Delen via


Computers die lid zijn van een domein kunnen het domeinprofiel niet detecteren

Deze richtlijnen helpen bij het oplossen van problemen met een scenario waarbij een domeincomputer het domeinprofiel niet kan detecteren.

Een computer is gekoppeld aan een domeinnetwerk, maar kan het domeinprofiel voor dit netwerk niet detecteren en u ziet mogelijk de volgende problemen of symptomen:

  • De netwerkstatus wordt weergegeven als 'Niet-geïdentificeerd netwerk' in het systeemvak.
  • Er wordt een onjuist firewallprofiel toegepast op de computer. Het openbare profiel wordt bijvoorbeeld toegepast, ook al is de computer gekoppeld aan het domein.
  • Firewallregels die zijn geconfigureerd onder het domeinprofiel worden niet toegepast, wat leidt tot verbindingsproblemen.
  • De connectiviteit met interne toepassingen kan mislukken omdat het domeinprofiel niet actief is.

Overzicht van Netwerklocatiebewustzijn (NLA)

De NLA-service (Network Location Awareness) voert netwerklocatiedetectie uit voor een van de volgende netwerkwijzigingen:

  • Een IP-route toevoegen of verwijderen.
  • Een IP-adres toevoegen of verwijderen.
  • De verbinding met de netwerkadapter verbreken of opnieuw verbinden.
  • De netwerkadapter uitschakelen of opnieuw inschakelen.
  • DHCP-gebeurtenissen (Dynamic Host Configuration Protocol) (leasevernieuwingen, DNS-servertoevoeging of verwijdering van domain name system, enzovoort).
  • Wijzigingen in de NCSI-instellingen (Network Connectivity Status Indicator), zoals de instelling DomainLocationDeterminationUrl .

Domeinverificatie voor NLA

Wanneer een computer die lid is van een domein is verbonden met een nieuw netwerk, voert deze de volgende controles uit om te bepalen of deze zich in het domeinnetwerk bevindt. NCSI bepaalt de internetverbinding en NLA voert de domeinverificatie voor het netwerkprofiel uit.

Elke netwerkwijziging activeert NCSI-detectie en NLA probeert te verifiëren bij de domeincontroller (DC) om het juiste profiel toe te wijzen aan de Windows-firewall.

Dit zijn de verificatiestappen:

  1. De NLA-service roept de DsGetDcName functie aan om de DC-naam op te halen. Dit wordt gedaan via DNS-naamomzetting, zoals _ldap._tcp.<SiteName>._sites.dc._msdcs.<DomainName>.
  2. Nadat de DNS-naamomzetting is geslaagd en de DC-naam retourneert, vindt er een LDAP-verbinding (Lightweight Directory Access Protocol) plaats op poort 389 naar de DC die in de vorige stap is opgehaald.
  3. De computer brengt een TCP-verbinding tot stand met de DC via TCP-poort 389 en verzendt een LDAP-bindingsaanvraag. Zodra deze LDAP-binding is geslaagd, identificeert de machine zichzelf in het domeinnetwerk.

Op basis van of het domeindetectieproces is geslaagd, wordt het firewallprofiel dienovereenkomstig toegepast.

Computers met Windows 7, Windows Server 2008 R2 en hoger kunnen de volgende netwerklocatietypen detecteren:

  • Openbaar

    Standaard wordt het type openbare netwerklocatie toegewezen aan een nieuw netwerk wanneer de computers voor het eerst zijn verbonden. Het openbare profiel wordt gebruikt om openbare netwerken aan te wijzen, zoals Wi-Fi-hotspots in koffiebars, luchthavens en andere locaties.

  • Privé

    Lokale beheerders kunnen handmatig het locatietype van het privénetwerk selecteren voor een verbinding met een netwerk dat niet rechtstreeks toegankelijk is voor het publiek. Deze verbinding kan worden gekoppeld aan een thuis- of kantoornetwerk dat is geïsoleerd van openbaar toegankelijke netwerken met behulp van een firewallapparaat of een apparaat dat NAT (Network Address Translation) uitvoert.

  • Domein

    Het domeinnetwerklocatietype wordt gedetecteerd wanneer de lokale computer lid is van een Active Directory-domein en de lokale computer kan worden geverifieerd bij een domeincontroller voor dat domein via een van de netwerkverbindingen. Een beheerder kan dit type netwerklocatie niet handmatig toewijzen.

Wanneer er meerdere netwerkadapters aan uw computer zijn gekoppeld, kunt u verbinding maken met verschillende typen netwerken. Computers met Windows 7, Windows Server 2008 R2 en hoger ondersteunen verschillende netwerklocatietypen.

De functie van de NLA-service is het verzamelen en opslaan van configuratiegegevens voor het netwerk en het melden van programma's wanneer die informatie wordt gewijzigd.

De informatie die door NLA wordt verzameld, wordt samengesteld door de NLS-service (Network List Service) en opgeslagen onder HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\NetworkList.

Vanaf Windows 11 is de NLA-service niet langer verantwoordelijk voor het detecteren van het domeinprofiel. In plaats daarvan voert Netwerklijstbeheer deze taak uit en wordt deze uitgevoerd in de systeemcontext.

Hier volgen enkele belangrijke registers voor het vaststellen van de huidige profiel-, netwerk- of adapterstatus:

Locatie Gebruik
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\NetworkList\Signatures\Managed Deze registersleutel toont de beheerde netwerkprofielen die zijn opgeslagen in het Windows-register.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\NetworkList\Signatures\Unmanaged Deze registersleutel toont de niet-beheerde netwerkprofielen die zijn opgeslagen in het Windows-register.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\NetworkList\Profiles\{985EE69C-23B4-4D38-AC66-5F0D6AD8A128} Deze registersleutel bevat informatie over netwerkprofielen in Windows en de huidige categorie van het netwerkprofiel.

Een waarde van 0 dit type betekent dat het netwerk geen Active Directory-netwerk is.

Een waarde van 1 dit type betekent dat het netwerk een Active Directory-netwerk is, maar deze computer wordt niet geverifieerd.

Een waarde van 2 dit type betekent dat het netwerk een Active Directory-netwerk is en dat deze computer wordt geverifieerd.

Het momenteel toegepaste netwerkprofiel controleren

U kunt controleren of het domeinnetwerkprofiel kan worden gedetecteerd door de volgende PowerShell-cmdlet te gebruiken:

PS C:\Users\admin> Get-NetConnectionProfile
Name             : contoso.com
InterfaceAlias   : Contoso
InterfaceIndex   : 13
NetworkCategory  : DomainAuthenticated
IPv4Connectivity : Internet
IPv6Connectivity : NoTraffic

Problemen met domeindetectie oplossen

  1. Controleer of de computer een LDAP-server of DC kan identificeren door de naam _ldap._tcp.<SiteName>._sites.dc._msdcs.<DomainName>op te lossen.

    Voer vanuit een beheeropdrachtprompt of PowerShell-venster de volgende opdracht uit om DC-detectie af te dwingen:

    Nltest /dsgetdc:<DomainName> /force
    

    Zorg ervoor dat u de DC-naam in de uitvoer van de opdracht kunt weergeven, bijvoorbeeld:

    PS C:\tss> nltest /dsgetdc:contoso.com /force
               DC: \\DC.contoso.com
          Address: \\10.0.1.2
         Dom Guid: <GUID>
         Dom Name: contoso.com
      Forest Name: contoso.com
     Dc Site Name: Default-First-Site-Name
    Our Site Name: Default-First-Site-Name
            Flags: PDC GC DS LDAP KDC TIMESERV WRITABLE DNS_DC DNS_DOMAIN DNS_FOREST CLOSE_SITE FULL_SECRET WS DS_8 DS_9 DS_10 KEYLIST
    The command completed successfully
    

    Als de DNS-naamomzetting mislukt en retourneert, identificeert DsGetDcName function Failed with ERROR_NO_SUCH_DOMAINde computer zichzelf niet in het domeinnetwerk, ook al bevindt deze zich binnen het bedrijfsnetwerk.

  2. Controleer of de computer een TCP-poort 389-verbinding tot stand kan brengen met de domeincontroller die in de vorige stap is geïdentificeerd.

    Zorg ervoor dat TCP-poort 389 is toegestaan in Windows Firewall.

    Voer vanuit een beheeropdrachtprompt of PowerShell-venster de volgende opdracht uit om te controleren of de TCP-verbinding met de domeincontroller is geslaagd:

    Telnet <DCName or IP> 389
    

    Als er een leeg venster wordt geopend, betekent dit dat de TCP-verbinding tot stand kan worden gebracht.

    Als dit mislukt, kan het NLA-domeindetectieproces niet verdergaan en kan de computer het domeinnetwerk niet identificeren.

  3. Controleer of de computer een LDAP-binding kan uitvoeren met de domeincontroller binnen de tot stand gebrachte TCP-poort 389-verbinding.

    LDAP-bindingsaanvragen en -antwoorden kunnen worden weergegeven in de TCP-poort 389-sessie in een netwerktracering die wordt verzameld tijdens het proces voor het detecteren van NLA-domeinen.

    Als de LDAP-binding mislukt, ziet u 'Niet-geverifieerd' op de netwerkadapter in ncpa.cpl. Deze wordt weergegeven als 'Contoso.com (niet-geverifieerd).'

  4. Controleer de gebeurtenislogboeken van Microsoft-Windows-NetworkProfile/Operational op eventuele fouten.

    Hier volgt een voorbeeld van een geslaagde domeindetectie.

    Netwerkidentificatie wordt uitgevoerd:

    Schermopname van het gebeurtenislogboek met de netwerkidentificatie die wordt uitgevoerd.

    Domeinnetwerk geïdentificeerd:

    Schermopname van het gebeurtenislogboek met het geïdentificeerde domeinnetwerk.

Analyse van netwerkopname

Als u problemen met het scenario wilt oplossen, kunt u een netwerkopname verzamelen met Wireshark tijdens het uitschakelen en opnieuw inschakelen van de netwerkadapter of het opnieuw opstarten van de NLS-service (waardoor het NLA-domeindetectieproces wordt geactiveerd).

Notitie

In sommige scenario's kan het probleem worden opgelost door de adapter uit te schakelen en opnieuw in te schakelen of de NLS-service opnieuw te starten. U kunt een netwerktracering verzamelen terwijl u dit alleen doet als het probleem zich blijft voordoen.

Zie Wireshark downloaden om Wireshark te downloaden.

Als u een Wireshark-trace wilt vastleggen, raadpleegt u de stappen in Het vastleggen starten.

Zodra een netwerktracering is verzameld, kunt u deze stappen volgen om de basisanalyse uit te voeren om de hoofdoorzaak te identificeren.

Open de netwerkopname in Wireshark. Typ dns in de ruimte 'Een weergavefilter toepassen' en pas het filter toe.

Zoek de DNS-query die is verzonden naar de naam '_ldap' om een DC in het domein te identificeren.

Een geslaagde naamomzetting moet er ongeveer uitzien als in dit voorbeeld:

292 <DateTime>  10.0.1.10   10.0.1.2    DNS 130         Standard query 0x9022 SRV _ldap._tcp.Default-First-Site-Name._sites.dc._msdcs.contoso.com
293 <DateTime>  10.0.1.2    10.0.1.10   DNS 173         Standard query response 0x9022 SRV _ldap._tcp.Default-First-Site-Name._sites.dc._msdcs.contoso.com SRV 0 100 389 dc.contoso.com A 10.0.1.2

De volgende stap is het tot stand brengen van een LDAP-verbinding via TCP-poort 389 met de geïdentificeerde DC als doel.

Pas het filter ip.addr==10.0.1.2 en tcp.port==389 toe in de weergavefilterruimte om deze TCP-sessie te identificeren.

Notitie

De waarde 10.0.1.2 in het filter moet worden vervangen door het IP-adres van de DC die in uw omgeving is verkregen.

Een geslaagde LDAP-verbinding en -binding moeten er als volgt uitzien:

TCP-verbinding tot stand gebracht:

298 <DateTime>  10.0.1.10   10.0.1.2    TCP 66  1521521070  0   59506 → 389 [SYN, ECE, CWR] Seq=0 Win=64240 Len=0 MSS=1460 WS=256 SACK_PERM
299 <DateTime>  10.0.1.2    10.0.1.10   TCP 66  690649648   1521521071  389 → 59506 [SYN, ACK, ECE] Seq=0 Ack=1 Win=65535 Len=0 MSS=1460 WS=256 SACK_PERM
300 <DateTime>  10.0.1.10   10.0.1.2    TCP 54  1521521071  690649649   59506 → 389 [ACK] Seq=1 Ack=1 Win=2097920 Len=0

LDAP-binding is voltooid:

316 <DateTime>  10.0.1.10   10.0.1.2    LDAP    1912    1521521422  690652335   bindRequest(267) "<ROOT>" sasl 
318 <DateTime>  10.0.1.2    10.0.1.10   LDAP    266 690652335   1521523280  bindResponse(267) success

Neem contact op met Microsoft Ondersteuning voor verdere probleemoplossing.

Gegevens verzamelen

Voordat u contact op neemt met Microsoft Ondersteuning, kunt u informatie over uw probleem verzamelen.

Download en verzamel logboeken met behulp van de TSS-toolset en schakel logboekverzameling in op de betrokken computer met behulp van de volgende cmdlet:

.\TSS.ps1 -Scenario NET_NCSI

Disclaimerinformatie van derden

De producten van derden die in dit artikel worden vermeld, worden vervaardigd door bedrijven die onafhankelijk zijn van Microsoft. Microsoft verleent dan ook geen enkele garantie, impliciet noch anderszins, omtrent de prestaties of de betrouwbaarheid van deze producten.