Phenquestions
Când vă conectați la o rețea de domeniu sau la o rețea de companie, atunci Paravanul de protecție Windows trece la un profil de domeniu. Profilul se aplică rețelelor în care sistemul gazdă se poate autentifica la un controler de domeniu. Celelalte două profiluri sunt private și publice. Acum se poate întâmpla ca atunci când vă conectați la un domeniu, profilul Windows Firewall să nu treacă întotdeauna la Domeniu. De obicei, apare atunci când utilizați un client de rețea privată virtuală terță parte (VPN) pentru a vă conecta la o rețea de domeniu. În acest post, vom oferi o soluție care se va asigura că paravanul de protecție Windows schimbă profilul în această situație.
Paravanul de protecție Windows nu recunoaște rețeaua de domeniu
Se poate întâmpla ca profilul dvs. Windows Firewall să nu treacă întotdeauna la Domeniu atunci când utilizați un client VPN terță parte. Motivul din spatele eșecului în schimbarea profilului de domeniu este decalajul de timp pentru unii clienți VPN terți. Întârzierea apare atunci când clientul adaugă rutele necesare în rețeaua de domenii. VPN-urile schimbă adresa IP de fiecare dată când treceți la un server nou sau când creați o nouă conexiune. Ca soluție permanentă, Microsoft recomandă ca rețelele VPN să utilizeze API-uri de apel invers pentru a adăuga rute de îndată ce adaptorul VPN ajunge la Windows. Acestea sunt cele trei API pe care un VPN ar trebui să le utilizeze pentru Windows.
- NotifyUnicastIpAddressChange: Alertează apelanții cu privire la orice modificare a oricărei adrese IP, inclusiv modificări în starea DAD.
- NotifyIpInterfaceChange: Înregistrează un apel invers pentru notificarea modificărilor la toate interfețele IP.
- NotifyAddrChanget: Notifică utilizatorul despre modificările adresei.
Soluție pentru a comuta firewall-ul la profilul de domeniu
Dacă VPN-ul dvs. nu oferă astfel de caracteristici și nu puteți trece la un VPN diferit, atunci iată o soluție. Dvs. sau administratorul IT puteți alege să dezactivați memoria cache negativă pentru a ajuta serviciul NLA atunci când reîncearcă detectarea domeniului.
Dacă trebuie să creați oricare dintre aceste chei, faceți clic dreapta pe orice panou corespunzător și selectați nou și apoi tipul de chei. Aici aveți nevoie de clic dreapta pe panoul din dreapta și apoi selectați DWORD nou.
Adăugați sau modificați perioada de cache negativă
Dezactivați cache-ul negativ pentru descoperirea domeniului adăugând NegativeCachePeriod cheie de registry pentru următoarea subcheie
- Deschideți Registry Editor și navigați la următoarea cheie:
HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Services \ NetLogon \ Parameters
- Schimbați sau creați următorul DWORD cu valoarea sugerată
- Nume: NegativeCachePeriod
- Tip: REG_DWORD
- Date despre valoare:0
Valoarea implicită a memoriei cache negative este de 45 de secunde. Setarea la zero va dezactiva stocarea în cache.
Adăugați sau modificați cache-ul negativ maxim TTL
Dacă problema nu este încă rezolvată, pasul următor este dezactivarea cache-ului DNS. Puteți realiza acest lucru adăugând MaxNegativeCacheTtl cheie de registru.
- Deschideți Editorul registrului
- Navigați la următoarea cale:
HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Services \ Dnscache \ Parameters
- Schimbați sau creați următorul DWORD cu valoarea sugerată
- Nume:MaxNegativeCacheTtl
- Tip: REG_DWORD
- Date de valoare: 0
Valoarea implicită a memoriei cache negative maxime este de cinci secunde. Când îl setați la zero, va dezactiva stocarea în cache.
Sper că soluția a ajutat profilul Firewall-ului Windows să treacă la profilul de domeniu atunci când utilizați un client VPN terță parte. Cu excepția cazului în care clientul VPN acceptă API-ul de apel invers pentru a notifica modificările, modificările din registru ar trebui să vă ajute.
