Deshabilitar ubicaciones de red de Windows Server

16

No estoy seguro de cómo se llama exactamente esta característica. Pero en Windows Server 2008, tiene las ubicaciones Vista Public / Private / Domain. Esto tiene sentido para las computadoras portátiles, y ninguna para los servidores.

Mi problema es que a veces algunos adaptadores de red deciden que ahora están en una red pública. Esto activa completamente el firewall, incluso para las redes de "dominio". Entonces, el efecto neto es que reinicio algunas máquinas, y luego nunca vuelven a la red hasta que ingresamos KVM y le decimos que la red es privada.

¿Cómo se llama esta función? ¿Hay una configuración de GP que pueda usar para desactivarla y hacer que todas las redes sean "dominio"?

Editar: Gracias, eso es NLA es. Intenté deshabilitar el servicio en una máquina que no es de dominio, y simplemente voltea todo lo público. En una máquina de dominio, el Servicio de lista de red se niega a detenerse. Probaré la política de grupo.

windows windows-server-2008 networking firewall group-policy MichaelGG
fuente
has llegado a alguna parte con esto? sería agradable especificar manualmente cada nic a una ubicación
escape

Respuestas:

13

Acabo de encontrarme con este problema exacto. Las redes no identificadas se configuran de forma predeterminada en el tipo de "Público". Esto es incómodo cuando desea que el Firewall de Windows esté activo en redes públicas pero no privadas, y su red interna siempre está "No identificada".

¿Qué es una red "no identificada" para Windows Server 2008?

El servicio de listas de red (netprofm) funciona con el servicio de reconocimiento de ubicación de red (nlasvc) para identificar redes y encontrar las configuraciones guardadas asociadas para la red, si las hay. El servicio NLA utilizará una puerta de enlace predeterminada o SSID para identificar una red, por lo que si la NIC no tiene una puerta de enlace predeterminada o un SSID asociado, entonces NLA determinará que la red no está identificada.

Sin embargo, puede cambiar el valor predeterminado, para que las llamadas redes "no identificadas" se conviertan en algo distinto de Público:

  1. Abra Herramientas administrativas -> Política de seguridad local.

  2. Resalte el elemento "Políticas de Network List Manager", luego haga doble clic en "Redes no identificadas" en el panel derecho.

  3. Establezca el "Tipo de ubicación" en "Privado" o "Público".

captura de pantalla del cambio realizado en Windows 2012 Server

¡Trabajó para mi!

Jeff Atwood
fuente
Funciona a menos que tenga varias conexiones no identificadas y necesite que tengan configuraciones de ubicación diferentes.
quentin-starin
Esta debería ser la respuesta aceptada. En mi experiencia, no es suficiente simplemente deshabilitar el servicio NLA. Esta acción (establecer la red no identificada como predeterminada en Privado) es más confiable, ya que a veces las actualizaciones de software y / u otros cambios pueden hacer que ese servicio se reactive. Así que hago ambas cosas para todos mis servidores y escritorios de Windows, ya que este comportamiento de detección automática puede ser una molestia indeseable. Cualquier cambio sutil en la red (asignaciones de VLAN, nuevos puntos de acceso agregados, etc.) puede provocar un falso positivo y, de repente, Windows decide ponerse en cuarentena.
quickthyme
@qes: verdadero, excepto que, por lo general, este no sería el caso con un servidor. En el caso de que el servidor decida incorrectamente (de repente) que la red ha cambiado, normalmente marca la "nueva" red como no identificada hasta que el usuario le diga qué tipo de red es. De forma predeterminada, no identificado se trata como público, por lo que el servidor se vuelve inaccesible, lo que a menudo requiere acceso físico para la reparación. Este enfoque particular no evita que el sistema identifique erróneamente la red, sino que obliga a Windows a confiar en ella de todos modos.
quickthyme
Tuve que reinstalar el adaptador para que funcione.
Wumms
5

El servicio al que se refiere se llama "Conocimiento de ubicación de red" o NLA . Determina qué tipo de conectividad tiene y hace que la información específica de la conexión esté disponible para otras aplicaciones o servicios. El firewall avanzado en Windows Server 2008 usa la información de NLA para aplicar configuraciones de firewall específicas.

Es un servicio de Windows, por lo que puede deshabilitar el servicio.

splattne
fuente
Inhabilité el servicio, luego configuró todo público. Arrg.
MichaelGG
Esta no es la mejor manera de resolver este problema, en realidad, porque el servicio de lista de red depende de la conciencia de ubicación de red. Más bien, creo que la respuesta de Jeff Atwood es mejor, porque le permite corregir el tipo de red en lugar de suprimir la funcionalidad.
quickthyme
4

Tenía el mismo problema preciso; un par de servidores de Windows 2012 que ocasionalmente se enojarían y decidirían que su única NIC era una interfaz "Pública", en lugar de una interfaz "Dominio".

Gracias al poder de las interwebs, me encontré con esta publicación útil , que, resumida, simplemente dice que reinicie el servicio "Conocimiento de ubicación de red" y vea si eso soluciona el problema. Si es así, para evitar que el problema vuelva a ocurrir, simplemente cambie el tipo de inicio de "Automático" a "Automático (inicio retrasado)".

DrSwordopolis
fuente
3

No creo que exista una política de grupo que le permita asignar un perfil de red (está determinado por el Conocimiento de ubicación de red, más información aquí: http://msdn.microsoft.com/en-us/library/ms739931(VS .85) .aspx )

Sin embargo, puede aplicar una política de grupo a los servidores para definir el comportamiento del firewall avanzado (deshabilitándolo, permitiendo el tráfico desde sus estaciones de trabajo administrativas, etc.). Instrucciones para hacerlo disponibles aquí: http://technet.microsoft.com/en-us/library/cc732400.aspx

Sean Earp
fuente
1

Si solo desea deshabilitar el servicio, puede crear una política de grupo personalizada que deshabilite el servicio NLA

Como soy un usuario nuevo, no puedo proporcionarle un enlace, así que simplemente busque en Google estas palabras "deshabilitar el servicio de la política de grupo" El primer resultado es lo que está buscando


fuente