Notitie
Voor toegang tot deze pagina is autorisatie vereist. U kunt proberen u aan te melden of de directory te wijzigen.
Voor toegang tot deze pagina is autorisatie vereist. U kunt proberen de mappen te wijzigen.
Deze richtlijnen helpen bij het oplossen van problemen met een scenario waarbij een domeincomputer het domeinprofiel niet kan detecteren.
Een computer is gekoppeld aan een domeinnetwerk, maar kan het domeinprofiel voor dit netwerk niet detecteren en u ziet mogelijk de volgende problemen of symptomen:
- De netwerkstatus wordt weergegeven als 'Niet-geïdentificeerd netwerk' in het systeemvak.
- Er wordt een onjuist firewallprofiel toegepast op de computer. Het openbare profiel wordt bijvoorbeeld toegepast, ook al is de computer gekoppeld aan het domein.
- Firewallregels die zijn geconfigureerd onder het domeinprofiel worden niet toegepast, wat leidt tot verbindingsproblemen.
- De connectiviteit met interne toepassingen kan mislukken omdat het domeinprofiel niet actief is.
Overzicht van Netwerklocatiebewustzijn (NLA)
De NLA-service (Network Location Awareness) voert netwerklocatiedetectie uit voor een van de volgende netwerkwijzigingen:
- Een IP-route toevoegen of verwijderen.
- Een IP-adres toevoegen of verwijderen.
- De verbinding met de netwerkadapter verbreken of opnieuw verbinden.
- De netwerkadapter uitschakelen of opnieuw inschakelen.
- DHCP-gebeurtenissen (Dynamic Host Configuration Protocol) (leasevernieuwingen, DNS-servertoevoeging of verwijdering van domain name system, enzovoort).
- Wijzigingen in de NCSI-instellingen (Network Connectivity Status Indicator), zoals de instelling DomainLocationDeterminationUrl .
Domeinverificatie voor NLA
Wanneer een computer die lid is van een domein is verbonden met een nieuw netwerk, voert deze de volgende controles uit om te bepalen of deze zich in het domeinnetwerk bevindt. NCSI bepaalt de internetverbinding en NLA voert de domeinverificatie voor het netwerkprofiel uit.
Elke netwerkwijziging activeert NCSI-detectie en NLA probeert te verifiëren bij de domeincontroller (DC) om het juiste profiel toe te wijzen aan de Windows-firewall.
Dit zijn de verificatiestappen:
- De NLA-service roept de
DsGetDcName
functie aan om de DC-naam op te halen. Dit wordt gedaan via DNS-naamomzetting, zoals_ldap._tcp.<SiteName>._sites.dc._msdcs.<DomainName>
. - Nadat de DNS-naamomzetting is geslaagd en de DC-naam retourneert, vindt er een LDAP-verbinding (Lightweight Directory Access Protocol) plaats op poort 389 naar de DC die in de vorige stap is opgehaald.
- De computer brengt een TCP-verbinding tot stand met de DC via TCP-poort 389 en verzendt een LDAP-bindingsaanvraag. Zodra deze LDAP-binding is geslaagd, identificeert de machine zichzelf in het domeinnetwerk.
Op basis van of het domeindetectieproces is geslaagd, wordt het firewallprofiel dienovereenkomstig toegepast.
Computers met Windows 7, Windows Server 2008 R2 en hoger kunnen de volgende netwerklocatietypen detecteren:
Openbaar
Standaard wordt het type openbare netwerklocatie toegewezen aan een nieuw netwerk wanneer de computers voor het eerst zijn verbonden. Het openbare profiel wordt gebruikt om openbare netwerken aan te wijzen, zoals Wi-Fi-hotspots in koffiebars, luchthavens en andere locaties.
Privé
Lokale beheerders kunnen handmatig het locatietype van het privénetwerk selecteren voor een verbinding met een netwerk dat niet rechtstreeks toegankelijk is voor het publiek. Deze verbinding kan worden gekoppeld aan een thuis- of kantoornetwerk dat is geïsoleerd van openbaar toegankelijke netwerken met behulp van een firewallapparaat of een apparaat dat NAT (Network Address Translation) uitvoert.
Domein
Het domeinnetwerklocatietype wordt gedetecteerd wanneer de lokale computer lid is van een Active Directory-domein en de lokale computer kan worden geverifieerd bij een domeincontroller voor dat domein via een van de netwerkverbindingen. Een beheerder kan dit type netwerklocatie niet handmatig toewijzen.
Wanneer er meerdere netwerkadapters aan uw computer zijn gekoppeld, kunt u verbinding maken met verschillende typen netwerken. Computers met Windows 7, Windows Server 2008 R2 en hoger ondersteunen verschillende netwerklocatietypen.
De functie van de NLA-service is het verzamelen en opslaan van configuratiegegevens voor het netwerk en het melden van programma's wanneer die informatie wordt gewijzigd.
De informatie die door NLA wordt verzameld, wordt samengesteld door de NLS-service (Network List Service) en opgeslagen onder HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\NetworkList
.
Vanaf Windows 11 is de NLA-service niet langer verantwoordelijk voor het detecteren van het domeinprofiel. In plaats daarvan voert Netwerklijstbeheer deze taak uit en wordt deze uitgevoerd in de systeemcontext.
Hier volgen enkele belangrijke registers voor het vaststellen van de huidige profiel-, netwerk- of adapterstatus:
Locatie | Gebruik |
---|---|
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\NetworkList\Signatures\Managed |
Deze registersleutel toont de beheerde netwerkprofielen die zijn opgeslagen in het Windows-register. |
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\NetworkList\Signatures\Unmanaged |
Deze registersleutel toont de niet-beheerde netwerkprofielen die zijn opgeslagen in het Windows-register. |
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\NetworkList\Profiles\{985EE69C-23B4-4D38-AC66-5F0D6AD8A128} |
Deze registersleutel bevat informatie over netwerkprofielen in Windows en de huidige categorie van het netwerkprofiel. Een waarde van 0 dit type betekent dat het netwerk geen Active Directory-netwerk is.Een waarde van 1 dit type betekent dat het netwerk een Active Directory-netwerk is, maar deze computer wordt niet geverifieerd.Een waarde van 2 dit type betekent dat het netwerk een Active Directory-netwerk is en dat deze computer wordt geverifieerd. |
Het momenteel toegepaste netwerkprofiel controleren
U kunt controleren of het domeinnetwerkprofiel kan worden gedetecteerd door de volgende PowerShell-cmdlet te gebruiken:
PS C:\Users\admin> Get-NetConnectionProfile
Name : contoso.com
InterfaceAlias : Contoso
InterfaceIndex : 13
NetworkCategory : DomainAuthenticated
IPv4Connectivity : Internet
IPv6Connectivity : NoTraffic
Problemen met domeindetectie oplossen
Controleer of de computer een LDAP-server of DC kan identificeren door de naam
_ldap._tcp.<SiteName>._sites.dc._msdcs.<DomainName>
op te lossen.Voer vanuit een beheeropdrachtprompt of PowerShell-venster de volgende opdracht uit om DC-detectie af te dwingen:
Nltest /dsgetdc:<DomainName> /force
Zorg ervoor dat u de DC-naam in de uitvoer van de opdracht kunt weergeven, bijvoorbeeld:
PS C:\tss> nltest /dsgetdc:contoso.com /force DC: \\DC.contoso.com Address: \\10.0.1.2 Dom Guid: <GUID> Dom Name: contoso.com Forest Name: contoso.com Dc Site Name: Default-First-Site-Name Our Site Name: Default-First-Site-Name Flags: PDC GC DS LDAP KDC TIMESERV WRITABLE DNS_DC DNS_DOMAIN DNS_FOREST CLOSE_SITE FULL_SECRET WS DS_8 DS_9 DS_10 KEYLIST The command completed successfully
Als de DNS-naamomzetting mislukt en retourneert, identificeert
DsGetDcName function Failed with ERROR_NO_SUCH_DOMAIN
de computer zichzelf niet in het domeinnetwerk, ook al bevindt deze zich binnen het bedrijfsnetwerk.Controleer of de computer een TCP-poort 389-verbinding tot stand kan brengen met de domeincontroller die in de vorige stap is geïdentificeerd.
Zorg ervoor dat TCP-poort 389 is toegestaan in Windows Firewall.
Voer vanuit een beheeropdrachtprompt of PowerShell-venster de volgende opdracht uit om te controleren of de TCP-verbinding met de domeincontroller is geslaagd:
Telnet <DCName or IP> 389
Als er een leeg venster wordt geopend, betekent dit dat de TCP-verbinding tot stand kan worden gebracht.
Als dit mislukt, kan het NLA-domeindetectieproces niet verdergaan en kan de computer het domeinnetwerk niet identificeren.
Controleer of de computer een LDAP-binding kan uitvoeren met de domeincontroller binnen de tot stand gebrachte TCP-poort 389-verbinding.
LDAP-bindingsaanvragen en -antwoorden kunnen worden weergegeven in de TCP-poort 389-sessie in een netwerktracering die wordt verzameld tijdens het proces voor het detecteren van NLA-domeinen.
Als de LDAP-binding mislukt, ziet u 'Niet-geverifieerd' op de netwerkadapter in ncpa.cpl. Deze wordt weergegeven als 'Contoso.com (niet-geverifieerd).'
Controleer de gebeurtenislogboeken van Microsoft-Windows-NetworkProfile/Operational op eventuele fouten.
Hier volgt een voorbeeld van een geslaagde domeindetectie.
Netwerkidentificatie wordt uitgevoerd:
Domeinnetwerk geïdentificeerd:
Analyse van netwerkopname
Als u problemen met het scenario wilt oplossen, kunt u een netwerkopname verzamelen met Wireshark tijdens het uitschakelen en opnieuw inschakelen van de netwerkadapter of het opnieuw opstarten van de NLS-service (waardoor het NLA-domeindetectieproces wordt geactiveerd).
Notitie
In sommige scenario's kan het probleem worden opgelost door de adapter uit te schakelen en opnieuw in te schakelen of de NLS-service opnieuw te starten. U kunt een netwerktracering verzamelen terwijl u dit alleen doet als het probleem zich blijft voordoen.
Zie Wireshark downloaden om Wireshark te downloaden.
Als u een Wireshark-trace wilt vastleggen, raadpleegt u de stappen in Het vastleggen starten.
Zodra een netwerktracering is verzameld, kunt u deze stappen volgen om de basisanalyse uit te voeren om de hoofdoorzaak te identificeren.
Open de netwerkopname in Wireshark. Typ dns in de ruimte 'Een weergavefilter toepassen' en pas het filter toe.
Zoek de DNS-query die is verzonden naar de naam '_ldap' om een DC in het domein te identificeren.
Een geslaagde naamomzetting moet er ongeveer uitzien als in dit voorbeeld:
292 <DateTime> 10.0.1.10 10.0.1.2 DNS 130 Standard query 0x9022 SRV _ldap._tcp.Default-First-Site-Name._sites.dc._msdcs.contoso.com
293 <DateTime> 10.0.1.2 10.0.1.10 DNS 173 Standard query response 0x9022 SRV _ldap._tcp.Default-First-Site-Name._sites.dc._msdcs.contoso.com SRV 0 100 389 dc.contoso.com A 10.0.1.2
De volgende stap is het tot stand brengen van een LDAP-verbinding via TCP-poort 389 met de geïdentificeerde DC als doel.
Pas het filter ip.addr==10.0.1.2 en tcp.port==389 toe in de weergavefilterruimte om deze TCP-sessie te identificeren.
Notitie
De waarde 10.0.1.2
in het filter moet worden vervangen door het IP-adres van de DC die in uw omgeving is verkregen.
Een geslaagde LDAP-verbinding en -binding moeten er als volgt uitzien:
TCP-verbinding tot stand gebracht:
298 <DateTime> 10.0.1.10 10.0.1.2 TCP 66 1521521070 0 59506 → 389 [SYN, ECE, CWR] Seq=0 Win=64240 Len=0 MSS=1460 WS=256 SACK_PERM
299 <DateTime> 10.0.1.2 10.0.1.10 TCP 66 690649648 1521521071 389 → 59506 [SYN, ACK, ECE] Seq=0 Ack=1 Win=65535 Len=0 MSS=1460 WS=256 SACK_PERM
300 <DateTime> 10.0.1.10 10.0.1.2 TCP 54 1521521071 690649649 59506 → 389 [ACK] Seq=1 Ack=1 Win=2097920 Len=0
LDAP-binding is voltooid:
316 <DateTime> 10.0.1.10 10.0.1.2 LDAP 1912 1521521422 690652335 bindRequest(267) "<ROOT>" sasl
318 <DateTime> 10.0.1.2 10.0.1.10 LDAP 266 690652335 1521523280 bindResponse(267) success
Neem contact op met Microsoft Ondersteuning voor verdere probleemoplossing.
Gegevens verzamelen
Voordat u contact op neemt met Microsoft Ondersteuning, kunt u informatie over uw probleem verzamelen.
Download en verzamel logboeken met behulp van de TSS-toolset en schakel logboekverzameling in op de betrokken computer met behulp van de volgende cmdlet:
.\TSS.ps1 -Scenario NET_NCSI
Disclaimerinformatie van derden
De producten van derden die in dit artikel worden vermeld, worden vervaardigd door bedrijven die onafhankelijk zijn van Microsoft. Microsoft verleent dan ook geen enkele garantie, impliciet noch anderszins, omtrent de prestaties of de betrouwbaarheid van deze producten.