Problemas de Logon de Rede com Diretiva de Grupo e Rede

11

Estou gravemente precisando de sua ajuda e assistência.

Temos um problema com nosso logon e inicialização no sistema Windows 7 Enterprise. Temos mais de 3000 Windows Desktops situados em mais de 20 edifícios em torno do campus. Quase todos os computadores do campus têm o problema que vou descrever. Passei mais de um mês espiando por arquivos etl do Windows Performance Analyzer (Um ótimo produto) e centenas de milhares de logs de eventos. Eu venho a você hoje humilhado que eu não consegui descobrir isso.

O problema de simplesmente colocar nossos tempos de logon é extremamente longo. Um primeiro tempo médio de logon é de aproximadamente 2-10 minutos, dependendo do software instalado. Todos os computadores são o Windows 7, os computadores mais antigos com 5 anos de idade. Os tempos de inicialização em vários computadores variam de bom (1-2 minutos) a muito ruim (5-60). Nosso segundo tempo logons variam de 30 segundos a 4 minutos.

Temos uma conexão gigabit entre cada computador na rede. Temos 5 controladores de domínio que também funcionam como nossos servidores DNS.

Testes iniciais nos levaram a acreditar que isso era um problema de software. Então, passei alguns dias testando máquinas apenas para encontrar resultados inconsistentes dos arquivos etl do xperfview. Cada subconjunto de computadores no campus tinha um subconjunto diferente de problemas de software, nenhum deles parecia interferir no logon apenas na inicialização.

Então, comecei a analisar nossa política de grupo e localizei algumas IDs de evento muito interessantes.

Group Policy 1129: The processing of Group Policy failed because of lack of network connectivity to a domain controller.

Group Policy 1055: The processing of Group Policy failed. Windows could not resolve the computer name. This could be caused by one of more of the following: a) Name Resolution failure on the current domain controller. b) Active Directory Replication Latency (an account created on another domain controller has not replicated to the current domain controller).

NETLOGON 5719 : This computer was not able to set up a secure session with a domain controller in domain OURDOMAIN due to the following: There are currently no logon servers available to service the logon request. This may lead to authentication problems. Make sure that this computer is connected to the network. If the problem persists, please contact your domain administrator. E1kexpress 27: Intel®82567LM-3 Gigabit Network Connection – Network link is disconnected.

NetBT 4300 – The driver could not be created.

WMI 10 - Event filter with query "SELECT * FROM __InstanceModificationEvent WITHIN 60 WHERE TargetInstance ISA "Win32_Processor" AND TargetInstance.LoadPercentage > 99" could not be reactivated in namespace "//./root/CIMV2" because of error 0x80041003. Events cannot be delivered through this filter until the problem is corrected.

Mais ou menos com timestamps, torna-se evidente que a rede talvez seja o problema.

1:25:57 - Group Policy is trying to discover the domain controller information

1:25:57 - The network link has been disconnected

1:25:58 - The processing of Group Policy failed because of lack of network connectivity to a domain controller. This may be a transient condition. A success message would be generated once the machine gets connected to the domain controller and Group Policy has successfully processed. If you do not see a success message for several hours, then contact your administrator.

1:25:58 - Making LDAP calls to connect and bind to active directory. DC1.ourdomain.edu

1:25:58 - Call failed after 0 milliseconds.

1:25:58 - Forcing rediscovery of domain controller details.

1:25:58 - Group policy failed to discover the domain controller in 1030 milliseconds

1:25:58 - Periodic policy processing failed for computer OURDOMAIN\%name%$ in 1 seconds.

1:25:59 - A network link has been established at 1Gbps at full duplex

1:26:00 - The network link has been disconnected

1:26:02 - NtpClient was unable to set a domain peer to use as a time source because of discovery error. NtpClient will try again in 3473457 minutes and DOUBLE THE REATTEMPT INTERVAL thereafter.

1:26:05 - A network link has been established at 1Gbps at full duplex

1:26:08 - Name resolution for the name %Name% timed out after none of the configured DNS servers responded.

1:26:10 – The TCP/IP NetBIOS Helper service entered the running state.

1:26:11 - The time provider NtpClient is currently receiving valid time data at dc4.ourdomain.edu

1:26:14 – User Logon Notification for Customer Experience Improvement Program

1:26:15 - Group Policy received the notification Logon from Winlogon for session 1.

1:26:15 - Making LDAP calls to connect and bind to Active Directory. dc4.ourdomain.edu

1:26:18 - The LDAP call to connect and bind to Active Directory completed. dc4. ourdomain.edu. The call completed in 2309 milliseconds.

1:26:18 - Group Policy successfully discovered the Domain Controller in 2918 milliseconds.

1:26:18 - Computer details: Computer role : 2 Network name : (Blank)

1:26:18 - The LDAP call to connect and bind to Active Directory completed. dc4.ourdomain.edu. The call completed in 2309 milliseconds.

1:26:18 - Group Policy successfully discovered the Domain Controller in 2918 milliseconds.

1:26:19 - The WinHTTP Web Proxy Auto-Discovery Service service entered the running state.

1:26:46 - The Network Connections service entered the running state.

1:27:10 – Retrieved account information

1:27:10 – The system call to get account information completed.

1:27:10 - Starting policy processing due to network state change for computer OURDOMAIN\%name%$

1:27:10 – Network state change detected

1:27:10 - Making system call to get account information.

1:27:11 - Making LDAP calls to connect and bind to Active Directory. dc4.ourdomain.edu

1:27:13 - Computer details: Computer role : 2 Network name : ourdomain.edu (Now not blank)

1:27:13 - Group Policy successfully discovered the Domain Controller in 2886 milliseconds.

1:27:13 - The LDAP call to connect and bind to Active Directory completed. dc4.ourdomain.edu The call completed in 2371 milliseconds.

1:27:15 - Estimated network bandwidth on one of the connections: 0 kbps.

1:27:15 - Estimated network bandwidth on one of the connections: 8545 kbps.

1:27:15 - A fast link was detected. The Estimated bandwidth is 8545 kbps. The slow link threshold is 500 kbps.

1:27:17 – Powershell - Engine state is changed from Available to Stopped.

1:27:20 - Completed Group Policy Local Users and Groups Extension Processing in 4539 milliseconds.

1:27:25 - Completed Group Policy Scheduled Tasks Extension Processing in 5210 milliseconds.

1:27:27 - Completed Group Policy Registry Extension Processing in 1529 milliseconds.

1:27:27 - Completed policy processing due to network state change for computer OURDOMAIN\%name%$ in 16 seconds.

1:27:27 – The Group Policy settings for the computer were processed successfully. There were no changes detected since the last successful processing of Group Policy.

Qualquer ajuda seria apreciada. Por favor, peça qualquer informação relevante e ela será fornecida o mais rápido possível.

    
por msanford 06.07.2012 / 22:08

4 respostas

1

Alguns pensamentos aleatórios:

  1. Execute um DCDIAG em cada problema de DC e endereço.
  2. Verifique o DNS. Ative os recursos avançados na ferramenta MMC e faça o root em:

    \ Zonas de pesquisa direta \ < domain > \ _ msdcs

  3. Verifique se todos os seus sites do AD estão listados. Verifique se nas ramificações não específicas do site que todos os DCs aparecem nas zonas da folha _tcp e _udp (se isso fizer sentido)

  4. Se necessário, force os DCs a registrarem novamente seus registros SRV no DNS usando nltest / dsregdns

  5. Verifique o DHCP e assegure-se de que a opção 006 (servidores DNS) esteja configurada para apontar em, no mínimo, dois servidores DNS (DCs). A opção de verificação 015 (nome de domínio) está definida.

  6. Verifique a replicação do AD (embora o DCDIAG detecte isso), usando repadmin / replsummary em um DC

  7. Verifique se seus clientes sabem onde os DCs estão usando nltest / dclist: < DOMAIN >

  8. Verifique se os clientes sabem qual site da AD está usando o nltest / dsgetsite . Se houver algum problema aqui, verifique suas definições de sub-rede em Serviços e sites do Active Directory .

  9. Verifique se todos os FMSOs estão sendo executados usando o fsmo de consulta netdom

  10. Verifique se todos os seus CDs têm tempo consistente (todos devem estar em sincronia com o emulador PDC). Verifique se o emulador de PDC tem um bom tempo.

  11. Verifique se os clientes podem fazer ping de forma consistente nos seus CDs

Se eu pensar em mais alguma coisa, alterarei ...

    
por 29.08.2013 / 23:33
1

Minha opinião é que o NETLOGON 5719 é a raiz do problema. Veja isso: link

e, em particular, a linha:

If you're only seeing Netlogon 5719 at startup then the port the machine is connected to on your switch may not be fully up when Netlogon starts.

que aponta para link

    
por 14.03.2014 / 07:09
0

Sugiro configurar (ou garantir) que os sites do seu diretório ativo estejam configurados corretamente. ( link ) Veja também se você pode pesquisar seu domínio usando o nslookup nos clientes e nos servidores. Soa realmente como um problema de DNS.

    
por 29.07.2013 / 06:13
-1

Supondo que seus controladores de domínio e DNS estejam replicando adequadamente e tenham entradas adequadas para o (s) controlador (es) de domínio, isso soa exatamente como acontece quando você não tem um servidor DNS integrado ao AD local como o primeiro DNS entrada nos clientes.

    
por 06.07.2012 / 22:15