Diagnozowanie powolnych logowań do active directory

9

Trudno mi zdiagnozować sporadyczne powolne logowanie na komputerach w domenie.

Trochę informacji o sieci, która ma ten problem:

  • Moja domena obejmuje 5 witryn, wszystkie z połączeniami VPN.
  • DC są mieszanką 2003, 2008 i 2012. Poziom funkcjonalności domeny to 2003.
  • Klientami są głównie Windows 7 x64.
  • Korzystamy z zasad grupy, w tym tych, które używają WMI, kierowania na poziom elementu preferencji grupy i wdrażania drukarki GPP.
  • Nie korzystamy z profili roamingowych.

W większości przypadków logowanie działa dobrze i szybko dla osób, które wcześniej korzystały z urządzenia. Pierwsze logowanie do nowego komputera jest zawsze wolne, ale jest to oczekiwane.

Problem dotyczy głównie laptopów. Jeśli są używane w domu z połączeniem sieciowym niebędącym domeną lub przenoszone do innej lokalizacji (wciąż w sieci domeny, ale w innej witrynie AD i wydaje się, że nie ma to znaczenia, przewodowe lub bezprzewodowe) logowanie może trwać nawet 3 minut od momentu wprowadzenia hasła przez użytkownika, aż do momentu, gdy faktycznie zacznie wyświetlać pulpit. Nasz serwer terminali ma również sporadyczne powolne logowanie.

Niestety jest to sporadyczny problem i nie znalazłem żadnego niezawodnego sposobu na jego odtworzenie. Podejrzewam, że ma to związek z preferencjami zasad grupy, ale tak naprawdę nie mam na to żadnego dowodu. Widziałem artykuł z bazy wiedzy Microsoft, w którym obwiniają niektóre typy kierowania na poziomie produktu za powolne logowanie, ale nie daje to żadnych wskazówek, jak ustalić, czy to jest rzeczywiście przyczyna.

Jakich dzienników i narzędzi mogę użyć, aby dowiedzieć się, co powoduje powolne logowanie?

Z jakich ustawień zasad grupy należy korzystać, jeśli to możliwe, aby przyspieszyć logowanie?

Dotacja
źródło
Spójrz na dzienniki na komputerach klienckich. Zazwyczaj w dziennikach po stronie klienta widać, co powoduje spowolnienie, takie jak przekroczenia limitu czasu sieci.
HopelessN00b
Czy Twoje witryny i podsieci są skonfigurowane w ADS & S?
joeqwerty
Chciałbym zacząć od dcdiag / v / e i sprawdzić, czy nie ma błędów
Dusan Bajic
Sprawdziłbym repadmin, aby sprawdzić replikację między kontrolerami domeny. Moje myślenie przebiega zgodnie z zasadą, że zmiany hasła nie są synchronizowane, zmuszając dc do autoryzacji użytkownika, a następnie odpytują PDC, aby spróbować uporządkować najbardziej aktualne hasło.
Tim Alexander
1
Ten link może być pomocny, ale wydaje mi się, że poradzisz sobie z tym bez podejrzenia, że ​​jesteś w stanie odtworzyć problem. social.technet.microsoft.com/wiki/contents/articles/…
Tim Alexander

Odpowiedzi:

1

Zasadniczo zmierzam w tym samym kierunku co joeqwerty

Doświadczyłem symptomów, które opisujesz w kilku firmach. Z mojego doświadczenia wynika, że ​​zwykle dzieje się to, gdy jest więcej niż jedna strona. Jednym ze sposobów rozwiązania potencjalnego problemu z witrynami i usługami jest: Na komputerze, na którym właśnie nastąpiło powolne logowanie, przejdź do wiersza polecenia, wpisz echo% logonserver% Jeśli odpowiedź nie jest serwerem w tej samej witrynie co laptop lub stacja robocza, to z mojego doświadczenia wynika, że ​​podsieci nie zostały skonfigurowane i przypisane właściwa witryna w witrynach i usługach Active Directory.

Innym sposobem rozwiązania problemu jest sprawdzenie tego pliku dziennika na kontrolerach domeny% SystemRoot% \ debug \ netlogon.log

Jeśli zobaczysz takie wpisy, konkretna podsieć musi zostać wprowadzona do witryn i usług i przypisana do witryny.
05/16 22:57:31 [4068] AD: NO_CLIENT_SITE: nazwaserverhosthostname 172.16.10.104

Stacje robocze i kontrolery domeny Microsoft mają możliwość upewnienia się, że udają się do odpowiednich kontrolerów domeny w celu uwierzytelnienia i zasad z powodu witryn i usług.

Jeśli tak jest i prowadzi to do dostosowania witryn i usług, pamiętaj, że replikacja zmian do / z kontrolerów domeny może zająć trochę czasu. Stacje robocze punktu końcowego zajmą jeszcze więcej czasu, aby zobaczyć nowe zmiany. Domyślny czas replikacji jest ustawiany w lokacjach i usługach na 1 godzinę między kontrolerami domeny. W zależności od odległości geograficznej i wielkości lasu AD zwykle ustawiam go na około 15 minut.

jest inna nazwa
źródło
0

Odpowiedź, która może pasować do pytania lub po prostu notatkę dla mnie na później:

W przypadku niektórych naszych podsieci wystąpiły ekstremalne opóźnienia logowania. Okazało się, że w tych podsieciach brakowało odwrotnych stref DNS na serwerze AD. Dodaliśmy strefy odwrotne, AD automatycznie dodało wpisy PTR i od tego czasu nie wystąpiło opóźnienie. Może to być zbieg okoliczności.

Zachary Scott
źródło