ドメイン ネットワークまたは企業ネットワークに接続すると、Windows ファイアウォールドメインプロファイルに切り替わります。このプロファイルは、ホスト システムがドメイン コントローラーに対して認証できるネットワークに適用されます。他の 2 つのプロファイルはプライベートとパブリックです。ドメインに接続するときに、Windows ファイアウォール プロファイルが常にドメインに切り替わらない場合があります。通常、これは使用中に発生します。サードパーティの仮想プライベート ネットワークドメイン ネットワークに接続するための (VPN) クライアント。この投稿では、この状況で Windows ファイアウォールがプロファイルを確実に切り替えるソリューションを提供します。
Windows ファイアウォールがドメイン ネットワークを認識しない
サードパーティの VPN クライアントを使用する場合、Windows ファイアウォール プロファイルが常にドメインに切り替わらない場合があります。ドメイン プロファイルへの変更が失敗する原因は、一部のサードパーティ VPN クライアントにおけるタイムラグです。この遅延は、クライアントが必要なルートをドメイン ネットワークに追加するときに発生します。 VPN は、新しいサーバーに切り替えたり、新しい接続を確立したりするたびに IP アドレスを変更します。恒久的な解決策として、Microsoft は、VPN アダプタが Windows に到着したらすぐにコールバック API を使用してルートを追加することを推奨しています。これらは、VPN が Windows で使用する必要がある 3 つの API です。
- NotifyUnicastIpAddressChange: DAD 状態の変化を含む、あらゆる IP アドレスの変更を発信者に警告します。
- NotifyIpInterfaceChange: すべての IP インターフェイスへの変更を通知するためのコールバックを登録します。
- NotifyAddrChanget:アドレス変更をユーザーに通知します。
ファイアウォールをドメイン プロファイルに切り替える回避策
お使いの VPN がそのような機能を提供しておらず、別の VPN に切り替えることができない場合は、次の回避策があります。ユーザーまたは IT 管理者は、NLA サービスがドメイン検出を再試行するときに役立つように、ネガティブ キャッシュを無効にすることを選択できます。
これらのキーのいずれかを作成する必要がある場合は、適切なペインを右クリックし、[新規] を選択してからキーの種類を選択します。ここでは、右側のペインを右クリックして、新しい DWORD を選択する必要があります。
ネガティブキャッシュ期間の追加または変更
を追加して、ドメイン検出のネガティブ キャッシュを無効にします。ネガティブキャッシュ期間レジストリ キーを次のサブキーに置き換えます
- レジストリエディタを開く次のキーに移動します。
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NetLogon\Parameters
- 推奨値を使用して次の DWORD を変更または作成します。
- 名前:ネガティブキャッシュ期間
- タイプ:REG_DWORD
- 値のデータ: 0
ネガティブ キャッシュのデフォルト値は 45 秒です。ゼロに設定するとキャッシュが無効になります。
最大ネガティブ キャッシュ TTL を追加または変更する
それでも問題が解決しない場合は、次のステップとして DNS キャッシュを無効にします。これを実現するには、MaxNegativeCacheTtlレジストリキー。
- レジストリエディタを開く
- 次のパスに移動します。
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Dnscache\Parameters
- 推奨値を使用して次の DWORD を変更または作成します。
- 名前: MaxNegativeCacheTtl
- タイプ:REG_DWORD
- 値のデータ:0
最大ネガティブ キャッシュのデフォルト値は 5 秒です。ゼロに設定すると、キャッシュが無効になります。
この回避策が、サードパーティの VPN クライアントを使用するときに Windows ファイアウォール プロファイルがドメイン プロファイルに切り替わるのに役立つことを願っています。 VPN クライアントが変更を通知するコールバック API をサポートしていない限り、レジストリの変更が役に立ちます。
