Gdy łączysz się z siecią domeny lub siecią firmową, Zapora systemu Windows^{(Windows Firewall)} przełącza się na profil domeny. Profil dotyczy sieci, w których system hosta może uwierzytelniać się na kontrolerze domeny. Pozostałe dwa profile są prywatne i publiczne. Teraz może się tak zdarzyć, że po połączeniu się z domeną profil Zapory systemu Windows^{(Windows Firewall)} nie zawsze przełącza się na Domena^(Domain) . Zwykle występuje, gdy używasz klienta wirtualnej sieci prywatnej^{(third-party virtual private network)} ( VPN ) innej firmy do łączenia się z siecią domeny. W tym poście zaproponujemy rozwiązanie, które sprawi, że Zapora systemu Windows^{(Windows Firewall)} przełączy profil w takiej sytuacji.

Zapora systemu Windows^{(Windows Firewall)} nie rozpoznaje sieci domeny^(Domain)

Może się zdarzyć, że profil Zapory systemu Windows^{(Windows Firewall)} nie zawsze przełącza się na domenę, gdy używasz klienta VPN innej firmy. ^(VPN)Powodem niepowodzenia w zmianie profilu domeny jest opóźnienie w niektórych klientach VPN innych firm. Opóźnienie występuje, gdy klient dodaje niezbędne trasy do sieci domeny. Sieci VPN^(VPNs) zmieniają adres IP za każdym razem, gdy przełączasz się na nowy serwer lub gdy nawiązujesz nowe połączenie. Jako stałe rozwiązanie firma Microsoft zaleca, aby sieci VPN^(VPNs) używały interfejsów API^(APIs) wywołań zwrotnych w celu dodawania tras, gdy tylko karta VPN dotrze do systemu Windows^(Windows) . Oto trzy API , któreVPN powinien używać dla Windows .

• NotifyUnicastIpAddressChange : ostrzega wywołujących o wszelkich zmianach dowolnego adresu IP, w tym o zmianach stanu DAD .
• NotifyIpInterfaceChange : rejestruje wywołanie zwrotne w celu powiadomienia o zmianach we wszystkich interfejsach IP.
• NotifyAddrChanget : Powiadamia użytkownika o zmianach adresu.

Obejście polegające na przełączeniu zapory na profil domeny^{(Workaround to switch Firewall to Domain Profile)}

Jeśli Twoja sieć VPN^(VPN) nie oferuje takich funkcji i nie możesz przełączyć się na inną sieć VPN^(VPN) , oto rozwiązanie. Ty lub administrator IT możecie zdecydować się na wyłączenie negatywnej pamięci podręcznej, aby pomóc usłudze NLA po ponownym wykryciu domeny.

Jeśli chcesz utworzyć dowolny z tych kluczy, kliknij prawym przyciskiem myszy odpowiedni panel i wybierz nowy, a następnie typ kluczy. Tutaj musisz kliknąć prawym przyciskiem myszy w prawym okienku, a następnie wybrać nowy DWORD .

Dodaj lub zmień okres ujemnej pamięci podręcznej^{(Add or change Negative Cache Period)}

Wyłącz ujemną pamięć podręczną odnajdywania domeny^{(Domain Discovery)} , dodając klucz rejestru NegativeCachePeriod do następującego podklucza^{(NegativeCachePeriod)}

• Otwórz Edytor rejestru i przejdź do następującego klucza:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NetLogon\Parameters

• Zmień lub utwórz następujący DWORD z sugerowaną wartością
  • Nazwa: NegativeCachePeriod
  • Wpisz:  REG_DWORD
  • Dane wartości:  0

Domyślna wartość ujemnej pamięci podręcznej to 45 sekund. Ustawienie go na zero spowoduje wyłączenie buforowania.

Dodaj lub zmień maksymalne ujemne TTL pamięci podręcznej^{(Add or change the Max Negative Cache TTL)}

Jeśli problem nadal nie zostanie rozwiązany, następnym krokiem jest wyłączenie buforowania DNS . Możesz to osiągnąć, dodając  klucz rejestru MaxNegativeCacheTtl .

• Otwórz Edytor rejestru
• Przejdź do następującej ścieżki:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Dnscache\Parameters

• Zmień lub utwórz następujący DWORD z sugerowaną wartością
  • Nazwa:  MaxNegativeCacheTtl
  • Wpisz :  REG_DWORD
  • Dane wartości :  0

Domyślna wartość maksymalnej ujemnej pamięci podręcznej to pięć sekund. Gdy ustawisz go na zero , wyłączy buforowanie.

Mam nadzieję, że obejście pomogło profilowi ​​Zapory systemu Windows^{(Windows Firewall)} przełączyć się na profil domeny^(Domain) podczas korzystania z klienta VPN innej firmy. O ile Twój klient VPN nie obsługuje ^(VPN)interfejsu API^(API) wywołania zwrotnego do powiadamiania o zmianach, zmiany w Rejestrze^(Registry) powinny pomóc.

Windows Firewall not recognizing Domain network on Windows 10

When you connect to a domain network or a company netwоrk, then Windows Firewall switches to a domain profile. The profile applies to networks where the host system can authenticate to a domain controller. The other two profiles are private and public. Now it may so happen that when you connect to a domain, the Windows Firewall profile does not always switch to Domain. It usually occurs when you are using a third-party virtual private network (VPN) client to connect to a domain network. In this post, we will offer a solution that will make sure the Windows Firewall switches the profile in this situation.

Windows Firewall not recognizing Domain network

It may happen that your Windows Firewall profile does not always switch to Domain when you use a third-party VPN client. The reason behind the failure in changing to domain profile is the time lag in some third-party VPN clients. The delay occurs when the client adds the necessary routes to the domain network. VPNs change the IP address every time you switch to a new server or when you make a new connection. As a permanent solution, Microsoft recommends that the VPNs use callback APIs to add routes as soon as the VPN adapter arrives at Windows. These are the three API that a VPN should use for Windows.

• NotifyUnicastIpAddressChange: Alerts callers of any changes to any IP address, including changes in DAD state.
• NotifyIpInterfaceChange: Registers a callback for notification of changes to all IP interfaces.
• NotifyAddrChanget: Notifies the user about address changes.

Workaround to switch Firewall to Domain Profile

If your VPN doesn’t offer such features, and you cannot switch to a different VPN, then here is a workaround. You or the IT admin can choose to disable negative cache to help the NLA service when it retries domain detection.

If you need to create any of these keys, right-click on any the appropriate pane, and select new and then the type of keys. Here you need right-click on the right pane and then select new DWORD.

Add or change Negative Cache Period

Disable Domain Discovery negative cache by adding the NegativeCachePeriod registry key to the following subkey

• Open Registry Editor and navigate to the following key:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NetLogon\Parameters

• Change or create the following DWORD with the suggested value
  • Name: NegativeCachePeriod
  • Type: REG_DWORD
  • Value Data: 0

The default value of the negative cache is 45 seconds. Setting it to zero will disable caching.

Add or change the Max Negative Cache TTL

If the issue is still not resolved, the next step is to disable DNS caching. You can achieve this by adding the MaxNegativeCacheTtl registry key.

• Open Registry Editor
• Navigate to the following path:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Dnscache\Parameters

• Change or create the following DWORD with the suggested value
  • Name: MaxNegativeCacheTtl
  • Type: REG_DWORD
  • Value Data: 0

The default value of the max negative cache is five seconds. When you set it to zero, it will disable caching.

I hope the workaround helped Windows Firewall profile to switch to Domain profile when you use a third-party VPN client.  Unless your VPN client supports the callback API to notify about change, the Registry changes should help.

Related posts

• Zapora systemu Windows blokuje lub blokuje połączenia z komputerem

• Jak przywrócić lub zresetować ustawienia Zapory systemu Windows do wartości domyślnych

• Jak używać polecenia Netsh do zarządzania Zaporą systemu Windows?

• Jak zablokować lub otworzyć port w Zaporze systemu Windows?

• Jak zezwolić na pingi (żądania ICMP Echo) przez Zaporę systemu Windows?

• 5 powodów, dla których zapora systemu Windows jest jedną z najlepszych zapór

• Zapora sprzętowa a zapora programowa — różnica

• Jak edytować listę dozwolonych aplikacji w Zaporze Windows Defender (i blokować inne)

• Przegląd zapory i narzędzia do monitorowania sieci Glasswire

• Najlepsze darmowe oprogramowanie zapory dla systemu Windows 11/10 Recenzja, pobieranie

• Zapora systemu Windows nie może zmienić niektórych ustawień

• Czy potrzebujesz zapory innej firmy na komputerach Mac i Windows?

• Proste pytania: Co to jest Zapora systemu Windows i jak ją włączyć lub wyłączyć?

• Napraw nie można się skontaktować z kontrolerem domeny Active Directory

• Napraw Usługi domenowe Active Directory są obecnie niedostępne

• Jak wyłączyć zaporę systemu Windows 10?

• Co to jest zapora i ochrona sieci w systemie Windows 10 i jak ukryć tę sekcję

• Czy potrzebujesz zapory dla urządzenia z Androidem?

• Jak obejść zaporę sieciową w szkole lub miejscu pracy

• Zamknięty port kontra Stealth Port - omówiono różnicę