Désactiver les emplacements réseau de Windows Server

16

Je ne sais pas exactement comment cette fonction est appelée. Mais dans Windows Server 2008, il a les emplacements Vista Public / Private / Domain. Cela est logique pour les ordinateurs portables, et pas du tout pour les serveurs.

Mon problème est que, parfois, certains adaptateurs réseau décident qu'ils sont désormais sur un réseau public. Cela active complètement le pare-feu, même pour les réseaux "de domaine". Donc, l'effet net est que je redémarre certaines machines, puis elles ne reviennent jamais sur le réseau jusqu'à ce que nous commencions par KVM et que nous disions que le réseau est privé.

Quel est le nom de cette fonctionnalité? Existe-t-il un paramètre GP que je peux utiliser pour le désactiver et faire en sorte que tous les réseaux soient "domaine"?

Edit: Merci, c'est ça NLA. J'ai essayé de désactiver le service sur une machine n'appartenant pas au domaine, et il retourne tout ce qui est public. Sur une machine de domaine, le service de liste réseau refuse de s'arrêter - je vais essayer la stratégie de groupe.

MichaelGG
la source
avez-vous quelque part avec ça? spécifier manuellement chaque nic à un emplacement serait bien
scape

Réponses:

13

Je suis juste tombé sur ce problème exact. Les réseaux non identifiés sont définis par défaut sur le type "Public". C'est gênant lorsque vous souhaitez que le pare-feu Windows soit actif sur les réseaux publics mais pas sur les réseaux privés - et que votre réseau interne soit toujours "non identifié".

Qu'est-ce qu'un réseau "non identifié" à Windows Server 2008?

Le service Network Lists (netprofm) fonctionne avec le service Network Location Awareness (nlasvc) pour identifier les réseaux et rechercher les paramètres enregistrés associés pour le réseau, le cas échéant. Le service NLA utilisera une passerelle par défaut ou SSID pour identifier un réseau, donc si la carte réseau n'a ni passerelle par défaut ni SSID associé, alors NLA déterminera que le réseau n'est pas identifié.

Vous pouvez toutefois modifier la valeur par défaut - de sorte que les réseaux dits "non identifiés" soient définis par défaut sur autre chose que Public:

  1. Ouvrez Outils d'administration -> Stratégie de sécurité locale.

  2. Mettez en surbrillance l'élément «Network List Manager Policies», puis double-cliquez sur «Unidentified Networks» dans le panneau de droite.

  3. Réglez le "Type d'emplacement" sur "Privé" ou "Public".

capture d'écran des modifications apportées à Windows 2012 Server

A travaillé pour moi!

Jeff Atwood
la source
Fonctionne à moins que vous n'ayez plusieurs connexions non identifiées et que vous en ayez besoin pour avoir des paramètres d'emplacement différents.
quentin-star du
Cela devrait être la réponse acceptée. D'après mon expérience, il ne suffit pas de désactiver simplement le service NLA. Cette action (définir le réseau non identifié par défaut sur Privé) est plus fiable, car parfois les mises à jour logicielles et / ou d'autres modifications peuvent entraîner la réactivation de ce service. Je fais donc les deux pour tous mes serveurs et postes de travail Windows, car ce comportement de détection automatique peut être une nuisance indésirable. Tout changement subtil sur le réseau (affectations de VLAN, nouveaux points d'accès ajoutés, etc.) peut déclencher un faux positif, puis soudainement Windows décide de se mettre en quarantaine.
quickthyme
@qes - Vrai, sauf que ce ne serait généralement pas le cas avec un serveur. Dans le cas où le serveur décide de façon incorrecte (tout d'un coup) que le réseau a changé, il marque normalement le "nouveau" réseau comme non identifié jusqu'à ce que l'utilisateur lui dise de quel type de réseau il s'agit. Par défaut, non identifié est traité comme public et le serveur devient donc inaccessible, nécessitant souvent un accès physique pour la réparation. Cette approche particulière n'empêche pas le système de mal identifier le réseau, mais oblige plutôt Windows à lui faire confiance malgré tout.
quickthyme
J'ai dû réinstaller l'adaptateur pour le faire fonctionner.
Wumms
5

Le service que vous vouliez est appelé "Network Location Awareness" ou NLA . Il détermine le type de connectivité dont vous disposez et rend les informations spécifiques à la connexion disponibles pour d'autres applications ou services. Le pare-feu avancé de Windows Server 2008 utilise les informations NLA pour appliquer des paramètres de pare-feu spécifiques.

Il s'agit d'un service Windows, vous pouvez donc désactiver le service.

splattne
la source
J'ai désactivé le service, puis il a rendu tout public. Arrg.
MichaelGG
Ce n'est pas le meilleur moyen de résoudre ce problème, en fait, car le service de liste réseau dépend de la connaissance de l'emplacement réseau. Au contraire, je pense que la réponse de Jeff Atwood est meilleure, car elle vous permet de corriger le type de réseau au lieu de supprimer la fonctionnalité.
quickthyme
4

Avait le même problème précis; un couple de serveurs Windows 2012 qui bouderaient de temps en temps et décideraient que leur seul NIC était une interface "publique", plutôt qu'une interface "domaine".

Grâce à la puissance des interwebs, je suis tombé sur ce message utile , qui, résumé, dit simplement de redémarrer le service "Network Location Awareness" et de voir si cela résout le problème. Si c'est le cas, pour éviter que le problème ne se reproduise, changez simplement le type de démarrage de "Automatique" en "Automatique (démarrage différé)".

DrSwordopolis
la source
3

Je ne pense pas qu'il existe une stratégie de groupe qui vous permettra d'attribuer un profil réseau (il est déterminé par la détection d'emplacement réseau, plus d'informations ici: http://msdn.microsoft.com/en-us/library/ms739931(VS .85) .aspx )

Vous pouvez cependant appliquer une stratégie de groupe aux serveurs pour définir le comportement du pare-feu avancé (le désactiver, autoriser le trafic à partir de vos postes de travail administratifs, etc.). Les instructions pour le faire sont disponibles ici: http://technet.microsoft.com/en-us/library/cc732400.aspx

Sean Earp
la source
1

Si vous souhaitez simplement désactiver le service, vous pouvez créer une stratégie de groupe personnalisée qui désactive le service NLA

Étant donné que je suis un nouvel utilisateur, je ne peux pas vous fournir un lien, alors recherchez simplement dans google ces mots "désactiver le service de la stratégie de groupe" Le premier résultat est ce que vous recherchez


la source