Компьютер не может идентифицировать сеть, если компьютер работает под управлением Windows Vista, Windows Server 2008, Windows 7 или Windows Server 2008 R2 и является членом дочернего домена

В этой статье описывается решение проблемы, из-за чего компьютер не может идентифицировать сеть, если этот компьютер является членом дочернего домена.

Применимо к: Windows Server 7 с пакетом обновления 1, Windows Server 2012 R2
Исходный номер базы знаний: 980873

Симптомы

У вас есть компьютер под управлением Windows Vista, Windows Server 2008, Windows 7 или Windows Server 2008 R2. Если этот компьютер является членом дочернего домена, компьютер не может идентифицировать сеть. Это может привести к тому, что брандмауэр на компьютере будет настроен на общедоступный профиль.

Кроме того, события, похожие на следующий пример, регистрируются в журналах событий приложений:

Причина

Эта проблема возникает из-за того, что компьютер не может подключиться к основному контроллеру домена (PDC) в домене леса после присоединения компьютера к дочернему домену. Служба "Осведомленность о сетевом расположении" (NLA) ожидает, что сможет перечислить имя леса домена, чтобы выбрать правильный сетевой профиль для подключения. Служба делает это путем вызова DsGetDcName имени корневого леса и выдачи запроса LDAP (упрощенный протокол доступа к каталогу) через порт UDP (протокол пользовательской диаграммы данных) 389 корневому контроллеру домена. Служба ожидает, что сможет подключиться к PDC в домене леса, чтобы заполнить следующий подраздел реестра:
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\NetworkList\Nla\Cache\IntranetForests

Если что-то препятствует разрешению DNS-имен или попытке подключения к контроллеру домена, NLA не может задать соответствующий сетевой профиль для подключения.

Разрешение

Для решения этой проблемы воспользуйтесь одним из указанных ниже способов.

Способ 1

Настройте устройства брандмауэра, чтобы не блокировать обмен данными через UDP/TCP-порт 389. Дополнительные сведения о том, как это сделать, см. в статье Общие сведения о службе и требования к сетевым портам для Windows.

Способ 2

1. Настройте один компьютер в дочернем домене для подключения к PDC из корневого домена.

2. Перезагрузите компьютер. Теперь компьютер должен иметь возможность идентифицировать сеть. Кроме того, для профиля брандмауэра будет задан профиль домена.

3. Экспортируйте следующий подраздел реестра в виде файла в общее расположение в домене:
   HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\NetworkList\Nla\Cache\IntranetForests

4. Импортируйте подраздел реестра, экспортированный на шаге 3, на другие компьютеры, которые не могут подключиться к PDC из леса домена.

5. Перезагрузите компьютер. Теперь компьютер должен иметь возможность идентифицировать сеть, а профиль в брандмауэре будет установлен в профиль домена.

Способ 3

Если достаточно определить сетевой профиль на основе имени дочернего домена, то можно уменьшить время, затраченное NLA на агрессивные повторные попытки.

Чтобы развернуть параметр реестра, изменяющий счетчик повторных попыток, используемый NLA, выполните следующие действия.

1. Создайте раздел реестра, соответствующий корневому домену леса по пути:
   HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\NetworkList\Nla\Cache\Intranet\

2. В только что созданном разделе реестра для имени корневого домена леса добавьте два значения реестра ниже:

   • Сбоев REG_DWORD со значением 1

   • Успехи REG_DWORD со значением 0

   Это приведет к тому, что NLA перейдет к самому низкому количеству повторных попыток и должен привести к идентификации, продолжающейся всего пару минут.