Phenquestions
Когато се свържете с мрежа на домейн или фирмена мрежа, тогава защитната стена на Windows преминава към профил на домейн. Профилът се прилага за мрежи, където хост системата може да се удостовери с контролер на домейн. Останалите два профила са частни и публични. Сега може да се случи така, че когато се свържете с домейн, профилът на защитната стена на Windows не винаги преминава към домейн. Обикновено това се случва, когато използвате клиент на виртуална частна мрежа (VPN) на трета страна за свързване с мрежа на домейн. В тази публикация ще предложим решение, което ще гарантира, че защитната стена на Windows превключва профила в тази ситуация.
Защитната стена на Windows не разпознава домейн мрежа
Може да се случи, че вашият профил на защитната стена на Windows не винаги преминава към домейн, когато използвате VPN клиент на трета страна. Причината за неуспеха при смяна на профил на домейн е забавянето във времето на някои VPN клиенти на трети страни. Забавянето възниква, когато клиентът добави необходимите маршрути към домейн мрежата. VPN променят IP адреса всеки път, когато превключвате на нов сървър или когато правите нова връзка. Като постоянно решение Microsoft препоръчва на VPN да използват API за обратно извикване, за да добавят маршрути веднага щом VPN адаптерът пристигне в Windows. Това са трите API, които VPN трябва да използва за Windows.
- NotifyUnicastIpAddressChange: Уведомява повикващите за всякакви промени в който и да е IP адрес, включително промени в състоянието на DAD.
- NotifyIpInterfaceChange: Регистрира обратно повикване за уведомяване за промени във всички IP интерфейси.
- NotifyAddrChanget: Уведомява потребителя за промени в адреса.
Заобиколно решение за превключване на защитната стена към профил на домейн
Ако вашата VPN не предлага такива функции и не можете да превключите на различна VPN, тогава има решение. Вие или ИТ администраторът можете да изберете да деактивирате отрицателния кеш, за да помогнете на услугата NLA, когато се опита да открие домейн.
Ако трябва да създадете някой от тези ключове, щракнете с десния бутон върху съответния прозорец и изберете нов и след това вида на ключовете. Тук трябва да щракнете с десния бутон върху десния прозорец и след това да изберете нов DWORD.
Добавяне или промяна на отрицателен период на кеширане
Деактивирайте отрицателния кеш на Domain Discovery, като добавите NegativeCachePeriod ключ на системния регистър към следния подраздел
- Отворете редактора на системния регистър и отидете до следния ключ:
HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Services \ NetLogon \ Параметри
- Променете или създайте следния DWORD с предложената стойност
- Име: NegativeCachePeriod
- Тип: REG_DWORD
- Данни за стойността:0
Стойността по подразбиране на отрицателния кеш е 45 секунди. Ако го зададете на нула, ще деактивирате кеширането.
Добавете или променете TTL на максималния отрицателен кеш
Ако проблемът все още не е разрешен, следващата стъпка е да деактивирате кеширането на DNS. Можете да постигнете това, като добавите MaxNegativeCacheTtl ключ на системния регистър.
- Отворете редактора на системния регистър
- Придвижете се до следния път:
HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Services \ Dnscache \ Параметри
- Променете или създайте следния DWORD с предложената стойност
- Име:MaxNegativeCacheTtl
- Тип: REG_DWORD
- Данни за стойността: 0
Стойността по подразбиране на максималния отрицателен кеш е пет секунди. Когато го зададете на нула, ще деактивира кеширането.
Надявам се, че решението е помогнало на профила на защитната стена на Windows да премине към профил на домейн, когато използвате VPN клиент на трета страна. Освен ако вашият VPN клиент не поддържа API за обратно извикване за уведомяване за промяна, промените в системния регистър трябва да помогнат.
