Problemy z logowaniem do sieci z zasadami grupy i siecią

11

Bardzo potrzebuję twojej pomocy i wsparcia.

Mamy problem z zalogowaniem się i uruchomieniem systemu Windows 7 Enterprise. Mamy ponad 3000 komputerów stacjonarnych z systemem Windows w ponad 20 budynkach wokół kampusu. Prawie każdy komputer w kampusie ma problem, który opiszę. Ponad miesiąc spoglądałem na pliki etl z Windows Performance Analyzer (świetny produkt) i setki tysięcy dzienników zdarzeń. Przychodzę dziś do ciebie upokorzony, że nie mogłem tego rozgryźć.

Problem, po prostu mówiąc, nasze czasy logowania są bardzo długie. Średnie pierwsze logowanie trwa około 2–10 minut, w zależności od zainstalowanego oprogramowania. Wszystkie komputery mają system Windows 7, a najstarsze mają 5 lat. Czasy uruchamiania na różnych komputerach wahają się od dobrego (1-2 minuty) do bardzo złego (5-60). Nasze logowanie za drugim razem wynosi od 30 sekund do 4 minut.

Mamy gigabitowe połączenie między każdym komputerem w sieci. Mamy 5 kontrolerów domeny, które również działają jak nasze serwery DNS.

Wstępne testy doprowadziły nas do wniosku, że był to problem z oprogramowaniem. Spędziłem więc kilka dni testując maszyny, aby znaleźć niespójne wyniki z plików etl z Xperfview. Każdy podzbiór komputerów w kampusie miał inny podzbiór problemów z oprogramowaniem, z których żaden nie przeszkadzał w logowaniu podczas samego uruchamiania.

Zacząłem więc przeglądać naszą politykę grupową i znalazłem bardzo interesujące identyfikatory wydarzeń.

Zasady grupy 1129: Przetwarzanie zasad grupy nie powiodło się z powodu braku połączenia sieciowego z kontrolerem domeny.

Zasady grupy 1055: Przetwarzanie zasad grupy nie powiodło się. System Windows nie może rozpoznać nazwy komputera. Może to być spowodowane jedną z następujących przyczyn: a) Błąd rozpoznawania nazwy na bieżącym kontrolerze domeny. b) Opóźnienie replikacji usługi Active Directory (konto utworzone na innym kontrolerze domeny nie zostało zreplikowane na bieżącym kontrolerze domeny).

NETLOGON 5719: Ten komputer nie mógł skonfigurować bezpiecznej sesji z kontrolerem domeny w domenie OURDOMAIN z następujących powodów: Obecnie nie ma dostępnych serwerów logowania do obsługi żądania logowania. Może to prowadzić do problemów z uwierzytelnianiem. Upewnij się, że ten komputer jest podłączony do sieci. Jeśli problem będzie się powtarzał, skontaktuj się z administratorem domeny. E1kexpress 27: Gigabitowe połączenie sieciowe Intel®82567LM-3 - Połączenie sieciowe jest odłączone.

NetBT 4300 - Nie można utworzyć sterownika.

WMI 10 - Filtr zdarzeń z zapytaniem „SELECT * FROM __InstanceModificationEvent WITHIN 60 WHERE TargetInstance ISA„ Win32_Processor ”AND TargetInstance.LoadPercentage> 99” nie mógł zostać ponownie aktywowany w przestrzeni nazw „//./root/CIMV2” z powodu błędu 0x80041003. Zdarzenia nie mogą być dostarczane przez ten filtr, dopóki problem nie zostanie rozwiązany.

Mniej więcej w przypadku znaczników czasu staje się jasne, że problem może dotyczyć sieci.

1:25:57 - Zasady grupy próbują odkryć informacje o kontrolerze domeny

1:25:57 - Łącze sieciowe zostało odłączone

1:25:58 - Przetwarzanie zasad grupy nie powiodło się z powodu braku połączenia sieciowego z kontrolerem domeny. Może to być stan przejściowy. Komunikat o powodzeniu zostanie wygenerowany po podłączeniu komputera do kontrolera domeny i pomyślnym przetworzeniu zasad grupy. Jeśli przez kilka godzin nie widzisz komunikatu o powodzeniu, skontaktuj się z administratorem.

1:25:58 - Wykonywanie wywołań LDAP w celu połączenia i powiązania z active directory. DC1.ourdomain.edu

1:25:58 - Połączenie nie powiodło się po 0 milisekundach.

1:25:58 - Wymuszenie ponownego odkrycia szczegółów kontrolera domeny.

1:25:58 - Zasady grupy nie wykryły kontrolera domeny w 1030 milisekundach

1:25:58 - Okresowe przetwarzanie zasad nie powiodło się dla komputera OURDOMAIN \% name% $ w ciągu 1 sekund.

1:25:59 - Ustanowiono łącze sieciowe o przepustowości 1 Gb / s przy pełnym dupleksie

1:26:00 - Połączenie sieciowe zostało odłączone

1:26:02 - NtpClient nie mógł ustawić elementu równorzędnego domeny jako źródła czasu z powodu błędu odnajdywania. NtpClient spróbuje ponownie za 3473457 minut, a następnie PODWÓJ PRZERWĘ PONOWNĄ.

1:26:05 - Ustanowiono łącze sieciowe o przepustowości 1 Gb / s przy pełnym dupleksie

1:26:08 - Rozpoznawanie nazw dla nazwy% Nazwa% przekroczyło limit czasu po tym, jak żaden ze skonfigurowanych serwerów DNS nie odpowiedział.

1:26:10 - Usługa TCP / IP NetBIOS Helper weszła w stan działania.

1:26:11 - dostawca czasu NtpClient obecnie otrzymuje poprawne dane czasu na dc4.ourdomain.edu

1:26:14 - Powiadomienie o logowaniu użytkownika w programie poprawy jakości obsługi klienta

1:26:15 - Zasady grupy otrzymały powiadomienie Logowanie z Winlogon dla sesji 1.

1:26:15 - Wykonywanie wywołań LDAP w celu łączenia się i łączenia z Active Directory. dc4.ourdomain.edu

1:26:18 - Zakończono wywołanie LDAP w celu połączenia i powiązania z Active Directory. dc4. naszadomena.edu. Połączenie zostało zakończone w 2309 milisekund.

1:26:18 - Zasady grupy pomyślnie wykryły kontroler domeny w 2918 milisekund.

1:26:18 - Szczegóły komputera: Rola komputera: 2 Nazwa sieci: (Puste)

1:26:18 - Zakończono wywołanie LDAP w celu połączenia i powiązania z Active Directory. dc4.ourdomain.edu. Połączenie zostało zakończone w 2309 milisekund.

1:26:18 - Zasady grupy pomyślnie wykryły kontroler domeny w 2918 milisekund.

1:26:19 - Usługa automatycznego wykrywania serwera proxy sieci Web WinHTTP weszła w stan działania.

1:26:46 - Usługa Połączenia sieciowe weszła w stan działania.

1:27:10 - Odzyskano informacje o koncie

1:27:10 - Wywołanie systemowe w celu uzupełnienia informacji o koncie.

1:27:10 - Rozpoczęcie przetwarzania zasad z powodu zmiany stanu sieci dla komputera OURDOMAIN \% name% $

1:27:10 - Wykryto zmianę stanu sieci

1:27:10 - Wykonywanie połączenia systemowego w celu uzyskania informacji o koncie.

1:27:11 - Wykonywanie wywołań LDAP w celu łączenia się i łączenia z Active Directory. dc4.ourdomain.edu

1:27:13 - Szczegóły komputera: Rola komputera: 2 Nazwa sieci: ourdomain.edu (teraz nie jest pusta)

1:27:13 - Zasady grupy pomyślnie wykryły kontroler domeny w 2886 milisekundach.

1:27:13 - Zakończono wywołanie LDAP w celu połączenia i powiązania z Active Directory. dc4.ourdomain.edu Wywołanie zostało zakończone w 2371 milisekund.

1:27:15 - Szacowana przepustowość sieci na jednym z połączeń: 0 kb / s.

1:27:15 - Szacowana przepustowość sieci na jednym z połączeń: 8545 kb / s.

1:27:15 - Wykryto szybki link. Szacowana przepustowość wynosi 8545 kb / s. Próg wolnego łącza wynosi 500 kb / s.

1:27:17 - PowerShell - Stan silnika został zmieniony z Dostępny na Zatrzymany.

1:27:20 - Ukończono zasady grupy Przetwarzanie rozszerzenia lokalnych użytkowników i grup w 4539 milisekund.

1:27:25 - Ukończone rozszerzenie grupy Zaplanowane zadania Przetwarzanie rozszerzenia w 5210 milisekund.

1:27:27 - Zakończono przetwarzanie rozszerzenia rejestru zasad grupy w 1529 milisekundach.

1:27:27 - Zakończono przetwarzanie zasad z powodu zmiany stanu sieci dla komputera OURDOMAIN \% name% $ w ciągu 16 sekund.

1:27:27 - Ustawienia zasad grupy dla komputera zostały pomyślnie przetworzone. Nie wykryto żadnych zmian od ostatniego pomyślnego przetwarzania zasad grupy.

Każda pomoc będzie mile widziana. Poproś o wszelkie istotne informacje, które zostaną dostarczone jak najszybciej.

msanford
źródło
2
Dla mnie to brzmi jak problem z łączeniem drzew. W przełącznikach Cisco możesz włączyć funkcję o nazwie portfast, która nadal będzie włączać drzewo opinające, ale pozwoli portowi aktywować się znacznie szybciej. Poproś zespół ds. Sieci, aby sprawdził przełączniki i sprawdził, czy nie trzeba ich poprawiać.
Bad Dos,

Odpowiedzi:

1

Kilka przypadkowych myśli:

  1. Wykonaj DCDIAG na każdym DC i rozwiąż problemy.
  2. Sprawdź DNS. Włącz funkcje zaawansowane w narzędziu MMC i zrootuj się w:

    \ Strefy wyszukiwania do przodu \ <domena> \ _msdcs

  3. Sprawdź, czy na liście znajdują się wszystkie Twoje witryny AD. Sprawdź, czy w gałęziach nieokreślonych dla witryny wszystkie kontrolery domeny pojawiają się w strefach liści _tcp i _udp (jeśli ma to sens)

  4. Jeśli to konieczne, zmuś kontrolerów domeny do ponownej rejestracji swoich rekordów SRV w DNS przy użyciu nltest / dsregdns

  5. Sprawdź DHCP i upewnij się, że opcja 006 (serwery DNS) jest ustawiona tak, aby wskazywała co najmniej dwa serwery DNS (DC). Sprawdź, czy ustawiona jest opcja 015 (nazwa domeny).

  6. Sprawdź replikację AD (chociaż DCDIAG to wykryje ), używając repadmin / replsummary z DC

  7. Sprawdź, czy Twoi klienci wiedzą, gdzie DC używają nltest / dclist: <DOMAIN>

  8. Sprawdź, czy klienci wiedzą, w których witrynach AD używają narzędzia nltest / dsgetsite . Jeśli występują jakieś problemy, sprawdź definicje podsieci w Witrynach i usługach Active Directory .

  9. Sprawdź, czy wszyscy FMSO działają przy użyciu fsmo zapytania netdom

  10. Sprawdź, czy wszystkie kontrolery domeny mają spójny czas (wszystkie powinny być zsynchronizowane z emulatorem PDC). Sprawdź, czy emulator PDC ma dobry czas.

  11. Sprawdź, czy klienci mogą konsekwentnie pingować kontrolery domeny

Jeśli pomyślę o czymś innym, zmienię ...

Simon Catlin
źródło
1

Uważam, że przyczyną problemu jest NETLOGON 5719. sprawdź to: http://blogs.technet.com/b/instan/archive/2008/09/18/netlogon-5719-and-the-disappearing-domain.aspx

aw szczególności linia:

Jeśli widzisz tylko Netlogon 5719 podczas uruchamiania, to port, do którego maszyna jest podłączona na przełączniku, może nie być w pełni uruchomiony podczas uruchamiania Netlogon.

który wskazuje na http://www.cisco.com/c/en/us/support/docs/switches/catalyst-6500-series-switches/10553-12.html

sdjuan
źródło
-1

Zakładając, że twój DNS i kontrolery domeny poprawnie się replikują i mają odpowiednie wpisy dla kontrolerów domeny, brzmi to dokładnie tak, jak dzieje się, gdy nie masz lokalnego serwera DNS zintegrowanego z AD jako pierwszego wpisu DNS na klienci.

techie007
źródło
Wszystkie kontrolery domeny są zintegrowanymi DNS i wszystkie mają aktywny katalog.