Я остро нуждаюсь в вашей помощи и помощи.
У нас проблема с нашим входом в систему и запуском в нашу систему Windows 7 Enterprise. У нас более 3000 настольных компьютеров с Windows, расположенных в более чем 20 зданиях вокруг кампуса. Почти у каждого компьютера в университетском городке есть проблема, которую я буду описывать. Я потратил более месяца на просмотр файлов etl из Windows Performance Analyzer (отличный продукт) и сотен тысяч журналов событий. Я пришел к вам сегодня смирился, что я не мог понять это.
Проблема в том, что мы просто вводим время входа в систему очень долго. Среднее время первого входа в систему составляет примерно 2-10 минут в зависимости от установленного программного обеспечения. Все компьютеры - Windows 7, самым старым компьютерам 5 лет. Время запуска на разных компьютерах варьируется от хорошего (1-2 минуты) до очень плохого (5-60). Наш второй вход в систему варьируется от 30 секунд до 4 минут.
У нас есть гигабитное соединение между каждым компьютером в сети. У нас есть 5 контроллеров домена, которые также являются нашими DNS-серверами.
Первоначальное тестирование привело нас к мысли, что это была программная проблема. Поэтому я потратил несколько дней на тестирование компьютеров, чтобы найти противоречивые результаты в файлах etl из xperfview. У каждого подмножества компьютеров в кампусе были свои проблемы с программным обеспечением, и ни один из них не мешал входу в систему при запуске.
Поэтому я начал смотреть на нашу групповую политику и нашел несколько очень интересных идентификаторов событий.
Групповая политика 1129: обработка групповой политики завершилась неудачно из-за отсутствия сетевого подключения к контроллеру домена.
Групповая политика 1055: сбой обработки групповой политики. Windows не может разрешить имя компьютера. Это может быть вызвано одной из следующих причин: a) Ошибка разрешения имени на текущем контроллере домена. б) Задержка репликации Active Directory (учетная запись, созданная на другом контроллере домена, не реплицирована на текущий контроллер домена).
NETLOGON 5719: этому компьютеру не удалось настроить безопасный сеанс с контроллером домена в домене OURDOMAIN из-за следующего: в настоящее время нет серверов для входа, доступных для обслуживания запроса на вход. Это может привести к проблемам с аутентификацией. Убедитесь, что этот компьютер подключен к сети. Если проблема не устранена, обратитесь к администратору домена. E1kexpress 27: Intel® 82567LM-3 Gigabit Network Connection - Сетевой канал отключен.
NetBT 4300 - Не удалось создать драйвер.
WMI 10 - Фильтр событий с запросом «SELECT * FROM __InstanceModificationEvent WITHIN 60 ГДЕ TargetInstance ISA« Win32_Processor »И TargetInstance.LoadPercentage> 99» не может быть повторно активирован в пространстве имен «//./root/CIMV2» из-за ошибки 0x80041003. События не могут быть доставлены через этот фильтр, пока проблема не будет устранена.
Более или менее с метками времени становится очевидным, что проблема может быть в сети.
1:25:57 - групповая политика пытается найти информацию о контроллере домена
1:25:57 - сетевое соединение было отключено
1:25:58 - Ошибка обработки групповой политики из-за отсутствия сетевого подключения к контроллеру домена. Это может быть переходным состоянием. Сообщение об успешном завершении работы будет сгенерировано после того, как компьютер подключится к контроллеру домена и успешно обработана групповая политика. Если вы не видите сообщения об успехе в течение нескольких часов, обратитесь к администратору.
1:25:58 - Выполнение вызовов LDAP для подключения и привязки к активному каталогу. DC1.ourdomain.edu
1:25:58 - Ошибка вызова через 0 миллисекунд.
1:25:58 - принудительное повторное обнаружение данных контроллера домена.
1:25:58 - Групповой политике не удалось обнаружить контроллер домена за 1030 миллисекунд
1:25:58 - Периодическая обработка политики не удалась для компьютера OURDOMAIN \% name% $ через 1 секунду.
1:25:59 - Сетевое соединение установлено на скорости 1 Гбит / с в дуплексном режиме
1:26:00 - сетевое соединение было отключено
1:26:02 - NtpClient не смог настроить одноранговый домен для использования в качестве источника времени из-за ошибки обнаружения. NtpClient попытается снова через 3473457 минут и удвоит интервал REATTEMPT после этого.
1:26:05 - Сетевое соединение установлено на скорости 1 Гбит / с в дуплексном режиме
1:26:08 - Разрешение имени для имени% Name% истекло после того, как ни один из настроенных DNS-серверов не ответил.
1:26:10 - Служба TCP / IP NetBIOS Helper вошла в рабочее состояние.
1:26:11 - поставщик времени NtpClient в настоящее время получает действительные данные времени на dc4.ourdomain.edu
1:26:14 - Уведомление пользователя о входе в систему для программы улучшения качества программного обеспечения
1:26:15 - Групповая политика получила уведомление Logon от Winlogon для сеанса 1.
1:26:15 - Выполнение вызовов LDAP для подключения и привязки к Active Directory. dc4.ourdomain.edu
1:26:18 - Вызов LDAP для подключения и привязки к Active Directory завершен. DC4. ourdomain.edu. Вызов завершен за 2309 миллисекунд.
1:26:18 - Групповая политика успешно обнаружила контроллер домена за 2918 миллисекунд.
1:26:18 - Детали компьютера: Роль компьютера: 2 Имя сети: (пусто)
1:26:18 - Вызов LDAP для подключения и привязки к Active Directory завершен. dc4.ourdomain.edu. Вызов завершен за 2309 миллисекунд.
1:26:18 - Групповая политика успешно обнаружила контроллер домена за 2918 миллисекунд.
1:26:19 - Служба автообнаружения веб-прокси WinHTTP вошла в рабочее состояние.
1:26:46 - Служба сетевых подключений перешла в рабочее состояние.
1:27:10 - Получена информация об аккаунте
1:27:10 - системный вызов для получения информации об учетной записи.
1:27:10 - Запуск обработки политики из-за изменения состояния сети для компьютера OURDOMAIN \% name% $
1:27:10 - Обнаружено изменение состояния сети
1:27:10 - Системный вызов для получения информации об учетной записи.
1:27:11 - Выполнение вызовов LDAP для подключения и привязки к Active Directory. dc4.ourdomain.edu
1:27:13 - Информация о компьютере: Роль компьютера: 2 Имя сети: ourdomain.edu (сейчас не пусто)
1:27:13 - Групповая политика успешно обнаружила контроллер домена за 2886 миллисекунд.
1:27:13 - вызов LDAP для подключения и привязки к Active Directory завершен. dc4.ourdomain.edu Вызов завершился за 2371 миллисекунду.
1:27:15 - Расчетная пропускная способность сети для одного из соединений: 0 кбит / с.
1:27:15 - Расчетная пропускная способность сети для одного из соединений: 8545 кбит / с.
1:27:15 - Быстрая ссылка была обнаружена. Расчетная пропускная способность составляет 8545 кбит / с. Порог медленного соединения составляет 500 кбит / с.
1:27:17 - Powershell - состояние двигателя изменено с Доступно на Остановлено.
1:27:20 - Завершена обработка расширения локальных пользователей и групп в течение 4539 миллисекунд.
1:27:25 - Завершение обработки расширения запланированных задач групповой политики за 5210 миллисекунд.
1:27:27 - Завершена обработка расширения реестра групповой политики за 1529 миллисекунд.
1:27:27 - Завершена обработка политики из-за изменения состояния сети для компьютера OURDOMAIN \% name% $ за 16 секунд.
1:27:27 - параметры групповой политики для компьютера были успешно обработаны. Со времени последней успешной обработки групповой политики изменений не обнаружено.
Любая помощь будет оценена. Пожалуйста, попросите любую соответствующую информацию, и она будет предоставлена как можно скорее.
источник
Ответы:
Несколько случайных мыслей:
Проверьте DNS. Включите дополнительные функции в инструменте MMC и получите root-права на:
\ Зоны прямого просмотра \ <домен> \ _ msdcs
Проверьте, что каждый из ваших сайтов AD в списке. Убедитесь, что в ветвях, не зависящих от сайта, все DC отображаются в конечных зонах _tcp и _udp (если это имеет смысл)
При необходимости заставьте контроллеры домена заново регистрировать свои записи SRV в DNS, используя nltest / dsregdns.
Проверьте DHCP и убедитесь, что для параметра 006 (DNS-серверы) задано как минимум два DNS-сервера (DC). Проверьте, установлена ли опция 015 (доменное имя).
Проверьте репликацию AD (хотя DCDIAG это подберет), используя repadmin / replsummary из DC
Проверьте, знают ли ваши клиенты, где контроллеры домена используют nltest / dclist: <DOMAIN>
Проверьте, знают ли клиенты, какой сайт AD используется в nltest / dsgetsite . Если здесь есть какие-либо проблемы, проверьте определения своих подсетей на сайтах и в службах Active Directory .
Проверьте, все ли FMSO работают с использованием запроса netdom fsmo
Убедитесь, что все контроллеры домена имеют одинаковое время (все они должны синхронизироваться с эмулятором PDC). Убедитесь, что ваш эмулятор PDC хорошо проводит время.
Убедитесь, что ваши клиенты могут последовательно пинговать ваши контроллеры домена
Если я думаю о чем-то еще, я исправлю ...
источник
Я полагаю, что причиной проблемы является NETLOGON 5719. проверить это: http://blogs.technet.com/b/instan/archive/2008/09/18/netlogon-5719-and-the-disappearing-domain.aspx
и в частности строка:
который указывает на http://www.cisco.com/c/en/us/support/docs/switches/catalyst-6500-series-switches/10553-12.html
источник
Я бы предложил настроить (или убедиться), что ваши сайты активных каталогов настроены правильно. ( http://technet.microsoft.com/en-us/library/cc782048(v=ws.10).aspx ) Также посмотрите, можете ли вы искать свой домен, используя nslookup на клиентах и серверах. Это действительно звучит как проблема DNS.
источник
Если предположить, что ваши DNS и контроллеры домена правильно реплицируются, и у них есть правильные записи для контроллеров домена, то это похоже на то, что происходит, когда у вас нет локального DNS-сервера, интегрированного в AD, в качестве первой записи DNS на клиентов.
источник