WindowsファイアウォールがWindows10のドメインネットワークを認識できない場合はどうなりますか?

コンピューターがドメインネットワークに接続されると(たとえば、会社の場合)、Windowsファイアウォールは自動的にドメインプロファイルに切り替わります。少なくとも、理論的には、Windowsファイアウォールがそれを行うことになっています。

ただし、Windowsファイアウォールがネットワーク構成の変更を無視したり、新しいドメインの認識を拒否したりすることがあります。

物事が期待どおりに進まなかったシナリオの多くでは、ユーザーはサードパーティの仮想プライベートネットワーク(VPN)を使用してドメインネットワークに接続していました。これは、1つまたは2つのことを説明している可能性があります。

ネット

Windowsファイアウォールがドメインネットワークを認識しないのはなぜですか?

Windowsファイアウォールは、ネットワークパスまたはセットアップに不整合があるため、ドメインネットワークの認識(またはコンピューターがドメインネットワークに接続した後の変更の検出)に苦労しています。

たとえば、VPNは、クライアントがドメインネットワークにルートを追加する傾向があり、これが何らかの遅延を引き起こすため、Windowsファイアウォールがドメインネットワークを認識できないか失敗することと関係があります。VPNは、ユーザーが新しいサーバーに切り替えるか、新しい接続の手順を開始するたびに、新しいIPアドレスを使用するようにプログラムされています。

上記の理由により、MicrosoftはVPN開発者にコールバックAPIを使用してルートを追加することをお勧めします(VPNアダプターがWindowsに到達したとき)。ドメインネットワークへの接続をWindowsが検出できないことに起因する問題を回避するために使用されるべきであったAPIに飽きることはありません。

次に、Windowsファイアウォールがドメインネットワークを認識できるようにする、または有効にする回避策について説明します。コンピュータがネットワーク接続の変更を正しく検出する可能性を高める手順を説明します。

Windows10でドメインネットワークを認識しないWindowsファイアウォールを修正する方法

コンピューターで実行されているVPNによっては、以下の手順の1つまたはすべてを使用できない場合があります。回避策の設定またはセットアップが適用されない場合があります。

リストの最初の解決策を試し、(必要に応じて)他の解決策を試すことをお勧めします。

  1. ネガティブキャッシュ期間の構成を追加または変更します。

VPNにWindowsファイアウォールがドメインネットワークを正常に認識できるようにするコールバックAPIがない場合は、ネガティブキャッシュ機能を無効にすることでメリットが得られる可能性があります。このように、新しい設定を使用すると、コンピューターは、次にドメインを検出しようとしたときに、NLAサービスを(以前よりも)支援することができます。

注:デフォルトでは、Negative CachePeriodのタイムアウトは45秒に設定されています。

ここでタスクを実行するために従わなければならない指示は次のとおりです。

  • まず、レジストリエディタアプリを開く必要があります。
  • Windowsボタンと文字Rキーの組み合わせを使用して、実行アプリを起動し、ウィンドウのテキストボックスにregeditと入力してから、Enterキーを押してコードを実行します。
  • Windowsのスタート画面またはメニューに移動し、入力を開始したときに表示されるテキストボックスでRegeditを検索し、結果リストから適切なエントリをクリックします。
  • Windowsでユーザーアカウント制御のプロンプトが表示されたら、[はい]ボタンをクリックして作業を続行する必要があります。
  • レジストリエディタウィンドウが表示されたら、[コンピュータ]を展開し、次のパスに沿ってディレクトリをナビゲートする必要があります。

HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Services \ NetLogon \パラメータ

  • 現在の場所で、ウィンドウの右側のペインで、NegativeCachePeriodをダブルクリックする必要があります。
  • NegativeCachePeriodエントリが見つからない場合は、それを作成するためにいくつかの作業を行う必要があります。NegativeCachePeriodを作成したら、それをダブルクリックする必要があります。
  • [DWORD(32ビット)値の編集]ウィンドウが表示されたら、[値のデータ]ボックスにあるものをすべて削除し、0を入力する必要があります
  • 0値のデータ]ボックスに、今、変更を保存するために[OK]ボタンをクリックしてください。
  • レジストリエディタアプリケーションを閉じます。
  • PCを再起動します。
  • ここで、PCをネットワークに再度接続する必要があります。Windowsがドメインネットワークを認識するのを待ちます(またはプロセスをスピードアップするためにできることは何でもします)。
  1. Max Negative CacheTTLの構成を追加または変更します

ここでは、重要なエントリの値をゼロに設定して、DNSキャッシュを無効にする必要があります。それでもWindowsファイアウォールで、コンピューターが既に接続されているネットワークドメインを認識できない場合は、DNSキャッシュ設定を削除することでメリットが得られる可能性があります。

次の手順を実行します。

  • まず、レジストリエディタアプリを開く必要があります。
  • Windowsボタンと文字Rキーの組み合わせを使用して、実行アプリを起動し、ウィンドウのテキストボックスにregeditと入力してから、Enterキーを押してコードを実行します。
  • Windowsのスタート画面またはメニューに移動し、入力を開始した瞬間に表示されるテキストボックスでRegeditを検索し、適切なエントリをクリックしてアプリを起動します。
  • Windowsでユーザーアカウント制御プロンプトが表示されたら、続行するには[はい]ボタンをクリックする必要があります。
  • レジストリエディタウィンドウが表示されたら、[コンピュータ]を展開し、次のパスのディレクトリをナビゲートする必要があります。

HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Services \ Dnscache \パラメータ

  • 現在の場所で、ウィンドウの右側のペインで、MaxNegativeCacheTtlエントリを確認する必要があります。それをダブルクリックします。
  • MaxNegativeCacheTtlエントリが見つからない場合は、それを作成するためにいくつかの作業を行う必要があります。MaxNegativeCacheTtlを作成したら、それをダブルクリックする必要があります。
  • [DWORD(32ビット)値の編集]ウィンドウが表示されたら、[値のデータ]ボックスにあるものをすべて削除し、0を入力する必要があります
  • [OK]ボタンをクリックします。

これで、Windowsは行った変更を保存します。

  • レジストリエディタアプリケーションを閉じます。
  • PCを再起動します。
  • ここで、コンピュータをネットワークに再度接続する必要があります。
  • Windowsがドメインネットワークを認識するのを待ちます。

ヒント:

ドメインネットワーク上でコンピュータを使用する予定であるため、(通常よりも)より多くの予防策を講じる必要があり、さらに追加のセキュリティ対策を検討する必要があります。1つは、ウイルスやその他の悪意のあるプログラムを防ぐための強力な保護設定が必要です。

特にシステムでウイルス対策または保護ユーティリティがアクティブになっていない場合は、AuslogicsAnti-Malwareを入手することをお勧めします。いずれにせよ、このプログラムを使用すると、トップレベルの防御レイヤーと高度なスキャン機能を利用できます。これらは(機能として)コンピューターを脅威から保護するのに大いに役立ちます。