Problèmes de connexion réseau avec la stratégie de groupe et le réseau

11

J'ai grandement besoin de votre aide et de votre assistance.

Nous avons un problème avec notre connexion et notre démarrage sur notre système Windows 7 Enterprise. Nous avons plus de 3000 postes de travail Windows situés dans environ 20+ bâtiments autour du campus. Presque tous les ordinateurs du campus ont le problème que je vais décrire. J'ai passé plus d'un mois à regarder les fichiers etl de Windows Performance Analyzer (un excellent produit) et des centaines de milliers de journaux d'événements. Je viens à vous aujourd'hui humilié de ne pas pouvoir comprendre cela.

Le problème en termes simples de connexion est extrêmement long. Une première ouverture de session moyenne est d'environ 2 à 10 minutes selon le logiciel installé. Tous les ordinateurs sont Windows 7, les plus anciens étant âgés de 5 ans. Les temps de démarrage sur divers ordinateurs varient de bons (1-2 minutes) à très mauvais (5-60). Nos deuxièmes ouvertures de session vont de 30 secondes à 4 minutes.

Nous avons une connexion gigabit entre chaque ordinateur du réseau. Nous avons 5 contrôleurs de domaine qui font également office de serveurs DNS.

Les premiers tests nous ont amenés à penser qu'il s'agissait d'un problème logiciel. J'ai donc passé quelques jours à tester des machines pour trouver des résultats incohérents dans les fichiers etl de xperfview. Chaque sous-ensemble d'ordinateurs sur le campus avait un sous-ensemble différent de problèmes logiciels, aucun ne semblant interférer avec l'ouverture de session au démarrage.

J'ai donc commencé à examiner notre politique de groupe et à trouver des ID d'événement très intéressants.

Stratégie de groupe 1129: le traitement de la stratégie de groupe a échoué en raison du manque de connectivité réseau à un contrôleur de domaine.

Stratégie de groupe 1055: le traitement de la stratégie de groupe a échoué. Windows n'a pas pu résoudre le nom de l'ordinateur. Cela peut être dû à l'une des causes suivantes: a) Échec de la résolution de noms sur le contrôleur de domaine actuel. b) Latence de réplication Active Directory (un compte créé sur un autre contrôleur de domaine n'a pas été répliqué sur le contrôleur de domaine actuel).

NETLOGON 5719: cet ordinateur n'a pas pu configurer une session sécurisée avec un contrôleur de domaine dans le domaine OURDOMAIN en raison des éléments suivants: Aucun serveur d'ouverture de session n'est actuellement disponible pour traiter la demande d'ouverture de session. Cela peut entraîner des problèmes d'authentification. Assurez-vous que cet ordinateur est connecté au réseau. Si le problème persiste, veuillez contacter votre administrateur de domaine. E1kexpress 27: Connexion réseau Intel®82567LM-3 Gigabit - La liaison réseau est déconnectée.

NetBT 4300 - Le pilote n'a pas pu être créé.

WMI 10 - Le filtre d'événements avec la requête "SELECT * FROM __InstanceModificationEvent WITHIN 60 WHERE TargetInstance ISA" Win32_Processor "AND TargetInstance.LoadPercentage> 99" n'a pas pu être réactivé dans l'espace de noms "//./root/CIMV2" en raison de l'erreur 0x80041003. Les événements ne peuvent pas être transmis via ce filtre tant que le problème n'est pas résolu.

Plus ou moins avec des horodatages, il devient évident que le réseau est peut-être le problème.

1:25:57 - La stratégie de groupe tente de découvrir les informations du contrôleur de domaine

1:25:57 - La liaison réseau a été déconnectée

1:25:58 - Le traitement de la stratégie de groupe a échoué en raison du manque de connectivité réseau à un contrôleur de domaine. Cela peut être une condition transitoire. Un message de réussite serait généré une fois que la machine est connectée au contrôleur de domaine et que la stratégie de groupe a été traitée avec succès. Si vous ne voyez pas de message de réussite pendant plusieurs heures, contactez votre administrateur.

1:25:58 - Faire des appels LDAP pour se connecter et se lier à Active Directory. DC1.ourdomain.edu

1:25:58 - L'appel a échoué après 0 millisecondes.

1:25:58 - Forcer la redécouverte des détails du contrôleur de domaine.

1:25:58 - La stratégie de groupe n'a pas pu découvrir le contrôleur de domaine en 1030 millisecondes

1:25:58 - Le traitement périodique des stratégies a échoué pour l'ordinateur OURDOMAIN \% name% $ en 1 secondes.

1:25:59 - Une liaison réseau a été établie à 1 Gbit / s en duplex intégral

1:26:00 - La liaison réseau a été déconnectée

1:26:02 - NtpClient n'a pas pu définir un homologue de domaine à utiliser comme source de temps en raison d'une erreur de découverte. NtpClient réessayera dans 3473457 minutes et DOUBLER L'INTERVALLE DE REATTEMPT par la suite.

1:26:05 - Une liaison réseau a été établie à 1 Gbit / s en duplex intégral

1:26:08 - La résolution de nom pour le nom% Name% a expiré après qu'aucun des serveurs DNS configurés n'a répondu.

1:26:10 - Le service TCP / IP NetBIOS Helper est entré dans l'état d'exécution.

1:26:11 - Le fournisseur d'heure NtpClient reçoit actuellement des données d'heure valides sur dc4.ourdomain.edu

1:26:14 - Notification d'ouverture de session utilisateur pour le programme d'amélioration de l'expérience client

1:26:15 - La stratégie de groupe a reçu la notification d'ouverture de session de Winlogon pour la session 1.

1:26:15 - Faire des appels LDAP pour se connecter et se lier à Active Directory. dc4.ourdomain.edu

1:26:18 - L'appel LDAP pour se connecter et se lier à Active Directory est terminé. dc4. ourdomain.edu. L'appel s'est terminé en 2309 millisecondes.

1:26:18 - La stratégie de groupe a découvert avec succès le contrôleur de domaine en 2918 millisecondes.

1:26:18 - Détails sur l'ordinateur: Rôle de l'ordinateur: 2 Nom du réseau: (vide)

1:26:18 - L'appel LDAP pour se connecter et se lier à Active Directory est terminé. dc4.ourdomain.edu. L'appel s'est terminé en 2309 millisecondes.

1:26:18 - La stratégie de groupe a découvert avec succès le contrôleur de domaine en 2918 millisecondes.

1:26:19 - Le service WinHTTP Web Proxy Auto-Discovery Service est entré dans l'état d'exécution.

1:26:46 - Le service Network Connections est entré dans l'état d'exécution.

1:27:10 - Informations sur le compte récupérées

1:27:10 - L'appel système pour obtenir les informations de compte est terminé.

1:27:10 - Démarrage du traitement de la stratégie en raison d'un changement d'état du réseau pour l'ordinateur OURDOMAIN \% name% $

1:27:10 - Un changement d'état du réseau a été détecté

1:27:10 - Faire un appel système pour obtenir des informations sur le compte.

1:27:11 - Faire des appels LDAP pour se connecter et se lier à Active Directory. dc4.ourdomain.edu

1:27:13 - Détails sur l'ordinateur: Rôle de l'ordinateur: 2 Nom du réseau: ourdomain.edu (Désormais pas vide)

1:27:13 - La stratégie de groupe a découvert avec succès le contrôleur de domaine en 2886 millisecondes.

1:27:13 - L'appel LDAP pour se connecter et se lier à Active Directory est terminé. dc4.ourdomain.edu L'appel s'est terminé en 2371 millisecondes.

1:27:15 - Bande passante réseau estimée sur l'une des connexions: 0 kbps.

1:27:15 - Bande passante réseau estimée sur l'une des connexions: 8545 kbps.

1:27:15 - Un lien rapide a été détecté. La bande passante estimée est de 8545 kbps. Le seuil de liaison lente est de 500 kbps.

1:27:17 - Powershell - L'état du moteur passe de Disponible à Arrêté.

1:27:20 - Traitement de l'extension des utilisateurs locaux et des groupes de la stratégie de groupe terminée en 4539 millisecondes.

1:27:25 - Traitement de l'extension des tâches planifiées de la stratégie de groupe terminée en 5210 millisecondes.

1:27:27 - Traitement de l'extension du registre de stratégie de groupe terminé en 1529 millisecondes.

1:27:27 - Traitement de la stratégie terminé en raison d'un changement d'état du réseau pour l'ordinateur OURDOMAIN \% name% $ en 16 secondes.

1:27:27 - Les paramètres de stratégie de groupe pour l'ordinateur ont été traités avec succès. Aucun changement n'a été détecté depuis le dernier traitement réussi de la stratégie de groupe.

Toute aide serait appréciée. Veuillez demander toute information pertinente et elle vous sera fournie dès que possible.

msanford
la source
2
Cela ressemble à un problème d'arbre couvrant pour moi. Dans les commutateurs Cisco, vous pouvez activer une fonctionnalité appelée portfast qui activera toujours le spanning-tree, mais permettra au port de devenir actif beaucoup plus rapidement. Demandez à votre équipe réseau d'examiner les commutateurs et de voir s'ils ont besoin de quelques ajustements.
Bad Dos

Réponses:

1

Quelques pensées aléatoires:

  1. Effectuez un DCDIAG sur chaque contrôleur de domaine et résolvez les problèmes.
  2. Vérifiez DNS. Activez les fonctionnalités avancées dans l'outil MMC et détournez-vous dans:

    \ Zones de recherche directe \ <domaine> \ _msdcs

  3. Vérifiez que chacun de vos sites AD est répertorié. Vérifiez que dans les branches non spécifiques au site, tous les contrôleurs de domaine apparaissent dans les zones foliaires _tcp et _udp (si cela a du sens)

  4. Si nécessaire, forcez les contrôleurs de domaine à réenregistrer leurs enregistrements SRV dans DNS à l'aide de nltest / dsregdns

  5. Vérifiez DHCP et assurez-vous que l'option 006 (serveurs DNS) est définie pour pointer sur au moins deux serveurs DNS (DC). Vérifiez que l'option 015 (nom de domaine) est définie.

  6. Vérifiez la réplication AD (bien que DCDIAG s'en charge), en utilisant repadmin / replsummary à partir d'un contrôleur de domaine

  7. Vérifiez que vos clients savent où les contrôleurs de domaine utilisent nltest / dclist: <DOMAIN>

  8. Vérifiez que vos clients savent sur quel site AD ils utilisent nltest / dsgetsite . S'il y a des problèmes ici, vérifiez vos définitions de sous-réseau dans Sites et services Active Directory .

  9. Vérifiez que vos FMSO fonctionnent tous à l'aide de fsmo de requête netdom

  10. Vérifiez que vos contrôleurs de domaine ont tous un temps cohérent (ils doivent tous être synchronisés avec l'émulateur PDC). Vérifiez que votre émulateur PDC passe un bon moment.

  11. Vérifiez que vos clients peuvent régulièrement envoyer une requête ping à vos contrôleurs de domaine

Si je pense à autre chose, je modifierai ...

Simon Catlin
la source
1

Mon opinion est que NETLOGON 5719 est à l'origine du problème. consultez ceci: http://blogs.technet.com/b/instan/archive/2008/09/18/netlogon-5719-and-the-disappearing-domain.aspx

et en particulier la ligne:

Si vous ne voyez que Netlogon 5719 au démarrage, le port auquel la machine est connectée sur votre commutateur n'est peut-être pas complètement ouvert au démarrage de Netlogon.

qui pointe vers http://www.cisco.com/c/en/us/support/docs/switches/catalyst-6500-series-switches/10553-12.html

sdjuan
la source
-1

En supposant que votre DNS et vos contrôleurs de domaine se répliquent correctement et qu'ils ont des entrées appropriées pour le ou les contrôleurs de domaine, cela ressemble exactement à ce qui se passe lorsque vous n'avez pas de serveur DNS intégré à AD local comme première entrée DNS sur le clients.

techie007
la source
Tous les contrôleurs de domaine sont tous des DNS intégrés et tous ont un répertoire actif.