Logon lento do Windows 7 para o domínio na filial

Navegue suas respostas
4

Portanto, temos uma filial conectada via fibra de 10Mb ao escritório central. Logar em um computador do Windows 7 (pro, 32 bits) é muito lento. A primeira vez leva 7 minutos. Depois disso, leva ~ 2 minutos para entrar e ~ 3-5 minutos para sair.

Eu verifiquei tudo o que pude e não vi nada de especial:

  • configurações de DNS
  • Tracere para o domínio
  • Não há cargas extremas no servidor durante o login / logout
  • O download de um arquivo do servidor para o computador local não mostra baixa velocidade (1.2MB / s) (ou isso é muito lento?)
  • Driver de rede atualizado
  • configurações do GPO, como
    • espere pela rede na inicialização e logon
    • use um GPO limpo (sem opções de perfis de roaming definidas)
    • definir tempo de espera máximo
    • só permite perfis de usuários locais
  • arquivos off-line desativados no compartilhamento de perfil de roaming
  • desativado IPv6 no PC local
  • firewall desativado no PC local
  • serviços de indexação desativados no PC local
  • o computador tem um papel de parede (consulte link )

O log de eventos mostra avisos com as identificações de evento 6005 e 6006:

The winlogon notification subscriber took 284 second(s) to handle the notification event (Logon)

Então eu fiz um registro de inicialização como mencionado aqui e mostrou muitas operações NotifyChangeDirectory que levaram muito tempo.

Eu fiquei sem opções. Existe mais alguma coisa que possa consertar isso?

Atualizar

Acho que o problema é mais relacionado à largura de banda. Copiar um arquivo de 100MB do servidor para o cliente leva cerca de 3 minutos. Copiar de um cliente win 7 no escritório principal para o cliente na filial leva 1,5 minutos. Portanto, há provavelmente alguns problemas de desempenho com o servidor win2003.

Atualizar 1 ano depois

Agora, desativei perfis móveis para esses usuários. Isto deu um enorme aumento de velocidade. Isso funciona para nós, pois os usuários têm sua própria estação de trabalho.

    
por jao 02.07.2011 / 14:36

3 respostas

2

Uma captura de pacotes de rede no cliente provavelmente ajudaria aqui. Ele mostraria a quantidade total de dados transferidos durante o logon e, para operações sysvol / gpo, você poderia determinar se o cliente está gastando uma quantidade incomum de tempo em um (s) gpo (s) específico (s).

Depois de instalar o Microsoft Network Monitor 3.4, salve o seguinte em um arquivo cmd e execute-o como uma tarefa agendada na inicialização do sistema. Isso criará um arquivo de captura que você poderá analisar depois que o logon for concluído. 

cd /d "C:\Program Files\Microsoft Network Monitor 3"
nmcap.exe /network * /capture /DisableConversations /file c:\temp\test.cap:100M

Aqui estão algumas configurações do registro que você pode testar na estação de trabalho do cliente para determinar se elas ajudam: 

Windows Registry Editor Version 5.00  

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]  
"BufferPolicyReads"=dword:00000001  

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer]  
"NoRemoteRecursiveEvents"=dword:00000001  

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer]  
"NoRemoteChangeNotify"=dword:00000001

Mais informações:

319440 - Atrasos de logon ocorrem em uma conexão lenta se o bloqueio oportunista não for concedido para o arquivo de políticas no Windows
link

link

Microsoft Network Monitor 3.4 Parsers do Open Source Windows 3.4.2654
link

Depois de baixar e instalar os Analisadores do Windows, no Monitor de Rede, em Ferramentas > Opções > Perfis de analisador, selecione Windows e clique em Definir como ativo.

Ao visualizar a captura, na janela Resumo do Quadro, os pacotes do protocolo SMB / SMB2 exibirão o caminho UNC para o local onde as Diretivas de Grupo estão sendo lidas. Você pode refinar ainda mais a exibição aplicando um filtro como SMB2 && tcp.DstPort == 445 (ou SMB se o SMB2 não estiver sendo usado). Isso deve fornecer uma exibição razoavelmente concisa do processamento do GPO.

    
por 02.07.2011 / 16:16
3

Supondo que você não tenha a sub-rede da filial associada ao "site" da matriz nos sites do Active Directory & Serviços ....

Se a afirmação acima for verdadeira, seu problema é que os PCs da sua filial estão em uma sub-rede diferente da que você espera que eles se autentiquem. Os PCs da sua filial passarão algum tempo procurando um DC em sua própria sub-rede antes de falhar e usar o da sub-rede do escritório principal.

Para resolver isso, você pode associar a sub-rede da filial com o "site" do escritório principal que contém o DC no qual você espera que eles se autentiquem.

Ou você pode adicionar um CD à filial (na sub-rede da filial). Se ainda não estiver configurado, adicione um novo site aos ADs & S para a filial e associe a sub-rede da filial a este site.

Crie uma sub-rede:

Abra Sites e Serviços do Active Directory. Na árvore de console, clique com o botão direito do mouse em Sub-redes e clique em Nova Sub-rede. Em Endereço, digite o endereço da sub-rede. Em Máscara, digite a máscara de sub-rede que descreve o intervalo de endereços incluídos nessa sub-rede. Em Selecione um objeto de site para essa sub-rede, clique no site para associar a essa sub-rede (site principal) e clique em OK.

Você precisa estar no grupo de administradores do domínio para fazer isso.

    
por 02.07.2011 / 15:30
0

Veja este blog da sysinternals: link Tem informações detalhadas sobre como depurar logons lentos

    
por 11.09.2012 / 21:45

Tags

Qual é o risco de executar um controlador de domínio para que ele seja acessível pela Internet? Melhor maneira de analisar arquivos pcap do Wireshark?