これは機能しませんでした。
以下ではWMI/CIMを使用します。
get-ciminstance -Namespace root/StandardCimv2 -ClassName MSFT_NetConnectionProfile -Filter "interfacealias='Ethernet 2'" | set-ciminstance -property @{NetworkCategory="1"}
このページの3番目のオプション「ファイアウォールの使用」を確認します。 https://evansblog.thebarrs.info/2013/02/windows-server-force-your-network.html
Windowsファイアウォールを使用してアウトバウンドルールを作成し、Windowsサービス「Network Location Awareness」をブロックすることにより、DomainAuthenticatedネットワークプロファイルを防止できます。ルールでVPNアダプターのローカルIPを指定して、他のアダプターに影響を与えないようにしてください。これで、VPNアダプターは「パブリック」ネットワークプロファイルとして分類されます。
DNSサーバーのリスニングアドレスのリストから「パブリック」アダプターのアドレスを削除すると、うまくいくでしょう。