Home » Windows » Слетает тип сети с доменной на частную на Windows Server

Слетает тип сети с доменной на частную на Windows Server

Продолжительное время пытаюсь разобраться с одной проблемой в доменной сети. На разных Windows Server после перезагрузки периодически тип сети с доменной (domain) меняется на частную (private). Происходит этот как на контроллерах домена, так и на рядовых серверах. Поделюсь своими рецептами борьбы с этой проблемой.

Если у вас есть желание научиться строить и поддерживать высокодоступные и надежные системы, рекомендую познакомиться с онлайн-курсом «DevOps практики и инструменты» в OTUS. Курс не для новичков, для поступления нужно пройти .

Цели статьи

  1. Описать проблему, с которой столкнулся, по смене категории сети на сетевом интерфейсе после перезагрузки windows сервера.
  2. Показать методы, которые применял для решения проблемы.
  3. Получить помощь или совет по текущей проблеме.

Введение

Сразу проясню технические моменты.

  • Все события происходят на серверах версии Windows Server 2012 R2.
  • Используются бесплатные гипервизоры Windows Hyper-V Server 2012 R2 и Windows Hyper-V Server 2016.
  • Все серверы включены в домен. Часть серверов сами являются контроллерами доменов.

Теперь по симптомам. Периодически после плановой установки обновлений и перезагрузки в свойствах сетевого подключения меняется тип сети. Она перестает быть доменной и становится приватной.

Смена доменной сети на частную

Так же несколько раз была ситуация, когда сетевое подключение получало новое имя. Как видно на примере, сетевой интерфейс имеет имя Сеть 3. То есть это уже третий раз, когда он поменял имя. Оба эти события не всегда случаются одновременно. Имя сети может и не поменяться, но поменяется ее тип. При этом вирутальные машины никуда не переезжают, их настройки не меняются. Мне совершенно не понятно, почему может измениться сетевой интерфейс.

Пару раз была ситуация, когда сервер вообще был недоступен по сети после перезагрузки. При подключении к консоли я видел запрос на выбор типа сети. После того, как я указывал тип сети, сервер становился досупен. При этом его сетевые настройки не слетали, везде прописана статика. Конкретно эта ошибка гарантирована не воспроисзводилась, я особо не занимался расследованием. А вот со сменой типа сети сталкиваюсь регулярно, поэтому накопилась статистика.

Изменение типа сети на доменную

Простого способа указать, что данное соединение доменное в windows server нет. Я нашел как минимум 2 рабочих способа, которые гарантированно позволяют вернуть соединению статус Domain Network.

  1. Способ номер один. Заходим в свойства сетевого подключения и отключаем ipv6. Сеть сразу же становится доменной.
  2. Способ номер два. Перезапускаем службу Служба сведений о подключенных сетях (Network Location Awareness Service).

Доменная сеть

Идея полностью отключать ipv6 мне не нравится, потому что неоднократнго видел информацию о том, что она каким-то образом нужна для корректной работы сервера и Microsoft не рекомендует ее отключать.

При втором способе, если сделать для службы тип запуска Автоматически (отложенный запуск), то после перезагрзки сервера статус сети всегда будет доменный. Это вроде как решает проблему, хотя мне кажется, что это больше костыль, чем решение.

Служба сведений о подключенных сетях

В целом, мне не понятно, в чем конкретно проблема и почему она стала проявляться в какой-то определенный момент, причем на разных серверах. Иногда помогает просто перезагрузка, иногда нет. Когда я последний раз исследовал ошибку, она на 100% повторялась на двух серверах с ролью контроллера домена, dhcp и dns сервера. Помогало либо отключение ipv6, либо перезапуск службы. В логах при этом ничего подходящего под указанную проблему не находил.

Причины изменения типа сети

Теоретически, Windows определяет тип сети как доменный, если с соответствующего адаптера достижим контроллер домена, с которого были получены групповые политики. На контроллере домена этот сервер - он сам, все сетевые адаптеры на нём должны определяться как принадлежащие доменной сети. Почему у меня на контроллерах домена сеть оказывалась не доменной, ума не приложу.

Есть мысли, что это из-за настроек ipv6. Изначально там указано получать адрес автоматически. И Windows какой-то адрес получала. Даже не знаю откуда.

ipv6 адрес с windows

Пытался разобраться в теме ipv6, но скажу честно, сходу в нее не вник. Там все как-то не просто и надо погружаться, изучать. Пытался указывать ipv6 адрес вручную, статический. Думал, это может помочь. Почему-то после перезагрузки, настройки слетали обратно на получение адреса автоматически.

Получить ipv6-адрес автоматически

Отдельно пробовал настройку Предпочтение протокола IPv4 протоколу IPv6, как описано в руководстве на сайте microsoft. Это не помогло. На проблемном сервере гарантированно получал частную сеть вместо доменной.

Заключение

Не понравилась статья и хочешь научить меня администрировать? Пожалуйста, я люблю учиться. Комментарии в твоем распоряжении. Расскажи, как сделать правильно!

По факту каких-то проблем из-за данной настройки я не получал. Отличий в настройке фаервола в зависимости от типа сети у меня нет, так что видимых проблем не было. На текущий момент там, где последний раз словил эту ошибку, настроил отложенный запуск службы сведений о подключенных сетях (Network Location Awareness Service). Ошибка больше не воспроизводится. Буду наблюдать дальше.

Если вы сталкивались с подобными ошибками, либо есть советы, что еще попробовать, буду рад комментариям по этой теме.

Онлайн курс "DevOps практики и инструменты"

Если у вас есть желание научиться строить и поддерживать высокодоступные и надежные системы, научиться непрерывной поставке ПО, мониторингу и логированию web приложений, рекомендую познакомиться с онлайн-курсом «DevOps практики и инструменты» в OTUS. Курс не для новичков, для поступления нужны базовые знания по сетям и установке Linux на виртуалку. Обучение длится 5 месяцев, после чего успешные выпускники курса смогут пройти собеседования у партнеров. Проверьте себя на вступительном тесте и смотрите программу детальнее по .

Помогла статья? Подписывайся на telegram канал автора

Анонсы всех статей, плюс много другой полезной и интересной информации, которая не попадает на сайт.

Автор Zerox

Владимир, системный администратор, автор сайта. Люблю настраивать сервера, изучать что-то новое, делиться знаниями, писать интересные и полезные статьи. Открыт к диалогу и сотрудничеству. Если вам интересно узнать обо мне побольше, то можете послушать интервью. Запись на моем канале - https://t.me/srv_admin/425 или на сайте в контактах.

52 комментария

  1. Проблема на самом деле может оказаться критичной в некоторых случаях. И «невероятно, но факт» до сих пор актуальна в марте 2021 на последних обновлениях windows server 2019. Уже забил на эту проблему в последние время, так как в принципе она безобидна, но в одном из случаев, когда сетевое хранилище synology было завязано на доменные учетные записи, и после одной из перезагрузок сервера слетел тип сети и как следствие synology не мог разрешать права доменных учетных записей, благо долго не мучался, а после некоторых разбирательств пришло в голову проверить тип сети. В планировщике состряпал задачу при включении компьютера запускать Restart-Service -Name nlasvc -Force от имени СИСТЕМА с отсрочкой на минуту и все, забыл об этой проблеме.

    • У меня тоже последнее время не воспроизводится. Что конкретно помогло, не знаю. Пробовал все, что описано в статье и предложено в комментариях.

  2. Андрей

    Да, IPv6 везде отлючен и на серверах в том числе

  3. Андрей

    У меня в сети "статика". Win 7 и 2008r2. В аналогичных случаях помогала смена IP на любой свободный (тип сети возвращался к "правильному" значению "сеть предприятия") и после этого возвращение рабочего IP. Тип сети оставался правильным. Происходил этот сбой рандомно, определялся по недоступности машины по удаленке. Лекарства от автора статьи пока не применял, буду пробовать. Автору - благодарность!!!

  4. Есть домен company.ru и у него 2 поддомена m.company.ru и k.company.ru. Все три домена находятся в разных сетях. Проблема состоит в том, что два поддомена некорректно работают вместе, а именно, если пинговать с главного домена, то один из поддоменов(сервер) периодически перестает быть доступным, а другой в это время работает. Почему так?

  5. Не знал в каком разделе написать но эти команды редкие
    #Узнать HOSTNAME
    ping -a 10.0.0.1

    ## Найти по MAC ip адрес
    ## Наполнить arp
    for /L %a in (1,1,254) do @start /b ping 10.162.201.%a -n 2 > nul
    ## Найти по MAC
    arp -a | find /i " 58-50-ED-42-82-29"

  6. Вообщем все описанное тут не помогло от слова совсем, перекурил кучу форумов, пробовал абсолютно все, при чем данная проблема вылезла в домене не только на сервере, но и на клиентских пк, но не на всех, а на железе интел на материнках MSI h110 pro vd plus, решилась проблема банально просто, заметил что быстрый старт пк происходит, а при перезагрузке нет, выключил быстрый старт в биосе и в самой WIN 10 в электропитание, разницы в работе ни какой, разве что только пк запускается на 1 сек позже, все переведено на ссд и функция абсолютно бесполезная, еще и вызывает такие проблемы, кстати по мимо отвала доменной сети, наблюдались разрывы интернета на компьютерах на 1-3 сек и сразу восстанавливалось само, данная проблема так же ушла. Может кто еще ломает голову поможет мой совет)

    • Скоро книгу уже можно будет выпускать по этой проблеме :) Столько всяких ситуаций и версию по исправлению.

      • Добавлю еще такой момент, на одном из пк стоит программа для турникета проходных, и стабильно каждое утро при его включение вылетал синий экран 1 раз и пк перезагружался, я пол года ломал голову че не так и дрова переставлял даже винду, компьютер новый, убрал так же быстрый старт в биосе и в электропитание - действие кнопок питания - Изменение параметров которые сейчас не доступны - галочку снять "Включить быстрый запуск", проблема так же ушла. Видимо быстрый старт на столько прогружает быстро систему, что драйвера, службы и т.д. просто не могут адекватно запуститься и высплавают разного рода ошибки, от неадекватной работы сети до синих экранов в моем случае, странно то что это в последнее время началось только на новых машинах, в нашей фирме в основном с процов интел начиная с 8 поколения, 7е поколение и старше такой проблемы не наблюдается. Да и на самом деле толку от этого быстрого старта ни какого, ну подождете вы лишние 2 секунды при пуске и все. Тем более если на ссд все стоит. Вообщем нет слов, за 8 лет работы сис. админом 1 раз сталкиваюсь с таким бредом.

  7. Cпасибо за инфу. После каждой перезагрузки контроллера домена, Windows Server 2019 Standard 17763.1217 (он у меня один), в DNS прописан 127.0.0.1 (альтернативного DNS нет), профиль падал в "Частный". Отключение IPv6 и отложенный запуск службы NlaSvc результатов не дал. Помогло только это - http://joxi.ru/vAWanWLSqLjgLm

    • То есть добавили последнюю запись DNS? Я так и продолжаю изредка ловить эту ошибку.

      • Да, добавил в качестве зависимой от службы DNS, сделал несколько ребутов, пока полет нормальный, а до этого врукопашную перезапускал службу NlaSvc

    • Добрый день. Ваше решение мне помогло. Спасибо

  8. Добрый день!
    Была аналогичная проблема server 2016, помогло переключение настроек портов подключения сервера в port fast на коммутаторах cisco.

  9. Я тоже года 2 мучался вручную перезапускал службу nlasvc, но в Ваших коментах нашёл РЕШЕНИЕ и мне помогло уже 5 раз перезапускал сервер и всегда получаю результат "Категория сети - ДОМЕННЫЕ

    sc config nlasvc depend=DNS

    Спасибо!!!

  10. День добрый. В первые столкнулся с такой проблемой о_О. И самое интересное, что мне помогло когда я включил IPv6 обратно. Ндя... видимо какое то из обновлении содержит в себе скрытый баг.

    • Чудеса прям какие-то с этим багом :)

      • Прошу прощение за неверную формулировку. Я не отключал IPv6, я просто убирал галочку в свойствах интерфейса. Сейчас посмотрел, в свойствах протокола IPv6 бы прописан локальный DNS сервер. "::1" выставил значение "Получать автоматически" убрал галочку с IPv6 принадлежность сети не изменилась. По прежнему "Доменная". Дело происходит на контроллере домена. 2012 R2.

  11. Решение для КД с ролью ДНС найдено здесь:
    https://www.reddit.com/r/WindowsServer/comments/b838zj/fix_server_20162019_domain_controller_booting_up/

    To fix this problem, set the Network Location Awareness service to depend on the DNS Server service by executing the following from an elevated command prompt.

    sc config nlasvc depend=DNS

    Edit: This fix presumes you are running DNS Server on the domain controller and the DC points to itself for DNS. If the DNS server role isn't installed, executing this command will break the NLA service. If your DC is pointing to another server for DNS, you likely have never experienced this problem.

    • Я это и на файловых серверах наблюдаю, причем до сих пор. Ничего не помогает. Тупо проверяют после перезагрузки, все ли нормально. Если нет, еще раз перезагружаю.

  12. Опять получил эту ошибку. Причем ни один из предложенных в статье или комментарии способов не помог. Помогла перезагрузка.

    • Костыль жуткий, но другого не придумал. Делаю батник.
      net stop NlaSvc /y
      net start NlaSvc /y
      В планировщике - новую задачу - "At statup" Delay 2-5min.
      IPv6 и отложенные запуски не всегда помогают.

  13. Когда вводил недавно файлопомойку в домен вырубил подкорень все обновления системы, чтоб не мешались. сеть доменная без вариантов

    • Спорное решение. А если новая эпидемия через какую-то дыру в винде, а у тебя 2 года обновы не ставились? Потом и не накатить оперативно.

      • Ну дело в том, что если он будет ребутиться без конца, я останусь без работы. А насчет эпидемии - антивиры тоже что-тор должны делать

        • Сервера не обновляются сами по себе без вашего участия. Там это настраивается. Обновляйте в нерабочее время. Если у вас все файлы зашифрует шифровальщик, я думаю, вы без работы останетесь еще быстрее. Последние уязвимости в rdp позволяли шифровальщикам проникать на сервер и шифровать файлы.

          • значит хорошо, что я не использую rdp

            • А администратор локально заходит на сервер? RDP в данном случае просто недавний пример. Такие же ошибки были и в smb протоколе.

              У людей вся инфраструктура сети ложилась из-за этой уязвимости. Причем эксплуатировать ее начали через 2 месяца после того, как микрософт выпустили заплатку. Пострадали как раз все любители отключать обновления. Приходишь утром на работу, а у тебя абсолютно все сервера, где был доступен smb протокол, зашифрованы. Особенно грустно было тем, у кого и бэкапы лежали на этих же серверах.

              • Анастасия

                Доброго дня.

                Вы прям мою проблему с бекапами описали - реально зашифровались ВСЕ сетевые диски. Спасло сильно то, что виндовс чудом !!! не зашифровался.

                Поэтому поняла, что бэкапы должны лежать не только на разных компьютерах, а также и на внешнем съёмном диске, включается который раз в неделю в компьютер.

      • Решение пришло от того, что если войти в настройки IP v4 к примеру и выйти, профиль сам возвращался на доменный. Как понимаю сейчас современное железо поднимается быстрее, чем поднимается порт на слишком умных коммутатарах, и так как сеть не ответила, как должна, значит профиль другой, т.е. частный. Как понимаю по этому же принципу отрабатывал костыль по перезапуску сети, но не со всеми коммутарами поможет...

  14. Сегодня на одном из серверов опять словил этот баг. Ipv6 отключен, отложенный запуск службы настроен. Помог просто перезапуск указанной в статье службы. Сеть сразу стала доменной.

  15. У меня эта проблема воспроизводится как на физическом сервере, так и на виртуальной машине vmware с чистой установленной windows server 2019 (1809) + обновления на текущую дату. Переоопатил кучу форумов. Помог только совет использования команды sc config, тем самым выставив приоритет у службы NLA. Похоже на баг, который MS до сих пор не исправила.

  16. Станислав

    Добрый день! Аналогичная проблема тянется еще с 2008 сервера...

    В настоящий момент развернул тестовый изолированный домен на базе двух контроллеров домена WS 2019.

    Единственный контроллер домена в изолированной сети теряет сеть после перезагрузки.

    Перепробовал отложенный запуск и фикс с приоритетом IPv4 над IPv6.

    Ситуация не меняется. Есть ещё идеи?

    2 сервера - виртуальные машины на WS 2016, в отдельном VLAN. Вышестоящий коммутатор - Cisco 3750.

    • Я буквально вчера словил эту же проблему на файловом сервере, где нет ни КД, ни ДНС. После установки обновлений и перезагрузки слетел тип сети. Помогло отключение ipv6 и включение отложенного запуска службы. После этого перезагрузил сервер и все заработало нормально.

      • Станислав

        Опытно-экспериментальным путём, мне удалось решить проблему без применения фиксов, отложенных запусков и настроек с IPv6.

        Решение - 2 контроллера домена, в которых IP DNS настроены друг на друга. После перезагрузки сеть остаётся доменной при любом раскладе.

        • Интересный вариант, надо попробовать. У меня тоже по 2 домена, но оба смотрят на один и тот же DNS, который стоит на одном из серверов.

  17. Виктор

    Достаточно часто «ловили» подобные проблемы – без домена сеть слетала с частной на общую и так же менялось название «Сеть №», соответственно пропадают общие ресурсы, нет пинга и соединений через RDP. Это бывает, как на серверных 2008R2 – 2016, так и на win 7 – 10. Приходиться лезть локально на компьютер (особенно если на него разворачивался образ готовой системы с программами), хуже, когда это сервер в стойке. Решаем проблему (на 99%) от администратора через Панель управления – Администрирование – Локальная политика безопасности (или запуск secpol.msc).
    Настраиваем в «Политика диспетчера списка сетей» в пунктах:
    Идентификация сетей – Сетевое расположение – Тип расположения – Личное.
    Сетевое расположение – Сетевое расположение – Тип расположения – Личное.
    Сеть № – Сетевое расположение – Тип расположения – Личное.
    Если изменяется очередной номер «Сеть №» может понадобиться опять вручную указать:
    Сеть № – Сетевое расположение – Тип расположения – Личное.

    • Я понял вас, вы еще один костыль изобрели :) Их уже много получилось, можно на любой вкус выбирать.

  18. Добрый.

    Дело в том, что не так-то просто взять и откл IPv6 в современных ОС от MS https://dailysysadmin.com/KB/Article/1309/how-to-definitively-disable-ipv6/
    Доходит до того, что при попытке откл. IPv6 перестают работать важные службы. И появляется куча ругани в Журнале событий.

    • Об этом же думал, когда не хотел полностью отключать ipv6. Это для нас ipv6 экзотика, но где-то видел статистику, что в штатах 22% трафика в инете идет по ipv6. Там это уже плотно вошло в повседневную жизнь, поэтому и софт идет из коробки с поддержкой и включенным ipv6, а ситуации с его отключением могут и не тестировать вовсе.

      • Прямо сейчас глянул: за два дня из 28 гигов - 10 через IPv6, т.е. 30% получается...
        Если не настраивать, то, конечно, "экзотика"...

        • Так а зачем настраивать, если дефицита ipv4 нет. Виртуалка с прямым ip - от 200р. в месяц. Дома у меня 100р. выделенный ip стоит. Какой смысл возиться с ipv6, если в ipv4 все отлично работает. Будет дефицит, будем настраивать. А сейчас не вижу смысла лишние сущности плодить.

  19. Есть версия, что проблема в том, что IPv6 имеет приоритет над IPv4, но IPv6 у Вас не настроено, если у серверов только линк-локал адрес имеется, как я понимаю. Если не пользуетесь, то, вероятно, действительно, лучше поотключать.. Ну, или настроить, как вариант. А так как IPv6 и сам по-себе несколько "тормознее" при инициализации - то сервер пытается по IPv6 найти доменную сеть, не находит её и назначает частную. В случае отложенного запуска, видимо, IPv6 уже успевает всё что надо увидеть и доменная сеть "видна".
    Приоритет 4-над-6 может не срабатывать из-за того, что не все смотрят на эту настройку, а по-прежнему используют сперва 6-ю версию, а потом уже 4-ю...
    Но это всё ИМХО, у меня сетки мелкие, IPv6 настроен и доменов почти нет...

  20. Алексей

    Отключение ipv6 в on-premise инфраструктуре никакого негативного влияния не несёт. Более того его лучше отключать, если он не используется. Меньше записей в dns, алертов и т.п.

    • А можете как-то прокомментировать вот эту информацию из статьи Микрософт:
      "Важно! Протокол IPv6 является обязательным компонентом ОС Windows Vista, Windows Server 2008 и более поздних версий Windows. Отключать протокол IPv6 или его компоненты не рекомендуется. Это может привести к нарушению работы компонентов Windows.

      Вместо того чтобы отключать IPV6, рекомендуется использовать пункт "Предпочитать IPv4 вместо IPv6" в политиках префиксов."

      https://support.microsoft.com/ru-ru/help/929852/guidance-for-configuring-ipv6-in-windows-for-advanced-users

      Этв рекомендация дана не на пустом же месте.

      • Алексей

        Прокомментировать могу, только ссылаясь на свой опыт и дизайн инфраструктуры нескольких очень больших международных компаний, в поддержке которых я участвую или участвовал.
        Я не встречал каких-либо решений, которые не могут работать в ipv4 only сетях. По крайней мере в инстраструктуре 2008r2-2012r2. Большие конторы только начинают шевелиться с переходом на 2016 ввиду грядущего окончания поддержки 2008r2.
        И с точки зрения структурированности сети и безопасности иметь неуправляемый и дублирующий функционал протокол - выглядит не очень правильно.

        • Концептуально я с вами полностью согласен и сам всегда в linux отключаю ipv6 в обязательном порядке, если он не используется. Я считаю, что должно быть отключено все, что не требуется, во избежании лишних проблем как сейчас, так и в будущем. С windows практически не работаю, а эта сеть обслуживается по старой памяти уже много лет. Я там стараюсь не делать лишних движений без особой надобности, поэтому и обратил внимание на рекомендации не отключать ipv6.

  21. Здесь в комментариях есть похожая проблема при отключении питания в серверной
    http://netmate.ru/blogs/moskalev/izmenenie-tipa-seti-v-windows-server-2012-i-windows-8.php
    и отложенный запуск вполне себе решение

Добавить комментарий

Ваш адрес email не будет опубликован.

Нажимая кнопку "Отправить комментарий" Я даю согласие на обработку персональных данных.