Вимкнення мережевих локацій Windows Server

16

Я не впевнений, як саме називається ця функція. Але в Windows Server 2008 він має публічне / приватне / доменне розташування Vista. Це має сенс для ноутбуків, і зовсім для серверів.

Моя проблема полягає в тому, що іноді деякі мережеві адаптери вирішують, що зараз вони перебувають у загальнодоступній мережі. Це повністю активує брандмауер навіть для "доменних" мереж. Таким чистим ефектом є те, що я перезавантажую деякі машини, а потім вони ніколи не повертаються в мережу, поки ми не ввімкнемо KVM і скажемо, що мережа приватна.

Як називається ця функція? Чи є налаштування GP, яке я можу використовувати, щоб вимкнути його та зробити всі мережі "доменними"?

Редагувати: Дякую, ось це NLA. Я спробував відключити послугу на бездоменній машині, і вона просто перевертає все загальнодоступне. На доменній машині служба мережевого списку відмовляється зупинятись - я спробую групову політику.

windows  windows-server-2008  networking  firewall  group-policy 
MichaelGG
джерело
у вас з цим було десь? вручну вказуючи кожен нік до місця, було б добре
скапіюйте

Відповіді:

13

Просто натрапив на цю точну проблему. Невідомі мережі за замовчуванням встановлюються типу "Загальнодоступні". Це незручно, коли ви хочете, щоб брандмауер Windows був активним у загальнодоступних мережах, але не в приватних - а ваша внутрішня мережа завжди "неідентифікована".

Що таке "непізнана" мережа для Windows Server 2008?

Служба мережевих списків (netprofm) працює зі службою усвідомлення мережевого розташування (nlasvc) для виявлення мереж і пошуку пов'язаних із ними збережених налаштувань для мережі, якщо такі є. Служба NLA використовуватиме шлюз за замовчуванням або SSID для ідентифікації мережі, тому якщо в NIC немає ні шлюзу за замовчуванням, ні асоційованого SSID, NLA визначить, що мережа не визначена.

Однак ви можете змінити типовий стандарт, так що так звані "неідентифіковані" мережі будуть встановлені за замовчуванням на щось інше, ніж на Public:

  1. Відкрийте Адміністративні інструменти -> Місцева політика безпеки.

  2. Виділіть елемент "Політики мережевого списку", а потім двічі клацніть "Невідомі мережі" на правій панелі.

  3. Встановіть "Тип місцезнаходження" на "Приватне" або "Загальнодоступне".

скріншот змін, зроблених в Windows 2012 Server

Працювали для мене!

Джефф Етвуд
джерело
Працює, якщо у вас кілька підключень, які не ідентифіковані, і потрібні їм різні параметри розташування.
квентин-зірин
Це має бути прийнятою відповіддю. На мій досвід, недостатньо просто відключити послугу NLA. Ця дія (встановлення невстановленої мережі за замовчуванням для приватного) є більш надійною, оскільки іноді оновлення програмного забезпечення та / або інші зміни можуть спричинити повторну активацію послуги. Тож я роблю як для всіх моїх серверів Windows, так і для настільних ПК, оскільки така поведінка автоматичного виявлення може бути дуже небажаною неприємністю. Будь-яка тонка зміна мережі (призначення VLAN, додані нові точки доступу тощо) може викликати помилковий позитив, і тоді раптом Windows вирішить зробити карантин.
fastthyme
@qes - Правда, за винятком випадків, коли це не було б із сервером. У випадку, якщо сервер неправильно (несподівано) вирішить, що мережа змінилася, він зазвичай маркує "нову" мережу як неідентифіковану, поки користувач не повідомить, який тип мережі це. За замовчуванням непізнані вважаються загальнодоступними, і тому сервер стає недоступним, часто вимагає фізичного доступу до ремонту. Цей конкретний підхід не заважає системі неправильно ідентифікувати мережу, а навпаки змушує Windows довіряти їй.
quickthyme
Мені довелося перевстановити адаптер, щоб він працював.
Wumms
5

Служба, яку ви маєте на увазі, називається "Поінформованість про мережеве місцезнаходження" або NLA . Він визначає, який тип підключення у вас є, і робить інформацію про з'єднання доступною для інших програм або служб. Розширений брандмауер у Windows Server 2008 використовує інформацію NLA для застосування певних налаштувань брандмауера.

Це служба Windows, тому ви можете вимкнути її.

splattne
джерело
Я відключив службу, тоді вона встановила все загальнодоступне. Аррг.
MichaelGG
Насправді це не найкращий спосіб вирішити цю проблему, оскільки послуга списку мереж залежить від поінформованості про мережеве місцезнаходження. Швидше, я вважаю, що відповідь Джеффа Етвуда краща, тому що вона дозволяє виправити тип мережі замість придушення функціональності.
quickthyme
4

Мав таке саме точне питання; кілька серверів Windows 2012, які періодично блукають і вирішують, що єдиним NIC є інтерфейс "Public", а не інтерфейс "Domain".

Завдяки потужності веб-сторінок я натрапив на цю корисну публікацію , яка, підсумовуючи підсумок, просто каже перезапустити послугу "Поінформованість про мережеве місцеположення" і побачити, чи це вирішує проблему. Якщо це так, то, щоб запобігти повторенню проблеми, просто змініть тип запуску з "Автоматичний" на "Автоматичний (затримка запуску)".

DrSwordopolis
джерело
3

Я не вірю, що існує групова політика, яка дозволить вам призначити мережевий профіль (це визначається Поінформованістю про мережеве розташування, більше інформації тут: http://msdn.microsoft.com/en-us/library/ms739931(VS .85) .aspx )

Однак можна застосувати групову політику до серверів, щоб визначити поведінку вдосконаленого брандмауера (відключивши його, дозволити трафік з ваших адміністративних робочих станцій тощо). Інструкції щодо використання тут: http://technet.microsoft.com/en-us/library/cc732400.aspx

Шон Ерп
джерело
1

Якщо ви хочете просто відключити послугу, ви можете створити спеціальну групову політику, яка відключить послугу NLA

Оскільки я новий користувач, я не можу надати вам посилання, тому просто шукайте в Google ці слова "відключити службу від групової політики" Перший результат - це те, що ви шукаєте

Використовуючи наш веб-сайт, ви визнаєте, що прочитали та зрозуміли наші Політику щодо файлів cookie та Політику конфіденційності.
Licensed under cc by-sa 3.0 with attribution required.