Όταν συνδέεστε σε ένα δίκτυο τομέα ή σε ένα εταιρικό δίκτυο, τότε το Τείχος προστασίας των Windows^{(Windows Firewall)} αλλάζει σε ένα προφίλ τομέα. Το προφίλ ισχύει για δίκτυα όπου το κεντρικό σύστημα μπορεί να πραγματοποιήσει έλεγχο ταυτότητας σε έναν ελεγκτή τομέα. Τα άλλα δύο προφίλ είναι ιδιωτικά και δημόσια. Τώρα μπορεί να συμβεί ότι όταν συνδέεστε σε έναν τομέα, το προφίλ του Τείχους προστασίας των Windows^{(Windows Firewall)} δεν αλλάζει πάντα σε Τομέας^(Domain) . Συνήθως συμβαίνει όταν χρησιμοποιείτε έναν πελάτη εικονικού ιδιωτικού δικτύου ( VPN ) τρίτου κατασκευαστή^{(third-party virtual private network)} για να συνδεθείτε σε ένα δίκτυο τομέα. Σε αυτήν την ανάρτηση, θα προσφέρουμε μια λύση που θα διασφαλίσει ότι το Τείχος προστασίας των Windows^{(Windows Firewall)} αλλάζει το προφίλ σε αυτήν την περίπτωση.

Το τείχος προστασίας των Windows^{(Windows Firewall)} δεν αναγνωρίζει δίκτυο τομέα^(Domain)

Μπορεί να συμβεί το προφίλ σας στο Τείχος προστασίας των Windows^{(Windows Firewall)} να μην αλλάζει πάντα σε Τομέας όταν χρησιμοποιείτε πρόγραμμα- πελάτη VPN τρίτου κατασκευαστή . Ο λόγος πίσω από την αποτυχία αλλαγής σε προφίλ τομέα είναι η χρονική καθυστέρηση σε ορισμένους πελάτες VPN τρίτων . Η καθυστέρηση προκύπτει όταν ο πελάτης προσθέτει τις απαραίτητες διαδρομές στο δίκτυο τομέα. Τα VPN^(VPNs) αλλάζουν τη διεύθυνση IP κάθε φορά που μεταβαίνετε σε νέο διακομιστή ή όταν κάνετε μια νέα σύνδεση. Ως μόνιμη λύση, η Microsoft συνιστά στα VPN να χρησιμοποιούν ^(VPNs)API^(APIs) επανάκλησης για να προσθέτουν διαδρομές αμέσως μόλις φτάσει ο προσαρμογέας VPN στα ^(VPN)Windows . Αυτά είναι τα τρία API που αΤο VPN^(VPN) πρέπει να χρησιμοποιείται για Windows .

• NotifyUnicastIpAddressChange : Ειδοποιεί τους καλούντες για τυχόν αλλαγές σε οποιαδήποτε διεύθυνση IP, συμπεριλαμβανομένων αλλαγών στην κατάσταση DAD .
• NotifyIpInterfaceChange : Καταχωρεί μια επανάκληση για ειδοποίηση αλλαγών σε όλες τις διεπαφές IP.
• NotifyAddrChanget : Ειδοποιεί τον χρήστη για αλλαγές διεύθυνσης.

Λύση για εναλλαγή του Τείχους προστασίας σε Προφίλ τομέα^{(Workaround to switch Firewall to Domain Profile)}

Εάν το VPN σας δεν προσφέρει τέτοιες δυνατότητες και δεν μπορείτε να μεταβείτε σε διαφορετικό VPN , τότε υπάρχει μια λύση. Εσείς ή ο διαχειριστής IT μπορείτε να επιλέξετε να απενεργοποιήσετε την αρνητική κρυφή μνήμη για να βοηθήσετε την υπηρεσία NLA όταν επαναλαμβάνει τον εντοπισμό τομέα.

Εάν χρειάζεται να δημιουργήσετε κάποιο από αυτά τα κλειδιά, κάντε δεξί κλικ σε οποιοδήποτε κατάλληλο παράθυρο και επιλέξτε νέο και μετά τον τύπο των κλειδιών. Εδώ πρέπει να κάνετε δεξί κλικ στο δεξί παράθυρο και, στη συνέχεια, να επιλέξετε νέο DWORD .

Προσθήκη ή αλλαγή Αρνητικής περιόδου κρυφής μνήμης^{(Add or change Negative Cache Period)}

Απενεργοποιήστε την αρνητική προσωρινή μνήμη Domain Discovery προσθέτοντας το κλειδί μητρώου NegativeCachePeriod στο ακόλουθο δευτερεύον κλειδί^{(NegativeCachePeriod)}

• Ανοίξτε τον Επεξεργαστή Μητρώου και μεταβείτε στο ακόλουθο κλειδί:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NetLogon\Parameters

• Αλλάξτε ή δημιουργήστε το ακόλουθο DWORD με την προτεινόμενη τιμή
  • Όνομα: NegativeCachePeriod
  • Τύπος:  REG_DWORD
  • Δεδομένα αξίας:  0

Η προεπιλεγμένη τιμή της αρνητικής κρυφής μνήμης είναι 45 δευτερόλεπτα. Εάν το ορίσετε στο μηδέν, θα απενεργοποιηθεί η προσωρινή αποθήκευση.

Προσθήκη ή αλλαγή του Max Negative Cache TTL^{(Add or change the Max Negative Cache TTL)}

Εάν το ζήτημα εξακολουθεί να μην έχει επιλυθεί, το επόμενο βήμα είναι να απενεργοποιήσετε την προσωρινή αποθήκευση DNS . Μπορείτε να το επιτύχετε προσθέτοντας το  κλειδί μητρώου MaxNegativeCacheTtl .

• Ανοίξτε τον Επεξεργαστή Μητρώου
• Πλοηγηθείτε στην ακόλουθη διαδρομή:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Dnscache\Parameters

• Αλλάξτε ή δημιουργήστε το ακόλουθο DWORD με την προτεινόμενη τιμή
  • Όνομα:  MaxNegativeCacheTtl
  • Τύπος :  REG_DWORD
  • Δεδομένα αξίας :  0

Η προεπιλεγμένη τιμή της μέγιστης αρνητικής κρυφής μνήμης είναι πέντε δευτερόλεπτα. Όταν το θέσετε στο μηδέν , θα απενεργοποιήσει την προσωρινή αποθήκευση.

Ελπίζω ότι η λύση βοήθησε το προφίλ του Τείχους προστασίας των Windows^{(Windows Firewall)} να μεταβεί στο προφίλ τομέα^(Domain) όταν χρησιμοποιείτε έναν πελάτη VPN τρίτου κατασκευαστή . Εκτός εάν το πρόγραμμα-πελάτης VPN σας υποστηρίζει το ^(VPN)API επανάκλησης για ειδοποίηση σχετικά με την αλλαγή, οι αλλαγές στο Μητρώο^(Registry) θα βοηθήσουν.

Windows Firewall not recognizing Domain network on Windows 10

When you connect to a domain network or a company network, then Windows Firewall switches to a domain profile. The profile applies to networks where the host system can authenticate to a domain controller. The other two profiles are private and public. Now it may so happen that when you connect to a domain, the Windows Firewall profile does not always switch to Domain. It usually occurs when you are using a third-party virtual private network (VPN) client to connect to a domain network. In this post, we will offer a solution that will make sure the Windows Firewall switches the profile in this situation.

Windows Firewall not recognizing Domain network

It may happen that your Windows Firewall profile does not always switch to Domain when you use a third-party VPN client. The reason behind the failure in changing to domain profile is the time lag in some third-party VPN clients. The delay occurs when the client adds the necessary routes to the domain network. VPNs change the IP address every time you switch to a new server or when you make a new connection. As a permanent solution, Microsoft recommends that the VPNs use callback APIs to add routes as soon as the VPN adapter arrives at Windows. These are the three API that a VPN should use for Windows.

• NotifyUnicastIpAddressChange: Alerts callers of any changes to any IP address, including changes in DAD state.
• NotifyIpInterfaceChange: Registers a callback for notification of changes to all IP interfaces.
• NotifyAddrChanget: Notifies the user about address changes.

Workaround to switch Firewall to Domain Profile

If your VPN doesn’t offer such features, and you cannot switch to a different VPN, then here is a workaround. You or the IT admin can choose to disable negative cache to help the NLA service when it retries domain detection.

If you need to create any of these keys, right-click on any the appropriate pane, and select new and then the type of keys. Here you need right-click on the right pane and then select new DWORD.

Add or change Negative Cache Period

Disable Domain Discovery negative cache by adding the NegativeCachePeriod registry key to the following subkey

• Open Registry Editor and navigate to the following key:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NetLogon\Parameters

• Change or create the following DWORD with the suggested value
  • Name: NegativeCachePeriod
  • Type: REG_DWORD
  • Value Data: 0

The default value of the negative cache is 45 seconds. Setting it to zero will disable caching.

Add or change the Max Negative Cache TTL

If the issue is still not resolved, the next step is to disable DNS caching. You can achieve this by adding the MaxNegativeCacheTtl registry key.

• Open Registry Editor
• Navigate to the following path:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Dnscache\Parameters

• Change or create the following DWORD with the suggested value
  • Name: MaxNegativeCacheTtl
  • Type: REG_DWORD
  • Value Data: 0

The default value of the max negative cache is five seconds. When you set it to zero, it will disable caching.

I hope the workaround helped Windows Firewall profile to switch to Domain profile when you use a third-party VPN client.  Unless your VPN client supports the callback API to notify about change, the Registry changes should help.

Related posts

• Το τείχος προστασίας των Windows αποτρέπει ή αποκλείει τις συνδέσεις στον υπολογιστή σας

• Πώς να επαναφέρετε ή να επαναφέρετε τις ρυθμίσεις του Τείχους προστασίας των Windows στις προεπιλογές

• Πώς να χρησιμοποιήσετε την εντολή Netsh για τη διαχείριση του Τείχους προστασίας των Windows

• Πώς να αποκλείσετε ή να ανοίξετε μια θύρα στο τείχος προστασίας των Windows

• Πώς να επιτρέψετε τα Pings (αιτήματα ICMP Echo) μέσω του Τείχους προστασίας των Windows

• Αποκλείστε την πρόσβαση εφαρμογών και παιχνιδιών στο διαδίκτυο, με το Τείχος προστασίας του Windows Defender

• Τρόπος ρύθμισης παραμέτρων αυτόματης σύνδεσης για υπολογιστή τομέα Windows 10 ή ομάδα εργασίας

• Πώς να επεξεργαστείτε τη λίστα των επιτρεπόμενων εφαρμογών στο τείχος προστασίας του Windows Defender (και να αποκλείσετε άλλες)

• Επιδιόρθωση Το τείχος προστασίας των Windows δεν μπορεί να αλλάξει ορισμένες από τις ρυθμίσεις σας Σφάλμα 0x80070424

• Closed Port vs Stealth Port - Συζητήθηκε η διαφορά

• Διορθώστε προβλήματα με το τείχος προστασίας των Windows στα Windows 10

• Διόρθωση Δεν ήταν δυνατή η επικοινωνία με τον ελεγκτή τομέα Active Directory

• Απλές ερωτήσεις: Τι είναι το Τείχος προστασίας των Windows και πώς να το ενεργοποιήσετε ή να το απενεργοποιήσετε;

• Firewall Gold Review – Δρομολογητής τείχους προστασίας για να ασφαλίσετε το σπίτι σας

• Πώς να ρυθμίσετε το Τείχος προστασίας των Windows στα Windows 11/10

• Τείχος προστασίας του Windows Defender με προηγμένη ασφάλεια: Τι είναι; Πώς να το ανοίξετε; Τι μπορείτε να κάνετε με αυτό;

• Ασφάλεια για όλους - Ελέγξτε το ZoneAlarm Free Antivirus + Firewall

• Ανασκόπηση του Glasswire Firewall and Network Monitoring Tool

• Επιδιόρθωση Δεν είναι δυνατή η ενεργοποίηση του τείχους προστασίας των Windows Κωδικός σφάλματος 0x80070422

• ZoneAlarm Δωρεάν Τείχος προστασίας για υπολογιστή με Windows