阻止 Windows NLA 反复将本地网络检测为新的未识别网络

方法 1

我在维护的一个环境中处理关键 Windows Server 系统上此问题的一种方法是使用批处理脚本，该脚本使用设置 NetConnectionProfile和网络管理员，并明确将机器上的每个受信任的 NIC/适配器设置为私人的在系统启动和任务计划程序使用 Run whether user is logged on or not和Run with highest privileges选项。

笔记：虽然悬赏通知上写着“该解决方案不得导致网络连接中断，以便实施“我想说的是，由于发生此问题时无论如何都会出现网络中断，因此，如果在系统未重新启动时随机发生此问题，则只需运行此相同脚本即可快速解决问题并使操作系统机器网络访问恢复正常工作和预期顺序。

此外，您还可以使用获取 NetConnectionProfile获取 NIC 别名和索引号，以便放入下面的示例批处理脚本中，以满足您的需求和/或系统。

批处理脚本

@ECHO ON

::: The below PowerShell will set all the nework adapters to private rather than public and unknown as happens.
:DynamicPSScriptBuild
SET PSScript=%temp%\%~n0.ps1
IF EXIST "%PSScript%" DEL /Q /F "%PSScript%"
ECHO Set-NetConnectionProfile -InterfaceIndex 12 -NetworkCategory Private>>"%PSScript%" 
ECHO Set-NetConnectionProfile -InterfaceIndex 20 -NetworkCategory Private>>"%PSScript%" 
ECHO Set-NetConnectionProfile -InterfaceIndex 22 -NetworkCategory Private>>"%PSScript%" 
ECHO Set-NetConnectionProfile -InterfaceIndex 24 -NetworkCategory Private>>"%PSScript%"

:PowerShell
SET PowerShellDir=C:\Windows\System32\WindowsPowerShell\v1.0
CD /D "%PowerShellDir%"
Powershell -ExecutionPolicy Bypass -Command "& '%PSScript%'"

:: The below will disable and then re-enable each NIC one-by-one so the unidentfied goes away after set to "private" above
:ResetNICs
SET Array="Ethernet", "Ethernet 2", "Ethernet 3", "Ethernet 4"
FOR %%A IN (%Array%) DO (
    netsh int set int "%%~A" admin=disable
    netsh int set int "%%~A" admin=enable
)
EXIT

下面是其他几种方法，其中一种是您已经尝试过的方法，但我把它留在那里，以便其他人看到这篇文章，以防他们有所帮助，但这些方法也许可以完全防止这种情况发生，但无论你选择使用什么方法，总会有优点和缺点，所以请选择你的毒药并进行相应的测试。

方法 2（多种方法）

未识别网络 - 从公共网络移至私有网络或域

如果 NLA 无法确定连接位置，它会将其命名为“未识别”并将该位置标记为公共。它之所以选择公共，是因为这是最安全的，如果连接在 DMZ 上，您肯定不希望出现更差的情况。

有两种简单的方法可以解决这个问题。一种方法是使用本地安全策略来更改未识别网络的默认位置。第二种方法是更改​​网络连接属性，以便为 NLA 提供正确放置位置所需的信息。

使用本地安全策略

警告： 仅当计算机永远不会与公共 LAN 建立任何连接时才应使用此选项。否则，您将面临将不太安全的防火墙配置文件应用于公共连接的风险。

1. 打开 ”本地安全策略“。

2. 点击 ”网络列表管理器政策“在左侧窗格中。 （此选项在旧版本的 Windows 中被隐藏。）

3. 双击“未识别网络" 在右侧窗格中。

4. 对于只存在于私有网络中的计算机，可以设置“位置类型“ 到 ”私人的“。

   

使用网络连接属性

这不是关于添加网关 IP，因为这在多宿主服务器上无法正常工作。相反，我们将添加 DNS 后缀，以便 NLA 可以正确定位域控制器，这就是它知道将该位置标记为“域网络”的方式。

1. 去网络连接（从网络和共享中心，单击“更改适配器设置”。）

2. 前往财产一个网络连接标记为“未确认“但在私有局域网上。

3. 前往IPv4 的属性。

4. 点击 ”先进的...“ 按钮。

5. 选择DNS标签。

6. 在“此连接的 DNS 后缀：“。

禁用然后启用连接以使 NLA 重新识别位置。启用连接后，状态应更改为域名，网络类别应更改为“域网络”。根据您的设置，您可能只需要“修复”一个连接即可让所有相关连接看到域。

从私有变为公共

强制 NLA 将连接标记为公共连接有两种常见方法。一种是使用防火墙规则阻止 NLA，使其别无选择，只能使用默认位置。另一种是使用注册表禁用连接上的 NLA。

使用防火墙

我还没有测试过，但这个理论似乎合理。

1. 打开 ”高级安全 Windows 防火墙“ （IE wf.msc）。

2. 去出站规则。

3. 点击 ”新规则……”。

4. 使用这些设置：

   • 规则类型： 风俗
   • 程序：选择“所有程序”，然后点击“自定义…”。选择“网络位置感知”（简称为 NlaSvc）。
   • 协议和端口： 协议类型 = 任意。
   • 范围： 本地 IP = 输入所有公共 IP。仔细检查是否有多个 IP 连接。
   • 行动： 堵塞
   • 轮廓：全部

5. 一旦启用规则，禁用然后启用网络连接以让 NLA 重新识别位置。

使用注册表

我没有遇到过这种情况，但我的情况可能与你不同。找到正确的连接号有点困难，因为条目比你预期的要多得多。

1. 运行 regedit

2. 去HKLM\SYSTEM\CurrentControlSet\Control\Class\{4D36E972-E325-11CE-BFC1-08002BE10318}

3. 在下面您应该看到几个标有 0000、0001、0002 等的键...查看这些键并找到您想要禁用 NLA 的适配器。

4. 对于每个适配器，添加一个名为“*NdisDeviceType”的新 DWORD 值并将其设置为 1（确保名称以 * 开头）。

变得激烈

位置配置文件位于注册表中，删除它们并让 Windows 重建它们似乎无害。您肯定会希望先备份注册表，并且您可能需要通过 KVM 而不是远程 (RDP) 连接到服务器。如果您选择此步骤，我不会承担任何责任，因为我主要将其放在这里以供参考。

配置文件的位置是：

HKLM\Software\Microsoft\Windows NT\CurrentVersion\NetworkList\Profiles

_来源

我只在一个特定系统上不断遇到这个问题。每次重启都会破坏一切。我尝试了您提到的所有解决方案。在用尽所有其他方法后，我决定禁用“网络位置感知”服务。据我所知，它不需要。这永久解决了我的问题。我注意到的唯一副作用是“网络和共享中心”窗口看起来很奇怪。这项服务在 Windows 7 之前并不存在，对我来说根本没用。

服务管理器

“网络位置感知”，启动类型 = “已禁用”