Когато се свържете с мрежа на домейн или фирмена мрежа, защитната стена на Windows^{(Windows Firewall)} преминава към профил на домейн. Профилът се прилага за мрежи, където хост системата може да се удостовери за контролер на домейн. Другите два профила са частни и публични. Сега може да се случи така, че когато се свържете с домейн, профилът на защитната стена на Windows^{(Windows Firewall)} не винаги преминава към Domain . Обикновено се случва, когато използвате клиент за виртуална частна мрежа ( VPN ) на ^(VPN)трета страна^{(third-party virtual private network)} , за да се свържете с мрежа на домейн. В тази публикация ще предложим решение, което ще гарантира, че защитната стена на Windows^{(Windows Firewall)} превключва профила в тази ситуация.

Защитната стена на Windows^{(Windows Firewall)} не разпознава мрежата на домейна^(Domain)

Може да се случи, че вашият профил на защитната стена на Windows^{(Windows Firewall)} не винаги се превключва на домейн, когато използвате VPN клиент на трета страна. Причината за неуспеха при промяната към профил на домейн е забавянето във времето при някои VPN клиенти на трети страни. Закъснението възниква, когато клиентът добави необходимите маршрути към мрежата на домейна. VPN мрежите^(VPNs) променят IP адреса всеки път, когато преминете към нов сървър или когато направите нова връзка. Като постоянно решение, Microsoft препоръчва VPN мрежите^(VPNs) да използват API^(APIs) за обратно извикване , за да добавят маршрути веднага щом VPN адаптерът пристигне в Windows . Това са трите API , които aVPN трябва да се използва за Windows .

• NotifyUnicastIpAddressChange : Предупреждава обаждащите се за всякакви промени в който и да е IP адрес, включително промени в състоянието на DAD .
• NotifyIpInterfaceChange : Регистрира обратно извикване за уведомяване за промени във всички IP интерфейси.
• NotifyAddrChanget : Уведомява потребителя за промени в адреса.

Заобиколно решение за превключване на защитната стена към профил на домейн^{(Workaround to switch Firewall to Domain Profile)}

Ако вашият VPN не предлага такива функции и не можете да превключите към друг VPN , ето заобиколно решение. Вие или ИТ администраторът можете да изберете да деактивирате отрицателния кеш, за да помогнете на услугата NLA , когато се опита отново да открие домейн.

Ако трябва да създадете някой от тези ключове, щракнете с десния бутон върху всеки подходящ панел и изберете нов и след това типа ключове. Тук трябва да щракнете с десния бутон върху десния панел и след това да изберете нов DWORD .

Добавете или променете отрицателен период на кеша^{(Add or change Negative Cache Period)}

Деактивирайте отрицателния кеш за откриване на домейн , като добавите ключа на системния регистър ^{(Domain Discovery)}NegativeCachePeriod към следния подключ

• Отворете редактора на системния регистър и отидете до следния ключ:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NetLogon\Parameters

• Променете или създайте следната DWORD с предложената стойност
  • Име: NegativeCachePeriod
  • Тип:  REG_DWORD
  • Данни за стойността:  0

Стойността по подразбиране на отрицателния кеш е 45 секунди. Задаването му на нула ще деактивира кеширането.

Добавете или променете максималния отрицателен TTL кеш^{(Add or change the Max Negative Cache TTL)}

Ако проблемът все още не е разрешен, следващата стъпка е да деактивирате DNS кеширането. Можете да постигнете това, като добавите  ключа на системния регистър MaxNegativeCacheTtl .

• Отворете редактора на системния регистър
• Придвижете се до следния път:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Dnscache\Parameters

• Променете или създайте следната DWORD с предложената стойност
  • Име:  MaxNegativeCacheTtl
  • Тип :  REG_DWORD
  • Данни за стойността :  0

Стойността по подразбиране на максималния отрицателен кеш е пет секунди. Когато го зададете на нула , той ще деактивира кеширането.

Надявам се, че решението е помогнало на профила на защитната стена на Windows^{(Windows Firewall)} да премине към профил на домейн , когато използвате ^(Domain)VPN клиент на трета страна . Освен ако вашият VPN клиент не поддържа API за обратно извикване , за да уведомява за промяна, промените в системния регистър^(Registry) трябва да помогнат.

Windows Firewall not recognizing Domain network on Windows 10

When you connect to a domain network or a company netwоrk, then Windows Firewall switches to a domain profile. The profile applies to networks where the host system can authenticate to a domain controller. The other two profiles are private and public. Now it may so happen that when you connect to a domain, the Windows Firewall profile does not always switch to Domain. It usually occurs when you are using a third-party virtual private network (VPN) client to connect to a domain network. In this post, we will offer a solution that will make sure the Windows Firewall switches the profile in this situation.

Windows Firewall not recognizing Domain network

It may happen that your Windows Firewall profile does not always switch to Domain when you use a third-party VPN client. The reason behind the failure in changing to domain profile is the time lag in some third-party VPN clients. The delay occurs when the client adds the necessary routes to the domain network. VPNs change the IP address every time you switch to a new server or when you make a new connection. As a permanent solution, Microsoft recommends that the VPNs use callback APIs to add routes as soon as the VPN adapter arrives at Windows. These are the three API that a VPN should use for Windows.

• NotifyUnicastIpAddressChange: Alerts callers of any changes to any IP address, including changes in DAD state.
• NotifyIpInterfaceChange: Registers a callback for notification of changes to all IP interfaces.
• NotifyAddrChanget: Notifies the user about address changes.

Workaround to switch Firewall to Domain Profile

If your VPN doesn’t offer such features, and you cannot switch to a different VPN, then here is a workaround. You or the IT admin can choose to disable negative cache to help the NLA service when it retries domain detection.

If you need to create any of these keys, right-click on any the appropriate pane, and select new and then the type of keys. Here you need right-click on the right pane and then select new DWORD.

Add or change Negative Cache Period

Disable Domain Discovery negative cache by adding the NegativeCachePeriod registry key to the following subkey

• Open Registry Editor and navigate to the following key:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NetLogon\Parameters

• Change or create the following DWORD with the suggested value
  • Name: NegativeCachePeriod
  • Type: REG_DWORD
  • Value Data: 0

The default value of the negative cache is 45 seconds. Setting it to zero will disable caching.

Add or change the Max Negative Cache TTL

If the issue is still not resolved, the next step is to disable DNS caching. You can achieve this by adding the MaxNegativeCacheTtl registry key.

• Open Registry Editor
• Navigate to the following path:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Dnscache\Parameters

• Change or create the following DWORD with the suggested value
  • Name: MaxNegativeCacheTtl
  • Type: REG_DWORD
  • Value Data: 0

The default value of the max negative cache is five seconds. When you set it to zero, it will disable caching.

I hope the workaround helped Windows Firewall profile to switch to Domain profile when you use a third-party VPN client.  Unless your VPN client supports the callback API to notify about change, the Registry changes should help.

Related posts

• Защитната стена на Windows предотвратява или блокира връзки с вашия компютър

• Как да възстановите или нулирате настройките на защитната стена на Windows по подразбиране

• Как да използвате командата Netsh за управление на защитната стена на Windows

• Как да блокирате или отворите порт в защитната стена на Windows

• Как да разрешите Pings (ICMP ехо заявки) през защитната стена на Windows

• Как да деактивирате NTLM удостоверяване в домейн на Windows

• TinyWall ви позволява да втвърдите и контролирате защитната стена на Windows 10

• Защитна стена на Windows Defender с разширена защита: какво е това? Как да го отворя? Какво можете да направите с него?

• Включете или изключете известията на защитната стена на Windows в Windows 11/10

• Разрешаване или блокиране на приложения през защитната стена на Windows

• Как да нулирате настройките на защитната стена на Windows (4 метода)

• Как да заобиколите защитната стена на вашето училище или работно място

• SimpleWall е прост инструмент за блокиране на приложенията да използват интернет

• Как да конфигурирате автоматично влизане за Windows 10 домейн или компютър за работна група

• Как да конфигурирате защитната стена на Windows в Windows 11/10

• Как да деактивирате защитната стена на Windows 10

• Как да редактирате списъка с разрешени приложения в защитната стена на Windows Defender (и да блокирате други)

• Защитната стена на Windows не може да промени някои от вашите настройки

• Най-добрият безплатен софтуер за защитна стена за Windows 11/10 Преглед, изтегляне

• 5 причини защо защитната стена на Windows е една от най-добрите защитни стени