Keď sa pripojíte k doménovej sieti alebo k podnikovej sieti, brána Windows Firewall^{(Windows Firewall)} sa prepne na profil domény. Profil sa vzťahuje na siete, kde sa hostiteľský systém môže autentifikovať na radiči domény. Ďalšie dva profily sú súkromné ​​a verejné. Teraz sa môže stať, že keď sa pripojíte k doméne, profil brány Windows Firewall^{(Windows Firewall)} sa nie vždy prepne na doménu^(Domain) . Zvyčajne sa vyskytuje, keď na pripojenie k doménovej sieti používate klienta virtuálnej súkromnej siete ( VPN ) tretej strany . ^{(third-party virtual private network)}V tomto príspevku ponúkneme riešenie, ktoré zabezpečí, že brána Windows Firewall^{(Windows Firewall)} v tejto situácii prepne profil.

Brána firewall systému Windows^{(Windows Firewall)} nerozpoznáva sieť domény^(Domain)

Môže sa stať, že váš profil brány Windows Firewall^{(Windows Firewall)} sa nie vždy prepne na doménu, keď používate klienta VPN tretej strany. ^(VPN)Dôvodom zlyhania pri zmene profilu domény je časové oneskorenie u niektorých klientov VPN tretích strán. ^(VPN)Oneskorenie nastane, keď klient pridá potrebné trasy do doménovej siete. VPN^(VPNs) zmenia IP adresu vždy, keď prepnete na nový server alebo keď vytvoríte nové pripojenie. Ako trvalé riešenie spoločnosť Microsoft^(Microsoft) odporúča, aby siete VPN^(VPNs) používali rozhrania API^(APIs) spätného volania na pridávanie trás hneď, ako sa adaptér VPN dostane do systému Windows^(Windows) . Toto sú tri API , ktoré aVPN by sa mala používať pre Windows .

• NotifyUnicastIpAddressChange : Upozorní volajúcich na akékoľvek zmeny akejkoľvek IP adresy, vrátane zmien v stave DAD .
• NotifyIpInterfaceChange : Registruje spätné volanie na oznámenie zmien vo všetkých rozhraniach IP.
• NotifyAddrChanget : Upozorní používateľa na zmeny adresy.

Alternatívne riešenie na prepnutie brány firewall na profil domény^{(Workaround to switch Firewall to Domain Profile)}

Ak vaša sieť VPN^(VPN) neponúka takéto funkcie a nemôžete prejsť na inú sieť VPN^(VPN) , tu je riešenie. Vy alebo správca IT sa môžete rozhodnúť zakázať negatívnu vyrovnávaciu pamäť, aby ste pomohli službe NLA pri opätovnom pokuse o detekciu domény.

Ak potrebujete vytvoriť niektorý z týchto kľúčov, kliknite pravým tlačidlom myši na príslušný panel a vyberte nový a potom typ kľúčov. Tu musíte kliknúť pravým tlačidlom myši na pravú tablu a potom vybrať nový DWORD .

Pridajte alebo zmeňte obdobie zápornej vyrovnávacej pamäte^{(Add or change Negative Cache Period)}

Zakážte negatívnu vyrovnávaciu pamäť zisťovania domény^{(Domain Discovery)} pridaním kľúča databázy Registry NegativeCachePeriod do nasledujúceho podkľúča

• Otvorte Editor databázy Registry a prejdite na nasledujúci kľúč:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NetLogon\Parameters

• Zmeňte alebo vytvorte nasledujúci DWORD s navrhovanou hodnotou
  • Názov: NegativeCachePeriod
  • Typ:  REG_DWORD
  • Hodnotové údaje:  0

Predvolená hodnota negatívnej vyrovnávacej pamäte je 45 sekúnd. Nastavenie na nulu deaktivuje ukladanie do vyrovnávacej pamäte.

Pridajte alebo zmeňte maximálnu hodnotu TTL negatívnej vyrovnávacej pamäte^{(Add or change the Max Negative Cache TTL)}

Ak sa problém stále nevyrieši, ďalším krokom je deaktivácia ukladania DNS do vyrovnávacej pamäte. Môžete to dosiahnuť pridaním  kľúča databázy Registry MaxNegativeCacheTtl .

• Otvorte Editor databázy Registry
• Prejdite na nasledujúcu cestu:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Dnscache\Parameters

• Zmeňte alebo vytvorte nasledujúci DWORD s navrhovanou hodnotou
  • Názov:  MaxNegativeCacheTtl
  • Typ :  REG_DWORD
  • Hodnotové údaje :  0

Predvolená hodnota maximálnej zápornej vyrovnávacej pamäte je päť sekúnd. Keď ho nastavíte na nulu , zakáže sa ukladanie do vyrovnávacej pamäte.

Dúfam, že toto riešenie pomohlo profilu brány Windows Firewall^{(Windows Firewall)} prepnúť na profil domény^(Domain) , keď používate klienta VPN tretej strany. ^(VPN)Ak váš klient VPN nepodporuje rozhranie API^(API) spätného volania na upozorňovanie na zmenu, zmeny v registri^(Registry) by vám mali pomôcť.

Windows Firewall not recognizing Domain network on Windows 10

When you сonnect tо a domain network or a company network, then Windows Firewall switches to a domain profile. The profile applies to networks where the host system can authenticate to a domain controller. The other two profiles are private and public. Now it may so happen that when you connect to a domain, the Windows Firewall profile does not always switch to Domain. It usually occurs when you are using a third-party virtual private network (VPN) client to connect to a domain network. In this post, we will offer a solution that will make sure the Windows Firewall switches the profile in this situation.

Windows Firewall not recognizing Domain network

It may happen that your Windows Firewall profile does not always switch to Domain when you use a third-party VPN client. The reason behind the failure in changing to domain profile is the time lag in some third-party VPN clients. The delay occurs when the client adds the necessary routes to the domain network. VPNs change the IP address every time you switch to a new server or when you make a new connection. As a permanent solution, Microsoft recommends that the VPNs use callback APIs to add routes as soon as the VPN adapter arrives at Windows. These are the three API that a VPN should use for Windows.

• NotifyUnicastIpAddressChange: Alerts callers of any changes to any IP address, including changes in DAD state.
• NotifyIpInterfaceChange: Registers a callback for notification of changes to all IP interfaces.
• NotifyAddrChanget: Notifies the user about address changes.

Workaround to switch Firewall to Domain Profile

If your VPN doesn’t offer such features, and you cannot switch to a different VPN, then here is a workaround. You or the IT admin can choose to disable negative cache to help the NLA service when it retries domain detection.

If you need to create any of these keys, right-click on any the appropriate pane, and select new and then the type of keys. Here you need right-click on the right pane and then select new DWORD.

Add or change Negative Cache Period

Disable Domain Discovery negative cache by adding the NegativeCachePeriod registry key to the following subkey

• Open Registry Editor and navigate to the following key:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NetLogon\Parameters

• Change or create the following DWORD with the suggested value
  • Name: NegativeCachePeriod
  • Type: REG_DWORD
  • Value Data: 0

The default value of the negative cache is 45 seconds. Setting it to zero will disable caching.

Add or change the Max Negative Cache TTL

If the issue is still not resolved, the next step is to disable DNS caching. You can achieve this by adding the MaxNegativeCacheTtl registry key.

• Open Registry Editor
• Navigate to the following path:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Dnscache\Parameters

• Change or create the following DWORD with the suggested value
  • Name: MaxNegativeCacheTtl
  • Type: REG_DWORD
  • Value Data: 0

The default value of the max negative cache is five seconds. When you set it to zero, it will disable caching.

I hope the workaround helped Windows Firewall profile to switch to Domain profile when you use a third-party VPN client.  Unless your VPN client supports the callback API to notify about change, the Registry changes should help.

Related posts

• Brána firewall systému Windows bráni alebo blokuje pripojenia k vášmu počítaču

• Ako obnoviť alebo resetovať nastavenia brány Windows Firewall na predvolené hodnoty

• Ako používať príkaz Netsh na správu brány Windows Firewall

• Ako zablokovať alebo otvoriť port v bráne firewall systému Windows

• Ako povoliť ping (požiadavky ICMP Echo) cez bránu Windows Firewall

• Ako nakonfigurovať bránu Windows Firewall v systéme Windows 11/10

• Ako nakonfigurovať automatické prihlásenie pre doménu Windows 10 alebo počítač pracovnej skupiny

• PrivateWin10 je pokročilý nástroj na ochranu osobných údajov v systéme Windows 10

• Jednoduché otázky: Čo je brána Windows Firewall a ako ju zapnúť alebo vypnúť?

• Hardvérový firewall vs softvérový firewall - rozdiel

• Ako povoliť alebo zablokovať program v bráne Windows Firewall systému Windows 11/10

• Oprava radiča domény služby Active Directory nebolo možné kontaktovať

• Importujte, exportujte, opravujte, obnovujte predvolenú politiku brány firewall v systéme Windows 11/10

• Ako sa dostať po škole alebo na pracovisku Firewall

• Ako upraviť zoznam povolených aplikácií v bráne Windows Defender Firewall (a zablokovať ostatné)

• Čo je brána firewall a ochrana siete v systéme Windows 10 a ako túto časť skryť

• Opravte chybu 0x8007042c pre službu Windows Update alebo bránu firewall

• Firewalla Gold Review – Firewall Router na zabezpečenie vášho domova

• 5 dôvodov, prečo je brána Windows Firewall jednou z najlepších brán firewall

• Ako blokovať alebo odblokovať programy v bráne Windows Defender Firewall