Pregunta Problemas de inicio de sesión de red con la directiva de grupo y la red


Estoy gravemente necesitado de su ayuda y asistencia.

Tenemos un problema con nuestro inicio de sesión y inicio en nuestro sistema Windows 7 Enterprise. Tenemos más de 3000 escritorios de Windows ubicados en aproximadamente 20 o más edificios en todo el campus. Casi todas las computadoras en el campus tienen el problema que describiré. He pasado más de un mes analizando los archivos etl de Windows Performance Analyzer (un gran producto) y cientos de miles de registros de eventos. Vengo a ti hoy humillado que no pude entender esto.

El problema como simplemente poner nuestros tiempos de inicio de sesión es extremadamente largo. Un promedio de inicio de sesión por primera vez es aproximadamente de 2 a 10 minutos, dependiendo del software instalado. Todas las computadoras son Windows 7, las más antiguas tienen 5 años. Los tiempos de inicio en varias computadoras varían desde bueno (1-2 minutos) hasta muy malo (5-60). Nuestros segundos inicios de sesión van desde 30 segundos hasta 4 minutos.

Tenemos una conexión de gigabit entre cada computadora en la red. Tenemos 5 controladores de dominio que también funcionan como nuestros servidores DNS.

Las pruebas iniciales nos llevaron a creer que se trataba de un problema de software. Así que pasé unos días probando máquinas solo para encontrar resultados inconsistentes de los archivos etl de xperfview. Cada subconjunto de computadoras en el campus tenía un subconjunto diferente de problemas de software, y ninguno parecía interferir con el inicio de sesión.

Así que empecé a ver nuestra política de grupo y localicé algunas ID de eventos muy interesantes.

Directiva de grupo 1129: el procesamiento de la directiva de grupo falló debido a   Falta de conectividad de red a un controlador de dominio.

Directiva de grupo 1055: el procesamiento de la directiva de grupo ha fallado. Windows   No se pudo resolver el nombre de la computadora. Esto podría ser causado por uno de   más de lo siguiente: a) Error de resolución de nombre en el actual   controlador de dominio. b) Latencia de replicación de Active Directory (un   La cuenta creada en otro controlador de dominio no se ha replicado al   controlador de dominio actual).

NETLOGON 5719: esta computadora no pudo configurar una sesión segura   con un controlador de dominio en el dominio OURDOMAIN debido a lo siguiente:   Actualmente no hay servidores de inicio de sesión disponibles para dar servicio al inicio de sesión   solicitud. Esto puede conducir a problemas de autenticación. Asegúrate de eso   Esta computadora está conectada a la red. Si el problema persiste,   por favor, póngase en contacto con el administrador de su dominio. E1kexpress 27:   Conexión de red Intel82567LM-3 Gigabit - El enlace de red es   desconectado.

NetBT 4300 - No se pudo crear el controlador.

WMI 10 - Filtro de evento con consulta "SELECT * FROM   __InstanceModificationEvent WITHIN 60 WHERE TargetInstance ISA "Win32_Processor" AND TargetInstance.LoadPercentage> 99 "no se pudo   reactivado en el espacio de nombres "//./root/CIMV2" debido al error 0x80041003.   Los eventos no se pueden entregar a través de este filtro hasta que el problema sea   corregido

Más o menos con las marcas de tiempo se hace evidente que la red puede ser el problema.

1:25:57 - La directiva de grupo está intentando descubrir el controlador de dominio   información

1:25:57 - El enlace de red ha sido desconectado

1:25:58 - El procesamiento de la Política de grupo falló debido a la falta de   Conectividad de red a un controlador de dominio. Esto puede ser un transitorio   condición. Se generará un mensaje de éxito una vez que la máquina reciba   conectado al controlador de dominio y la directiva de grupo ha tenido éxito   procesada. Si no ve un mensaje de éxito durante varias horas,   póngase en contacto con su administrador.

1:25:58 - Hacer llamadas LDAP para conectarse y vincularse al directorio activo.   DC1.ourdomain.edu

1:25:58 - Falló la llamada después de 0 milisegundos.

1:25:58 - Forzando el redescubrimiento de los detalles del controlador de dominio.

1:25:58 - La política de grupo no pudo detectar el controlador de dominio en   1030 milisegundos

1:25:58 - Error en el procesamiento periódico de políticas para computadora   NUESTRODOMINIO \% nombre% $ en 1 segundos.

1:25:59 - Se ha establecido un enlace de red a 1Gbps en dúplex completo

1:26:00 - El enlace de red ha sido desconectado

1:26:02 - NtpClient no pudo establecer un par de dominio para usar como una hora   fuente debido a un error de descubrimiento. NtpClient intentará de nuevo en 3473457   minutos y DOBLE EL INTERVALO DE REEMPLAZO a partir de entonces.

1:26:05 - Se ha establecido un enlace de red a 1Gbps en dúplex completo

1:26:08 - La resolución de nombres para el nombre% Nombre% agotó el tiempo de espera después de que ninguno de   Los servidores DNS configurados respondieron.

1:26:10 - El servicio TCP / IP NetBIOS Helper Helper entró en estado de ejecución.

1:26:11 - El proveedor de tiempo NtpClient está recibiendo actualmente válido   datos de tiempo en dc4.ourdomain.edu

1:26:14 - Notificación de inicio de sesión del usuario para mejorar la experiencia del cliente   Programa

1:26:15 - La directiva de grupo recibió la notificación de inicio de sesión de Winlogon   para la sesión 1.

1:26:15 - Hacer llamadas LDAP para conectarse y enlazar a Active Directory.   dc4.ourdomain.edu

1:26:18 - La llamada LDAP para conectarse y vincularse a Active Directory   terminado. dc4 nuestrodominio.edu La convocatoria finalizada en 2309.   milisegundos.

1:26:18 - La directiva de grupo descubrió con éxito el controlador de dominio   en 2918 milisegundos.

1:26:18 - Detalles de la computadora: Rol de la computadora: 2 Nombre de la red:   (Blanco)

1:26:18 - La llamada LDAP para conectarse y vincularse a Active Directory   terminado. dc4.ourdomain.edu. La convocatoria finalizada en 2309.   milisegundos.

1:26:18 - La directiva de grupo descubrió con éxito el controlador de dominio   en 2918 milisegundos.

1:26:19 - Se ingresó el servicio de detección automática de WinHTTP Web Proxy   El estado de marcha.

1:26:46 - El servicio de Conexiones de red entró en estado de ejecución.

1:27:10 - Información de cuenta recuperada

1:27:10 - El sistema llama para completar la información de la cuenta.

1:27:10 - Iniciar el procesamiento de políticas debido al cambio de estado de la red para   computadora OURDOMAIN \% nombre% $

1:27:10 - Cambio de estado de red detectado

1:27:10 - Llamando al sistema para obtener información de la cuenta.

1:27:11 - Hacer llamadas LDAP para conectarse y vincularse a Active Directory.   dc4.ourdomain.edu

1:27:13 - Detalles de la computadora: Rol de la computadora: 2 Nombre de la red:   ourdomain.edu (ahora no en blanco)

1:27:13 - La directiva de grupo descubrió con éxito el controlador de dominio   en 2886 milisegundos.

1:27:13 - La llamada LDAP para conectarse y vincularse a Active Directory   terminado. dc4.ourdomain.edu La llamada se completó en 2371   milisegundos.

1:27:15 - Ancho de banda de red estimado en una de las conexiones: 0   kbps

1:27:15 - Ancho de banda de red estimado en una de las conexiones: 8545   kbps

1:27:15 - Se detectó un enlace rápido. El ancho de banda estimado es 8545   kbps El umbral de enlace lento es de 500 kbps.

1:27:17 - Powershell - El estado del motor ha cambiado de Disponible a   Detenido.

1:27:20 - Se completó la extensión de Grupos y Usuarios Locales de la Política de Grupo   Procesamiento en 4539 milisegundos.

1:27:25 - Procesamiento completado de la extensión de tareas programadas de la directiva de grupo   en 5210 milisegundos.

1:27:27 - Se completó el procesamiento de la extensión del registro de políticas de grupo en 1529   milisegundos.

1:27:27 - Se completó el procesamiento de políticas debido al cambio de estado de la red para   computadora OURDOMAIN \% name% $ en 16 segundos.

1:27:27 - Se procesaron las configuraciones de la directiva de grupo para la computadora   exitosamente. No se detectaron cambios desde el último éxito.   Tramitación de la Política de Grupo.

Cualquier ayuda sería apreciada. Por favor, solicite cualquier información relevante y será proporcionada tan pronto como sea posible.


11
2017-07-06 20:08


origen


Esto suena como un problema de árbol de expansión para mí. En los switches de Cisco, puede habilitar una función llamada portfast que aún habilitará el árbol de expansión, pero permitirá que el puerto se active mucho más rápido. Pídale a su equipo de red que examine los conmutadores y vea si necesitan algunos ajustes. - Bad Dos


Respuestas:


Algunos pensamientos al azar:

  1. Realice un DCDIAG en cada DC y aborde los problemas.
  2. Compruebe DNS. Active las funciones avanzadas en la herramienta MMC y busque en:

    \ Zonas de búsqueda hacia adelante \ <dominio> \ _msdcs

  3. Comprueba que cada uno de tus sitios AD esté listado. Verifique que en las ramas no específicas del sitio, todos los centros de datos aparezcan en las zonas de hoja _tcp y _udp (si eso tiene sentido)

  4. Si es necesario, obligue a los DC a volver a registrar sus registros SRV en DNS usando nltest / dsregdns

  5. Compruebe DHCP y asegúrese de que la opción 006 (servidores DNS) esté configurada para apuntar a un mínimo de dos servidores DNS (DC). La opción de verificación 015 (nombre de dominio) está establecida.

  6. Verifique la replicación de AD (aunque DCDIAG detectará esto), usando repadmin / replsummary de un DC

  7. Compruebe que sus clientes saben dónde están usando los CD nltest / dclist: <DOMAIN>

  8. Compruebe que sus clientes saben qué sitio de AD están usando nltest / dsgetsite. Si hay algún problema aquí, verifique las definiciones de su subred en Sitios y servicios de Active Directory.

  9. Compruebe que todos los FMSO se están ejecutando usando netdom consulta fsmo

  10. Verifique que todos sus DC tengan un tiempo constante (todos deberían estar sincronizados con el emulador PDC). Compruebe que el emulador de PDC tiene buen tiempo.

  11. Compruebe que sus clientes pueden hacer ping constantemente a sus DC

Si pienso en otra cosa, voy a enmendar ...


1
2017-08-29 21:33





Mi opinión es que NETLOGON 5719 es la raíz del problema. mira esto: http://blogs.technet.com/b/instan/archive/2008/09/18/netlogon-5719-and-the-disappearing-domain.aspx

y en particular la línea:

Si solo está viendo Netlogon 5719 al inicio, es posible que el puerto al que está conectada la máquina en su conmutador no esté completamente activado cuando se inicie Netlogon.

que apunta a http://www.cisco.com/c/en/us/support/docs/switches/catalyst-6500-series-switches/10553-12.html


1
2018-03-14 06:09





Yo sugeriría configurar (o asegurar) que sus sitios de directorio activo estén configurados correctamente. (http://technet.microsoft.com/en-us/library/cc782048(v=ws.10).aspx) También vea si puede buscar su dominio usando nslookup en los clientes y los servidores. Realmente suena como un problema de DNS.


0
2017-07-29 04:13





Suponiendo que su DNS y los controladores de dominio se están replicando correctamente, y tienen las entradas adecuadas para los controladores de dominio, entonces esto suena exactamente como lo que sucede cuando no tiene un servidor DNS local integrado como la primera entrada de DNS en la clientela.


-1
2017-07-06 20:15



Todos los controladores de dominio son todos DNS integrados y todos tienen un directorio activo.