Как изменить тип сети в windows server 2016

При подключении к новой сети Windows предлагает вам выбрать ее тип (профиль или сетевое расположение): Public network (общедоступная) или Private (частная). Сетевые профили Windows являются частью Microsoft Defender Firewall и позволяют применять различные правила брандмауэра в зависимости от типа сети, к которой подключен компьютер. В зависимости от примененного профиля для вашего сетевого подключения, другие компьютеры могут видеть или не видеть ваш компьютер в сети (настройки сетевого обнаружения), использовать общие папки и сетевые принтеры.

В этой статье мы рассмотрим, как в Windows (и Windows Server) изменить назначенный профиль сети с “общедоступной” на “частную” и наоборот.

Типы (профили) сети в Windows

Сетевому подключению в Windows (будь то Ethernet или Wi-Fi) можно назначить один из трех сетевых профилей.

• Частная или домашняя сеть (Private) – профиль для доверенной сети (домашняя или рабочая сеть в офисе). В такой сети компьютер будет доступен для обнаружения другими устройствами, на нем можно использовать службы общего доступа к сетевым файлам и принтерам;
• Общедоступная (общественная) сеть (Public / Guest) – профиль для недоверенной сети (кафе, публичная Wi-Fi сеть в метро, аэропорту). Вы не доверяете другим устройствам в такой сети, ваш компьютер будет скрыт для других устройств, нельзя получить удаленный доступ к опубликованным у вас сетевым папкам и принтерам;
• Доменная сеть (Domain) – сетевой профиль для компьютеров, которые присоединены в домен Active Directory. Применяется автоматически после добавления Windows в домен. Для этого профиля вы можете применять доменные политики брандмауэра.

В зависимости от типа сети, к сетевому интерфейсу применяются разные правила брандмауэра Windows.

В Windows 10 и 11 вы можете увидеть текущий профиль, который назначен сетевому подключению, в меню Settings -> Network and Internet (команда быстрого доступа
ms-settings:network
). Сетевому интерфейсу Ethernet0 в моем примере назначен профиль Public.

В классической панели управления Windows тип сети для активных сетевых подключений отображается здесь: Control PanelAll Control Panel ItemsNetwork and Sharing Center.

Профиль сети в Windows 10 выбирается пользователем при первом подключении к новой сети. Появляется запрос:

Network_name
Вы хотите разрешить другим компьютерам и устройствам в этой сети обнаруживать ваш ПК.
Рекомендуется делать это в домашней или рабочей сети, а не в общедоступных.

Если выбрать “Да”, сети присваивается профиль Private (домашняя), если “Нет” – public (общедоступная). При следующем подключении к этой же самой LAN или WiFi сети автоматически назначается выбранный ранее профиль.

В Windows вы можете сбросить все настройки и профили для всех сохраненных сетей, выбрав Параметры -> Сеть и Интернет -> Состояние -> Сброс сети. Перезагрузите компьютер.

Теперь при подключении к сети опять появится запрос о включении сетевого обнаружения.

Как изменить профиль для сетевого подключения в Windows?

Вы можете изменить тип сети в Windows из современной панели управления Параметры: перейдите в раздел «Сеть и Интернет» -> «Состояние» -> Откройте свойства вашего сетевого подключения.

Здесь можно переключить сетевой профиль с Public на Private и наоборот.

В Windows Server 2022/2019 опция Properties отсутствует на вкладке Status. Поэтому нужно в секции Network and Internet выбрать раздел Ethernet (или раздел Wi-Fi если в Windows Server включена поддержка беспроводных сетей). Выберите ваше подключение к сети.

В классической панели управления Windows отсутствуют настройки для смены типа профиля сетевого подключения.

Также вы не можете сменить профиль на компьютере в домене AD. Для сетевого подключения к домену всегда будет использоваться профиль Domain.

Изменить тип сети с Public на Private с помощью PowerShell

В Windows 10/11 и Windows Server 2022/2019/2016 вы можете управлять профилями сетевых подключений из PowerShell. Запустите консоль PowerShell с правами администратора.

Выведите список сетевых интерфейсов Windows и применённые к ним сетевых профилей:

Get-NetConnectionProfile

В моем примере на компьютере имеется 4 сетевых подключения, с разными типами сетей (NetworkCategory: Public, Private и DomainAuthenticated).

Чтобы изменить профиль сети, нужно указать номер сетевого интерфейса, назначанный сетевому адаптеру (InterfaceIndex). В этом примере InterfaceIndex = 19.

Name : Неопознанная сеть
InterfaceAlias : Ethernet 3
InterfaceIndex : 19
NetworkCategory : Public
IPv4Connectivity : NoTraffic
IPv6Connectivity : NoTraffic

Чтобы изменить тип сети для сетевого интерфейса с индексом 19 на Private, выполните команду:

Set-NetConnectionProfile -InterfaceIndex 19 -NetworkCategory Private

Проверим, что профиль сети изменился:

Get-NetConnectionProfile -InterfaceIndex 19

Windows Defender Firewall автоматически применит к сетевому подключению правила в соответствии с назначенным профилем без перезагрузки.

По аналогии вы можете изменить местоположение сети на Public:

Set-NetConnectionProfile -InterfaceIndex 19  -NetworkCategory Public

Или доменный:

Set-NetConnectionProfile -InterfaceIndex 19 -NetworkCategory DomainAuthenticated

Также вы можете изменить профиль сети сразу для всех сетевых адаптеров компьютера:

Get-NetConnectionProfile | Set-NetConnectionProfile -NetworkCategory Private

На компьютерах в домене вы не сможете изменить профиль сетевого подключения с доменного на частный или публичный. Проверьте, что ваш компьютер добавлен в домен AD:

Get-CimInstance -ClassName Win32_ComputerSystem).PartOfDomain

Попробуйте изменить сетевой профиль:

Set-NetConnectionProfile -InterfaceIndex 19  -NetworkCategory Public –Verbose

Появится ошибка:

Set-NetConnectionProfile : Unable to set the NetworkCategory due to one of the following possible reasons: not running PowerShell elevated; the NetworkCategory cannot be changed from 'DomainAuthenticated'; user initiated changes to NetworkCategory are being prevented due to the Group Policy setting 'Network List Manager Policies'.

Изменить тип сети в реестре Windows

Вы можете изменить тип сети через редактора реестра. Для этого нужно запустить regedit.exe и перейти в раздел HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionNetworkListProfiles, в котором хранятся профили всех сетевых подключений. Для каждого сетевого подключения здесь присутствует отдельная ветка реестра с именем в формате GUID {xxxxxxxx-xxxx-……..}).

Чтобы найти нужную вам сеть, нужно просмотреть все ветки реестра и найти раздел, в котором указано имя нужной вам сети из панели управления (или значение Name из команды Get-NetConnectionProfile). В нашем случае компьютер подключен к сети Network 4.

Имя сети указано в строковом параметре реестра ProfileName. Тип сети задается в параметре Category. Доступны следующие значения этого ключа:

• 0 — Общественная сеть (Public Network)
• 1 — Частная сеть (Private Network)
• 2 — Доменная сеть (Domain Network)

Чтобы изменить тип сети, просто вручную изменить значение параметра Category. Перезагрузить компьютер чтобы применить изменения.

Сменить профиль сети через политику безопасности

Еще один способ смены типа сети — редактор локальной политики безопасности (Local Security Policy).

Запустите оснастку secpol.msc и перейдите в раздел Network List Manager Policies (Политики диспетчера списка сетей). В списке сетей справа найдите сеть по ее имени в Центре управления сетями. Откройте свойства сети и перейдите на вкладку Network Location, измените тип сети на Private и сохраните изменения. Чтобы пользователи не могли сменить профиль сети, выберите дополнительно опцию “User cannot change location” (Пользователь не может изменить расположение).

Примечание. Если сервер или компьютер включены в домен, изменить тип сети на другой нельзя, при перезагрузке тип все равно сменится на Domain Network.

Слетает доменный профиль сети на частную в Windows Server

В новых версиях Windows Server 2022/2019 периодически встречается глюк, когда на доменном сервере (или даже контроллере домена) тип сети сам меняется с доменной на частную после перезагрузки.

Для решения проблемы достаточно перезапустить службу Network Location Awareness (из консоли
services.msc
) или командой:

Get-Service NlaSvc| Restart-Service -Force
(запускать от имени SYSTEM)

Чтобы служба Network Location Awareness при загрузке компьютера загружалась немного позже, можно задать для нее отложенный тип запуска. Для этого в свойствах службы нужно выбрать опцию Automatic (Delayed Start).

Проверьте, что после перезагрузки тип сети в Windows Server всегда определяется как доменный (вместо private).

Если проблема возникает на контроллере домена Active Directory, нужно изменить зависимости службу NlaSvc, чтобы она запускалась после службы DNS Server:

sc config nlasvc depend=DNS

Также в некоторых случаях вам может помочь принудительное указание DNS суффикса вашего домена в настройках сетевого адаптера (сетевой адаптера -> TCP/IPv4 -> Advanced -> DNS, укажите имя вашего домена в поле DNS suffix for this connection и проверьте, что включена опция «Use this connection’s suffix in DNS registration».

В этой статье мы рассмотрим концепцию сетевого профиля в Windows, рассмотрим, какие типы сетевых профилей бывают, для чего они используются и как изменить назначенный сетевой профиль с общедоступного на частный или наоборот в Windows 10, Windows 11 и Windows Server 2016/2019/2022. Это необходимо, если местоположение в сети по ошибке определяется как общедоступная сеть, тогда как оно должно быть частной.

Сетевые профили Windows являются частью брандмауэра Защитника Windows в режиме повышенной безопасности и позволяют применять различные правила брандмауэра в зависимости от типа сети, к которой подключён компьютер. В зависимости от профиля, используемого для вашего сетевого подключения, другие компьютеры могут видеть или не видеть ваш компьютер в сети (настройки сетевого обнаружения), использовать общие сетевые папки и принтеры.

Сетевые профили впервые появились в Vista и Windows Server 2008. В Windows 10 (Windows Server 2016) вы можете назначить один из следующих профилей сетевой безопасности (местоположений) для вашей сетевой карты, будь то Ethernet или Wi-Fi:

• Частная или Домашняя сеть (Private) — профиль доверенной сети (домашней или офисной сети). В такой сети компьютер будет доступен для обнаружения другими устройствами; вы можете поделиться своими файлами и принтерами;
• Публичная сеть (Public) — профиль ненадёжной сети (публичная сеть Wi-Fi в метро, кафе, аэропорту). Вы не доверяете другим устройствам в такой сети, ваш компьютер будет скрыт для других сетевых устройств, никто не сможет получить доступ к общим сетевым папкам и принтерам на вашем компьютере;
• Доменная сеть (Domain) — профиль для компьютеров, входящих в домен Active Directory. Применяется автоматически после присоединения Windows к домену AD. Вы можете применить политики брандмауэра домена для этого профиля.

Служба Network Location Awareness (NLA) (определения местоположения в сети) используется Windows для определения того, находится ли сетевое соединение в общедоступной, частной или доменной сети.

Как упоминалось ранее, к вашему сетевому подключению применяются разные правила брандмауэра Windows в зависимости от сетевого профиля вашей сетевой карты.

В Windows 10 и Windows 11 вы можете проверить текущий сетевой профиль (местоположение), назначенный сетевому подключению, в Настройках → Сеть и Интернет. На моем снимке экрана вы можете видеть, что профиль Частная сеть назначен сетевой карте Ethernet.

А это скриншот из Windows 11, где профиль сети назначен конкретному соединению:

В классической панели управления тип сети для активных сетевых подключений отображается здесь: Панель управления → Все элементы панели управления → Центр управления сетями и общим доступом (или введите в адресной строке проводника «Панель управленияВсе элементы панели управленияЦентр управления сетями и общим доступом»). Но вы не можете изменить назначенное сетевое расположение из классической панели управления. Например, в Windows Server 2012 R2/Windows 8.1 вы можете изменить сетевой профиль только через PowerShell, реестр или локальную политику безопасности (всё это описано ниже).

Как изменить Тип сетевого профиля Windows 11 с Открытая на Частная и наоборот

Перейдите в приложение Настройки, для этого нажмите Win+i.

Перейдите во вкладку «Сеть и Интернет».

Кликните на сетевой адаптер, чьи свойства вы хотите изменить.

В разделе «Тип сетевого профиля» выберите «Открытая» (устройство не будет обнаруживаться) или «Частная» (устройство будет доступно для обнаружения в сети).

Как установить сетевой профиль в Windows 10?

Сетевой профиль в Windows 10 выбирается пользователем при первом подключении устройства к новой сети. Появится подсказка:

Вы хотите разрешить другим компьютерам и устройствам в этой сети обнаруживать ваш ПК? Рекомендуется делать это в домашней или рабочей сети, а не в общедоступных.

Если вы выберете «Да», сети будет назначен частный профиль, а при выборе «Нет» — публичный профиль. В следующий раз, когда вы подключитесь к той же локальной или Wi-Fi сети, автоматически будет назначен ранее выбранный профиль.

Вы можете скрыть «Мастер размещения в сети» при подключении к новой сети через реестр. Просто создайте пустой раздел реестра HKEY_LOCAL_MACHINESystemCurrentControlSetControlNetworkNewNetworkWindowOff. После этого все сети считаются общедоступными.

Вы можете сбросить все настройки и профили для сохранённых сетей в Windows 10, выбрав Настройки → Сеть и Интернет → Состояние → Сброс сети и перезагрузив компьютер.

Теперь при подключении к сети снова появляется запрос на обнаружение сети.

Как изменить сетевое расположение Windows 10 с публичного на частное?

Вы можете изменить сетевой профиль из графического интерфейса Windows 10. Если вы используете новую панель Настроек, перейдите в «Сеть и Интернет» → «Состояние» → «Свойства».

Здесь вы можете переключить профиль сетевого местоположения с публичного (общедоступного) на частный и наоборот:

• Общедоступные. Ваш ПК скрыт от других устройств в сети и не может использоваться для совместного использования принтера и файлов.
• Частные. Для сети, которой вы доверяете, например домашней или рабочей. Ваш ПК является обнаруживаемым и может использоваться для принтера или совместного использования файлов, если вы настроите соответствующие параметры.

Вы не можете изменить сетевой профиль из классической панели управления в Windows 10.

Кроме того, вы не можете изменить сетевой профиль на компьютере, присоединённом к домену. Профиль домена всегда будет использоваться для подключения к сети домена.

Изменение типов сети с помощью PowerShell в Windows

В Windows 10 и Windows Server 2016/2019/2022 вы можете управлять расположением сетевого подключения из PowerShell. Запустите консоль PowerShell с повышенными привилегиями.

Теперь используйте командлет

Get-NetConnectionProfile

чтобы получить список сетевых адаптеров на вашем компьютере и связанных с ними сетевых профилей.

В моем примере есть два физических сетевых адаптеров на компьютере с типом расположения в сети Public и Private (в значении NetworkCategory вы можете увидеть следующие типы сетевых профилей: Public, Private или DomainAuthenticated).

Попробуем изменить назначенный сетевой профиль для «Беспроводной сети». Нам нужно получить индекс, присвоенный этой сетевой карте. В этом примере InterfaceIndex равен 5.

Name             : polina
InterfaceAlias   : Беспроводная сеть
InterfaceIndex   : 5
NetworkCategory  : Public
IPv4Connectivity : Internet
IPv6Connectivity : NoTraffic

После получения индекса сетевого адаптера вы можете изменить тип сети на Private (Частный):

Set-NetConnectionProfile -InterfaceIndex 5 -NetworkCategory Private

Внимание: для командлета Set-NetConnectionProfile необходимы права администратора. Подробности смотрите в статье «Как запустить PowerShell с правами администратора».

Убедитесь, что профиль сети изменился:

Get-NetConnectionProfile -InterfaceIndex 5

Новые правила брандмауэра будут применены к интерфейсу в соответствии с назначенным сетевым профилем без перезагрузки.

Также вы можете изменить сетевой профиль сразу для всех сетевых адаптеров компьютера:

Get-NetConnectionProfile | Set-NetConnectionProfile -NetworkCategory Private

Установка типа сети с помощью реестра Windows

Тип сети также можно изменить в редакторе реестра. Для этого запустите regedit.exe и перейдите к следующему ключу: HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionNetworkListProfiles. Этот раздел реестра содержит профили всех сетевых подключений.

Вы можете найти необходимый сетевой профиль по его имени, указанному (в Центре управления сетями и общим доступом) в параметре реестра ProfileName.

Тип сети указывается в параметре Category. Доступны следующие значения:

• 0 — публичная сеть
• 1 — Частная сеть
• 2 — Доменная сеть

Измените значение ключа на нужное и перезагрузите компьютер.

Изменение типа сетевого расположения с помощью политики безопасности

Другой способ изменить тип сетевого расположения — использовать редактор локальной политики безопасности. Запустите secpol.msc и перейдите в раздел Политики диспетчера списков сетей. Справа найдите свою сеть по имени, отображаемому в Центре управления сетями и общим доступом. Откройте свойства сети и перейдите на вкладку «Сетевое расположение», затем измените тип сети с «Не задано» на «Личное» и сохраните изменения. Чтобы запретить пользователям изменять сетевой профиль, выберите опцию «Пользователь не может изменить местоположение».

Примечание: если сервер или компьютер присоединён к домену AD, вы не можете изменить тип сети. После перезагрузки он автоматически вернётся в доменную сеть.

Важность и необходимость смены настроек приватности

В Windows можно выделить частные и общедоступные сети. Принципиальные отличия заключаются в накладываемых ограничениях. В частных сетях они являются минимальными, ведь предполагается, что доступ извне ограничен, соответственно, безопасности ваших данных ничего не угрожает. В общедоступных сетях действует больше ограничений, что сделано для повышения безопасности.

Частную сеть необходимо устанавливать в том случае, если вы всецело ее контролируете. Это позволит в полной мере использовать все преимущества сети:

• обмен файлами между узлами;
• использование общего принтера;
• создание мультимедийного DNLA-сервера.

Если приоритетом стоит безопасность данных, или вы, например, подключаетесь к Wi-Fi в офисе, институте или любом другом общественном месте, то используйте только профиль общедоступной сети. Это позволит встроенному брандмауэру обезопасить ваши личные данные от возможных посягательств других юзеров в сети.

Обратите внимание, что при подключении к интернет-провайдеру напрямую без использования маршрутизатора рекомендуется ставить профиль «Общедоступная сеть». Другие участники сети могут теоретически получить доступ к вашему компьютеру, хотя провайдер должен обеспечивать высокий уровень безопасности

Этот профиль делает компьютер «невидимым», что усложняет проникновение в систему вредоносного программного обеспечения.

По этим причинам, крайне важно устанавливать правильный профиль сети. Некорректные настройки могут либо ограничить функциональность, либо подвергнуть компьютер опасности взлома и потери личных данных

Есть еще один способ изменения типа сети в Windows 10, но работает он только в тех случаях, когда требуется изменить сетевое расположение с «Общедоступная сеть» на «Частная сеть» (т.е. только в одном направлении) и только в ранних версиях ОС (сейчас домашнюю группу убрали в системе).

Шаги будут следующими:

1. Начните набирать в поиске на панели задач «Домашняя группа» (или откройте этот пункт в Панели управления).

   

2. В параметрах домашней группы вы увидите предупреждение о том, что необходимо установить для расположения компьютера в сети значение «Частная». Нажмите «Изменение расположения в сети».

   

3. Откроется панель слева, как при первом подключении к этой сети. Для того, чтобы включить профиль «Частная сеть» ответьте «Да» на запрос «Вы хотите разрешить другим компьютерам в этой сети обнаруживать ваш ПК».

   

После применения параметров сеть будет изменена на «Частная».

Настройка ip и dns адресов в windows 10 при проблемах с интернетом

Очень часто, статус «Ограничено» может появляться из-за проблем в настройке IP и DNS адресов. Windows 10 в этом случае не исключение. Эти настройки нужно проверять в первую очередь

Причем не важно, как вы подключены к интернету, по воздуху, или по кабелю

Нажмите правой кнопкой мыши на значок интернет соединения и выберите Центр управления сетями и общим доступом.

Дальше, слева выбираем Изменение параметров адаптера.

Нажимаем правой кнопкой мыши на тот адаптер, через который у вас подключен интернет и выбираем Свойства.

• Если у вас ошибка «Ограничено» при подключении по Wi-Fi, то нажимаем на адаптер Беспроводная сеть.
• Если подключение по кабелю, то адаптер Ethernet.

Откроется окно, в котором нужно выделить IP версии 4 (TCP/IPv4) и нажать кнопку Свойства.

Если у вас там выставлено автоматическое получение IP, то попробуйте задать статические данные, установив галочку возле пункта Использовать следующий IP-адрес. Для примера, такие:

1. IP-адрес — 192.168.1.10 (последняя цифра может быть другой) при условии, что IP вашего роутеар 192.168.1.1. Может быть еще 192.168.0.1. Это вы можете посмотреть снизу роутера, на наклейке.
2. Маска подсети пропишется автоматически.
3. Основной шлюз такой же, как адрес вашего руотера: 192.168.1.1, или 192.168.0.1.
4. Предпочитаемый DNS-сервер укажите — 8.8.8.8
5. Альтернативный DNS-сервер — 8.8.4.4

Скриншот для наглядности:

Если у вас там заданы какие-то данные, то попробуйте автоматическое получение IP и DNS.

И еще один способ. Можно попробовать получение IP выставить автоматически, а DNS сервера задать свои, которые я указывал выше.

После изменений желательно перезагрузить компьютер, и роутер.

С помощью «редактора реестра»

Этот метод подойдёт уже более продвинутым пользователям ПК, так как он подразумевает работу в важном сервисе Windows «Редактор реестра», от слаженной работы которого зависит функционирование самого устройства. Редактировать записи здесь необходимо максимально осторожно, чётко следуя инструкции:

1. Снова открываем уже знакомое окошко «Выполнить» за счёт комбинации клавиш Win и R. На этот раз печатаем более простой код для запуска «Редактора реестра»: regedit. Теперь жмём на Enter либо на ОК.

   
   Напишите команду regedit в окне «Выполнить»

2. Разрешаем редактору вносить изменения на устройстве щелчком по кнопке «Да».

   
   Нажмите на кнопку «Да», чтобы разрешить «Редактору реестра» вносить изменения на вашем устройстве

3. В левой узкой панели окна кликаем дважды по третьей ветке HKLM.

   
   Откройте в окне редактора ветку HKLM

4. Теперь необходимо внимательно открывать следующие блоки в строгой последовательности: SOFTWARE — Microsoft — Windows NT — CurrentVersion — NetworkList — Profiles.

   
   В разделе Profiles будет одна или несколько папок, соответствующих сетям, к которым подключался ваш ПК

5. В последнем открытом разделе должна быть как минимум одна папка. Как правило, их гораздо больше в перечне. Каждая из них соответствует той или иной сети, к которой подключалось устройство ранее. Система даёт им названия в виде {95476…..E08}.
6. Текущая сеть пользователя обычно идёт первой. Чтобы убедиться в этом, обратите внимание на «Значение» последнего параметра в этой папке под названием ProfileName. Оно должно соответствовать имени вашей сети.

   
   Выберите нужную папку среди доступных с помощью записи ProfileName

7. Когда вы отыскали нужную папку в блоке Profiles, откройте её и отыщите запись реестра Category. Она будет в начале списка. Кликаем по ней правой клавишей мышки либо дважды левой. В первом случае в небольшом контекстном меню серого цвета нажимаем на «Изменить».

   
   Выберите опцию «Изменить» в контекстном меню

8. Поверх редактора откроется окошко. В строке «Значение» пишем одну из следующих цифр в зависимости от того, какой тип сети вы хотите установить:
   0 — «Общедоступная сеть»;
9. 1 — «Частная сеть»;
10. 2 — «Сеть домена».
11. Щёлкаем по ОК, закрываем окно и перезапускаем устройство.

    
    Введите необходимую цифру в строке «Значение»

Самый простой способ поменять профиль сетевого подключения windows 10

В последних версиях Windows 10 в параметрах сети появилась простая настройка профиля подключения, где можно выбрать, общедоступная это сеть или частная:

1. Зайдите в Параметры — Сеть и интернет и выберите пункт «Изменить свойства подключения» на вкладке «Состояние».

   

2. Установите, общественная это сеть или общедоступная.

   

Сброс параметров сети и последующий выбор её типа

Выбор профиля сети в Windows 10 происходит при первом подключении к ней: вы видите запрос о том, разрешить ли другим компьютерам и устройствам в сети обнаруживать этот ПК. Если выбрать «Да», будет включена частная сеть, если нажать кнопку «Нет» — общедоступная сеть. При последующих подключения к этой же сети выбор расположения не появляется.

Однако вы можете выполнить сброс сетевых параметров Windows 10, перезагрузить компьютер и тогда запрос появится снова. Как это сделать:

1. Зайдите в Пуск — Параметры (значок шестеренки) — Сеть и Интернет и на вкладке «Состояние» нажмите по пункту «Сброс сети».

   

2. Нажмите кнопку «Сбросить сейчас» (подробнее о сбросе — Как сбросить сетевые параметры Windows 10).

   

Если после этого перезагрузка компьютера не произойдет автоматически, выполните ее вручную и при следующем подключении к сети вы снова увидите запрос о том, следует ли включить сетевое обнаружение (как на скриншоте в предыдущем способе) и, в соответствии с вашим выбором будет установлен тип сети.

Через powershell

Стандартная утилита Windows PowerShell представляет собой альтернативу «Командной строки», с помощью которой пользователи могут выполнять самые разнообразные действия на ПК: от запуска приложений до смены параметров системы. PowerShell позволяет установить и иной сетевой профиль с помощью определённых кодов:

1. Запустите панель под названием «Поиск Windows» через иконку в виде лупы, расположенной справа от кнопки «Пуск». В строке печатаем запрос PowerShell. Система сразу отобразит нужный сервис в результатах поиска.

   
   Напишите в строке поиска запрос PowerShell

2. Кликаем по нему правой клавишей мышки и в сером меню жмём на первую опцию «Запуск от имени администратора».

   
   В сером меню выберите опцию «Запуск от имени администратора»

3. Разрешаем редактору вносить изменения на компьютере: кликаем по «Да».
4. Для начала нам необходимо узнать индекс вашей текущей сети, для которой вы хотите изменить тип. Для этого необходимо вставить короткую команду get-NetConnectionProfile.

   
   В окне PowerShell вставьте команду get-NetConnectionProfile

5. Система выведет на экран нужные данные. Запоминаем цифру параметра InterfaceIndex.

   
   Запомните цифру в параметре InterfaceIndex

6. Теперь пришло время изменения профиля сети. Если вы хотите установить «Общедоступную сеть», скопируйте и вставьте следующий уже более длинный код: Set-NetConnectionProfile -InterfaceIndex «Номер интерфейса» -NetworkCategory Public. Вместо номера, необходимо написать цифру, которую вы запомнили в предыдущем шаге этой инструкции.

   
   Введите команду Set-NetConnectionProfile -InterfaceIndex «Номер интерфейса» -NetworkCategory Public и вставьте цифру, соответствующую параметру InterfaceIndex

7. Если вы хотите, наоборот, сделать сеть частной, вместо Public в конце кода напечатайте Private. Вставляем также и индивидуальный номер интерфейса.

   
   Замените в команде Public на Private, чтобы включить «Частную сеть»

8. Чтобы код выполнился, нужно просто нажать на Enter на клавиатуре. Все изменения сразу начнут действовать.

Через настройки windows

Новичкам лучше всего подойдёт способ изменения в самих настройках Windows, в частности, в окне «Параметры». Как его запустить на экране и в какие разделы в нём открывать? Рассмотрим подробно в инструкции:

1. Щёлкаем по кнопке «Пуск», которая находится в левом углу снизу, чтобы запустить одноимённое системное меню. В нём кликаем по значку шестерёнки, расположенном над кнопкой для выключения ПК.

   
   Кликните по шестерёнке в меню «Пуск», чтобы открыть окно «Параметры Windows»

2. В результате на экране возникнет большое окно «Параметры Windows». Его можно вызвать специальным сочетанием клавиш: Win I. Среди всех плиток выбираем «Сеть и Интернет», которая располагается в первом ряду четвёртой.

   
   Нажмите на плитку «Сеть и Интернет»

3. Переключаемся на блок Ethernet и жмём на сеть, к которой вы подключены.

   
   Нажмите на текущую сеть во вкладке Ethernet

4. На открывшейся странице выбираем между «Общедоступные» и «Частные» в зависимости от того, какой уровень безопасности вам необходим для сёрфинга в интернете. Перезапускать устройство после внесения изменения не нужно: они сразу вступают в силу.

   
   Выберите один их двух пунктов: «Общедоступные» или «Частные»

Через окно «локальная политика безопасности»

Смена типа сети возможна и в окне, в котором доступны различные политики безопасности. Рассмотрим пошагово процедуру:

1. Чтобы запустить нужное нам окно, зажимаем две клавиши: Win и R. В универсальном окошке для запуска стандартных панелей Windows пишем код secpol.msc. После это жмём на ОК либо на Enter на клавиатуре.

   
   Вставьте secpol.msc в поле «Открыть»

2. Если первый метод запуска не срабатывает, воспользуйтесь вторым. Вызовите «Панель управления» и найдите в перечне объект «Администрирование». Если стоит режим отображения «Мелкие значки», раздел будет находиться в последней колонке первым.

   
   Найдите в перечне пункт «Администрирование»

3. В «Проводнике Windows» найдите пункт «Локальная политика безопасности» и двойным щелчком запустите его.

   
   Откройте двойным щелчком окно «Локальная политика безопасности»

4. В окне переходим на четвёртый блок под названием «Политики диспетчера списка сетей». В небольшом списке последним пунктом будет ваша сеть. Кликаем по ней один раз правой клавишей мышки для вызова меню с опциями, в котором выбираем пункт «Свойства».

   
   Выберите первый пункт «Свойства» в контекстном меню

5. Здесь уже переключаемся сразу на последний блок «Сетевое расположение». Если вы хотите установить частный сетевой профиль, для первого параметра выбираем второе значение «Личное»: ставим круглую отметку слева от него. Для пункта «Разрешения пользователя» обязательно необходимо третье значение.

   
   Во вкладке «Сетевое расположение» выберите значения «Личное» и «Пользователь не может исключить расположение»

6. Жмём по «Применить», а потом по ОК, чтобы все внесённые изменения тут же сохранились.
7. Если вы, наоборот, желаете сделать сеть общедоступной, установите круглую о. Во втором поставьте значение с возможностью поменять расположение.

Как изменить сетевое расположение с общедоступного на частное в Windows 10 и Windows Server 2016/2019/2022?

В этой статье мы рассмотрим концепцию сетевого профиля в Windows, рассмотрим, какие типы сетевых профилей бывают, для чего они используются и как изменить назначенный сетевой профиль с общедоступного на частный или наоборот в Windows 10 и Windows Server 2016/2019/2022. Это необходимо, если местоположение в сети по ошибке определяется как общедоступная сеть, тогда как оно должно быть частной.

Сетевые профили Windows являются частью брандмауэра Защитника Windows в режиме повышенной безопасности и позволяют применять различные правила брандмауэра в зависимости от типа сети, к которой подключён компьютер. В зависимости от профиля, используемого для вашего сетевого подключения, другие компьютеры могут видеть или не видеть ваш компьютер в сети (настройки сетевого обнаружения), использовать общие сетевые папки и принтеры.

Что такое сетевое расположение (профиль) в Windows?

Сетевые профили впервые появились в Vista и Windows Server 2008. В Windows 10 (Windows Server 2016) вы можете назначить один из следующих профилей сетевой безопасности (местоположений) для вашей сетевой карты, будь то Ethernet или Wi-Fi:

Служба Network Location Awareness (NLA) (определения местоположения в сети) используется Windows для определения того, находится ли сетевое соединение в общедоступной, частной или доменной сети.

Как упоминалось ранее, к вашему сетевому подключению применяются разные правила брандмауэра Windows в зависимости от сетевого профиля вашей сетевой карты.

В Windows 10 вы можете проверить текущий сетевой профиль (местоположение), назначенный сетевому подключению, в Настройках → Сеть и Интернет. На моем снимке экрана вы можете видеть, что профиль Частная сеть назначен сетевой карте Ethernet.

В классической панели управления тип сети для активных сетевых подключений отображается здесь: Панель управления → Все элементы панели управления → Центр управления сетями и общим доступом (или введите в адресной строке проводника «Панель управленияВсе элементы панели управленияЦентр управления сетями и общим доступом»). Но вы не можете изменить назначенное сетевое расположение из классической панели управления. Например, в Windows Server 2012 R2/Windows 8.1 вы можете изменить сетевой профиль только через PowerShell, реестр или локальную политику безопасности (всё это описано ниже).

Как установить сетевой профиль в Windows 10?

Сетевой профиль в Windows 10 выбирается пользователем при первом подключении устройства к новой сети. Появится подсказка:

Вы хотите разрешить другим компьютерам и устройствам в этой сети обнаруживать ваш ПК? Рекомендуется делать это в домашней или рабочей сети, а не в общедоступных.

Вы можете скрыть «Мастер размещения в сети» при подключении к новой сети через реестр. Просто создайте пустой раздел реестра HKEY_LOCAL_MACHINESystemCurrentControlSetControlNetworkNewNetworkWindowOff. После этого все сети считаются общедоступными.

Вы можете сбросить все настройки и профили для сохранённых сетей в Windows 10, выбрав Настройки → Сеть и Интернет → Состояние → Сброс сети и перезагрузив компьютер.

Теперь при подключении к сети снова появляется запрос на обнаружение сети.

Как изменить сетевое расположение Windows 10 с публичного на частное?

Вы можете изменить сетевой профиль из графического интерфейса Windows 10. Если вы используете новую панель Настроек, перейдите в «Сеть и Интернет» → «Состояние» → «Свойства».

Здесь вы можете переключить профиль сетевого местоположения с публичного (общедоступного) на частный и наоборот:

Вы не можете изменить сетевой профиль из классической панели управления в Windows 10.

Кроме того, вы не можете изменить сетевой профиль на компьютере, присоединённом к домену. Профиль домена всегда будет использоваться для подключения к сети домена.

Изменение типов сети с помощью PowerShell в Windows 10

В Windows 10 и Windows Server 2016/2019/2022 вы можете управлять расположением сетевого подключения из PowerShell. Запустите консоль PowerShell с повышенными привилегиями.

Теперь используйте командлет

чтобы получить список сетевых адаптеров на вашем компьютере и связанных с ними сетевых профилей.

В моем примере есть два физических сетевых адаптеров на компьютере с типом расположения в сети Public и Private (в значении NetworkCategory вы можете увидеть следующие типы сетевых профилей: Public, Private или DomainAuthenticated).

Попробуем изменить назначенный сетевой профиль для «Беспроводной сети». Нам нужно получить индекс, присвоенный этой сетевой карте. В этом примере InterfaceIndex равен 5.

После получения индекса сетевого адаптера вы можете изменить тип сети на Private (Частный):

Убедитесь, что профиль сети изменился:

Новые правила брандмауэра будут применены к интерфейсу в соответствии с назначенным сетевым профилем без перезагрузки.

Также вы можете изменить сетевой профиль сразу для всех сетевых адаптеров компьютера:

Установка типа сети с помощью реестра Windows

Тип сети также можно изменить в редакторе реестра. Для этого запустите regedit.exe и перейдите к следующему ключу: HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionNetworkListProfiles. Этот раздел реестра содержит профили всех сетевых подключений.

Вы можете найти необходимый сетевой профиль по его имени, указанному (в Центре управления сетями и общим доступом) в параметре реестра ProfileName.

Тип сети указывается в параметре Category. Доступны следующие значения:

Измените значение ключа на нужное и перезагрузите компьютер.

Изменение типа сетевого расположения с помощью политики безопасности

Другой способ изменить тип сетевого расположения — использовать редактор локальной политики безопасности. Запустите secpol.msc и перейдите в раздел Политики диспетчера списков сетей. Справа найдите свою сеть по имени, отображаемому в Центре управления сетями и общим доступом. Откройте свойства сети и перейдите на вкладку «Сетевое расположение», затем измените тип сети с «Не задано» на «Личное» и сохраните изменения. Чтобы запретить пользователям изменять сетевой профиль, выберите опцию «Пользователь не может изменить местоположение».

Примечание: если сервер или компьютер присоединён к домену AD, вы не можете изменить тип сети. После перезагрузки он автоматически вернётся в доменную сеть.

Источник

Network location awareness на русском windows 10

Добрый день! Уважаемые читатели и гости IT блога Pyatilistnik.org, в прошлый раз мы с вами чинили HDD с поврежденной файловой системой и состоянием RAW уверен, что вам удалось это сделать. Сегодня я в очередной раз переведу наш вектор траблшутера в сторону терминальных столов, а именно мы рассмотрим ситуацию, что когда вы пытаетесь подключиться к удаленному серверу по RDP протоколу, а у вас после ввода логина и пароля, выскакивает ошибка, что вы не прошли проверку подлинности и причиной ошибки может быть исправление шифрования CredSSP. Давайте разбираться, что за зверь, этот CredSSP и как вам получить доступ к вашему серверу.

Как выглядит ошибка credssp

Перед тем, как я покажу вам известные мне методы ее устранения, я бы как обычно хотел подробно описать ситуацию. Вчера при попытке подключиться к своему рабочему компьютеру, работающему на Windows 10 1709, с терминального стола, входящего в RDS ферму на Windows Server 2012 R2, я получил ошибку после ввода логина и пароля:

Ну и конечно в русском исполнении:

Получается двоякая ситуация, что RDP как бы работает, но вот по какой-то причине ваши учетные данные на принимающей стороне не соответствуют, каким-то критериям, давайте разбираться, что это за зверь CredSSP.

Назначение CredSSP

После проверки подлинности клиента и сервера клиент передает учетные данные пользователя на сервер. Учетные данные дважды шифруются с использованием ключей сеанса SPNEGO и TLS. CredSSP поддерживает вход в систему на основе пароля, а также вход в систему с использованием смарт-карт на основе X.509 и PKINIT.

Windows SSP

Следующие поставщики общих служб устанавливаются вместе с Windows:

Причины ошибки шифрования CredSSP

В марте 2018 года, компания Microsoft выпустила обновление безопасности для устранения уязвимостей для протокола поставщика поддержки безопасности учетных данных (CredSSP) под именем CVE-2018–0886 (https://support.microsoft.com/en-us/help/4093492/credssp-updates-for-cve-2018-0886-march-13-2018), используемого подключениями по протоколу удаленного рабочего стола (RDP) для клиентов Windows и Windows Server. Как только пользователи и системные администраторы произвели установку апдейтов, то по всему миру начались массовые жалобы, что люди не могут подключаться по протоколу RDP к серверам, компьютерам, получая ошибку, что причиной ошибки может быть шифрование CredSSP.

К сожалению 99% людей и администраторов совершают одну и туже ошибку, они сразу ставят обновления, не дождавшись пары дней после их выхода. Обычно этого времени хватает, чтобы вендор определил проблемы и отозвал глючное обновление.

Под раздачу попали буквально все, клиентские ОС Windows 7, Windows 8.1, Windows 10 с которых были попытки подключиться к RDS ферме или RemoteApp приложениям работающим на Windows Server 2008 R2 и выше. Если бы вы читали ветки обсуждений в эти дни, то вы бы поняли все негодование людей, особенно с запада.

Варианты исправления ошибки CredSSP

На самом деле вариантов много, есть правильные, есть и временные и обходные, которые нужно сделать быстро, чтобы хоть как-то работало, так как бизнес может в этот момент простаивать и терять деньги.

Отключаем credssp в Windows через NLA

Данный метод выхода из ситуации я бы рассматривал, как быстрое, временное решение, до того, как вы установите обновления безопасности. Чтобы разрешить удаленное подключение к серверу и избегать ситуации, что произошла ошибка при проверке подлинности credssp, сделайте вот что. Откройте свойства моего компьютера, попав в систему, так же можно нажать одновременно WIN+Pause Breake или как вариант в командной строке ввести control /name Microsoft.System. В окне «Система» находим пункт меню «Настройка удаленного доступа»

Снимите галку «Разрешить подключение только с компьютеров, на которых работает удаленный рабочий стол с проверкой подлинности на уровне сети»

После этого вы легко сможете подключиться к данному компьютеру или серверу, но как быть что вы не можете туда попасть и снять эту галку, тут нам на помощь придет реестр Windows. Вы можете удаленно создать нужные ключи реестра, которые отключат галку NLA или политику CredSSP. Для этого вы можете пойти двумя путями:

Давайте попробуем через удаленный реестр, для этого открываем Regedit, через окно «Выполнить».

Из меню «Файл» выберите пункт «Подключить сетевой реестр», далее найдите нужный вам сервер.

У вас подключится дополнительный реестр с двумя кустами. Переходите по пути (Если у вас не будет CredSSPParameters, то нужно будет их создать):

Или можно так же отключить NLA, для этого найдите ветку реестра:

Найдите там ключ SecurityLayer и выставите ему значение , чтобы деактивировать Network Level Authentication.

Теперь то же самое вы можете выполнить и через PsExec.exe, выставив для CredSSP минимальный уровень защиты или же отключить NLA, для этого находясь в cmd в режиме администратора введите команду:

Далее имея запущенный сеанс cmd для удаленного компьютера, выполните команду:

Аналогично можно сделать и для отключения Network Level Authentication, команда будет такой:

Еще раз обращаю ваше внимание, что данный метод временный и самый не безопасный, применяемый в случаях, когда уже ничего сделать нельзя или дольше, а нужно уже вчера, обязательно установите все нужные обновления.

Отключаем шифрование credssp через GPO

Если у вас большая инфраструктура, в которой сотни компьютеров и сотни серверов, то вы можете до установки нужных обновлений в вечернее время, временно отключить новый уровень шифрования CredSSP и убрать ошибку «Удаленный компьютер имя. Причиной ошибки может быть исправление шифрования CredSSP». Для этого мы можем воспользоваться всеми плюсами доменной инфраструктуры Active Directory. Тут два варианта, вы можете создать массовую политику для распространения ее на нужные OU или если у вас требование для одного или двух локальных компьютеров, то на них можно запустить локальный редактор групповых политик, тем самым внеся изменения только на них.

Напоминаю, что оснастку управление групповой политикой вы можете найти на контроллере домена или компьютере с установленным пакетом RSAT, открыть ее можно через команду в окне «Выполнить» gpmc.msc. Если нужно открыть локальный редактор групповых политик, то в окне «Выполнить» введите gpedit.msc.

Вам необходимо перейти в ветку:

Открываем настройку «Исправление уязвимости шифрующего оракула (Encryption Oracle Remediation)». Включаем политику, у вас активируется опция «Уровень защиты», на выбор будет три варианта:

Выбираем на время пункт «Оставить уязвимость (Vulnerable)». Сохраняем настройки.

После чего вам нужно обновить политику, для этого откройте командную строку и введите gpupdate /force. Если у вас не доменный компьютер, да и еще Windows 10 Home, которая не имеет встроенного локального редактора политик, то вам как я описывал выше, нужно производить правку реестра

На просторах интернета ходит скрипт PowerShell, который поможет включить данную политику на всех компьютерах в Active Directory

Самый правильный метод, это установка обновлений

Когда вам удалось везде подключиться и подошло время обслуживания ваших серверов, быстренько производим установку обновлений закрывающих брешь (CVE-2018-0886 | CredSSP Remote Code Execution Vulnerability).

Раньше были вот такие KB, но они со временем могут меняться свой номер, поэтому пройдите по ссылке выше, так будет надежнее.

Источник

Слетает тип сети с доменной на частную на Windows Server

Продолжительное время пытаюсь разобраться с одной проблемой в доменной сети. На разных Windows Server после перезагрузки периодически тип сети с доменной (domain) меняется на частную (private). Происходит этот как на контроллерах домена, так и на рядовых серверах. Поделюсь своими рецептами борьбы с этой проблемой.

Цели статьи

Введение

Сразу проясню технические моменты.

Теперь по симптомам. Периодически после плановой установки обновлений и перезагрузки в свойствах сетевого подключения меняется тип сети. Она перестает быть доменной и становится приватной.

Так же несколько раз была ситуация, когда сетевое подключение получало новое имя. Как видно на примере, сетевой интерфейс имеет имя Сеть 3. То есть это уже третий раз, когда он поменял имя. Оба эти события не всегда случаются одновременно. Имя сети может и не поменяться, но поменяется ее тип. При этом вирутальные машины никуда не переезжают, их настройки не меняются. Мне совершенно не понятно, почему может измениться сетевой интерфейс.

Пару раз была ситуация, когда сервер вообще был недоступен по сети после перезагрузки. При подключении к консоли я видел запрос на выбор типа сети. После того, как я указывал тип сети, сервер становился досупен. При этом его сетевые настройки не слетали, везде прописана статика. Конкретно эта ошибка гарантирована не воспроисзводилась, я особо не занимался расследованием. А вот со сменой типа сети сталкиваюсь регулярно, поэтому накопилась статистика.

Изменение типа сети на доменную

Простого способа указать, что данное соединение доменное в windows server нет. Я нашел как минимум 2 рабочих способа, которые гарантированно позволяют вернуть соединению статус Domain Network.

Идея полностью отключать ipv6 мне не нравится, потому что неоднократнго видел информацию о том, что она каким-то образом нужна для корректной работы сервера и Microsoft не рекомендует ее отключать.

При втором способе, если сделать для службы тип запуска Автоматически (отложенный запуск), то после перезагрзки сервера статус сети всегда будет доменный. Это вроде как решает проблему, хотя мне кажется, что это больше костыль, чем решение.

В целом, мне не понятно, в чем конкретно проблема и почему она стала проявляться в какой-то определенный момент, причем на разных серверах. Иногда помогает просто перезагрузка, иногда нет. Когда я последний раз исследовал ошибку, она на 100% повторялась на двух серверах с ролью контроллера домена, dhcp и dns сервера. Помогало либо отключение ipv6, либо перезапуск службы. В логах при этом ничего подходящего под указанную проблему не находил.

Причины изменения типа сети

Есть мысли, что это из-за настроек ipv6. Изначально там указано получать адрес автоматически. И Windows какой-то адрес получала. Даже не знаю откуда.

Пытался разобраться в теме ipv6, но скажу честно, сходу в нее не вник. Там все как-то не просто и надо погружаться, изучать. Пытался указывать ipv6 адрес вручную, статический. Думал, это может помочь. Почему-то после перезагрузки, настройки слетали обратно на получение адреса автоматически.

Отдельно пробовал настройку Предпочтение протокола IPv4 протоколу IPv6, как описано в руководстве на сайте microsoft. Это не помогло. На проблемном сервере гарантированно получал частную сеть вместо доменной.

Заключение

По факту каких-то проблем из-за данной настройки я не получал. Отличий в настройке фаервола в зависимости от типа сети у меня нет, так что видимых проблем не было. На текущий момент там, где последний раз словил эту ошибку, настроил отложенный запуск службы сведений о подключенных сетях (Network Location Awareness Service). Ошибка больше не воспроизводится. Буду наблюдать дальше.

Если вы сталкивались с подобными ошибками, либо есть советы, что еще попробовать, буду рад комментариям по этой теме.

Источник

Пользователь не может выполнить аутентификацию или должен выполнить ее дважды

В этой статье описаны некоторые причины проблем с аутентификацией пользователей.

Отказано в доступе (ограничение по типу входа в систему)

В этом случае пользователь Windows 10, который пытается подключиться к компьютерам с Windows 10 или Windows Server 2016, получит отказ в доступе со следующим сообщением:

Подключение к удаленному рабочему столу
Системный администратор ограничил типы входа в систему (сетевой или интерактивный), которые можно использовать. Обратитесь за помощью к системному администратору или в службу технической поддержки.

Эта проблема возникает, если для подключения к удаленному рабочему столу требуется пройти проверку подлинности на уровне сети (NLA), но пользователь не является членом группы Пользователи удаленного рабочего стола. Она также может возникать, если группе Пользователи удаленного рабочего стола не назначено право пользователя Доступ к компьютеру из сети.

Чтобы решить эту проблему, выполните одно из указанных ниже действий.

Изменение членства пользователя в группах или назначенных ему прав

Если эта проблема затрагивает одного пользователя, наиболее простым решением будет добавить этого пользователя в группу Пользователи удаленного рабочего стола.

Если пользователь уже является членом этой группы (или если проблема возникает у нескольких членов группы), проверьте конфигурацию прав пользователей на удаленном компьютере Windows 10 или Windows Server 2016.

Отказано в доступе (удаленный вызов к базе данных SAM отклонен)

Такое поведение обычно возникает, если контроллеры домена работают под управлением Windows Server 2016 или более поздней версии, а пользователи пытаются подключиться с помощью настраиваемого приложения для подключения. В частности, отказ в доступе получат приложения, которым требуется доступ к сведениям профиля пользователя в Active Directory.

Такое поведение обусловлено изменением в Windows. В Windows Server 2012 R2 и более ранних версиях, когда пользователь выполняет вход на удаленный рабочий стол, диспетчер удаленных подключений (RCM) обращается к контроллеру домена (DC), чтобы запросить конфигурацию, относящуюся к удаленному рабочему столу, в объекте пользователя в доменных службах Active Directory (AD DS). Эта информация отображается на вкладке «Профиль служб удаленных рабочих столов» в окне свойств объекта пользователя в оснастке MMC «Пользователи и компьютеры Active Directory».

Начиная с Windows Server 2016 RCM больше не запрашивает объект пользователя в AD DS. Если требуется, чтобы RCM обращался к AD DS из-за того, что вы используете атрибуты служб удаленных рабочих столов, вам нужно вручную разрешить отправку запросов.

Внимательно выполните действия, описанные в этом разделе. Неправильное изменение реестра может привести к серьезным проблемам. Перед внесением изменений создайте резервную копию реестра для его восстановления в случае возникновения проблем.

Чтобы разрешить прежнее поведение RCM на сервере узла сеансов удаленных рабочих столов, настройте следующие записи реестра и перезапустите службу Службы удаленных рабочих столов:

Чтобы разрешить устаревшее поведение RCM на сервере, отличающемся от сервера RDSH, настройте эти записи реестра и следующую дополнительную запись (затем перезапустите службу).

Дополнительные сведения об этом поведении см. в статье базы знаний № 3200967 Changes to Remote Connection Manager in Windows Server (Внесение изменений в диспетчер удаленных подключений в Windows Server).

Пользователю не удается выполнить вход с помощью смарт-карты

В этом разделе рассматриваются три типичных сценария, когда пользователь не может войти на удаленный рабочий стол с помощью смарт-карты.

Не удается войти в систему с помощью смарт-карты в филиале с контроллером домена только для чтения (RODC)

Эта проблема возникает в развертываниях, в которых задействован сервер RDSH на сайте филиала, где используется RODC. Сервер RDSH размещен в корневом домене. Пользователи на сайте филиала относятся к дочернему домену и используют смарт-карты для проверки подлинности. Контроллер домена RODC настроен на кэширование паролей и принадлежит к группе с разрешением реплицировать пароли RODC. Когда пользователи пытаются выполнить вход в сеанс на сервере RDSH, они получают сообщение, например: «Неудачная попытка входа в систему. Указано неверное имя пользователя или другие неверные личные данные.»

Эта проблема связана с тем, как корневой контроллер домена и RDOC управляют шифрованием учетных данных пользователей. Корневой контроллер домена использует ключ шифрования, чтобы зашифровать учетные данные, а RODC предоставляет ключ расшифровки клиенту. Если пользователь получает ошибку «Недопустимо», значит два ключа не совпадают.

Чтобы решить эту проблему, выполните одно из указанных ниже действий:

Учтите, что эти решения предполагают наличие компромисса между производительностью и уровнем безопасности.

Пользователь не может войти на компьютер с Windows Server 2008 с пакетом обновления 2 (SP2) с помощью смарт-карты

Эта проблема возникает, когда пользователи выполняют вход в систему компьютера Windows Server 2008 с пакетом обновления 2 (SP2), на котором установлено обновление KB4093227 (2018.4B). Когда пользователи пытаются выполнить вход с помощью смарт-карты, они получают отказ в доступе с сообщениями, например: «Действительные сертификаты не найдены. Убедитесь, что эта карта вставлена правильно и плотно сидит в разъеме». В то же время на компьютере Windows Server регистрируется событие приложения с сообщением «При получении цифрового сертификата с вставленной смарт-карты произошла ошибка: неправильная подпись.»

Чтобы устранить эту проблему, обновите на компьютере ОС Windows Server до повторного выпуска 2018.06 B (обновление KB4093227). См. статью Description of the security update for the Windows Remote Desktop Protocol (RDP) denial of service vulnerability in Windows Server 2008: April 10, 2018 (Описание обновления системы безопасности для защиты протокола RDP в Windows от уязвимости службы в Windows Server 2008 (10 апреля 2018 г.).

Не удается оставаться в системе, вход в которую выполнен с помощью смарт-карты, и служба удаленных рабочих столов зависает

Эта проблема возникает, когда пользователи входят в систему компьютера Windows или Windows Server с обновлением KB4056446. Возможно, сначала пользователю удается войти в систему с помощью смарт-карты, но потом он получает сообщение об ошибке SCARD_E_NO_SERVICE. Удаленный компьютер может перестать отвечать.

Чтобы устранить эту проблему, перезапустите удаленный компьютер.

Чтобы устранить эту проблему, обновите систему на удаленном компьютере, установив соответствующее исправление:

Если удаленный компьютер заблокирован, пользователю нужно дважды ввести пароль

Эта проблема может возникать, когда пользователь пытается подключиться к удаленному рабочему столу под управлением Windows 10 версии 1709 в развертывании, где для подключений по протоколу RDP не требуется использовать NLA. Если в таком случае удаленный рабочий стол оказался заблокированным, пользователю нужно ввести свои учетные данные дважды при подключении.

Чтобы устранить эту проблему, обновите Windows 10 версии 1709 на соответствующем компьютере с использованием обновления за 30 августа 2018 г. — KB4343893 (ОС сборки 16299.637).

Пользователю не удается войти, при этом отображаются сообщения «Ошибка аутентификации» и «Защита CredSSP от атак с использованием криптографического оракула»

Когда пользователи пытаются войти с использованием любой версии Windows (начиная с Windows Vista с пакетом обновления 2 (SP2) или Windows Server 2008 с пакетом обновления 2 (SP2)), они получают отказ в доступе и такие сообщения:

Ошибка «Исправление шифрования CredSSP» ссылается на набор обновлений системы безопасности, выпущенный в марте, апреле и мае 2018 г. CredSSP — это поставщик проверки подлинности, который обрабатывает запросы проверки подлинности для других приложений. Обновление за 13 марта 2018 г., 3B и все последующие обновления подверглись эксплойту, когда злоумышленник мог передать учетные данные пользователя для выполнения кода в целевой системе.

В исходные обновления была добавлена поддержка нового объекта групповой политики «Защита от атак с использованием криптографического оракула», который может иметь следующие настройки:

Этот параметр не следует развертывать, пока все узлы поддержки в удаленном расположении не будут поддерживать последнюю версию.

В обновлении за 8 мая 2018 г. значение для параметра по умолчанию «Защита от атак с использованием криптографического оракула» изменилось с «Уязвимо» на «Устранено». После реализации этого изменения клиенты Удаленного рабочего стола, на которых были установлены обновления, не могут подключаться к серверам без этого обновления (или к обновленным серверам, которые еще не были перезапущены). Подробные сведения об обновлениях CredSSP см. в статье базы знаний KB4093492.

Чтобы устранить эту проблему, обновите и перезапустите все системы. Полный список обновлений и дополнительные сведения об уязвимостях см. в разделе CVE-2018-0886 | CredSSP Remote Code Execution Vulnerability (CVE-2018-0886 | Уязвимость CredSSP, допускающая удаленное выполнение кода).

Чтобы устранить эту проблему до завершения обновления, просмотрите список допустимых типов подключений в обновлении KB4093492. Если нет других осуществимых альтернатив, можете попробовать один из следующих методов:

Изменение этих групповых политик делает развертывание менее защищенным. Мы рекомендуем использовать их только временно (или вообще не использовать).

Дополнительные сведения о работе с групповой политикой см. в разделе Изменение блокирующего объекта групповой политики.

После обновления клиентских компьютеров некоторым пользователям приходится выполнять вход дважды

Если пользователи входят на Удаленный рабочий стол с помощью компьютера под управлением Windows 7 или Windows 10 версии 1709, им сразу же отображается запрос на повторный вход. Эта проблема возникает, если на клиентском компьютере установлены следующие обновления:

Чтобы устранить эту проблему, убедитесь, что на компьютерах, к которым подключаются пользователи, (а также серверы RDSH или RDVI) установлены все обновления в том числе за июнь 2018 г. К ним относятся следующие обновления:

Пользователям запрещается доступ к развертыванию, которое использует Remote Credential Guard с несколькими брокерами подключений к удаленному рабочему столу

Эта проблема возникает в развертываниях с высоким уровнем доступности, в которых используются не менее двух брокеров подключений к удаленному рабочему столу и Remote Credential Guard в Защитнике Windows. Пользователям не удается войти на удаленные рабочие столы.

Эта проблема связана с тем, что Remote Credential Guard использует Kerberos для проверки подлинности, а также запрещает использовать NTLM. Но в конфигурации с высоким уровнем доступности и балансировкой нагрузки брокеры подключений к удаленному рабочему столу не могут поддерживать операции Kerberos.

Если нужно использовать конфигурации с высоким уровнем доступности и балансировкой нагрузки брокеров подключений к удаленному рабочему столу, эту проблему можно устранить, отключив Remote Credential Guard. Дополнительные сведения об управлении Remote Credential Guard в Защитнике Windows см. в статье Protect Remote Desktop credentials with Windows Defender Remote Credential Guard (Защита учетных данных удаленного рабочего стола с помощью Remote Credential Guard в Защитнике Windows).

Источник

Настройка сетевых параметров — это один из первых шагов, с которых необходимо начинать настройку Windows Server 2016. Независимо от того, используете ли вы Windows Server с графическим интерфейсом (GUI) или Core версию, изменение IP-адреса, маски подсети, шлюза и DNS-серверов можно выполнить несколькими способами.

В данной статье вы увидите, как в Windows Server 2016 изменить основные сетевые параметры IPv4 для сетевых адаптеров вашей системы с помощи GUI, PowerShell, утилиты SConfig и командной строки.

Содержание:

• Настройка сетевых параметров с помощью графического интерфейса Windows
• Настройка сети с помощи PowerShell
• Настройка параметров сети с помощью инструмента SConfig
• Настройка сети из командной строки с помощью netsh

Настройка сетевых параметров с помощью графического интерфейса Windows

Итак, сам процесс настройки сети достаточно прост.

Щелкните правой кнопкой мыши по значку сети в области уведомлений, затем выберите пункт меню «Open Network and Sharing Center».

В открывшемся окне нажмите ссылку «Change adapter settings» в левой части окна, чтобы отобразить все сетевые адаптеры сервера.

Щелкните правой кнопкой мыши по сетевому адаптеру, настройки которого вы хотите изменить, затем выберите пункт меню «Properties».

В появившемся окне выделите строку «Internet Protocol Version 4 (TCP / IPv4)» и нажмите кнопку «Properties».

Затем следует переключится с автоматического типа настройки сети (через DHCP), активировав пункт «Use the following IP address» и ввести статический IP-адрес вашего сервера, маску подсети, шлюз, который будет использоваться по умолчанию, основной и альтернативный DNS-сервера.

Нажмите кнопку «OK», после этого все изменения будут сохранены. На этом процесс настройки завершен.

Настройка сети с помощи PowerShell

Для того чтобы изменить настройки конкретного адаптера вам необходимо сначала определить индекс этого интерфейса (InterfaceIndex). Сделать это можно при помощи команды Get-NetIPConfiguration. После ввода команды на экране появятся текущие настройки всех сетевых адаптеров. Обратите внимание на значение строки «InterfaceIndex».

С помощью команды Get-NetAdapter можно получить информацию о состоянии сетевых интерфейсов сервера. Обратите внимание на значение столбца «ifIndex».

Для того, чтобы установить статический IP-адрес, маску подсети и шлюз по умолчанию для интерфейса с индексом 2, выполните следующую команду PowerShell:

New-NetIPAddress -InterfaceIndex 2 -IPAddress 192.168.2.100 -PrefixLength 24 -DefaultGateway 192.168.2.1

Чтобы указать основной и альтернативный DNS-сервера, необходимо воспользоваться командой:

Set-DnsClientServerAddress

Пример команды представлен ниже:

Set-DnsClientServerAddress -InterfaceIndex 2 -ServerAddresses 192.168.2.10, 192.168.2.11

После всех изменений можно убедиться в корректности указанных вами сетевых настроек, для этого воспользуйтесь уже известной нам командой:

Get-NetIPConfiguration

Настройка параметров сети с помощью инструмента SConfig

Существует еще один способ изменения сетевых параметров – при помощи утилиты SConfig. Для запуска этой утилиты необходимо открыть PowerShell и ввести команду SConfig, после чего нажать «Enter».

Для входа в меню «Network Settings» введите цифру 8. Далее необходимо будет ввести индекс сетевого адаптера, настройки которого вы хотите поменять.

Затем, для установки статического IP-адреса, маски подсети, шлюза по умолчанию и DNS-серверов необходимо воспользоваться пунктами меню 1 — Set Network Adapter Address и 2 — Set DNS Servers. Я не буду описывать эту часть очень подробно т.к. весь интерфейс очень прост и интуитивно понятен.

Настройка сети из командной строки с помощью netsh

Для настройки сетевых параметров сервера при помощи командной строки Windows, воспользуемся командой netsh.

Сначала нам потребуется узнать имя сетевого адаптера, параметры которого нужно настроить. Введем команду:

netsh interface ipv4 show config

В нашем случае это Ethernet0.

Чтобы изменить IP-адрес, маску подсети и шлюз по умолчанию выполните следующую команду

netsh interface ipv4 set address name = "INTERFACE_NAME" static IP_ADDRESS SUBNET_MASK GATEWAY

Пример команды:

netsh interface ipv4 set address name = "Ethernet0" static 192.168.1.22 255.255.255.0 192.168.1.1

Формат команды для настройки основного DNS-сервера:

netsh interface ipv4 set dns name = "INTERFACE_NAME" static DNS_SERVER

Например:

netsh interface ipv4 set dns name = "Ethernet0" static 192.168.1.10

Чтобы настроить альтернативный DNS-сервер, нужно в команде использовать ключ index, определяющий приоритет данного DNS сервера:

netsh interface ipv4 set dns name = "INTERFACE_NAME" static DNS_SERVER index = 2

Например:

netsh interface ipv4 set dns name = "Ethernet0" static 192.168.1.11 index = 2

На этом настройка IP параметров сетевой карты сервера завершена. Чтобы проверить правильность сделанных настроек воспользуйтесь командой:

netsh interface ipv4 show config