Problemas de inicio de sesión de red con la directiva de grupo y la red


11

Necesito tu ayuda y asistencia.

Tenemos un problema con nuestro inicio de sesión y arranque en nuestro sistema Windows 7 Enterprise. Tenemos más de 3000 computadoras de escritorio Windows situadas en más de 20 edificios alrededor del campus. Casi todas las computadoras en el campus tienen el problema que describiré. He pasado más de un mes mirando archivos etl de Windows Performance Analyzer (un gran producto) y cientos de miles de registros de eventos. Hoy vengo a ti humildemente porque no pude resolver esto.

El problema como simplemente poner nuestros tiempos de inicio de sesión es extremadamente largo. Un inicio de sesión promedio por primera vez es de aproximadamente 2-10 minutos, dependiendo del software instalado. Todas las computadoras son Windows 7, las computadoras más antiguas tienen 5 años. Los tiempos de inicio en varias computadoras varían de buenos (1-2 minutos) a muy malos (5-60). Nuestros inicios de sesión por segunda vez varían de 30 segundos a 4 minutos.

Tenemos una conexión gigabit entre cada computadora en la red. Tenemos 5 controladores de dominio que también funcionan como nuestros servidores DNS.

Las pruebas iniciales nos llevaron a creer que se trataba de un problema de software. Así que pasé unos días probando máquinas solo para encontrar resultados inconsistentes de los archivos etl de xperfview. Cada subconjunto de computadoras en el campus tenía un subconjunto diferente de problemas de software, ninguno parecía interferir con el inicio de sesión.

Así que comencé a mirar nuestra política de grupo y localicé algunos ID de eventos muy interesantes.

Directiva de grupo 1129: el procesamiento de la directiva de grupo falló debido a la falta de conectividad de red a un controlador de dominio.

Directiva de grupo 1055: el procesamiento de la directiva de grupo falló. Windows no pudo resolver el nombre de la computadora. Esto podría ser causado por uno de los siguientes: a) Error de resolución de nombre en el controlador de dominio actual. b) Latencia de replicación de Active Directory (una cuenta creada en otro controlador de dominio no se ha replicado en el controlador de dominio actual).

NETLOGON 5719: esta computadora no pudo configurar una sesión segura con un controlador de dominio en el dominio OURDOMAIN debido a lo siguiente: Actualmente no hay servidores de inicio de sesión disponibles para atender la solicitud de inicio de sesión. Esto puede conducir a problemas de autenticación. Asegúrese de que esta computadora esté conectada a la red. Si el prolema persiste, por favor, contacte a su administrador de dominio. E1kexpress 27: Conexión de red Intel®82567LM-3 Gigabit - El enlace de red está desconectado.

NetBT 4300: no se pudo crear el controlador.

WMI 10 - El filtro de eventos con la consulta "SELECCIONAR * DESDE __InstanceModificationEvent DENTRO DE 60 DONDE TargetInstance ISA" Win32_Processor "Y TargetInstance.LoadPercentage> 99" no se pudieron reactivar en el espacio de nombres "//./root/CIMV2" debido al error 0x80041003. Los eventos no se pueden entregar a través de este filtro hasta que se corrija el problema.

Más o menos con marcas de tiempo se hace evidente que la red puede ser el problema.

1:25:57 - La directiva de grupo está intentando descubrir la información del controlador de dominio

1:25:57 - El enlace de red ha sido desconectado

1:25:58 - El procesamiento de la directiva de grupo falló debido a la falta de conectividad de red a un controlador de dominio. Esta puede ser una condición transitoria. Se generará un mensaje de éxito una vez que la máquina se conecte al controlador de dominio y la Política de grupo se haya procesado correctamente. Si no ve un mensaje de éxito durante varias horas, póngase en contacto con su administrador.

1:25:58 - Realización de llamadas LDAP para conectarse y vincularse al directorio activo. DC1.nuestrodominio.edu

1:25:58 - La llamada falló después de 0 milisegundos.

1:25:58 - Forzar el redescubrimiento de los detalles del controlador de dominio.

1:25:58 - La política de grupo no pudo descubrir el controlador de dominio en 1030 milisegundos

1:25:58 - Falló el procesamiento periódico de la política para la computadora OURDOMAIN \% name% $ en 1 segundos.

1:25:59 - Se ha establecido un enlace de red a 1 Gbps en dúplex completo

1:26:00 - El enlace de red ha sido desconectado

1:26:02 - NtpClient no pudo establecer un par de dominio para usarlo como fuente de tiempo debido a un error de descubrimiento. NtpClient lo intentará nuevamente en 3473457 minutos y DOBLE EL INTERVALO DE REEMBOLSO a partir de entonces.

1:26:05 - Se ha establecido un enlace de red a 1 Gbps en dúplex completo

1:26:08 - Resolución de nombre para el nombre% Name% agotó el tiempo de espera después de que ninguno de los servidores DNS configurados respondió.

1:26:10 - El servicio TCP / IP NetBIOS Helper entró en estado de ejecución.

1:26:11 - El proveedor de tiempo NtpClient actualmente está recibiendo datos de tiempo válidos en dc4.ourdomain.edu

1:26:14 - Notificación de inicio de sesión del usuario para el programa de mejora de la experiencia del cliente

1:26:15 - La directiva de grupo recibió la notificación de inicio de sesión de Winlogon para la sesión 1.

1:26:15 - Realización de llamadas LDAP para conectarse y vincularse a Active Directory. dc4.ourdomain.edu

1:26:18 - La llamada LDAP para conectarse y vincularse a Active Directory se completó. dc4. nuestrodominio.edu. La llamada se completó en 2309 milisegundos.

1:26:18 - La política de grupo descubrió con éxito el controlador de dominio en 2918 milisegundos.

1:26:18 - Detalles de la computadora: Rol de la computadora: 2 Nombre de la red: (En blanco)

1:26:18 - La llamada LDAP para conectarse y vincularse a Active Directory se completó. dc4.ourdomain.edu. La llamada se completó en 2309 milisegundos.

1:26:18 - La política de grupo descubrió con éxito el controlador de dominio en 2918 milisegundos.

1:26:19 - El servicio WinHTTP Web Proxy Auto-Discovery Service entró en estado de ejecución.

1:26:46 - El servicio de Conexiones de red entró en estado de ejecución.

1:27:10 - Información de cuenta recuperada

1:27:10 - La llamada del sistema para completar la información de la cuenta.

1:27:10 - Iniciando el procesamiento de la política debido al cambio de estado de la red para la computadora NUESTRODOMINIO \% name% $

1:27:10 - Se detectó un cambio en el estado de la red

1:27:10 - Realizando una llamada al sistema para obtener información de la cuenta.

1:27:11 - Realización de llamadas LDAP para conectarse y vincularse a Active Directory. dc4.ourdomain.edu

1:27:13 - Detalles de la computadora: Rol de la computadora: 2 Nombre de red: ourdomain.edu (Ahora no en blanco)

1:27:13 - La política de grupo descubrió con éxito el controlador de dominio en 2886 milisegundos.

1:27:13 - La llamada LDAP para conectarse y vincularse a Active Directory se completó. dc4.ourdomain.edu La llamada se completó en 2371 milisegundos.

1:27:15 - Ancho de banda de red estimado en una de las conexiones: 0 kbps.

1:27:15 - Ancho de banda de red estimado en una de las conexiones: 8545 kbps.

1:27:15 - Se detectó un enlace rápido. El ancho de banda estimado es 8545 kbps. El umbral de enlace lento es de 500 kbps.

1:27:17 - Powershell - El estado del motor cambia de Disponible a Detenido.

1:27:20 - Política de grupo completada Procesamiento de extensión de grupos y usuarios locales en 4539 milisegundos.

1:27:25 - Se completó el procesamiento de extensión de tareas programadas de la política de grupo en 5210 milisegundos.

1:27:27 - Se completó el procesamiento de extensión de registro de directiva de grupo en 1529 milisegundos.

1:27:27 - Se completó el procesamiento de la política debido al cambio de estado de la red para la computadora OURDOMAIN \% name% $ en 16 segundos.

1:27:27 - La configuración de la directiva de grupo para la computadora se procesó correctamente. No se detectaron cambios desde el último procesamiento exitoso de la Política de grupo.

Cualquier ayuda sería apreciada. Solicite cualquier información relevante y se le proporcionará lo antes posible.


2
Esto me parece un problema de árbol de expansión. En los conmutadores Cisco, puede habilitar una función llamada portfast que seguirá habilitando el árbol de expansión, pero permitirá que el puerto se active mucho más rápido. Pídale a su equipo de red que examine los conmutadores y vea si necesitan algunos ajustes.
Bad Dos

Respuestas:


1

Algunos pensamientos al azar:

  1. Realice un DCDIAG en cada DC y aborde los problemas.
  2. Verifica el DNS. Active las Funciones avanzadas en la herramienta MMC y busque en:

    \ Zonas de búsqueda directa \ <dominio> \ _msdcs

  3. Verifique que cada uno de sus sitios de AD esté en la lista. Compruebe que en las ramas no específicas del sitio aparecen todos los DC en las zonas de hoja _tcp y _udp (si eso tiene sentido)

  4. Si es necesario, fuerce a los DC a volver a registrar sus registros SRV en DNS utilizando nltest / dsregdns

  5. Verifique DHCP y asegúrese de que la opción 006 (servidores DNS) esté configurada para apuntar a un mínimo de dos servidores DNS (DC). Verifique que la opción 015 (nombre de dominio) esté establecida.

  6. Verifique la replicación de AD (aunque DCDIAG recogerá esto), usando repadmin / replsummary de un DC

  7. Verifique que sus clientes sepan dónde están utilizando los DCs nltest / dclist: <DOMAIN>

  8. Verifique que sus clientes sepan en qué sitio de AD están usando nltest / dsgetsite . Si hay algún problema aquí, verifique las definiciones de subred en Sitios y servicios de Active Directory .

  9. Verifique que todos los FMSO se estén ejecutando utilizando netdom query fsmo

  10. Verifique que todos sus DC tengan un tiempo constante (todos deben estar sincronizados con el emulador PDC). Comprueba tu emulador PDC tiene buen tiempo.

  11. Verifique que sus clientes puedan hacer ping constantemente a sus DC

Si pienso en otra cosa, enmendaré ...


1

Mi opinión es que NETLOGON 5719 es la raíz del problema. mira esto: http://blogs.technet.com/b/instan/archive/2008/09/18/netlogon-5719-and-the-disappearing-domain.aspx

y en particular la línea:

Si solo está viendo Netlogon 5719 al inicio, entonces el puerto al que está conectada la máquina en su conmutador puede no estar completamente activo cuando se inicia Netlogon.

que apunta a http://www.cisco.com/c/en/us/support/docs/switches/catalyst-6500-series-switches/10553-12.html



-1

Suponiendo que su DNS y los controladores de dominio se estén replicando correctamente y que tengan entradas adecuadas para los controladores de dominio, esto suena exactamente como lo que sucede cuando no tiene un servidor DNS integrado con AD local como la primera entrada de DNS en el clientela.


Todos los controladores de dominio son todos DNS integrados y todos tienen directorio activo.
Al usar nuestro sitio, usted reconoce que ha leído y comprende nuestra Política de Cookies y Política de Privacidad.
Licensed under cc by-sa 3.0 with attribution required.