Проблемы входа в сеть с групповой политикой и сетью

11

Я остро нуждаюсь в вашей помощи и помощи.

У нас проблема с нашим входом в систему и запуском в нашу систему Windows 7 Enterprise. У нас более 3000 настольных компьютеров с Windows, расположенных в более чем 20 зданиях вокруг кампуса. Почти у каждого компьютера в университетском городке есть проблема, которую я буду описывать. Я потратил более месяца на просмотр файлов etl из Windows Performance Analyzer (отличный продукт) и сотен тысяч журналов событий. Я пришел к вам сегодня смирился, что я не мог понять это.

Проблема в том, что мы просто вводим время входа в систему очень долго. Среднее время первого входа в систему составляет примерно 2-10 минут в зависимости от установленного программного обеспечения. Все компьютеры - Windows 7, самым старым компьютерам 5 лет. Время запуска на разных компьютерах варьируется от хорошего (1-2 минуты) до очень плохого (5-60). Наш второй вход в систему варьируется от 30 секунд до 4 минут.

У нас есть гигабитное соединение между каждым компьютером в сети. У нас есть 5 контроллеров домена, которые также являются нашими DNS-серверами.

Первоначальное тестирование привело нас к мысли, что это была программная проблема. Поэтому я потратил несколько дней на тестирование компьютеров, чтобы найти противоречивые результаты в файлах etl из xperfview. У каждого подмножества компьютеров в кампусе были свои проблемы с программным обеспечением, и ни один из них не мешал входу в систему при запуске.

Поэтому я начал смотреть на нашу групповую политику и нашел несколько очень интересных идентификаторов событий.

Групповая политика 1129: обработка групповой политики завершилась неудачно из-за отсутствия сетевого подключения к контроллеру домена.

Групповая политика 1055: сбой обработки групповой политики. Windows не может разрешить имя компьютера. Это может быть вызвано одной из следующих причин: a) Ошибка разрешения имени на текущем контроллере домена. б) Задержка репликации Active Directory (учетная запись, созданная на другом контроллере домена, не реплицирована на текущий контроллер домена).

NETLOGON 5719: этому компьютеру не удалось настроить безопасный сеанс с контроллером домена в домене OURDOMAIN из-за следующего: в настоящее время нет серверов для входа, доступных для обслуживания запроса на вход. Это может привести к проблемам с аутентификацией. Убедитесь, что этот компьютер подключен к сети. Если проблема не устранена, обратитесь к администратору домена. E1kexpress 27: Intel® 82567LM-3 Gigabit Network Connection - Сетевой канал отключен.

NetBT 4300 - Не удалось создать драйвер.

WMI 10 - Фильтр событий с запросом «SELECT * FROM __InstanceModificationEvent WITHIN 60 ГДЕ TargetInstance ISA« Win32_Processor »И TargetInstance.LoadPercentage> 99» не может быть повторно активирован в пространстве имен «//./root/CIMV2» из-за ошибки 0x80041003. События не могут быть доставлены через этот фильтр, пока проблема не будет устранена.

Более или менее с метками времени становится очевидным, что проблема может быть в сети.

1:25:57 - групповая политика пытается найти информацию о контроллере домена

1:25:57 - сетевое соединение было отключено

1:25:58 - Ошибка обработки групповой политики из-за отсутствия сетевого подключения к контроллеру домена. Это может быть переходным состоянием. Сообщение об успешном завершении работы будет сгенерировано после того, как компьютер подключится к контроллеру домена и успешно обработана групповая политика. Если вы не видите сообщения об успехе в течение нескольких часов, обратитесь к администратору.

1:25:58 - Выполнение вызовов LDAP для подключения и привязки к активному каталогу. DC1.ourdomain.edu

1:25:58 - Ошибка вызова через 0 миллисекунд.

1:25:58 - принудительное повторное обнаружение данных контроллера домена.

1:25:58 - Групповой политике не удалось обнаружить контроллер домена за 1030 миллисекунд

1:25:58 - Периодическая обработка политики не удалась для компьютера OURDOMAIN \% name% $ через 1 секунду.

1:25:59 - Сетевое соединение установлено на скорости 1 Гбит / с в дуплексном режиме

1:26:00 - сетевое соединение было отключено

1:26:02 - NtpClient не смог настроить одноранговый домен для использования в качестве источника времени из-за ошибки обнаружения. NtpClient попытается снова через 3473457 минут и удвоит интервал REATTEMPT после этого.

1:26:05 - Сетевое соединение установлено на скорости 1 Гбит / с в дуплексном режиме

1:26:08 - Разрешение имени для имени% Name% истекло после того, как ни один из настроенных DNS-серверов не ответил.

1:26:10 - Служба TCP / IP NetBIOS Helper вошла в рабочее состояние.

1:26:11 - поставщик времени NtpClient в настоящее время получает действительные данные времени на dc4.ourdomain.edu

1:26:14 - Уведомление пользователя о входе в систему для программы улучшения качества программного обеспечения

1:26:15 - Групповая политика получила уведомление Logon от Winlogon для сеанса 1.

1:26:15 - Выполнение вызовов LDAP для подключения и привязки к Active Directory. dc4.ourdomain.edu

1:26:18 - Вызов LDAP для подключения и привязки к Active Directory завершен. DC4. ourdomain.edu. Вызов завершен за 2309 миллисекунд.

1:26:18 - Групповая политика успешно обнаружила контроллер домена за 2918 миллисекунд.

1:26:18 - Детали компьютера: Роль компьютера: 2 Имя сети: (пусто)

1:26:18 - Вызов LDAP для подключения и привязки к Active Directory завершен. dc4.ourdomain.edu. Вызов завершен за 2309 миллисекунд.

1:26:18 - Групповая политика успешно обнаружила контроллер домена за 2918 миллисекунд.

1:26:19 - Служба автообнаружения веб-прокси WinHTTP вошла в рабочее состояние.

1:26:46 - Служба сетевых подключений перешла в рабочее состояние.

1:27:10 - Получена информация об аккаунте

1:27:10 - системный вызов для получения информации об учетной записи.

1:27:10 - Запуск обработки политики из-за изменения состояния сети для компьютера OURDOMAIN \% name% $

1:27:10 - Обнаружено изменение состояния сети

1:27:10 - Системный вызов для получения информации об учетной записи.

1:27:11 - Выполнение вызовов LDAP для подключения и привязки к Active Directory. dc4.ourdomain.edu

1:27:13 - Информация о компьютере: Роль компьютера: 2 Имя сети: ourdomain.edu (сейчас не пусто)

1:27:13 - Групповая политика успешно обнаружила контроллер домена за 2886 миллисекунд.

1:27:13 - вызов LDAP для подключения и привязки к Active Directory завершен. dc4.ourdomain.edu Вызов завершился за 2371 миллисекунду.

1:27:15 - Расчетная пропускная способность сети для одного из соединений: 0 кбит / с.

1:27:15 - Расчетная пропускная способность сети для одного из соединений: 8545 кбит / с.

1:27:15 - Быстрая ссылка была обнаружена. Расчетная пропускная способность составляет 8545 кбит / с. Порог медленного соединения составляет 500 кбит / с.

1:27:17 - Powershell - состояние двигателя изменено с Доступно на Остановлено.

1:27:20 - Завершена обработка расширения локальных пользователей и групп в течение 4539 миллисекунд.

1:27:25 - Завершение обработки расширения запланированных задач групповой политики за 5210 миллисекунд.

1:27:27 - Завершена обработка расширения реестра групповой политики за 1529 миллисекунд.

1:27:27 - Завершена обработка политики из-за изменения состояния сети для компьютера OURDOMAIN \% name% $ за 16 секунд.

1:27:27 - параметры групповой политики для компьютера были успешно обработаны. Со времени последней успешной обработки групповой политики изменений не обнаружено.

Любая помощь будет оценена. Пожалуйста, попросите любую соответствующую информацию, и она будет предоставлена ​​как можно скорее.

msanford
источник
2
Это звучит как проблема связующего дерева для меня. В коммутаторах Cisco вы можете включить функцию portfast, которая по-прежнему включает связующее дерево, но позволяет порту становиться активным намного быстрее. Попросите вашу сетевую команду изучить коммутаторы и выяснить, не нужно ли им что-то настроить.
Bad Dos

Ответы:

1

Несколько случайных мыслей:

  1. Выполните DCDIAG на каждом контроллере домена и устраните проблемы.
  2. Проверьте DNS. Включите дополнительные функции в инструменте MMC и получите root-права на:

    \ Зоны прямого просмотра \ <домен> \ _ msdcs

  3. Проверьте, что каждый из ваших сайтов AD в списке. Убедитесь, что в ветвях, не зависящих от сайта, все DC отображаются в конечных зонах _tcp и _udp (если это имеет смысл)

  4. При необходимости заставьте контроллеры домена заново регистрировать свои записи SRV в DNS, используя nltest / dsregdns.

  5. Проверьте DHCP и убедитесь, что для параметра 006 (DNS-серверы) задано как минимум два DNS-сервера (DC). Проверьте, установлена ​​ли опция 015 (доменное имя).

  6. Проверьте репликацию AD (хотя DCDIAG это подберет), используя repadmin / replsummary из DC

  7. Проверьте, знают ли ваши клиенты, где контроллеры домена используют nltest / dclist: <DOMAIN>

  8. Проверьте, знают ли клиенты, какой сайт AD используется в nltest / dsgetsite . Если здесь есть какие-либо проблемы, проверьте определения своих подсетей на сайтах и ​​в службах Active Directory .

  9. Проверьте, все ли FMSO работают с использованием запроса netdom fsmo

  10. Убедитесь, что все контроллеры домена имеют одинаковое время (все они должны синхронизироваться с эмулятором PDC). Убедитесь, что ваш эмулятор PDC хорошо проводит время.

  11. Убедитесь, что ваши клиенты могут последовательно пинговать ваши контроллеры домена

Если я думаю о чем-то еще, я исправлю ...

Саймон Кэтлин
источник
1

Я полагаю, что причиной проблемы является NETLOGON 5719. проверить это: http://blogs.technet.com/b/instan/archive/2008/09/18/netlogon-5719-and-the-disappearing-domain.aspx

и в частности строка:

Если вы видите Netlogon 5719 только при запуске, то порт, к которому подключен компьютер на вашем коммутаторе, может быть не полностью подключен при запуске Netlogon.

который указывает на http://www.cisco.com/c/en/us/support/docs/switches/catalyst-6500-series-switches/10553-12.html

sdjuan
источник
0

Я бы предложил настроить (или убедиться), что ваши сайты активных каталогов настроены правильно. ( http://technet.microsoft.com/en-us/library/cc782048(v=ws.10).aspx ) Также посмотрите, можете ли вы искать свой домен, используя nslookup на клиентах и ​​серверах. Это действительно звучит как проблема DNS.

Остин Харш
источник
-1

Если предположить, что ваши DNS и контроллеры домена правильно реплицируются, и у них есть правильные записи для контроллеров домена, то это похоже на то, что происходит, когда у вас нет локального DNS-сервера, интегрированного в AD, в качестве первой записи DNS на клиентов.

techie007
источник
Все контроллеры домена имеют встроенный DNS и имеют активный каталог.