Compartir a través de

El perfil de Firewall de Windows no siempre cambia a Dominio cuando se usa un cliente VPN de terceros

En este artículo se soluciona un problema en el que el perfil de Firewall de Windows no cambia de Público o Privado a Dominio cuando se conecta a la red de dominio mediante un cliente VPN de terceros.

Se aplica a: Windows 10: todas las ediciones
Número de KB original: 4550028

Síntomas

Use un cliente de red privada virtual (VPN) de terceros para conectarse a una red de dominio. En este escenario, Firewall de Windows no siempre cambia del perfil público o privado al perfil de dominio según lo previsto.

Causa

Un retraso temporal en algunos clientes VPN de terceros a veces provoca este problema. El retraso se produce cuando el cliente agrega las rutas necesarias a la red de dominio.

Solución

Para corregir este problema, se recomienda ponerse en contacto con el proveedor de VPN para una solución para reducir el retraso de tiempo causado por la adición de rutas de dominio.

En el caso de los proveedores de VPN, puede usar las API de devolución de llamada para agregar rutas tan pronto como llegue el adaptador de VPN a Windows. Por ejemplo:

  • NotifyUnicastIpAddressChange: alerta a los autores de llamadas de cualquier cambio en cualquier dirección IP, incluidos los cambios en el estado DAD.
  • NotifyIpInterfaceChange: registra una devolución de llamada para recibir notificaciones de cambios en todas las interfaces IP.

En el modo de usuario, hay API de IpHelper. Por ejemplo:

  • NotifyAddrChanget: notifica al usuario los cambios de dirección.

Solución alternativa

Importante

Sigue meticulosamente los pasos que se describen en esta sección. Pueden producirse problemas graves si modifica el Registro de manera incorrecta. Antes de modificarlo, haz una copia de seguridad del registro para restaurarlo, por si se produjeran problemas.

Para solucionar este problema, deshabilite la caché negativa para ayudar al servicio Reconocimiento de ubicación de red (NLA) cuando vuelva a intentar la detección de dominios. Para ello, use los métodos siguientes.

  • En primer lugar, deshabilite la caché negativa de detección de dominios agregando la clave del Registro NegativeCachePeriod a la siguiente subclave:

    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NetLogon\Parameters

    Nombre: NegativeCachePeriod
    Tipo: REG_DWORD
    Datos de valor: 0 (valor predeterminado: 45 segundos; establecido en 0 para deshabilitar el almacenamiento en caché)

  • Si el problema no se resuelve, deshabilite aún más la caché negativa de DNS agregando la clave del Registro MaxNegativeCacheTtl a la siguiente subclave:

    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Dnscache\Parameters

    Nombre: MaxNegativeCacheTtl
    Tipo: REG_DWORD
    Datos de valor: 0 (valor predeterminado: 5 segundos; establecido en 0 para deshabilitar el almacenamiento en caché)

Más información

Cuando se produce el problema, el flujo de eventos es el siguiente:

  • El usuario se conecta a la VPN.
  • Durante la configuración del túnel VPN, la interfaz VPN se crea y asigna una dirección IP y se agregan rutas necesarias a la interfaz. Se aplican las condiciones siguientes:

    • TCP/IP agrega inmediatamente una ruta de host y rutas de subred de vínculo en una de las situaciones siguientes:

      • La dirección es de un tipo determinado, como DHCP, vínculo IPv6 local e IPv6 temporal.
      • La detección optimista de direcciones duplicadas (DAD) está habilitada para esa dirección.

      De lo contrario, TCP/IP agrega esas rutas después de que el DAD se complete correctamente.

    • El cliente VPN es responsable de las rutas necesarias para las redes VPN, como hacer que la interfaz VPN se enrute al servidor DNS vpn.

  • El primer cambio de ruta desencadena la detección del indicador de estado de conexión de red (NCSI). Y el servicio Reconocimiento de ubicación de red (NLA) intenta autenticarse en el controlador de dominio para asignar el perfil correcto al firewall.
  • La autenticación comienza haciendo que el servicio NLA llame a la función DsGetDcName para recuperar el nombre del controlador de dominio. Se realiza mediante una resolución de nombres DNS para el nombre, as_ldap._tcp. CNNDC._sites.dc._msdcs.<domainname>.
  • Si esta resolución de nombres se produce antes de que las rutas VPN necesarias al servidor DNS VPN se agreguen a la interfaz VPN, se produce un error en esta resolución de nombres DNS. Y devuelve "Error en la función DsGetDcName con ERROR_NO_SUCH_DOMAIN". A continuación, este resultado se almacena en caché.
  • El error de resolución de nombres DNS también podría crear una caché DNS negativa. La caché negativa produce un error adicional cuando el servicio NLA vuelve a intentar la detección de dominio.