Когда вы подключаетесь к сети домена или сети компании, брандмауэр Windows^{(Windows Firewall)} переключается на профиль домена. Профиль применяется к сетям, в которых хост-система может аутентифицироваться на контроллере домена. Два других профиля являются частными и общедоступными. Теперь может так случиться, что при подключении к домену профиль Брандмауэра Windows^{(Windows Firewall)} не всегда переключается на Домен^(Domain) . Обычно это происходит, когда вы используете сторонний клиент виртуальной частной сети^{(third-party virtual private network)} ( VPN ) для подключения к доменной сети. В этом посте мы предложим решение, которое гарантирует, что брандмауэр Windows^{(Windows Firewall)} переключит профиль в этой ситуации.

Брандмауэр Windows^{(Windows Firewall)} не распознает доменную^(Domain) сеть

Может случиться так, что ваш профиль брандмауэра Windows^{(Windows Firewall)} не всегда переключается на домен, когда вы используете сторонний VPN - клиент. Причиной сбоя при изменении профиля домена является задержка во времени в некоторых сторонних VPN - клиентах. Задержка возникает, когда клиент добавляет нужные маршруты в доменную сеть. VPN^(VPNs) меняют IP-адрес каждый раз, когда вы переключаетесь на новый сервер или когда вы устанавливаете новое соединение. В качестве постоянного решения Microsoft рекомендует, чтобы VPN^(VPNs) использовали API^(APIs) -интерфейсы обратного вызова для добавления маршрутов, как только адаптер VPN прибывает в Windows . Это три API , которыеVPN следует использовать для Windows .

• NotifyUnicastIpAddressChange : предупреждает вызывающих абонентов о любых изменениях любого IP-адреса, включая изменения в состоянии DAD .
• NotifyIpInterfaceChange : регистрирует обратный вызов для уведомления об изменениях всех IP-интерфейсов.
• NotifyAddrChanget : уведомляет пользователя об изменении адреса.

Обходной путь для переключения брандмауэра на профиль домена^{(Workaround to switch Firewall to Domain Profile)}

Если ваша VPN не предлагает таких функций и вы не можете переключиться на другую VPN , то вот обходной путь. Вы или ИТ-администратор можете отключить отрицательный кеш, чтобы помочь службе NLA при повторной попытке обнаружения домена.

Если вам нужно создать любой из этих ключей, щелкните правой кнопкой мыши на любой соответствующей панели и выберите новый, а затем тип ключей. Здесь вам нужно щелкнуть правой кнопкой мыши на правой панели, а затем выбрать новый DWORD .

Добавить или изменить отрицательный период кэширования^{(Add or change Negative Cache Period)}

Отключите отрицательный кеш обнаружения домена^{(Domain Discovery)} , добавив раздел реестра NegativeCachePeriod в следующий подраздел.^{(NegativeCachePeriod)}

• Откройте редактор реестра и перейдите к следующему ключу:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NetLogon\Parameters

• Измените или создайте следующий DWORD с предложенным значением
  • Имя: Негативкачепериод^{( NegativeCachePeriod)}
  • Тип:  REG_DWORD
  • Значение данных:  0

Значение по умолчанию отрицательного кеша составляет 45 секунд. Если установить его равным нулю, кэширование будет отключено.

Добавьте или измените максимальный отрицательный срок жизни кэша.^{(Add or change the Max Negative Cache TTL)}

Если проблема все еще не решена, следующим шагом будет отключение кэширования DNS . Этого можно добиться, добавив  ключ реестра MaxNegativeCacheTtl .

• Откройте редактор реестра
• Перейдите по следующему пути:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Dnscache\Parameters

• Измените или создайте следующий DWORD с предложенным значением
  • Имя:  Макснегативекачеттл^{( MaxNegativeCacheTtl)}
  • Тип :  REG_DWORD
  • Значение данных :  0

Значение по умолчанию максимального отрицательного кеша составляет пять секунд. Когда вы установите его равным нулю , кэширование будет отключено.

Я надеюсь, что обходной путь помог профилю брандмауэра Windows^{(Windows Firewall)} переключиться на профиль домена^(Domain) , когда вы используете сторонний VPN - клиент. Если ваш VPN -клиент не поддерживает API обратного вызова для уведомления об изменении, изменения реестра^(Registry) должны помочь.

Windows Firewall not recognizing Domain network on Windows 10

When you connect to a domaіn network or a company network, then Windows Firewall switches to a domain profile. The profile applies to networks where the host system can authenticate to a domain controller. The other two profiles are private and public. Now it may so happen that when you connect to a domain, the Windows Firewall profile does not always switch to Domain. It usually occurs when you are using a third-party virtual private network (VPN) client to connect to a domain network. In this post, we will offer a solution that will make sure the Windows Firewall switches the profile in this situation.

Windows Firewall not recognizing Domain network

It may happen that your Windows Firewall profile does not always switch to Domain when you use a third-party VPN client. The reason behind the failure in changing to domain profile is the time lag in some third-party VPN clients. The delay occurs when the client adds the necessary routes to the domain network. VPNs change the IP address every time you switch to a new server or when you make a new connection. As a permanent solution, Microsoft recommends that the VPNs use callback APIs to add routes as soon as the VPN adapter arrives at Windows. These are the three API that a VPN should use for Windows.

• NotifyUnicastIpAddressChange: Alerts callers of any changes to any IP address, including changes in DAD state.
• NotifyIpInterfaceChange: Registers a callback for notification of changes to all IP interfaces.
• NotifyAddrChanget: Notifies the user about address changes.

Workaround to switch Firewall to Domain Profile

If your VPN doesn’t offer such features, and you cannot switch to a different VPN, then here is a workaround. You or the IT admin can choose to disable negative cache to help the NLA service when it retries domain detection.

If you need to create any of these keys, right-click on any the appropriate pane, and select new and then the type of keys. Here you need right-click on the right pane and then select new DWORD.

Add or change Negative Cache Period

Disable Domain Discovery negative cache by adding the NegativeCachePeriod registry key to the following subkey

• Open Registry Editor and navigate to the following key:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NetLogon\Parameters

• Change or create the following DWORD with the suggested value
  • Name: NegativeCachePeriod
  • Type: REG_DWORD
  • Value Data: 0

The default value of the negative cache is 45 seconds. Setting it to zero will disable caching.

Add or change the Max Negative Cache TTL

If the issue is still not resolved, the next step is to disable DNS caching. You can achieve this by adding the MaxNegativeCacheTtl registry key.

• Open Registry Editor
• Navigate to the following path:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Dnscache\Parameters

• Change or create the following DWORD with the suggested value
  • Name: MaxNegativeCacheTtl
  • Type: REG_DWORD
  • Value Data: 0

The default value of the max negative cache is five seconds. When you set it to zero, it will disable caching.

I hope the workaround helped Windows Firewall profile to switch to Domain profile when you use a third-party VPN client.  Unless your VPN client supports the callback API to notify about change, the Registry changes should help.

Related posts

• Windows Firewall предотвращает или блокируют соединения с вашим компьютером

• Как восстановить или сбросить настройки Windows Firewall по умолчанию

• Как использовать Netsh Command для управления Windows Firewall

• Как Block или Открыть Port в Windows Firewall

• Как разрешить Pings (запросы ICMP Echo) через Windows Firewall

• Закрыто Port vs Stealth Port - разница обсуждается

• Как настроить и настроить настройки Router Firewall

• Безопасность для всех - обзор ZoneAlarm Free Antivirus + Firewall

• Hardware firewall VS Software Брандмауэр - разница

• Tinywall позволяет затвердеть и управлять брандмауэром Windows 10

• Windows Firewall не может изменить некоторые ваши настройки

• Простые вопросы: что такое брандмауэр Windows и как его включить или выключить?

• Нужен ли вам сторонний брандмауэр на Mac и Windows?

• ZoneAlarm Free Firewall для Windows 10

• Настройте правила и настройки брандмауэра Windows 10

• Как настроить Auto-Login для Windows 10 Domain or Workgroup PC

• Fix Unable до Activate Windows Defender Firewall

• Включить или Off Windows Defender Firewall Notifications в Windows 10

• Исправить доменные службы Active Directory в настоящее время недоступны

• Исправить брандмауэр Windows не может изменить некоторые из ваших настроек Ошибка 0x80070424