ปัญหาการเข้าสู่ระบบเครือข่ายกับนโยบายกลุ่มและเครือข่าย


11

ฉันต้องการความช่วยเหลือและความช่วยเหลือจากคุณอย่างหนักหน่วง

เรามีปัญหากับการเข้าสู่ระบบและเริ่มระบบ Windows 7 Enterprise ของเรา เรามี Windows Desktop มากกว่า 3,000 เครื่องซึ่งตั้งอยู่ในอาคารมากกว่า 20 แห่งทั่ววิทยาเขต คอมพิวเตอร์เกือบทุกเครื่องในมหาวิทยาลัยมีปัญหาที่ฉันจะอธิบาย ฉันใช้เวลามากกว่าหนึ่งเดือนในการดูไฟล์ etl จาก Windows Performance Analyzer (ผลิตภัณฑ์ยอดเยี่ยม) และบันทึกเหตุการณ์นับแสนรายการ ฉันมาหาคุณวันนี้ถ่อมตนว่าฉันไม่สามารถคิดออก

ปัญหาเพียงแค่ใส่เวลาเข้าสู่ระบบของเรานั้นยาวมาก การเข้าสู่ระบบครั้งแรกโดยเฉลี่ยประมาณ 2-10 นาทีขึ้นอยู่กับซอฟต์แวร์ที่ติดตั้ง คอมพิวเตอร์ทุกเครื่องเป็น Windows 7 คอมพิวเตอร์ที่เก่าแก่ที่สุดอายุ 5 ปี เวลาเริ่มต้นในคอมพิวเตอร์หลายเครื่องมีตั้งแต่ดี (1-2 นาที) ไปจนถึงแย่มาก (5-60) การเข้าสู่ระบบครั้งที่สองของเราอยู่ในช่วงตั้งแต่ 30 วินาทีถึง 4 นาที

เรามีการเชื่อมต่อกิกะบิตระหว่างคอมพิวเตอร์แต่ละเครื่องบนเครือข่าย เรามีตัวควบคุมโดเมน 5 ตัวซึ่งเพิ่มเป็นสองเท่าเป็นเซิร์ฟเวอร์ DNS ของเรา

การทดสอบครั้งแรกทำให้เราเชื่อว่านี่เป็นปัญหาซอฟต์แวร์ ดังนั้นฉันใช้เวลาสองสามวันในการทดสอบเครื่องจักรเพื่อค้นหาผลลัพธ์ที่ไม่สอดคล้องกันจากไฟล์ etl จาก xperfview คอมพิวเตอร์แต่ละเครื่องในวิทยาเขตมีปัญหาซอฟต์แวร์ที่แตกต่างกันดูเหมือนว่าจะไม่มีการรบกวนการเข้าสู่ระบบที่เพิ่งเริ่มต้น

ดังนั้นฉันจึงเริ่มดูนโยบายกลุ่มของเราและพบรหัสเหตุการณ์ที่น่าสนใจมาก

นโยบายกลุ่ม 1129: การประมวลผลนโยบายกลุ่มล้มเหลวเนื่องจากขาดการเชื่อมต่อเครือข่ายกับตัวควบคุมโดเมน

นโยบายกลุ่ม 1055: การประมวลผลนโยบายกลุ่มล้มเหลว Windows ไม่สามารถแก้ไขชื่อคอมพิวเตอร์ ซึ่งอาจเกิดจากหนึ่งในต่อไปนี้: a) การแก้ปัญหาชื่อไม่สำเร็จบนตัวควบคุมโดเมนปัจจุบัน b) Active Directory Replication แฝง (บัญชีที่สร้างบนตัวควบคุมโดเมนอื่นไม่ได้จำลองแบบไปยังตัวควบคุมโดเมนปัจจุบัน)

NETLOGON 5719: คอมพิวเตอร์เครื่องนี้ไม่สามารถตั้งค่าเซสชันที่ปลอดภัยด้วยตัวควบคุมโดเมนในโดเมน OURDOMAIN เนื่องจากสาเหตุต่อไปนี้: ขณะนี้ไม่มีเซิร์ฟเวอร์เข้าสู่ระบบที่ให้บริการการร้องขอการเข้าสู่ระบบ สิ่งนี้อาจนำไปสู่ปัญหาการตรวจสอบ ตรวจสอบให้แน่ใจว่าคอมพิวเตอร์เครื่องนี้เชื่อมต่อกับเครือข่าย หากปัญหายังคงมีอยู่โปรดติดต่อผู้ดูแลโดเมนของคุณ E1kexpress 27: การเชื่อมต่อเครือข่ายกิกะบิตIntel® 82567LM-3 - การเชื่อมต่อเครือข่ายถูกตัดการเชื่อมต่อ

NetBT 4300 - ไม่สามารถสร้างไดรเวอร์ได้

WMI 10 - ตัวกรองเหตุการณ์พร้อมเคียวรี "SELECT * จาก __InstanceModificationEvent ภายใน 60 WHERE TargetInstance ISA" Win32_Processor "และ TargetInstance.LoadPercentage> 99" เนื่องจากข้อผิดพลาด 0x80041003 ไม่สามารถส่งกิจกรรมผ่านตัวกรองนี้ได้จนกว่าปัญหาจะได้รับการแก้ไข

มากขึ้นหรือน้อยลงด้วยการประทับเวลาจะเห็นได้ชัดว่าเครือข่ายอาจมีปัญหา

1:25:57 - นโยบายกลุ่มกำลังพยายามค้นหาข้อมูลตัวควบคุมโดเมน

1:25:57 - ยกเลิกการเชื่อมโยงเครือข่าย

1:25:58 - การประมวลผลนโยบายกลุ่มล้มเหลวเนื่องจากขาดการเชื่อมต่อเครือข่ายกับตัวควบคุมโดเมน นี่อาจเป็นเงื่อนไขชั่วคราว ข้อความความสำเร็จจะถูกสร้างขึ้นเมื่อเครื่องเชื่อมต่อกับตัวควบคุมโดเมนและนโยบายกลุ่มได้รับการประมวลผลเรียบร้อยแล้ว หากคุณไม่เห็นข้อความความสำเร็จเป็นเวลาหลายชั่วโมงให้ติดต่อผู้ดูแลระบบของคุณ

1:25:58 - การโทรออก LDAP เพื่อเชื่อมต่อและผูกเข้ากับไดเรกทอรีที่ใช้งานอยู่ DC1.ourdomain.edu

1:25:58 - การโทรล้มเหลวหลังจาก 0 มิลลิวินาที

1:25:58 - บังคับให้ค้นพบรายละเอียดโดเมนคอนโทรลเลอร์อีกครั้ง

1:25:58 - นโยบายกลุ่มล้มเหลวในการค้นหาตัวควบคุมโดเมนใน 1,030 มิลลิวินาที

1:25:58 - การประมวลผลนโยบายเป็นระยะ ๆ ล้มเหลวสำหรับคอมพิวเตอร์ OURDOMAIN \% ชื่อ% $ ใน 1 วินาที

1:25:59 - มีการสร้างลิงก์เครือข่ายที่ 1Gbps ที่ดูเพล็กซ์เต็มรูปแบบ

1:26:00 - ยกเลิกการเชื่อมต่อเครือข่าย

1:26:02 - NtpClient ไม่สามารถตั้งค่าเพียร์โดเมนเพื่อใช้เป็นแหล่งเวลาเนื่องจากข้อผิดพลาดในการค้นหา NtpClient จะลองอีกครั้งใน 3473457 นาทีและเพิ่ม INTEREST REALTEMPT สองครั้งหลังจากนั้น

1:26:05 - มีการสร้างลิงก์เครือข่ายที่ 1Gbps ที่ดูเพล็กซ์เต็มรูปแบบ

1:26:08 - การจำแนกชื่อสำหรับชื่อ% ชื่อ% หมดเวลาหลังจากที่ไม่มีเซิร์ฟเวอร์ DNS ที่กำหนดค่าตอบสนอง

1:26:10 - บริการ TCP / IP NetBIOS Helper เข้าสู่สถานะทำงาน

1:26:11 - ผู้ให้บริการเวลา NtpClient กำลังรับข้อมูลเวลาที่ถูกต้องที่ dc4.ourdomain.edu

1:26:14 - การแจ้งเตือนการเข้าสู่ระบบของผู้ใช้สำหรับโครงการปรับปรุงประสบการณ์การใช้งานของลูกค้า

1:26:15 - นโยบายกลุ่มได้รับการแจ้งเตือนการเข้าสู่ระบบจาก Winlogon สำหรับเซสชั่น 1

1:26:15 - การโทรออก LDAP เพื่อเชื่อมต่อและผูกกับ Active Directory dc4.ourdomain.edu

1:26:18 - การโทร LDAP เพื่อเชื่อมต่อและผูกกับ Active Directory เสร็จสมบูรณ์ DC4 ourdomain.edu การโทรเสร็จสมบูรณ์ใน 2309 มิลลิวินาที

1:26:18 - นโยบายกลุ่มค้นพบตัวควบคุมโดเมนได้สำเร็จใน 2918 มิลลิวินาที

1:26:18 - รายละเอียดคอมพิวเตอร์: บทบาทคอมพิวเตอร์: 2 ชื่อเครือข่าย: (ว่าง)

1:26:18 - การโทร LDAP เพื่อเชื่อมต่อและผูกกับ Active Directory เสร็จสมบูรณ์ dc4.ourdomain.edu การโทรเสร็จสมบูรณ์ใน 2309 มิลลิวินาที

1:26:18 - นโยบายกลุ่มค้นพบตัวควบคุมโดเมนได้สำเร็จใน 2918 มิลลิวินาที

1:26:19 - บริการ WinHTTP Web Proxy Auto-Discovery Service ป้อนสถานะกำลังทำงาน

1:26:46 - บริการการเชื่อมต่อเครือข่ายเข้าสู่สถานะทำงาน

1:27:10 - ดึงข้อมูลบัญชี

1:27:10 - การโทรของระบบเพื่อรับข้อมูลบัญชีเสร็จสมบูรณ์

1:27:10 - การเริ่มต้นการประมวลผลนโยบายเนื่องจากการเปลี่ยนแปลงสถานะเครือข่ายสำหรับคอมพิวเตอร์ OURDOMAIN \% ชื่อ% $

1:27:10 - ตรวจพบการเปลี่ยนสถานะเครือข่าย

1:27:10 - ทำการโทรของระบบเพื่อรับข้อมูลบัญชี

1:27:11 - การโทรออก LDAP เพื่อเชื่อมต่อและผูกกับ Active Directory dc4.ourdomain.edu

1:27:13 - รายละเอียดคอมพิวเตอร์: บทบาทคอมพิวเตอร์: 2 ชื่อเครือข่าย: ourdomain.edu (ตอนนี้ไม่ว่าง)

1:27:13 - นโยบายกลุ่มค้นพบตัวควบคุมโดเมนได้สำเร็จใน 2886 มิลลิวินาที

1:27:13 - การเรียก LDAP เพื่อเชื่อมต่อและผูกกับ Active Directory เสร็จสมบูรณ์ dc4.ourdomain.edu การโทรเสร็จสมบูรณ์ใน 2371 มิลลิวินาที

1:27:15 - แบนด์วิดท์เครือข่ายโดยประมาณบนหนึ่งในการเชื่อมต่อ: 0 kbps

1:27:15 - แบนด์วิดท์เครือข่ายโดยประมาณบนหนึ่งในการเชื่อมต่อ: 8545 kbps

1:27:15 - ตรวจพบการเชื่อมโยงที่รวดเร็ว แบนด์วิดท์โดยประมาณคือ 8545 kbps ขีด จำกัด ลิงก์ช้าคือ 500 kbps

1:27:17 - Powershell - สถานะเครื่องยนต์เปลี่ยนจากว่างเป็นหยุด

1:27:20 - การประมวลผลส่วนขยายของนโยบายกลุ่มผู้ใช้ภายในและกลุ่มส่วนขยายเสร็จสมบูรณ์ใน 4539 มิลลิวินาที

1:27:25 - การประมวลผลส่วนขยายที่กำหนดตามนโยบายของกลุ่มเสร็จสมบูรณ์ใน 5210 มิลลิวินาที

1:27:27 - การประมวลผลส่วนขยายรีจิสทรีนโยบายกลุ่มเสร็จสมบูรณ์ใน 1529 มิลลิวินาที

1:27:27 - การประมวลผลนโยบายที่เสร็จสมบูรณ์เนื่องจากการเปลี่ยนแปลงสถานะเครือข่ายสำหรับคอมพิวเตอร์ OURDOMAIN \% ชื่อ% $ ใน 16 วินาที

1:27:27 - การตั้งค่านโยบายกลุ่มสำหรับคอมพิวเตอร์ได้รับการประมวลผลเรียบร้อยแล้ว ไม่พบการเปลี่ยนแปลงนับตั้งแต่การประมวลผลนโยบายกลุ่มที่ประสบความสำเร็จครั้งล่าสุด

ความช่วยเหลือใด ๆ ที่จะได้รับการชื่นชม กรุณาสอบถามข้อมูลที่เกี่ยวข้องและจะมีการจัดให้โดยเร็วที่สุด


2
เสียงนี้เหมือนต้นไม้ที่ทอดข้ามฉัน ในสวิตช์ของ Cisco คุณสามารถเปิดใช้งานคุณสมบัติที่เรียกว่าพอร์ตฟาสต์ซึ่งจะยังคงเปิดใช้งานสแปนนิ่งทรี แต่อนุญาตให้พอร์ตนั้นทำงานเร็วขึ้นมาก ขอให้ทีมเครือข่ายของคุณตรวจสอบสวิตช์และดูว่าพวกเขาต้องการการปรับแต่งหรือไม่
Bad Dos

คำตอบ:


1

ความคิดสุ่ม:

  1. ดำเนินการ DCDIAG ในประเด็น DC และที่อยู่แต่ละรายการ
  2. ตรวจสอบ DNS เปิดฟีเจอร์ขั้นสูงในเครื่องมือ MMC และรูทใน:

    \ เขตพื้นที่ค้นหาแบบส่งต่อ \ <โดเมน> \ _msdcs

  3. ตรวจสอบว่าแต่ละเว็บไซต์โฆษณาของคุณอยู่ในรายการ ตรวจสอบว่าในสาขาที่ไม่ได้อยู่ในไซต์เฉพาะที่ DC ทั้งหมดปรากฏใน _tcp และ _udp leaf leaf (หากเหมาะสม)

  4. หากจำเป็นให้บังคับให้ DC ลงทะเบียนระเบียน SRV อีกครั้งใน DNS โดยใช้nltest / dsregdns

  5. ตรวจสอบ DHCP และตรวจสอบให้แน่ใจว่าตั้งค่าตัวเลือก 006 (เซิร์ฟเวอร์ DNS) เป็นอย่างน้อยสองเซิร์ฟเวอร์ DNS (DCs) ตรวจสอบการตั้งค่าตัวเลือก 015 (ชื่อโดเมน)

  6. ตรวจสอบการจำลองแบบโฆษณา (แม้ว่า DCDIAG จะเลือกตัวเลือกนี้) โดยใช้repadmin / repls บทสรุปจาก DC

  7. ตรวจสอบลูกค้าของคุณทราบว่า DCs ใช้nltest / dclist: <DOMAIN> หรือไม่

  8. ตรวจสอบคุณลูกค้าทราบว่าเว็บไซต์ที่โฆษณาของพวกเขาในการใช้nltest / หากมีปัญหาใด ๆ ที่นี่ตรวจสอบเครือข่ายย่อยคำจำกัดความของคุณในเว็บไซต์ของ Active Directory และบริการ

  9. ตรวจสอบว่าคุณ FMSO ทั้งหมดกำลังทำงานโดยใช้แบบสอบถาม netdom fsmo

  10. ตรวจสอบ DC ของคุณว่ามีเวลาที่สอดคล้องกัน (พวกเขาทั้งหมดควรจะตรงกับ PDC emulator) ตรวจสอบว่าคุณจำลอง PDC มีช่วงเวลาที่ดี

  11. ตรวจสอบว่าคุณลูกค้าสามารถ ping DC ของคุณอย่างสม่ำเสมอ

ถ้าฉันคิดอย่างอื่นฉันจะแก้ไข ...


1

สิ่งที่ฉันใช้คือ NETLOGON 5719 เป็นรากฐานของปัญหา ตรวจสอบสิ่งนี้: http://blogs.technet.com/b/instan/archive/2008/09/18/netlogon-5719-and-the-disappearing-domain.aspx

และโดยเฉพาะอย่างยิ่งในบรรทัด:

หากคุณเห็น Netlogon 5719 เมื่อเริ่มต้นเท่านั้นพอร์ตของเครื่องที่เชื่อมต่อกับสวิตช์ของคุณอาจไม่เต็มเมื่อ Netlogon เริ่มทำงาน

จุดไหนที่จะ http://www.cisco.com/c/en/us/support/docs/switches/catalyst-6500-series-switches/10553-12.html


0

ฉันขอแนะนำให้ตั้งค่า (หรือตรวจสอบให้แน่ใจ) ว่าไซต์ไดเรกทอรีที่ใช้งานของคุณตั้งค่าไว้อย่างถูกต้อง ( http://technet.microsoft.com/en-us/library/cc782048(v=ws.10).aspx ) ดูว่าคุณสามารถค้นหาโดเมนของคุณโดยใช้ nslookup บนไคลเอนต์และเซิร์ฟเวอร์ได้หรือไม่ ดูเหมือนจะเป็นปัญหา DNS จริงๆ


-1

สมมติว่าตัวควบคุม DNS และโดเมนของคุณกำลังทำซ้ำอย่างถูกต้องและพวกเขามีรายการที่เหมาะสมสำหรับตัวควบคุมโดเมนดังนั้นสิ่งนี้จะเหมือนกับสิ่งที่เกิดขึ้นเมื่อคุณไม่มีเซิร์ฟเวอร์ DNS AD-integrated ภายในเครื่องเป็นรายการ DNS แรกใน ลูกค้า


ตัวควบคุมโดเมนทั้งหมดเป็น DNS รวมและทั้งหมดมีไดเรกทอรีที่ใช้งานอยู่
โดยการใช้ไซต์ของเรา หมายความว่าคุณได้อ่านและทำความเข้าใจนโยบายคุกกี้และนโยบายความเป็นส่วนตัวของเราแล้ว
Licensed under cc by-sa 3.0 with attribution required.