Compartilhar via


Os computadores ingressados no domínio não podem detectar o perfil de domínio

Essas diretrizes ajudam a solucionar problemas de um cenário em que um computador ingressado no domínio não consegue detectar o perfil de domínio.

Um computador ingressou em uma rede de domínio, mas não consegue detectar o perfil de domínio dessa rede, e você pode observar os seguintes problemas ou sintomas:

  • O status da rede é exibido como "Rede não identificada" na bandeja do sistema.
  • Um perfil de firewall incorreto é aplicado na máquina. Por exemplo, o perfil público é aplicado mesmo que a máquina esteja ingressada no domínio.
  • As regras de firewall configuradas no perfil de domínio não são aplicadas, levando a problemas de conectividade.
  • A conectividade com aplicativos internos pode falhar porque o perfil de domínio não está ativo.

Visão geral do NLA (Reconhecimento de Local de Rede)

O serviço NLA (Reconhecimento de Local de Rede) executa a detecção de local de rede para qualquer uma das seguintes alterações de rede:

  • Adicionar ou remover qualquer rota IP.
  • Adicionar ou remover qualquer endereço IP.
  • Desconectando ou reconectando o adaptador de rede.
  • Desativando ou reativando o adaptador de rede.
  • Eventos DHCP (Dynamic Host Configuration Protocol) (renovações de concessão, adição ou remoção de servidor DNS (Sistema de Nomes de Domínio) e assim por diante).
  • Quaisquer alterações nas configurações do Indicador de Status de Conectividade de Rede (NCSI), como a configuração DomainLocationDeterminationUrl .

Autenticação de domínio para NLA

Quando um computador ingressado no domínio é conectado a uma nova rede, ele executa as seguintes verificações para identificar se está na rede de domínio. O NCSI determina a conectividade com a Internet e o NLA executa a autenticação de domínio para o perfil de rede.

Qualquer alteração de rede dispara a detecção de NCSI e o NLA tenta se autenticar no controlador de domínio (DC) para atribuir o perfil correto ao firewall do Windows.

Aqui estão as etapas de autenticação:

  1. O serviço NLA chama a DsGetDcName função para recuperar o nome do DC. Isso é feito por meio da resolução de nomes DNS, como _ldap._tcp.<SiteName>._sites.dc._msdcs.<DomainName>.
  2. Depois que a resolução de nomes DNS for bem-sucedida e retornar o nome do DC, uma conexão LDAP (Lightweight Directory Access Protocol) ocorrerá na porta 389 para o DC recuperado na etapa anterior.
  3. A máquina estabelece uma conexão TCP com o DC pela porta TCP 389 e envia uma solicitação de ligação LDAP. Depois que essa ligação LDAP for bem-sucedida, a máquina se identificará na rede de domínio.

Com base no êxito do processo de detecção de domínio, o perfil de firewall é aplicado de acordo.

Os computadores que executam o Windows 7, Windows Server 2008 R2 e sistemas operacionais posteriores podem detectar os seguintes tipos de local de rede:

  • Setor Público

    Por padrão, o tipo de local de rede pública é atribuído a qualquer nova rede quando os computadores são conectados pela primeira vez. O perfil público é usado para designar redes públicas, como pontos de acesso Wi-Fi em cafeterias, aeroportos e outros locais.

  • Privados

    Os administradores locais podem selecionar manualmente o tipo de local de rede privada para uma conexão com uma rede que não é diretamente acessível ao público. Essa conexão pode ser vinculada a uma rede doméstica ou de escritório isolada de redes acessíveis publicamente usando um dispositivo de firewall ou um dispositivo que executa a conversão de endereços de rede (NAT).

  • Domínio

    O tipo de local de rede do domínio é detectado quando o computador local é membro de um domínio do Active Directory e o computador local pode se autenticar em um controlador de domínio para esse domínio por meio de uma de suas conexões de rede. Um administrador não pode atribuir manualmente esse tipo de local de rede.

Quando vários adaptadores de rede estão conectados ao seu computador, você pode se conectar a diferentes tipos de redes. Os computadores que executam o Windows 7, Windows Server 2008 R2 e sistemas operacionais posteriores oferecem suporte a diferentes tipos de local de rede.

A função do serviço NLA é coletar e armazenar informações de configuração para a rede e notificar programas quando essas informações são modificadas.

As informações coletadas pelo NLA são selecionadas pelo serviço Network List Service (NLS) e armazenadas em HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\NetworkList.

A partir do Windows 11, o serviço NLA não é mais responsável por detectar o perfil de domínio. Em vez disso, o Gerenciador de Lista de Rede faz esse trabalho e é executado no contexto do sistema.

Aqui estão alguns registros importantes para ajudar a diagnosticar o perfil, a rede ou o estado atual do adaptador:

Location Uso
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\NetworkList\Signatures\Managed Essa chave do Registro mostra os perfis de rede gerenciados armazenados no Registro do Windows.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\NetworkList\Signatures\Unmanaged Essa chave do Registro mostra os perfis de rede não gerenciados armazenados no Registro do Windows.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\NetworkList\Profiles\{985EE69C-23B4-4D38-AC66-5F0D6AD8A128} Essa chave do Registro contém informações sobre perfis de rede no Windows e a categoria atual do perfil de rede.

Um valor de significa que a rede não é uma rede do 0 Active Directory.

Um valor de significa que a rede é uma rede do 1 Active Directory, mas esse computador não está autenticado nela.

Um valor de significa que a rede é uma rede do 2 Active Directory e esse computador é autenticado nela.

Verifique o perfil de rede aplicado no momento

Você pode verificar se o computador ingressado no domínio pode detectar com êxito o perfil de rede do domínio usando o seguinte cmdlet do PowerShell:

PS C:\Users\admin> Get-NetConnectionProfile
Name             : contoso.com
InterfaceAlias   : Contoso
InterfaceIndex   : 13
NetworkCategory  : DomainAuthenticated
IPv4Connectivity : Internet
IPv6Connectivity : NoTraffic

Resolver problemas de detecção de domínio

  1. Verifique se a máquina pode identificar um servidor LDAP ou DC resolvendo o nome _ldap._tcp.<SiteName>._sites.dc._msdcs.<DomainName>.

    Em um prompt de comando administrativo ou janela do PowerShell, execute o seguinte comando para forçar a descoberta de DC:

    Nltest /dsgetdc:<DomainName> /force
    

    Certifique-se de que você pode listar o nome do DC na saída do comando, por exemplo:

    PS C:\tss> nltest /dsgetdc:contoso.com /force
               DC: \\DC.contoso.com
          Address: \\10.0.1.2
         Dom Guid: <GUID>
         Dom Name: contoso.com
      Forest Name: contoso.com
     Dc Site Name: Default-First-Site-Name
    Our Site Name: Default-First-Site-Name
            Flags: PDC GC DS LDAP KDC TIMESERV WRITABLE DNS_DC DNS_DOMAIN DNS_FOREST CLOSE_SITE FULL_SECRET WS DS_8 DS_9 DS_10 KEYLIST
    The command completed successfully
    

    Se a resolução de nomes DNS falhar e retornar DsGetDcName function Failed with ERROR_NO_SUCH_DOMAIN, a máquina não se identificará na rede de domínio, mesmo que esteja dentro da rede corporativa.

  2. Verifique se a máquina pode estabelecer uma conexão da porta TCP 389 com o controlador de domínio identificado na etapa anterior.

    Verifique se a porta TCP 389 é permitida no Firewall do Windows.

    Em um prompt de comando administrativo ou janela do PowerShell, execute o seguinte comando para verificar se a conexão TCP com o controlador de domínio foi bem-sucedida:

    Telnet <DCName or IP> 389
    

    Se uma janela em branco for aberta, isso significa que a conexão TCP pode ser estabelecida com êxito.

    Se falhar, o processo de detecção de domínio NLA não poderá prosseguir e o computador não poderá identificar a rede de domínio.

  3. Verifique se a máquina pode executar uma ligação LDAP com o controlador de domínio dentro da conexão da porta TCP 389 estabelecida.

    As solicitações e respostas de ligação LDAP podem ser vistas na sessão da porta TCP 389 em um rastreamento de rede coletado durante o processo de detecção de domínio NLA.

    Se a associação LDAP falhar, você verá "Não autenticado" no adaptador de rede em ncpa.cpl. Ele aparecerá como "Contoso.com (não autenticado)".

  4. Verifique se há erros nos logs de eventos Microsoft-Windows-NetworkProfile/Operacional.

    Aqui está um exemplo de uma detecção de domínio bem-sucedida.

    Identificação de rede em andamento:

    Captura de tela do log de eventos mostrando a identificação de rede em andamento.

    Rede de domínio identificada:

    Captura de tela do log de eventos mostrando a rede de domínio identificada.

Análise de captura de rede

Para solucionar problemas do cenário, você pode coletar uma captura de rede usando o Wireshark ao desabilitar e reabilitar o adaptador de rede ou reiniciar o serviço NLS (que aciona o processo de detecção de domínio NLA).

Observação

Em alguns cenários, o problema pode ser resolvido desabilitando e reabilitando o adaptador ou reiniciando o serviço NLS. Você pode coletar um rastreamento de rede ao fazer isso somente se o problema persistir.

Para baixar o Wireshark, consulte Baixar o Wireshark.

Para capturar um rastreamento do Wireshark, consulte as etapas em Iniciar captura.

Depois que um rastreamento de rede é coletado, você pode seguir estas etapas para executar a análise básica para identificar a causa raiz.

Abra a captura de rede no Wireshark. No espaço "Aplicar um filtro de exibição", digite dns e aplique o filtro.

Procure a consulta DNS enviada para o nome "_ldap" para identificar um controlador de domínio no domínio.

Uma resolução de nome bem-sucedida deve ser semelhante a este exemplo:

292 <DateTime>  10.0.1.10   10.0.1.2    DNS 130         Standard query 0x9022 SRV _ldap._tcp.Default-First-Site-Name._sites.dc._msdcs.contoso.com
293 <DateTime>  10.0.1.2    10.0.1.10   DNS 173         Standard query response 0x9022 SRV _ldap._tcp.Default-First-Site-Name._sites.dc._msdcs.contoso.com SRV 0 100 389 dc.contoso.com A 10.0.1.2

A próxima etapa é estabelecer com êxito uma conexão LDAP pela porta TCP 389 com o DC identificado como destino.

Aplique o filtro "ip.addr==10.0.1.2 e tcp.port==389" no espaço do filtro de exibição para identificar essa sessão TCP.

Observação

O valor 10.0.1.2 no filtro precisa ser substituído pelo endereço IP do controlador de domínio obtido em seu ambiente.

Uma conexão LDAP e uma ligação bem-sucedidas devem ser semelhantes a:

Conexão TCP estabelecida:

298 <DateTime>  10.0.1.10   10.0.1.2    TCP 66  1521521070  0   59506 → 389 [SYN, ECE, CWR] Seq=0 Win=64240 Len=0 MSS=1460 WS=256 SACK_PERM
299 <DateTime>  10.0.1.2    10.0.1.10   TCP 66  690649648   1521521071  389 → 59506 [SYN, ACK, ECE] Seq=0 Ack=1 Win=65535 Len=0 MSS=1460 WS=256 SACK_PERM
300 <DateTime>  10.0.1.10   10.0.1.2    TCP 54  1521521071  690649649   59506 → 389 [ACK] Seq=1 Ack=1 Win=2097920 Len=0

Ligação LDAP concluída com êxito:

316 <DateTime>  10.0.1.10   10.0.1.2    LDAP    1912    1521521422  690652335   bindRequest(267) "<ROOT>" sasl 
318 <DateTime>  10.0.1.2    10.0.1.10   LDAP    266 690652335   1521523280  bindResponse(267) success

Para obter mais soluções de problemas, entre em contato com o Suporte da Microsoft.

Coleta de dados

Antes de entrar em contato com o Suporte da Microsoft, você pode coletar informações sobre o problema.

Baixe e colete logs usando o conjunto de ferramentas TSS e, em seguida, habilite a coleta de logs no computador afetado usando o seguinte cmdlet:

.\TSS.ps1 -Scenario NET_NCSI

Aviso de isenção de responsabilidade para informações de terceiros

Os produtos de terceiros mencionados neste artigo são produzidos por empresas independentes da Microsoft. A Microsoft não oferece nenhuma garantia, implícita ou não, do desempenho ou da confiabilidade desses produtos.