ปัญหาการเข้าสู่ระบบเครือข่ายกับนโยบายกลุ่มและเครือข่าย

ฉันต้องการความช่วยเหลือและความช่วยเหลือจากคุณอย่างหนักหน่วง

เรามีปัญหากับการเข้าสู่ระบบและเริ่มระบบ Windows 7 Enterprise ของเรา เรามี Windows Desktop มากกว่า 3,000 เครื่องซึ่งตั้งอยู่ในอาคารมากกว่า 20 แห่งทั่ววิทยาเขต คอมพิวเตอร์เกือบทุกเครื่องในมหาวิทยาลัยมีปัญหาที่ฉันจะอธิบาย ฉันใช้เวลามากกว่าหนึ่งเดือนในการดูไฟล์ etl จาก Windows Performance Analyzer (ผลิตภัณฑ์ยอดเยี่ยม) และบันทึกเหตุการณ์นับแสนรายการ ฉันมาหาคุณวันนี้ถ่อมตนว่าฉันไม่สามารถคิดออก

ปัญหาเพียงแค่ใส่เวลาเข้าสู่ระบบของเรานั้นยาวมาก การเข้าสู่ระบบครั้งแรกโดยเฉลี่ยประมาณ 2-10 นาทีขึ้นอยู่กับซอฟต์แวร์ที่ติดตั้ง คอมพิวเตอร์ทุกเครื่องเป็น Windows 7 คอมพิวเตอร์ที่เก่าแก่ที่สุดอายุ 5 ปี เวลาเริ่มต้นในคอมพิวเตอร์หลายเครื่องมีตั้งแต่ดี (1-2 นาที) ไปจนถึงแย่มาก (5-60) การเข้าสู่ระบบครั้งที่สองของเราอยู่ในช่วงตั้งแต่ 30 วินาทีถึง 4 นาที

เรามีการเชื่อมต่อกิกะบิตระหว่างคอมพิวเตอร์แต่ละเครื่องบนเครือข่าย เรามีตัวควบคุมโดเมน 5 ตัวซึ่งเพิ่มเป็นสองเท่าเป็นเซิร์ฟเวอร์ DNS ของเรา

การทดสอบครั้งแรกทำให้เราเชื่อว่านี่เป็นปัญหาซอฟต์แวร์ ดังนั้นฉันใช้เวลาสองสามวันในการทดสอบเครื่องจักรเพื่อค้นหาผลลัพธ์ที่ไม่สอดคล้องกันจากไฟล์ etl จาก xperfview คอมพิวเตอร์แต่ละเครื่องในวิทยาเขตมีปัญหาซอฟต์แวร์ที่แตกต่างกันดูเหมือนว่าจะไม่มีการรบกวนการเข้าสู่ระบบที่เพิ่งเริ่มต้น

ดังนั้นฉันจึงเริ่มดูนโยบายกลุ่มของเราและพบรหัสเหตุการณ์ที่น่าสนใจมาก

นโยบายกลุ่ม 1129: การประมวลผลนโยบายกลุ่มล้มเหลวเนื่องจากขาดการเชื่อมต่อเครือข่ายกับตัวควบคุมโดเมน

นโยบายกลุ่ม 1055: การประมวลผลนโยบายกลุ่มล้มเหลว Windows ไม่สามารถแก้ไขชื่อคอมพิวเตอร์ ซึ่งอาจเกิดจากหนึ่งในต่อไปนี้: a) การแก้ปัญหาชื่อไม่สำเร็จบนตัวควบคุมโดเมนปัจจุบัน b) Active Directory Replication แฝง (บัญชีที่สร้างบนตัวควบคุมโดเมนอื่นไม่ได้จำลองแบบไปยังตัวควบคุมโดเมนปัจจุบัน)

NETLOGON 5719: คอมพิวเตอร์เครื่องนี้ไม่สามารถตั้งค่าเซสชันที่ปลอดภัยด้วยตัวควบคุมโดเมนในโดเมน OURDOMAIN เนื่องจากสาเหตุต่อไปนี้: ขณะนี้ไม่มีเซิร์ฟเวอร์เข้าสู่ระบบที่ให้บริการการร้องขอการเข้าสู่ระบบ สิ่งนี้อาจนำไปสู่ปัญหาการตรวจสอบ ตรวจสอบให้แน่ใจว่าคอมพิวเตอร์เครื่องนี้เชื่อมต่อกับเครือข่าย หากปัญหายังคงมีอยู่โปรดติดต่อผู้ดูแลโดเมนของคุณ E1kexpress 27: การเชื่อมต่อเครือข่ายกิกะบิตIntel® 82567LM-3 - การเชื่อมต่อเครือข่ายถูกตัดการเชื่อมต่อ

NetBT 4300 - ไม่สามารถสร้างไดรเวอร์ได้

WMI 10 - ตัวกรองเหตุการณ์พร้อมเคียวรี "SELECT * จาก __InstanceModificationEvent ภายใน 60 WHERE TargetInstance ISA" Win32_Processor "และ TargetInstance.LoadPercentage> 99" เนื่องจากข้อผิดพลาด 0x80041003 ไม่สามารถส่งกิจกรรมผ่านตัวกรองนี้ได้จนกว่าปัญหาจะได้รับการแก้ไข

มากขึ้นหรือน้อยลงด้วยการประทับเวลาจะเห็นได้ชัดว่าเครือข่ายอาจมีปัญหา

1:25:57 - นโยบายกลุ่มกำลังพยายามค้นหาข้อมูลตัวควบคุมโดเมน

1:25:57 - ยกเลิกการเชื่อมโยงเครือข่าย

1:25:58 - การประมวลผลนโยบายกลุ่มล้มเหลวเนื่องจากขาดการเชื่อมต่อเครือข่ายกับตัวควบคุมโดเมน นี่อาจเป็นเงื่อนไขชั่วคราว ข้อความความสำเร็จจะถูกสร้างขึ้นเมื่อเครื่องเชื่อมต่อกับตัวควบคุมโดเมนและนโยบายกลุ่มได้รับการประมวลผลเรียบร้อยแล้ว หากคุณไม่เห็นข้อความความสำเร็จเป็นเวลาหลายชั่วโมงให้ติดต่อผู้ดูแลระบบของคุณ

1:25:58 - การโทรออก LDAP เพื่อเชื่อมต่อและผูกเข้ากับไดเรกทอรีที่ใช้งานอยู่ DC1.ourdomain.edu

1:25:58 - การโทรล้มเหลวหลังจาก 0 มิลลิวินาที

1:25:58 - บังคับให้ค้นพบรายละเอียดโดเมนคอนโทรลเลอร์อีกครั้ง

1:25:58 - นโยบายกลุ่มล้มเหลวในการค้นหาตัวควบคุมโดเมนใน 1,030 มิลลิวินาที

1:25:58 - การประมวลผลนโยบายเป็นระยะ ๆ ล้มเหลวสำหรับคอมพิวเตอร์ OURDOMAIN \% ชื่อ% $ ใน 1 วินาที

1:25:59 - มีการสร้างลิงก์เครือข่ายที่ 1Gbps ที่ดูเพล็กซ์เต็มรูปแบบ

1:26:00 - ยกเลิกการเชื่อมต่อเครือข่าย

1:26:02 - NtpClient ไม่สามารถตั้งค่าเพียร์โดเมนเพื่อใช้เป็นแหล่งเวลาเนื่องจากข้อผิดพลาดในการค้นหา NtpClient จะลองอีกครั้งใน 3473457 นาทีและเพิ่ม INTEREST REALTEMPT สองครั้งหลังจากนั้น

1:26:05 - มีการสร้างลิงก์เครือข่ายที่ 1Gbps ที่ดูเพล็กซ์เต็มรูปแบบ

1:26:08 - การจำแนกชื่อสำหรับชื่อ% ชื่อ% หมดเวลาหลังจากที่ไม่มีเซิร์ฟเวอร์ DNS ที่กำหนดค่าตอบสนอง

1:26:10 - บริการ TCP / IP NetBIOS Helper เข้าสู่สถานะทำงาน

1:26:11 - ผู้ให้บริการเวลา NtpClient กำลังรับข้อมูลเวลาที่ถูกต้องที่ dc4.ourdomain.edu

1:26:14 - การแจ้งเตือนการเข้าสู่ระบบของผู้ใช้สำหรับโครงการปรับปรุงประสบการณ์การใช้งานของลูกค้า

1:26:15 - นโยบายกลุ่มได้รับการแจ้งเตือนการเข้าสู่ระบบจาก Winlogon สำหรับเซสชั่น 1

1:26:15 - การโทรออก LDAP เพื่อเชื่อมต่อและผูกกับ Active Directory dc4.ourdomain.edu

1:26:18 - การโทร LDAP เพื่อเชื่อมต่อและผูกกับ Active Directory เสร็จสมบูรณ์ DC4 ourdomain.edu การโทรเสร็จสมบูรณ์ใน 2309 มิลลิวินาที

1:26:18 - นโยบายกลุ่มค้นพบตัวควบคุมโดเมนได้สำเร็จใน 2918 มิลลิวินาที

1:26:18 - รายละเอียดคอมพิวเตอร์: บทบาทคอมพิวเตอร์: 2 ชื่อเครือข่าย: (ว่าง)

1:26:18 - การโทร LDAP เพื่อเชื่อมต่อและผูกกับ Active Directory เสร็จสมบูรณ์ dc4.ourdomain.edu การโทรเสร็จสมบูรณ์ใน 2309 มิลลิวินาที

1:26:18 - นโยบายกลุ่มค้นพบตัวควบคุมโดเมนได้สำเร็จใน 2918 มิลลิวินาที

1:26:19 - บริการ WinHTTP Web Proxy Auto-Discovery Service ป้อนสถานะกำลังทำงาน

1:26:46 - บริการการเชื่อมต่อเครือข่ายเข้าสู่สถานะทำงาน

1:27:10 - ดึงข้อมูลบัญชี

1:27:10 - การโทรของระบบเพื่อรับข้อมูลบัญชีเสร็จสมบูรณ์

1:27:10 - การเริ่มต้นการประมวลผลนโยบายเนื่องจากการเปลี่ยนแปลงสถานะเครือข่ายสำหรับคอมพิวเตอร์ OURDOMAIN \% ชื่อ% $

1:27:10 - ตรวจพบการเปลี่ยนสถานะเครือข่าย

1:27:10 - ทำการโทรของระบบเพื่อรับข้อมูลบัญชี

1:27:11 - การโทรออก LDAP เพื่อเชื่อมต่อและผูกกับ Active Directory dc4.ourdomain.edu

1:27:13 - รายละเอียดคอมพิวเตอร์: บทบาทคอมพิวเตอร์: 2 ชื่อเครือข่าย: ourdomain.edu (ตอนนี้ไม่ว่าง)

1:27:13 - นโยบายกลุ่มค้นพบตัวควบคุมโดเมนได้สำเร็จใน 2886 มิลลิวินาที

1:27:13 - การเรียก LDAP เพื่อเชื่อมต่อและผูกกับ Active Directory เสร็จสมบูรณ์ dc4.ourdomain.edu การโทรเสร็จสมบูรณ์ใน 2371 มิลลิวินาที

1:27:15 - แบนด์วิดท์เครือข่ายโดยประมาณบนหนึ่งในการเชื่อมต่อ: 0 kbps

1:27:15 - แบนด์วิดท์เครือข่ายโดยประมาณบนหนึ่งในการเชื่อมต่อ: 8545 kbps

1:27:15 - ตรวจพบการเชื่อมโยงที่รวดเร็ว แบนด์วิดท์โดยประมาณคือ 8545 kbps ขีด จำกัด ลิงก์ช้าคือ 500 kbps

1:27:17 - Powershell - สถานะเครื่องยนต์เปลี่ยนจากว่างเป็นหยุด

1:27:20 - การประมวลผลส่วนขยายของนโยบายกลุ่มผู้ใช้ภายในและกลุ่มส่วนขยายเสร็จสมบูรณ์ใน 4539 มิลลิวินาที

1:27:25 - การประมวลผลส่วนขยายที่กำหนดตามนโยบายของกลุ่มเสร็จสมบูรณ์ใน 5210 มิลลิวินาที

1:27:27 - การประมวลผลส่วนขยายรีจิสทรีนโยบายกลุ่มเสร็จสมบูรณ์ใน 1529 มิลลิวินาที

1:27:27 - การประมวลผลนโยบายที่เสร็จสมบูรณ์เนื่องจากการเปลี่ยนแปลงสถานะเครือข่ายสำหรับคอมพิวเตอร์ OURDOMAIN \% ชื่อ% $ ใน 16 วินาที

1:27:27 - การตั้งค่านโยบายกลุ่มสำหรับคอมพิวเตอร์ได้รับการประมวลผลเรียบร้อยแล้ว ไม่พบการเปลี่ยนแปลงนับตั้งแต่การประมวลผลนโยบายกลุ่มที่ประสบความสำเร็จครั้งล่าสุด

ความช่วยเหลือใด ๆ ที่จะได้รับการชื่นชม กรุณาสอบถามข้อมูลที่เกี่ยวข้องและจะมีการจัดให้โดยเร็วที่สุด

ความคิดสุ่ม:

1. ดำเนินการ DCDIAG ในประเด็น DC และที่อยู่แต่ละรายการ

2. ตรวจสอบ DNS เปิดฟีเจอร์ขั้นสูงในเครื่องมือ MMC และรูทใน:

   \ เขตพื้นที่ค้นหาแบบส่งต่อ \ <โดเมน> \ _msdcs

3. ตรวจสอบว่าแต่ละเว็บไซต์โฆษณาของคุณอยู่ในรายการ ตรวจสอบว่าในสาขาที่ไม่ได้อยู่ในไซต์เฉพาะที่ DC ทั้งหมดปรากฏใน _tcp และ _udp leaf leaf (หากเหมาะสม)

4. หากจำเป็นให้บังคับให้ DC ลงทะเบียนระเบียน SRV อีกครั้งใน DNS โดยใช้nltest / dsregdns

5. ตรวจสอบ DHCP และตรวจสอบให้แน่ใจว่าตั้งค่าตัวเลือก 006 (เซิร์ฟเวอร์ DNS) เป็นอย่างน้อยสองเซิร์ฟเวอร์ DNS (DCs) ตรวจสอบการตั้งค่าตัวเลือก 015 (ชื่อโดเมน)

6. ตรวจสอบการจำลองแบบโฆษณา (แม้ว่า DCDIAG จะเลือกตัวเลือกนี้) โดยใช้repadmin / repls บทสรุปจาก DC

7. ตรวจสอบลูกค้าของคุณทราบว่า DCs ใช้nltest / dclist: <DOMAIN> หรือไม่

8. ตรวจสอบคุณลูกค้าทราบว่าเว็บไซต์ที่โฆษณาของพวกเขาในการใช้nltest / หากมีปัญหาใด ๆ ที่นี่ตรวจสอบเครือข่ายย่อยคำจำกัดความของคุณในเว็บไซต์ของ Active Directory และบริการ

9. ตรวจสอบว่าคุณ FMSO ทั้งหมดกำลังทำงานโดยใช้แบบสอบถาม netdom fsmo

10. ตรวจสอบ DC ของคุณว่ามีเวลาที่สอดคล้องกัน (พวกเขาทั้งหมดควรจะตรงกับ PDC emulator) ตรวจสอบว่าคุณจำลอง PDC มีช่วงเวลาที่ดี

11. ตรวจสอบว่าคุณลูกค้าสามารถ ping DC ของคุณอย่างสม่ำเสมอ

ถ้าฉันคิดอย่างอื่นฉันจะแก้ไข ...

สิ่งที่ฉันใช้คือ NETLOGON 5719 เป็นรากฐานของปัญหา ตรวจสอบสิ่งนี้: http://blogs.technet.com/b/instan/archive/2008/09/18/netlogon-5719-and-the-disappearing-domain.aspx

และโดยเฉพาะอย่างยิ่งในบรรทัด:

หากคุณเห็น Netlogon 5719 เมื่อเริ่มต้นเท่านั้นพอร์ตของเครื่องที่เชื่อมต่อกับสวิตช์ของคุณอาจไม่เต็มเมื่อ Netlogon เริ่มทำงาน

จุดไหนที่จะ http://www.cisco.com/c/en/us/support/docs/switches/catalyst-6500-series-switches/10553-12.html

ฉันขอแนะนำให้ตั้งค่า (หรือตรวจสอบให้แน่ใจ) ว่าไซต์ไดเรกทอรีที่ใช้งานของคุณตั้งค่าไว้อย่างถูกต้อง ( http://technet.microsoft.com/en-us/library/cc782048(v=ws.10).aspx ) ดูว่าคุณสามารถค้นหาโดเมนของคุณโดยใช้ nslookup บนไคลเอนต์และเซิร์ฟเวอร์ได้หรือไม่ ดูเหมือนจะเป็นปัญหา DNS จริงๆ

สมมติว่าตัวควบคุม DNS และโดเมนของคุณกำลังทำซ้ำอย่างถูกต้องและพวกเขามีรายการที่เหมาะสมสำหรับตัวควบคุมโดเมนดังนั้นสิ่งนี้จะเหมือนกับสิ่งที่เกิดขึ้นเมื่อคุณไม่มีเซิร์ฟเวอร์ DNS AD-integrated ภายในเครื่องเป็นรายการ DNS แรกใน ลูกค้า