Apabila anda menyambungkan ke rangkaian (network) domain atau rangkaian sesebuah organisasi, Windows Firewall akan mengubah ke satu profail domain (domain profile). Profile ini digunakan untuk ke rangkaian-rangkaian yang mana sistem hos (host system) boleh memperakukan (authenticate) ke satu pengawal domain (domain controller). Dua profail lagi adalah private dan public.
Namun adakalanya, profail Windows Firewall tidak bertukar ke Domain yang anda ingin disambungkan. Ia biasanya terjadi apabila anda menggunakan klien rangkaian persendirian maya (virtual private network, VPN) pihak ketiga untuk bersambung ke sesebuah rangkaian domain.
Di dalam artikel ini akan memberikan serba sedikit panduan untuk membolehkan Windows Firewall menukar ke profail yang diperlukan untuk bersambung.
Isi Kandungan
Windows Firewall tidak mengenali (not recognizing) rangkaian Domain
Kadangkala profail Windows Firewall tidak boleh bertukar ke Domain apabila anda menggunakan klien VPN pihak ketiga. Hal ini disebabkan oleh lengah waktu (time lag) pada sesetengah klien VPN pihak ketiga.
Kelengahan ini terjadi apabila klien menambah laluan-laluan (routes) yang diperlukan ke rangkaian domain. VPN-VPN menukarkan alamat IP setiap kali anda menukarkan ke pelayan (server) baru atau apabila anda membuat sambungan baru.
Sebagai langkah penyelesaian kekal, Microsoft mencadangkan VPN-VPN menggunakan API-API panggilan semula (callback) bagi menambah laluan-laluan sebaik sahaja penyesuai (adapter) VPN tiba di Windows. Berikut adalah tiga API yang VPN perlu gunakannya pada Windows:
- NotifyUnicastIpAddressChange: Memaklumkan pemanggil (callers) mengenai sebarang perubahan pada sebarang alamat IP termasuk perubahan di dalam DAD state.
- NotifyIpInterfaceChange: Mendaftarkan satu panggilan semula untuk pemakluman perubahan pada semua antaramuka IP.
- NotifyAddrChanget: Memaklumkan kepada pengguna mengenai perubahan alamat.
Cara mengubahkan Firewall ke Profail Domain
Jika VPN anda tidak menawarkan sebarang fungsi API seperti yang dinyatakan di atas, dan anda mungkin tidak mahu menggunakan VPN lain, ini mungkin penyelesaian anda boleh cuba. Anda atau pentadbir IT organisasi anda boleh memilih sama melumpuhkan cache negatif (disable negative cache) bagi membantu servis NLA membuat percubaan pengesanan domain berulang-kali.
Untuk mewujudkan kekunci-kekunci ini, klik kanan pada mana-mana ruangan kosong di dalam tetingkap registry, kemudia pilih ‘New’ dan pilih jenis-jenis kekunci. Misalnya, untuk contoh ini, anda ambil ‘DWORD (32-bit) Value’.
Tambah atau ubah Negative Cache Period
Lumpuhkan fungsi menemukan domain (Disable Domain Discovery) cache negatif (negative cache) dengan menambahkan kekunci registry (registry key) NegativeCachePeriod ke subkekunci (subkey) berikut:
- Buka Registry Editor dan carikan kekunci berikut:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NetLogon\Parameters
- Ubahkan atau wujudkan DWORD berikut berdasarkan nilai ini
- Name: NegativeCachePeriod
- Type: REG_DWORD
- Value Data: 0
Nilai default cache negatif adalah 45 saat. Tetapkannya pada kosong akan melumpuhkan fungsi caching.
Tambah atau ubah Max Negative Cache TTL
Jika masalah ini masih lagi belum dapat diselesaikan, langkah berikutnya adalah melumpuhkan caching DNS. Anda boleh melakukannya dengan menambahkan MaxNegativeCacheTtl ke registry key.
- Buka Registry Editor
- Telusuri laluan seperti berikut:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Dnscache\Parameters
- Ubah atau wujudkan DWORD berdasarkan nilai berikut:
- Name: MaxNegativeCacheTtl
- Type: REG_DWORD
- Value Data: 0
Nilai default cache negatif maksimum (maximum negative cache) adalah lima saat. Apabila anda tetapkannya ke kosong, ianya akan melumpuhkan fungsi caching berkenaan.
Diharapkan panduan ini boleh membantu menyelesaikan masalah menukarkan profail Windows Firewall ke profail Domain apabila anda menggunakan klien VPN pihak ketiga (third-party).