El identificador de evento de Netlogon 5719 o directiva de grupo evento 1129 se registra al iniciar un miembro de dominio

En este artículo se resuelve el identificador de evento de Netlogon 5719 o directiva de grupo evento 1129 que se registra al iniciar un miembro de dominio.

Se aplica a: Windows 10 (todas las ediciones), Windows Server 2012 R2
Número de KB original: 938449

Síntomas

Considere esta situación:

• Tiene un equipo que ejecuta Windows 10 o Windows Server 2012 R2.
• El equipo está unido a un dominio.
• Una de estas condiciones es cierta:
  • El equipo tiene instalado un adaptador de red Gigabit.
  • El acceso a la red se protege mediante protección de acceso a redes (NAP), autenticación de red (mediante 802.1x) u otro método.

En este escenario, el siguiente evento se registra en el registro del sistema al iniciar el equipo en Windows 8.1 y versiones anteriores. En Windows 10 y versiones posteriores, el evento 5719 ya no se registra en esta situación. Las siguientes líneas se registran en Netlogon.log en su lugar:

[CRITICAL] [960] CONTOSO: NlSessionSetup: Session setup: cannot pick trusted DC  
[SESSION] [960] No IP addresses present, skipping No DC event log

Una vez que se produce este problema, al equipo se le asigna una dirección IP:

[SESSION] [960] V6 Winsock Addrs: fe80::5faf:632a:f22c:644a%2 (1) V6WinsockPnpAddresses List used to be empty.  
[SESSION] [960] Winsock Addrs: 10.1.1.80 (1) List used to be empty.

En Windows 10 y versiones posteriores, solo verá eventos por componentes, en función de la conectividad del controlador de dominio (por ejemplo, directiva de grupo). Las siguientes entradas se registran en el registro de depuración de directivas de grupo:

CGPApplicationService::MachinePolicyStartedWaitingOnNetwork.  
CGPMachineStartupConnectivity::CalculateWaitTimeoutFromHistory: Average is 388.
CGPMachineStartupConnectivity::CalculateWaitTimeoutFromHistory: Current is -1.
CGPMachineStartupConnectivity::CalculateWaitTimeoutFromHistory: Taking min of 776 and 30000.  
Waiting for SamSs with timeout 776

NlaQueryNetSignatures returned 1 networks  
NSI Information (Network GUID) : {395DB3C8-CE45-11E5-9739-806E6F6E6963}  
NSI Information (CompartmentId) : 1  
NSI Information (SiteId) : 134217728  
NSI Information (Network Name) :  
NlaGetIntranetCapability failed with 0x15  
There is no domain compartment  
ProcessGPOs(Machine): MyGetUserName failed with 1355.  
Opened query for NLA successfully  
NlaGetIntranetCapability returned Not Ready error. Consider it as NOT intranet capable.  

GPSVC(530.ae0) <DateTime> There is no connectivity  
GPSVC(530.8e0) <DateTime> ApplyGroupPolicy: Getting ready to create background thread GPOThread.

En la primera sección se muestra el cálculo del tiempo de espera que se va a usar para abrir la red. Se puede basar en inicios rápidos anteriores.

En la segunda sección se muestra que el reconocimiento de ubicación de red (NLA) no notifica una red en funcionamiento dentro del intervalo de espera permitido y se produce un error en el procesamiento de inicio de directivas de grupo. En la tercera sección se muestra que el motor de directiva de grupo inicia un procedimiento en segundo plano y, a continuación, espera un minuto después de que una red esté disponible.

Causa

Este problema puede producirse por cualquiera de estos motivos:

• El servicio Netlogon se inicia antes de que la red esté lista. La inicialización de la pila de red y del adaptador a menudo se inicia aproximadamente al mismo tiempo. Algunos adaptadores y conmutadores de red tienen comprobaciones de exclusividad de direcciones MAC y arbitraje de vínculos que tardan más tiempo en completarse que el tiempo de espera establecido para que Netlogon detecte la conectividad de red.
• Las soluciones que comprueban el estado del nuevo miembro de red retrasan la conexión de red y la capacidad de acceder a los controladores de dominio. Si tiene habilitada una conexión de canal de Acceso directo automática, también puede requerir más tiempo de lo que permite Netlogon.
• El proceso de autenticación 802.1X retrasa las conexiones a los controladores de dominio.
• El cliente experimenta un retraso para recuperar una dirección IP del servidor DHCP. Retrasa la visualización de la interfaz de red.

directiva de grupo en Windows Vista y versiones posteriores se escribe para negociar el estado de red que tiene NLA habilitado. Y espera a una red que tenga conectividad de controlador de dominio. Sin embargo, directiva de grupo puede iniciarse prematuramente debido a una aplicación de directiva. Esta situación es especialmente cierta cuando el retraso en la búsqueda de una red se alterna entre inicios.

Solución 1

Para resolver este problema, instale el controlador más actual para el adaptador de red Gigabit. O bien, habilite la opción PortFast en los conmutadores de red.

Solución 2

Para resolver este problema, use el Registro para cambiar la configuración relacionada que afecta a la conectividad del controlador de dominio. Para ello, use los métodos siguientes.

Método 1

Ajuste la configuración del firewall o las directivas IPSEC que se cambian para permitir la conectividad de controlador de dominio. Estos cambios se realizan cuando el cliente recibe una dirección IP, pero requiere más tiempo para acceder a un controlador de dominio, por ejemplo, después de una verificación correcta a través del NAC de Cisco o los servicios NPS de Microsoft.

Método 2

Configure la configuración del Netlogon Registro en un valor que sea seguro más allá del tiempo necesario para permitir la conectividad de controlador de dominio.

Subclave del Registro: HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Netlogon\Parameters
Nombre del valor: ExpectedDialupDelay
Tipo de datos: REG_DWORD
El valor de datos está en segundos (valor predeterminado= 0 )
El intervalo de datos está entre 0 y 600 segundos (10 minutos)

Para obtener más información, consulte Configuración para minimizar el tráfico WAN periódico.

Método 3

La pila ip intenta comprobar la dirección IP mediante una difusión ARP. Retrasa el tiempo que tarda la DIRECCIÓN IP en conectarse. Puede establecer la entrada del Registro ArpRetryCount en una (1), por lo que se abrevia la espera de unicidad. Para ello, siga estos pasos:

1. Inicie el Editor del Registro.

2. Busque y seleccione la siguiente subclave:
   HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\TcpIp\Parameters\

3. En el menú Editar , seleccione Nuevo y, a continuación, seleccione Valor DWORD.

4. Escriba ArpRetryCount.

5. Haga clic con el botón derecho en la ArpRetryCount entrada del Registro y, a continuación, seleccione Modificar.

6. En el cuadro Datos de valor , escriba 1 y, a continuación, seleccione Aceptar.

   Nota:

   El intervalo de datos está comprendido entre 0 y 3 (3 es el valor predeterminado).

7. Salga del Editor del Registro.

Método 4

Reduzca el período de caché negativo de Netlogon cambiando la NegativeCachePeriod entrada del Registro en la subclave siguiente:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Netlogon\Parameters\NegativeCachePeriod

Después de realizar este cambio, el servicio Netlogon no se comporta como si los controladores de dominio estuvieran sin conexión durante 45 segundos. El evento 5719 sigue registrado. Sin embargo, el evento no causa ningún otro problema significativo. Esta configuración permite a los miembros probar los controladores de dominio anteriormente si el proceso produjo un error anteriormente.

Sugerencia: intente establecer un valor bajo, como tres segundos. En entornos LAN, puede usar un valor de 0 para desactivar la memoria caché negativa.

Para obtener más información sobre esta configuración, consulte Configuración para minimizar el tráfico WAN periódico.

Método 5

Configure la configuración del Kerberos Registro en un valor que sea seguro más allá del tiempo necesario para permitir la conectividad de controlador de dominio. Use la siguiente configuración como directrices.

Subclave del Registro: HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Lsa\Kerberos\Parameters
Nombre del valor: MaxPacketSize
Tipo de datos: REG_DWORD
Datos de valor: 1
Valor predeterminado: (depende de la versión del sistema)

Para obtener más información, vea Cómo forzar a Kerberos a usar TCP en lugar de UDP en Windows.

Método 6

Deshabilite el sentido multimedia para TCP/IP agregando el siguiente valor a la subclave del Tcpip Registro:

Subclave del Registro: HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Tcpip\Parameters
Nombre del valor: DisableDHCPMediaSense
Tipo de datos: REG_DWORD
Datos de valor: 1
Intervalo de valores: Boolean ( 0 =False, 1 =True)
Valor predeterminado: 0 (False)

Para obtener más información, vea Cómo deshabilitar la característica de detección de medios para TCP/IP en Windows.

Método 7

directiva de grupo tiene la configuración de directiva para controlar el tiempo de espera para el procesamiento de directivas de inicio:

1. LAN corporativa o WLAN:

   Carpeta directiva: "Configuración del equipo\Plantillas administrativas\Sistema\directiva de grupo"
   Nombre de directiva: "Especificar el tiempo de espera de procesamiento de la directiva de inicio"

2. LAN externa o WLAN:

   Carpeta directiva: "Configuración del equipo\Plantillas administrativas\Sistema\directiva de grupo"
   Nombre de directiva: "Especificar el tiempo de espera de conectividad del área de trabajo para el procesamiento de directivas"

El tiempo que tarda Netlogon en adquirir una dirección IP de trabajo puede ser la base de la configuración. En escenarios de Acceso directo, puede medir el retraso típico que tiene la base de usuarios hasta que se establece la conexión.

Método 8

Si DisabledComponents la configuración del Registro está en su lugar y tiene un valor incorrecto de 0xfffffff, elimine la clave o cámbiela por el valor previsto de 0xff.

Método 9

El comportamiento puede deberse a una condición de carrera entre la inicialización de la red, la localización de un controlador de dominio y el procesamiento de directiva de grupo. Si la red no está disponible, no se localizará un controlador de dominio y se producirá un error directiva de grupo procesamiento. Una vez que el sistema operativo se haya cargado y se haya negociado y establecido un vínculo de red, la actualización en segundo plano de directiva de grupo se realizará correctamente.

Puede establecer un valor del Registro para retrasar la aplicación de directiva de grupo:

1. Inicie el Editor del Registro.

2. Busque y seleccione la siguiente subclave:
   HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon

3. En el menú Editar , seleccione Nuevo y, a continuación, seleccione Valor DWORD.

4. Escriba GpNetworkStartTimeoutPolicyValue.

5. Haga clic con el botón derecho en la GpNetworkStartTimeoutPolicyValue entrada del Registro y, a continuación, seleccione Modificar.

6. En Base, seleccione Decimal.

7. En el cuadro Datos de valor , escriba 60 y, a continuación, seleccione Aceptar.

8. Cierre el Editor del Registro y reinicie el equipo.

9. Si el script de inicio de directiva de grupo no se ejecuta, aumente el valor de la entrada del GpNetworkStartTimeoutPolicyValue Registro.

Más información

Si puede iniciar sesión en el dominio sin ningún problema, puede omitir de forma segura el identificador de evento 5719. Dado que el servicio Netlogon puede iniciarse antes de que la red esté lista, es posible que el equipo no pueda localizar el controlador de dominio de inicio de sesión. Por lo tanto, se registra el identificador de evento 5719. Una vez que la red esté lista, el equipo volverá a intentarlo para localizar el controlador de dominio de inicio de sesión. En esta situación, la operación debe realizarse correctamente.

En un Netogon.log, se pueden registrar entradas similares al ejemplo siguiente:

DateTime [CRITICAL] <domain>: NlDiscoverDc: Cannot find DC. DateTime [CRITICAL] <domain>: NlSessionSetup: Session setup: cannot pick trusted DC DateTime [MISC] Eventlog: 5719 (1)"<domain>" 0xc000005e ... DateTime [SESSION] WPNG: NlSetStatusClientSession: Set connection status to c000005e ... DateTime [SESSION] \Device\NetBT_Tcpip_{4A47AF53-40D3-4F92-ACDF-9B5E82A50E32}: Transport Added (10.0.64.232) -> Getting a proper IP address takes >15 seconds.

Otros componentes que requieren conectividad de controlador de dominio pueden notificar errores similares para que funcionen correctamente. Por ejemplo, es posible que el directiva de grupo no se aplique al inicio del sistema. En este caso, los scripts de inicio no se ejecutan. Los errores de directiva de grupo pueden estar relacionados con el error de Netlogon para localizar un controlador de dominio. Puede establecer directiva de grupo para que respondan más a la llegada tardía de la conectividad de red.