Када се повежете на мрежу домена или мрежу компаније, Виндовс заштитни зид^{(Windows Firewall)} се пребацује на профил домена. Профил се примењује на мреже у којима хост систем може да се аутентификује на контролеру домена. Друга два профила су приватни и јавни. Сада се може догодити да када се повежете на домен, профил Виндовс заштитног зида^{(Windows Firewall)} не прелази увек на домен^(Domain) . Обично се дешава када користите клијент виртуелне приватне мреже ( ВПН ) ^(VPN)треће стране^{(third-party virtual private network)} за повезивање на мрежу домена. У овом посту ћемо понудити решење које ће обезбедити да Виндовс заштитни зид^{(Windows Firewall)} промени профил у овој ситуацији.

Виндовс заштитни зид^{(Windows Firewall)} не препознаје мрежу домена^(Domain)

Може се десити да се ваш профил Виндовс заштитног зида^{(Windows Firewall)} не пребацује увек на домен када користите ВПН^(VPN) клијент треће стране. Разлог за неуспех при промени профила домена је временско кашњење код неких ВПН^(VPN) клијената трећих страна. Кашњење настаје када клијент додаје неопходне руте у мрежу домена. ВПН^(VPNs) -ови мењају ИП адресу сваки пут када пређете на нови сервер или када успоставите нову везу. Као трајно решење, Мицрософт^(Microsoft) препоручује да ВПН^(VPNs) -ови користе АПИ-^(APIs) је за повратни позив за додавање рута чим ВПН^(VPN) адаптер стигне у Виндовс^(Windows) . Ово су три АПИ-ја^(API) која аВПН^(VPN) би требало да се користи за Виндовс^(Windows) .

• НотифиУницастИпАддрессЦханге^{(NotifyUnicastIpAddressChange)} : Упозорава позиваоце о свим променама било које ИП адресе, укључујући промене у ДАД^(DAD) стању.
• НотифиИпИнтерфацеЦханге^{(NotifyIpInterfaceChange)} : Региструје повратни позив за обавештење о променама на свим ИП интерфејсима.
• НотифиАддрЦхангет^{(NotifyAddrChanget)} : Обавештава корисника о променама адресе.

Заобилазно решење за пребацивање заштитног зида на профил домена^{(Workaround to switch Firewall to Domain Profile)}

Ако ваш ВПН^(VPN) не нуди такве функције и не можете да пређете на други ВПН^(VPN) , ево заобилазно решење. Ви или ИТ администратор можете изабрати да онемогућите негативну кеш меморију како бисте помогли НЛА^(NLA) услузи када поново покуша да открије домен.

Ако треба да креирате било који од ових кључева, кликните десним тастером миша на било које одговарајуће окно и изаберите нови, а затим и тип кључева. Овде треба да кликнете десним тастером миша на десно окно, а затим изаберете нови ДВОРД^(DWORD) .

Додајте или промените негативни период кеша^{(Add or change Negative Cache Period)}

Онемогућите негативну кеш меморију за откривање домена^{(Domain Discovery)} додавањем кључа регистратора НегативеЦацхеПериод^{(NegativeCachePeriod)} у следећи поткључ

• Отворите уређивач регистра и идите до следећег кључа:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NetLogon\Parameters

• Промените или креирајте следећи ДВОРД^(DWORD) са предложеном вредношћу
  • Назив: НегативеЦацхеПериод^{( NegativeCachePeriod)}
  • Тип:  РЕГ_ДВОРД^(REG_DWORD)
  • Подаци о вредности:  0

Подразумевана вредност негативне кеш меморије је 45 секунди. Постављање на нулу ће онемогућити кеширање.

Додајте или промените максимални негативни ТТЛ кеш меморије^{(Add or change the Max Negative Cache TTL)}

Ако проблем и даље није решен, следећи корак је да онемогућите ДНС^(DNS) кеширање. То можете постићи додавањем  МакНегативеЦацхеТтл^{(MaxNegativeCacheTtl)} кључа регистратора.

• Отворите уређивач регистра
• Идите на следећу путању:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Dnscache\Parameters

• Промените или креирајте следећи ДВОРД^(DWORD) са предложеном вредношћу
  • Име:  МакНегативеЦацхеТтл^{( MaxNegativeCacheTtl)}
  • Упишите :  РЕГ_ДВОРД^(REG_DWORD)
  • Подаци о вредности :  0

Подразумевана вредност максималног негативног кеша је пет секунди. Када га поставите на нулу , онемогућиће кеширање.

Надам се да је решење помогло профилу Виндовс заштитног зида^{(Windows Firewall)} да се пребаци на профил домена^(Domain) када користите ВПН^(VPN) клијент треће стране. Осим ако ваш ВПН^(VPN) клијент подржава АПИ^(API) за повратни позив за обавештавање о промени, промене регистра^(Registry) би требало да помогну.

Windows Firewall not recognizing Domain network on Windows 10

When you connect to a domain netwоrk or a company network, then Windows Firewall switches to a domain profile. The profile applies to networks where the host system can authenticate to a domain controller. The other two profiles are private and public. Now it may so happen that when you connect to a domain, the Windows Firewall profile does not always switch to Domain. It usually occurs when you are using a third-party virtual private network (VPN) client to connect to a domain network. In this post, we will offer a solution that will make sure the Windows Firewall switches the profile in this situation.

Windows Firewall not recognizing Domain network

It may happen that your Windows Firewall profile does not always switch to Domain when you use a third-party VPN client. The reason behind the failure in changing to domain profile is the time lag in some third-party VPN clients. The delay occurs when the client adds the necessary routes to the domain network. VPNs change the IP address every time you switch to a new server or when you make a new connection. As a permanent solution, Microsoft recommends that the VPNs use callback APIs to add routes as soon as the VPN adapter arrives at Windows. These are the three API that a VPN should use for Windows.

• NotifyUnicastIpAddressChange: Alerts callers of any changes to any IP address, including changes in DAD state.
• NotifyIpInterfaceChange: Registers a callback for notification of changes to all IP interfaces.
• NotifyAddrChanget: Notifies the user about address changes.

Workaround to switch Firewall to Domain Profile

If your VPN doesn’t offer such features, and you cannot switch to a different VPN, then here is a workaround. You or the IT admin can choose to disable negative cache to help the NLA service when it retries domain detection.

If you need to create any of these keys, right-click on any the appropriate pane, and select new and then the type of keys. Here you need right-click on the right pane and then select new DWORD.

Add or change Negative Cache Period

Disable Domain Discovery negative cache by adding the NegativeCachePeriod registry key to the following subkey

• Open Registry Editor and navigate to the following key:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NetLogon\Parameters

• Change or create the following DWORD with the suggested value
  • Name: NegativeCachePeriod
  • Type: REG_DWORD
  • Value Data: 0

The default value of the negative cache is 45 seconds. Setting it to zero will disable caching.

Add or change the Max Negative Cache TTL

If the issue is still not resolved, the next step is to disable DNS caching. You can achieve this by adding the MaxNegativeCacheTtl registry key.

• Open Registry Editor
• Navigate to the following path:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Dnscache\Parameters

• Change or create the following DWORD with the suggested value
  • Name: MaxNegativeCacheTtl
  • Type: REG_DWORD
  • Value Data: 0

The default value of the max negative cache is five seconds. When you set it to zero, it will disable caching.

I hope the workaround helped Windows Firewall profile to switch to Domain profile when you use a third-party VPN client.  Unless your VPN client supports the callback API to notify about change, the Registry changes should help.

Related posts

• Виндовс заштитни зид спречава или блокира везе са вашим рачунаром

• Како да вратите или ресетујете поставке Виндовс заштитног зида на подразумеване вредности

• Како користити Нетсх команду за управљање Виндовс заштитним зидом

• Како блокирати или отворити порт у Виндовс заштитном зиду

• Како дозволити пингове (ИЦМП ехо захтеви) преко Виндовс заштитног зида

• Како да конфигуришете Виндовс заштитни зид у оперативном систему Виндовс 11/10

• Како уредити листу дозвољених апликација у заштитном зиду Виндовс Дефендер (и блокирати друге)

• Затворени порт наспрам Стеалтх Порт - дискутована разлика

• Једноставна питања: Шта је Виндовс заштитни зид и како га укључити или искључити?

• Како блокирати или деблокирати програме у заштитном зиду Виндовс Дефендер

• Како блокирати ИП или веб локацију користећи ПоверСхелл у оперативном систему Виндовс 10

• 5 начина да отворите заштитни зид Виндовс Дефендер-а -

• Како онемогућити НТЛМ аутентификацију у Виндовс домену

• Подесите правила и подешавања Виндовс 10 заштитног зида

• Како да ресетујете подешавања Виндовс заштитног зида (4 метода)

• Да ли вам је потребан заштитни зид треће стране на Мац-у и Виндовс-у?

• Најбољи бесплатни софтвер за заштитни зид за Виндовс 11/10 Преглед, преузимање

• Како онемогућити заштитни зид Виндовс 10

• Шта је заштитни зид и заштита мреже у оперативном систему Виндовс 10 и како сакрити овај одељак

• Виндовс Дефендер заштитни зид са напредном безбедношћу: шта је то? Како га отворити? Шта можеш да урадиш са тим?