Probleme bei der Netzwerkanmeldung mit Gruppenrichtlinien und Netzwerk

11

Ich brauche dringend Ihre Hilfe und Unterstützung.

Wir haben ein Problem mit der Anmeldung und dem Start unseres Windows 7 Enterprise-Systems. Wir haben mehr als 3000 Windows-Desktops in mehr als 20 Gebäuden rund um den Campus. Fast jeder Computer auf dem Campus hat das Problem, das ich beschreiben werde. Ich habe über einen Monat damit verbracht, etl-Dateien von Windows Performance Analyzer (ein großartiges Produkt) und Hunderttausende von Ereignisprotokollen zu durchsuchen. Ich komme heute demütig zu dir, dass ich das nicht herausfinden konnte.

Das Problem, einfach ausgedrückt, unsere Anmeldezeiten sind extrem lang. Eine durchschnittliche Erstanmeldung beträgt je nach installierter Software ca. 2-10 Minuten. Alle Computer sind Windows 7, die ältesten Computer sind 5 Jahre alt. Die Startzeiten auf verschiedenen Computern reichen von gut (1-2 Minuten) bis sehr schlecht (5-60). Unsere zweiten Anmeldungen reichen von 30 Sekunden bis 4 Minuten.

Wir haben eine Gigabit-Verbindung zwischen jedem Computer im Netzwerk. Wir haben 5 Domänencontroller, die auch als DNS-Server fungieren.

Erste Tests haben uns zu der Annahme geführt, dass dies ein Softwareproblem ist. Daher habe ich einige Tage damit verbracht, Maschinen zu testen, um nur inkonsistente Ergebnisse aus den etl-Dateien von xperfview zu finden. Jede Untergruppe von Computern auf dem Campus hatte eine andere Untergruppe von Softwareproblemen, von denen keine die Anmeldung beim Start zu beeinträchtigen schien.

Also habe ich mich mit unseren Gruppenrichtlinien befasst und einige sehr interessante Ereignis-IDs gefunden.

Gruppenrichtlinie 1129: Die Verarbeitung der Gruppenrichtlinie ist aufgrund mangelnder Netzwerkverbindung zu einem Domänencontroller fehlgeschlagen.

Gruppenrichtlinie 1055: Die Verarbeitung der Gruppenrichtlinie ist fehlgeschlagen. Windows konnte den Computernamen nicht auflösen. Dies kann durch eine der folgenden Ursachen verursacht werden: a) Fehler bei der Namensauflösung auf dem aktuellen Domänencontroller. b) Active Directory-Replikationslatenz (ein auf einem anderen Domänencontroller erstelltes Konto wurde nicht auf den aktuellen Domänencontroller repliziert).

NETLOGON 5719: Dieser Computer konnte aus folgenden Gründen keine sichere Sitzung mit einem Domänencontroller in der Domäne OURDOMAIN einrichten: Derzeit sind keine Anmeldeserver verfügbar, um die Anmeldeanforderung zu bearbeiten. Dies kann zu Authentifizierungsproblemen führen. Stellen Sie sicher, dass dieser Computer mit dem Netzwerk verbunden ist. Wenn das Problem weiterhin besteht, wenden Sie sich an Ihren Domain-Administrator. E1kexpress 27: Intel®82567LM-3 Gigabit-Netzwerkverbindung - Die Netzwerkverbindung wird getrennt.

NetBT 4300 - Der Treiber konnte nicht erstellt werden.

WMI 10 - Ereignisfilter mit der Abfrage "SELECT * FROM __InstanceModificationEvent WITHIN 60 WHERE TargetInstance ISA" Win32_Processor "UND TargetInstance.LoadPercentage> 99" konnten im Namespace "//./root/CIMV2" aufgrund des Fehlers 0x80041003 nicht reaktiviert werden. Ereignisse können nicht über diesen Filter übermittelt werden, bis das Problem behoben ist.

Mehr oder weniger mit Zeitstempeln wird deutlich, dass das Netzwerk möglicherweise das Problem ist.

1:25:57 - Die Gruppenrichtlinie versucht, die Domänencontrollerinformationen zu ermitteln

1:25:57 - Die Netzwerkverbindung wurde getrennt

1:25:58 - Die Verarbeitung der Gruppenrichtlinie ist fehlgeschlagen, da keine Netzwerkverbindung zu einem Domänencontroller besteht. Dies kann ein vorübergehender Zustand sein. Eine Erfolgsmeldung wird generiert, sobald der Computer mit dem Domänencontroller verbunden ist und die Gruppenrichtlinie erfolgreich verarbeitet wurde. Wenn Sie mehrere Stunden lang keine Erfolgsmeldung sehen, wenden Sie sich an Ihren Administrator.

1:25:58 - LDAP-Aufrufe zum Verbinden und Binden an Active Directory. DC1.ourdomain.edu

1:25:58 - Anruf nach 0 Millisekunden fehlgeschlagen.

1:25:58 - Erzwingen der erneuten Erkennung von Domänencontrollerdetails.

1:25:58 - Die Gruppenrichtlinie konnte den Domänencontroller innerhalb von 1030 Millisekunden nicht erkennen

1:25:58 - Die regelmäßige Richtlinienverarbeitung für Computer OURDOMAIN \% name% $ ist in 1 Sekunde fehlgeschlagen.

1:25:59 - Bei Vollduplex wurde eine Netzwerkverbindung mit 1 Gbit / s hergestellt

1:26:00 - Die Netzwerkverbindung wurde getrennt

1:26:02 - NtpClient konnte aufgrund eines Erkennungsfehlers keinen Domänen-Peer als Zeitquelle festlegen. NtpClient wird es in 3473457 Minuten erneut versuchen und danach das Wiederholungsintervall verdoppeln.

1:26:05 - Bei Vollduplex wurde eine Netzwerkverbindung mit 1 Gbit / s hergestellt

1:26:08 - Die Namensauflösung für den Namen% Name% ist abgelaufen, nachdem keiner der konfigurierten DNS-Server geantwortet hat.

1:26:10 - Der TCP / IP NetBIOS Helper-Dienst wurde ausgeführt.

1:26:11 - Der Zeitanbieter NtpClient empfängt derzeit gültige Zeitdaten unter dc4.ourdomain.edu

1:26:14 - Benutzeranmeldungsbenachrichtigung für das Programm zur Verbesserung der Kundenerfahrung

1:26:15 - Gruppenrichtlinie hat die Benachrichtigung Anmeldung von Winlogon für Sitzung 1 erhalten.

1:26:15 - LDAP-Aufrufe zum Verbinden und Binden an Active Directory. dc4.ourdomain.edu

1:26:18 - Der LDAP-Aufruf zum Herstellen einer Verbindung und zum Binden an Active Directory wurde abgeschlossen. dc4. ourdomain.edu. Der Anruf wurde in 2309 Millisekunden abgeschlossen.

1:26:18 - Gruppenrichtlinien haben den Domänencontroller in 2918 Millisekunden erfolgreich erkannt.

1:26:18 - Computerdetails: Computerrolle: 2 Netzwerkname: (leer)

1:26:18 - Der LDAP-Aufruf zum Herstellen einer Verbindung und zum Binden an Active Directory wurde abgeschlossen. dc4.ourdomain.edu. Der Anruf wurde in 2309 Millisekunden abgeschlossen.

1:26:18 - Gruppenrichtlinien haben den Domänencontroller in 2918 Millisekunden erfolgreich erkannt.

1:26:19 - Der WinHTTP Web Proxy Auto-Discovery Service-Dienst wurde ausgeführt.

1:26:46 - Der Dienst "Netzwerkverbindungen" wurde ausgeführt.

1:27:10 - Kontoinformationen abgerufen

1:27:10 - Der Systemaufruf zum Abrufen der Kontoinformationen.

1:27:10 - Starten der Richtlinienverarbeitung aufgrund einer Änderung des Netzwerkstatus für Computer OURDOMAIN \% name% $

1:27:10 - Netzwerkstatusänderung erkannt

1:27:10 - Systemaufruf zum Abrufen von Kontoinformationen.

1:27:11 - LDAP-Aufrufe zum Verbinden und Binden an Active Directory. dc4.ourdomain.edu

1:27:13 - Computerdetails: Computerrolle: 2 Netzwerkname: ourdomain.edu (Jetzt nicht leer)

1:27:13 - Gruppenrichtlinien haben den Domänencontroller in 2886 Millisekunden erfolgreich erkannt.

1:27:13 - Der LDAP-Aufruf zum Herstellen einer Verbindung und zum Binden an Active Directory wurde abgeschlossen. dc4.ourdomain.edu Der Anruf wurde in 2371 Millisekunden abgeschlossen.

1:27:15 - Geschätzte Netzwerkbandbreite für eine der Verbindungen: 0 kbps.

1:27:15 - Geschätzte Netzwerkbandbreite für eine der Verbindungen: 8545 kbps.

1:27:15 - Eine schnelle Verbindung wurde erkannt. Die geschätzte Bandbreite beträgt 8545 kbps. Der Schwellenwert für langsame Verbindungen beträgt 500 kbps.

1:27:17 - Powershell - Der Motorstatus wurde von Verfügbar in Gestoppt geändert.

1:27:20 - Gruppenrichtlinien-Verarbeitung für lokale Benutzer und Gruppenerweiterungen in 4539 Millisekunden abgeschlossen.

1:27:25 - Abgeschlossene Gruppenrichtlinien für geplante Aufgaben Erweiterungsverarbeitung in 5210 Millisekunden.

1:27:27 - Die Verarbeitung der Gruppenrichtlinien-Registrierungserweiterung in 1529 Millisekunden abgeschlossen.

1:27:27 - Die Richtlinienverarbeitung wurde aufgrund einer Änderung des Netzwerkstatus für den Computer OURDOMAIN \% name% $ in 16 Sekunden abgeschlossen.

1:27:27 - Die Gruppenrichtlinieneinstellungen für den Computer wurden erfolgreich verarbeitet. Seit der letzten erfolgreichen Verarbeitung der Gruppenrichtlinie wurden keine Änderungen festgestellt.

Jede Hilfe wäre dankbar. Bitte fragen Sie nach relevanten Informationen und diese werden so schnell wie möglich zur Verfügung gestellt.

msanford
quelle
2
Das klingt für mich nach einem Spanning Tree-Problem. In Cisco-Switches können Sie eine Funktion namens portfast aktivieren, die weiterhin Spanning Tree aktiviert, den Port jedoch viel schneller aktiv werden lässt. Bitten Sie Ihr Netzwerkteam, in die Switches zu schauen und festzustellen, ob sie optimiert werden müssen.
Bad Dos

Antworten:

1

Einige zufällige Gedanken:

  1. Führen Sie für jeden DC eine DCDIAG durch und beheben Sie Probleme.
  2. Überprüfen Sie DNS. Aktivieren Sie die erweiterten Funktionen im MMC-Tool und stöbern Sie in:

    \ Forward Lookup Zones \ <Domain> \ _msdcs

  3. Überprüfen Sie, ob jede Ihrer AD-Sites aufgelistet ist. Überprüfen Sie, ob in den nicht standortspezifischen Zweigen alle Domänencontroller in den Blattzonen _tcp und _udp angezeigt werden (sofern dies sinnvoll ist).

  4. Erzwingen Sie bei Bedarf DCs, ihre SRV-Einträge mit nltest / dsregdns erneut in DNS zu registrieren

  5. Überprüfen Sie DHCP und stellen Sie sicher, dass die Option 006 (DNS-Server) auf mindestens zwei DNS-Server (DCs) verweist. Aktivieren Sie die Option 015 (Domainname).

  6. Überprüfen Sie die AD-Replikation (obwohl DCDIAG dies übernimmt), indem Sie repadmin / replsummary von einem DC verwenden

  7. Überprüfen Sie, ob Ihre Clients wissen, wo die DCs nltest / dclist verwenden: <DOMAIN>

  8. Überprüfen Sie, ob Ihre Clients wissen, auf welcher AD-Site sie nltest / dsgetsite verwenden . Wenn hier Probleme auftreten, überprüfen Sie Ihre Subnetzdefinitionen in Active Directory-Standorten und -Diensten .

  9. Überprüfen Sie, ob alle FMSOs mit der Netdom-Abfrage fsmo ausgeführt werden

  10. Überprüfen Sie, ob alle DCs eine konsistente Zeit haben (sie sollten alle mit dem PDC-Emulator synchronisiert sein). Überprüfen Sie, ob Ihr PDC-Emulator eine gute Zeit hat.

  11. Überprüfen Sie, ob Ihre Clients Ihre DCs konsistent anpingen können

Wenn mir noch etwas einfällt, werde ich ...

Simon Catlin
quelle
1

Meiner Meinung nach ist NETLOGON 5719 die Wurzel des Problems. Überprüfen Sie dies: http://blogs.technet.com/b/instan/archive/2008/09/18/netlogon-5719-and-the-disappearing-domain.aspx

und insbesondere die Zeile:

Wenn Sie Netlogon 5719 nur beim Start sehen, ist der Port, an den der Computer an Ihrem Switch angeschlossen ist, möglicherweise nicht vollständig aktiv, wenn Netlogon gestartet wird.

Dies verweist auf http://www.cisco.com/c/en/us/support/docs/switches/catalyst-6500-series-switches/10553-12.html

sdjuan
quelle
-1

Angenommen, Ihr DNS und Ihre Domänencontroller werden ordnungsgemäß repliziert und verfügen über ordnungsgemäße Einträge für die Domänencontroller. Dies klingt genau so, wie es passiert, wenn Sie keinen lokalen AD-integrierten DNS-Server als ersten DNS-Eintrag auf dem haben Kunden.

techie007
quelle
Alle Domänencontroller sind integrierte DNS und alle haben Active Directory.