Op een kaal geinstalleerde Windows 11 machine werkt Hyper-V prima. Virtuele machines kunnen via de Hyper-V NAT switch communiceren naar de buitenwereld.
Als ik een essentiele beveiliging aanzet via Intune:
• Public Networks: Allow Local Policy Merge - False
Dan:
• Windows 11 21H2: Werkt prima
• Windows 11 22H2: VM krijgt geen DHCP IP adres van de NAT switch
• Windows 11 23H2: VM krijgt geen DHCP IP adres van de NAT switch
Tenzij de volgende firewall rules met Intune worden uitgerold:
• HNS Container Networking - DNS (UDP-In)
• HNS Container Networking - ICS DNS (TCP-In)
• Allow DHCP
Met deze firewall rules werkt Hyper-V NAT weer op 22H2 en 23H2.
Onze Intune omgeving is geen zakelijke omgeving, maar die van ons gezin. Vooral de kinderen kunnen weleens shady sites met malware bezoeken. Dus de volgende beveiliging ben ik aan het testen:
• Application Guard - Enabled for Edge
Als de bovenstaande firewall rules zijn geconfigureerd, dan:
• Windows 11 21H2: Werkt prima
• Windows 11 22H2: VM krijgt wel een IP adres, maar kan niet met de DNS van de NAT switch babbelen, wel op IP adres dingen doen
• Windows 11 23H2: VM krijgt wel een IP adres, maar kan niet met de DNS van de NAT switch babbelen, wel op IP adres dingen doen
Op een VM een externe DNS server zoals 1.1.1.1 configureren maakt dat de VM weer volledig werkt. Of Application Guard uitzetten, dan werkt de Hyper-V built-in DNS ook weer prima en hoef je geen externe DNS te configureren.
Het is dus duidelijk dat Application Guard iets kapot maakt aan de interne NAT switch voor Hyper-V. Welke (firewall?) rule kan ik via Intune uitrollen zodat zowel de Hyper-V NAT switch als Application Guard samen kunnen werken waarbij VMs gewoon gebruik kunnen maken van de Hyper-V NAT DNS?
Wellicht ten overvloede, als ik het volgende instel:
• Public Networks: Allow Local Policy Merge - True
Dan werkt de DNS op Hyper-V NAT switch weer als tegelijkertijd Application Guard is uitgerold.
Als ik een essentiele beveiliging aanzet via Intune:
• Public Networks: Allow Local Policy Merge - False
Dan:
• Windows 11 21H2: Werkt prima
• Windows 11 22H2: VM krijgt geen DHCP IP adres van de NAT switch
• Windows 11 23H2: VM krijgt geen DHCP IP adres van de NAT switch
Tenzij de volgende firewall rules met Intune worden uitgerold:
• HNS Container Networking - DNS (UDP-In)
• HNS Container Networking - ICS DNS (TCP-In)
• Allow DHCP
Met deze firewall rules werkt Hyper-V NAT weer op 22H2 en 23H2.
Onze Intune omgeving is geen zakelijke omgeving, maar die van ons gezin. Vooral de kinderen kunnen weleens shady sites met malware bezoeken. Dus de volgende beveiliging ben ik aan het testen:
• Application Guard - Enabled for Edge
Als de bovenstaande firewall rules zijn geconfigureerd, dan:
• Windows 11 21H2: Werkt prima
• Windows 11 22H2: VM krijgt wel een IP adres, maar kan niet met de DNS van de NAT switch babbelen, wel op IP adres dingen doen
• Windows 11 23H2: VM krijgt wel een IP adres, maar kan niet met de DNS van de NAT switch babbelen, wel op IP adres dingen doen
Op een VM een externe DNS server zoals 1.1.1.1 configureren maakt dat de VM weer volledig werkt. Of Application Guard uitzetten, dan werkt de Hyper-V built-in DNS ook weer prima en hoef je geen externe DNS te configureren.
Het is dus duidelijk dat Application Guard iets kapot maakt aan de interne NAT switch voor Hyper-V. Welke (firewall?) rule kan ik via Intune uitrollen zodat zowel de Hyper-V NAT switch als Application Guard samen kunnen werken waarbij VMs gewoon gebruik kunnen maken van de Hyper-V NAT DNS?
Wellicht ten overvloede, als ik het volgende instel:
• Public Networks: Allow Local Policy Merge - True
Dan werkt de DNS op Hyper-V NAT switch weer als tegelijkertijd Application Guard is uitgerold.