Diagnosticar inicios de sesión lentos en el directorio activo

9

Me está costando diagnosticar inicios de sesión lentos intermitentes en las PC de dominio.

Un poco de información sobre la red que tiene este problema:

  • Mi dominio abarca 5 sitios, todos con conexiones VPN.
  • Los DC son una mezcla de 2003, 2008 y 2012. El nivel funcional del dominio es 2003.
  • Los clientes son principalmente Windows 7 x64.
  • Utilizamos políticas grupales, incluidas las que usan WMI, la orientación a nivel de elemento de preferencia grupal y la implementación de impresoras GPP.
  • No utilizamos perfiles móviles.

En su mayor parte, los inicios de sesión funcionan bien y rápidamente para las personas que han usado la máquina anteriormente. El primer inicio de sesión en una computadora nueva siempre es lento, pero eso es de esperar.

El problema parece ser principalmente con las computadoras portátiles. Si se usan en el hogar con una conexión de red que no es de dominio, o si se trasladan a una ubicación diferente (todavía en una red de dominio, pero en un sitio de AD diferente, y no parece importar que las conexiones por cable o inalámbricas) puedan demorar hasta 3 minutos desde el momento en que el usuario ingresa su contraseña, hasta el momento en que realmente comienza a mostrar el escritorio. Nuestro servidor de terminal también experimenta inicios de sesión lentos de forma intermitente.

Desafortunadamente, es un problema intermitente, y no he encontrado ninguna forma confiable de reproducirlo. Mi sospecha es que tiene que ver con las preferencias de política de grupo, pero realmente no tengo ninguna prueba de eso. He visto un artículo de Microsoft KB que culpa a ciertos tipos de orientación a nivel de elemento por inicios de sesión lentos, pero no da ninguna guía para determinar si esa es realmente la causa.

¿Qué registros y herramientas puedo usar para descubrir qué está causando los inicios de sesión lentos?

¿Qué configuración de directiva de grupo debo usar o evitar si es posible para acelerar los inicios de sesión?

active-directory  login  diagnostic 
Conceder
fuente
Mire los registros en las máquinas cliente. Por lo general, verá qué está causando la desaceleración, como los tiempos de espera de la red, en los registros del lado del cliente.
HopelessN00b
¿Sus sitios y subredes están configurados en ADS & S?
joeqwerty
Comenzaría con dcdiag / v / e y verificaría cualquier error
Dusan Bajic
Verificaría repadmin para verificar la replicación entre DC. Mi pensamiento va en la línea de los cambios de contraseña que no se sincronizan, lo que obliga al DC a autenticar al usuario y luego consultar al PDC para tratar de organizar cuál es la contraseña más actualizada.
Tim Alexander
1
Este enlace puede ser útil, pero creo que te enfrentas a él sin que parezca que puedes reproducir el problema. social.technet.microsoft.com/wiki/contents/articles/…
Tim Alexander

Respuestas:

1

Básicamente, me dirijo en la misma dirección que joeqwerty

He experimentado los síntomas que estás describiendo en algunas compañías. En mi experiencia, generalmente ocurre cuando hay más de un sitio. Una forma de solucionar un posible problema con sitios y servicios es la siguiente. En una computadora que acaba de experimentar un inicio de sesión lento, vaya al símbolo del sistema, escriba echo% logonserver% Si la respuesta no es un servidor en el mismo sitio que la computadora portátil o estación de trabajo, mi experiencia ha sido que las subredes no están configuradas y asignadas el sitio correcto en sitios y servicios de directorio activo.

Otra forma de solucionar problemas es mirar este archivo de registro en sus controladores de dominio% SystemRoot% \ debug \ netlogon.log

Si ve entradas como esta, la subred específica debe ingresarse en sitios y servicios y asignarse un sitio.
05/16 22:57:31 [4068] AD: NO_CLIENT_SITE: nombre de servidor específico 172.16.10.104

Las estaciones de trabajo y los controladores de dominio de Microsoft tienen la capacidad de asegurarse de ir a los controladores de dominio correctos para la autenticación y las políticas debido a los sitios y servicios.

Si este es el caso y conduce a un ajuste de sitios y servicios, tenga en cuenta que la replicación de los cambios a / desde los controladores de dominio puede llevar algún tiempo. Además, las estaciones de trabajo de punto final tardarán aún más en ver los nuevos cambios. El tiempo de replicación predeterminado se establece en sitios y servicios durante 1 hora entre controladores de dominio. Dependiendo de la distancia en la geografía y el tamaño de su bosque de AD, generalmente lo configuro en 15 minutos más o menos.

hay otro nombre
fuente
0

Una respuesta que podría encajar en la pregunta o simplemente una nota para mí para más adelante:

Experimentamos retrasos extremos en los inicios de sesión de algunas de nuestras subredes. Resultó que a esas subredes les faltaban zonas DNS inversas en el servidor AD. Agregamos las zonas inversas, AD agregó entradas PTR automáticamente y no hemos experimentado el retraso desde entonces. Puede ser una coincidencia también.

Zachary Scott
fuente
Al usar nuestro sitio, usted reconoce que ha leído y comprende nuestra Política de Cookies y Política de Privacidad.
Licensed under cc by-sa 3.0 with attribution required.