Problemas de logon de rede com Diretiva de Grupo e Rede

11

Estou gravemente precisando de sua ajuda e assistência.

Temos um problema com o logon e a inicialização do sistema Windows 7 Enterprise. Temos mais de 3000 desktops Windows situados em mais de 20 edifícios no campus. Quase todo computador no campus tem o problema que descreverei. Passei mais de um mês examinando arquivos etl do Windows Performance Analyzer (um ótimo produto) e centenas de milhares de logs de eventos. Hoje venho até você humilhado por não ter conseguido descobrir isso.

O problema, simplesmente colocando nossos tempos de logon, é extremamente longo. Um logon médio pela primeira vez é de aproximadamente 2 a 10 minutos, dependendo do software instalado. Todos os computadores são Windows 7, sendo que os computadores mais antigos têm 5 anos. Os tempos de inicialização em vários computadores variam de bom (1-2 minutos) a muito ruim (5-60). Nossos logons pela segunda vez variam de 30 segundos a 4 minutos.

Temos uma conexão de gigabit entre cada computador na rede. Temos cinco controladores de domínio, que também funcionam como nossos servidores DNS.

Os testes iniciais nos levaram a acreditar que este era um problema de software. Então, passei alguns dias testando máquinas apenas para encontrar resultados inconsistentes nos arquivos etl do xperfview. Cada subconjunto de computadores no campus tinha um subconjunto diferente de problemas de software, nenhum parecendo interferir no logon apenas na inicialização.

Então comecei a examinar nossa política de grupo e localizei alguns IDs de eventos muito interessantes.

Diretiva de Grupo 1129: O processamento da Diretiva de Grupo falhou devido à falta de conectividade de rede com um controlador de domínio.

Diretiva de Grupo 1055: O processamento da Diretiva de Grupo falhou. O Windows não conseguiu resolver o nome do computador. Isso pode ser causado por um dos seguintes procedimentos: a) Falha na resolução de nomes no controlador de domínio atual. b) Latência de replicação do Active Directory (uma conta criada em outro controlador de domínio não foi replicada no controlador de domínio atual).

NETLOGON 5719: Este computador não pôde configurar uma sessão segura com um controlador de domínio no domínio OURDOMAIN devido ao seguinte: Atualmente, não há servidores de logon disponíveis para atender à solicitação de logon. Isso pode levar a problemas de autenticação. Verifique se este computador está conectado à rede. Se o problema persistir, por favor, contate o administrador de seu domínio. E1kexpress 27: Conexão de rede Intel®82567LM-3 Gigabit - O link de rede está desconectado.

NetBT 4300 - O driver não pôde ser criado.

WMI 10 - O filtro de eventos com a consulta "SELECT * FROM __InstanceModificationEvent DENTRO DE 60 ONDE TargetInstance ISA" Win32_Processor "AND TargetInstance.LoadPercentage> 99" não pôde ser reativado no espaço de nome "//./root/CIMV2" devido ao erro 0x80041003. Os eventos não podem ser entregues por esse filtro até que o problema seja corrigido.

Mais ou menos com registros de data e hora, torna-se aparente que a rede talvez seja o problema.

1:25:57 - A Diretiva de Grupo está tentando descobrir as informações do controlador de domínio

1:25:57 - O link de rede foi desconectado

1:25:58 - O processamento da Diretiva de Grupo falhou devido à falta de conectividade de rede com um controlador de domínio. Essa pode ser uma condição transitória. Uma mensagem de sucesso será gerada assim que a máquina for conectada ao controlador de domínio e a Diretiva de Grupo for processada com êxito. Se você não receber uma mensagem de sucesso por várias horas, entre em contato com seu administrador.

1:25:58 - Fazendo chamadas LDAP para conectar e ligar ao diretório ativo. DC1.ourdomain.edu

1:25:58 - A chamada falhou após 0 milissegundos.

1:25:58 - Forçando a redescoberta dos detalhes do controlador de domínio.

1:25:58 - A política de grupo falhou ao descobrir o controlador de domínio em 1030 milissegundos

1:25:58 - O processamento periódico da política falhou para o computador OURDOMAIN \% name% $ em 1 segundos.

1:25:59 - Um link de rede foi estabelecido a 1 Gbps em full duplex

1:26:00 - O link de rede foi desconectado

1:26:02 - O NtpClient não pôde definir um par de domínio para usar como fonte de tempo devido a um erro de descoberta. O NtpClient tentará novamente em 3473457 minutos e DOBRARÁ O INTERVALO DE REATTEMPT a partir de então.

1:26:05 - Um link de rede foi estabelecido a 1 Gbps em full duplex

1:26:08 - A resolução do nome% Name% atingiu o tempo limite após nenhum dos servidores DNS configurados responder.

1:26:10 - O serviço NetBIOS Helper TCP / IP entrou no estado de execução.

1:26:11 - O provedor de horário NtpClient está recebendo dados de horário válidos no dc4.ourdomain.edu

1:26:14 - Notificação de logon do usuário para o programa de aprimoramento da experiência do cliente

1:26:15 - A Diretiva de Grupo recebeu a notificação Logon do Winlogon para a sessão 1.

1:26:15 - Fazendo chamadas LDAP para conectar e ligar ao Active Directory. dc4.ourdomain.edu

1:26:18 - A chamada LDAP para conectar e ligar ao Active Directory foi concluída. dc4. ourdomain.edu. A chamada foi concluída em 2309 milissegundos.

1:26:18 - A Diretiva de Grupo descobriu com êxito o Controlador de Domínio em 2918 milissegundos.

1:26:18 - Detalhes do computador: Função do computador: 2 Nome da rede: (em branco)

1:26:18 - A chamada LDAP para conectar e ligar ao Active Directory foi concluída. dc4.ourdomain.edu. A chamada foi concluída em 2309 milissegundos.

1:26:18 - A Diretiva de Grupo descobriu com êxito o Controlador de Domínio em 2918 milissegundos.

1:26:19 - O serviço de descoberta automática de proxy da Web WinHTTP entrou no estado de execução.

1:26:46 - O serviço Network Connections entrou no estado de execução.

1:27:10 - Informações da conta recuperada

1:27:10 - A chamada do sistema para obter as informações da conta concluídas.

1:27:10 - Iniciando o processamento da diretiva devido à alteração do estado da rede do computador OURDOMAIN \% name% $

1:27:10 - Alteração do estado da rede detectada

1:27:10 - Fazendo uma ligação para obter informações da conta.

1:27:11 - Fazendo chamadas LDAP para conectar e ligar ao Active Directory. dc4.ourdomain.edu

1:27:13 - Detalhes do computador: Função do computador: 2 Nome da rede: ourdomain.edu (agora não está em branco)

1:27:13 - A Diretiva de Grupo descobriu com êxito o Controlador de Domínio em 2886 milissegundos.

1:27:13 - A chamada LDAP para conectar e ligar ao Active Directory foi concluída. dc4.ourdomain.edu A chamada foi concluída em 2371 milissegundos.

1:27:15 - Largura de banda estimada da rede em uma das conexões: 0 kbps.

1:27:15 - Largura de banda estimada da rede em uma das conexões: 8545 kbps.

1:27:15 - Um link rápido foi detectado. A largura de banda estimada é de 8545 kbps. O limite do link lento é de 500 kbps.

1:27:17 - Powershell - O estado do mecanismo é alterado de Disponível para Parado.

1:27:20 - Processamento de extensão de usuários e grupos locais de diretiva de grupo concluído em 4539 milissegundos.

1:27:25 - Processamento de extensão de tarefas agendadas da diretiva de grupo concluído em 5210 milissegundos.

1:27:27 - Concluído o processamento da extensão do Registro de Diretiva de Grupo em 1529 milissegundos.

1:27:27 - O processamento da política foi concluído devido à alteração do estado da rede do computador OURDOMAIN \% name% $ em 16 segundos.

1:27:27 - As configurações da Política de Grupo para o computador foram processadas com êxito. Não foram detectadas alterações desde o último processamento bem-sucedido da Diretiva de Grupo.

Qualquer ajuda seria apreciada. Solicite informações relevantes e elas serão fornecidas o mais rápido possível.

msanford
fonte
2
Isso soa como um problema de árvore de abrangência para mim. Nos comutadores Cisco, você pode ativar um recurso chamado portfast que ainda permitirá a expansão de árvore, mas permite que a porta se torne ativa muito mais rapidamente. Peça à sua equipe de rede que examine os comutadores e veja se eles precisam de alguns ajustes.
Bad Dos

Respostas:

1

Alguns pensamentos aleatórios:

  1. Execute um DCDIAG em cada controlador de domínio e resolva problemas.
  2. Verifique o DNS. Ative os Recursos avançados na ferramenta MMC e navegue em:

    \ Zonas de pesquisa direta \ <domínio> \ _msdcs

  3. Verifique se cada um dos seus sites do AD está listado. Verifique se, nas ramificações não específicas do site, todos os controladores de domínio aparecem nas zonas de folha _tcp e _udp (se isso faz sentido)

  4. Se necessário, force os controladores de domínio a registrar novamente seus registros SRV no DNS usando nltest / dsregdns

  5. Verifique o DHCP e verifique se a opção 006 (servidores DNS) está definida para apontar para no mínimo dois servidores DNS (DCs). Marque a opção 015 (nome de domínio) está definida.

  6. Verifique a replicação do AD (embora o DCDIAG atenda), usando repadmin / replsummary de um DC

  7. Verifique se seus clientes sabem onde os DCs estão usando o nltest / dclist: <DOMAIN>

  8. Verifique se os clientes sabem em qual site do AD estão usando o nltest / dsgetsite . Se houver algum problema aqui, verifique suas definições de sub-rede nos Serviços e Sites do Active Directory .

  9. Verifique se todos os FMSOs estão em execução usando a consulta netdom fsmo

  10. Verifique se todos os seus controladores de domínio têm tempo consistente (todos devem estar sincronizados com o emulador PDC). Verifique se o emulador PDC tem um bom tempo.

  11. Verifique se seus clientes podem executar ping regularmente nos seus DCs

Se eu pensar em mais alguma coisa, vou alterar ...

Simon Catlin
fonte
1

Minha opinião é que o NETLOGON 5719 é a raiz do problema. confira: http://blogs.technet.com/b/instan/archive/2008/09/18/netlogon-5719-and-the-disappearing-domain.aspx

e, em particular, a linha:

Se você estiver vendo apenas o Netlogon 5719 na inicialização, a porta à qual a máquina está conectada no seu switch pode não estar totalmente aberta quando o Netlogon for iniciado.

que aponta para http://www.cisco.com/c/en/us/support/docs/switches/catalyst-6500-series-switches/10553-12.html

sdjuan
fonte
-1

Supondo que o DNS e os controladores de domínio estejam replicando adequadamente e possuam entradas adequadas para o (s) controlador (es) de domínio, isso soa exatamente como o que acontece quando você não possui um servidor DNS integrado ao AD local como a primeira entrada DNS no clientes.

techie007
fonte
Todos os controladores de domínio são todos DNS integrado e todos têm diretório ativo.