Netlogon-Ereignis-ID 5719 oder Gruppenrichtlinie Ereignis 1129 wird protokolliert, wenn Sie ein Domänenmitglied starten

  • Artikel

In diesem Artikel wird die Netlogon-Ereignis-ID 5719 oder Gruppenrichtlinie Ereignis 1129 behoben, die beim Starten eines Domänenmitglieds protokolliert wird.

Gilt für: Windows 10 (alle Editionen), Windows Server 2012 R2
Ursprüngliche KB-Nummer: 938449

Symptome

Wichtig

Führen Sie die in diesem Abschnitt beschriebenen Schritte sorgfältig aus. Durch eine fehlerhafte Bearbeitung der Registrierung können schwerwiegende Probleme verursacht werden. Sichern Sie die Registrierung, bevor Sie sie ändern, damit Sie sie bei Bedarf wiederherstellen können.

Betrachten Sie dieses Szenario:

  • Sie verfügen über einen Computer, auf dem Windows 10 oder Windows Server 2012 R2 ausgeführt wird.
  • Der Computer ist in eine Domäne eingebunden.
  • Eine der folgenden Bedingungen ist erfüllt:
    • Auf dem Computer ist ein Gigabit-Netzwerkadapter installiert.
    • Sie sichern den Netzwerkzugriff mithilfe des Netzwerkzugriffsschutzes (NETWORK Access Protection, NAP), der Netzwerkauthentifizierung (mit 802.1x) oder einer anderen Methode.

In diesem Szenario wird das folgende Ereignis im Systemprotokoll protokolliert, wenn Sie den Computer in Windows 8.1 und früheren Versionen starten. In Windows 10 und höheren Versionen wird das Ereignis 5719 in dieser Situation nicht mehr protokolliert. Die folgenden Zeilen werden stattdessen in Netlogon.log aufgezeichnet:

[CRITICAL] [960] CONTOSO: NlSessionSetup: Session setup: cannot pick trusted DC  
[SESSION] [960] No IP addresses present, skipping No DC event log

Nachdem dieses Problem auftritt, wird dem Computer eine IP-Adresse zugewiesen:

[SESSION] [960] V6 Winsock Addrs: fe80::5faf:632a:f22c:644a%2 (1) V6WinsockPnpAddresses List used to be empty.  
[SESSION] [960] Winsock Addrs: 10.1.1.80 (1) List used to be empty.

In Windows 10 und höheren Versionen werden abhängig von der Domänencontrollerkonnektivität (z. B. Gruppenrichtlinie) nur Ereignisse nach Komponenten angezeigt. Die folgenden Einträge werden im Debugprotokoll der Gruppenrichtlinie aufgezeichnet:

CGPApplicationService::MachinePolicyStartedWaitingOnNetwork.  
CGPMachineStartupConnectivity::CalculateWaitTimeoutFromHistory: Average is 388.
CGPMachineStartupConnectivity::CalculateWaitTimeoutFromHistory: Current is -1.
CGPMachineStartupConnectivity::CalculateWaitTimeoutFromHistory: Taking min of 776 and 30000.  
Waiting for SamSs with timeout 776

NlaQueryNetSignatures returned 1 networks  
NSI Information (Network GUID) : {395DB3C8-CE45-11E5-9739-806E6F6E6963}  
NSI Information (CompartmentId) : 1  
NSI Information (SiteId) : 134217728  
NSI Information (Network Name) :  
NlaGetIntranetCapability failed with 0x15  
There is no domain compartment  
ProcessGPOs(Machine): MyGetUserName failed with 1355.  
Opened query for NLA successfully  
NlaGetIntranetCapability returned Not Ready error. Consider it as NOT intranet capable.  

GPSVC(530.ae0) <DateTime> There is no connectivity  
GPSVC(530.8e0) <DateTime> ApplyGroupPolicy: Getting ready to create background thread GPOThread.

Der erste Abschnitt zeigt die Berechnung für das Timeout, das zum Aufrufen des Netzwerks verwendet werden soll. Es kann auf früheren schnellen Startups basieren.

Der zweite Abschnitt zeigt, dass die Netzwerkadressenerkennung (Network Location Awareness, NLA) innerhalb des zulässigen Warteintervalls kein funktionierendes Netzwerk meldet, und die Startverarbeitung von Gruppenrichtlinien schlägt fehl. Der dritte Abschnitt zeigt, dass die Gruppenrichtlinie-Engine eine Hintergrundprozedur startet und dann eine Minute wartet, nachdem ein Netzwerk verfügbar wird.

Ursache

Dieses Problem kann aus einem der folgenden Gründe auftreten:

  • Der Netlogon-Dienst wird gestartet, bevor das Netzwerk bereit ist. Die Netzwerkstapel- und Adapterinitialisierung beginnen häufig ungefähr zur gleichen Zeit. Einige Netzwerkadapter und Switches verfügen über Verbindungsvermittlungs- und MAC-Adress-Eindeutigkeitsprüfungen, die länger dauern als die Wartezeit, die für Netlogon festgelegt ist, um netzwerkkonnektivität zu erkennen.
  • Lösungen, die die Integrität des neuen Netzwerkmitglieds überprüfen, verzögern die Netzwerkverbindung und ihre Fähigkeit, auf Domänencontroller zuzugreifen. Wenn Sie eine automatische Direktzugriffskanalverbindung aktiviert haben, kann dies auch mehr Zeit in Anspruch nehmen, als Netlogon zulässt.
  • Der 802.1X-Authentifizierungsprozess verzögert Verbindungen mit den Domänencontrollern.
  • Auf dem Client kommt es zu einer Verzögerung beim Abrufen einer IP-Adresse vom DHCP-Server. Die Anzeige der Netzwerkschnittstelle wird verzögert.

Gruppenrichtlinie in Windows Vista und höheren Versionen wird geschrieben, um die Netzwerk-status auszuhandeln, für die NLA aktiviert ist. Außerdem wird auf ein Netzwerk mit DC-Konnektivität gewartet. Gruppenrichtlinie kann jedoch aufgrund einer Richtlinienanwendung vorzeitig gestartet werden. Dies gilt insbesondere, wenn die Verzögerung bei der Suche nach einem Netzwerk zwischen Startups wechselt.

Warnung

Schwerwiegende Probleme können auftreten, wenn die Registrierung mit dem Registrierungs-Editor oder einer anderen Methode unsachgemäß bearbeitet wird. Aufgrund dieser Probleme kann eine Neuinstallation des Betriebssystems erforderlich sein. Microsoft gibt keinerlei Garantien dafür ab, dass diese Probleme behoben werden können. Das Ändern der Registrierung erfolgt auf eigenes Risiko.

Lösung 1

Installieren Sie den aktuellsten Treiber für den Gigabit-Netzwerkadapter, um dieses Problem zu beheben. Oder aktivieren Sie die Option PortFast für die Netzwerkswitches.

Lösung 2

Um dieses Problem zu beheben, verwenden Sie die Registrierung, um die zugehörigen Einstellungen zu ändern, die sich auf die DC-Konnektivität auswirken. Verwenden Sie dazu die folgenden Methoden.

Methode 1

Passen Sie die Firewalleinstellungen oder IPSEC-Richtlinien an, die geändert werden, um Domänencontrollerkonnektivität zu ermöglichen. Diese Änderungen werden vorgenommen, wenn der Client eine IP-Adresse empfängt, aber mehr Zeit für den Zugriff auf einen Domänencontroller benötigt, z. B. nach einer erfolgreichen Überprüfung über Cisco NAC oder Microsoft NPS Services.

Methode 2

Konfigurieren Sie die Netlogon Registrierungseinstellung auf einen Wert, der sicher über den erforderlichen Zeitraum hinausgeht, Domänencontrollerkonnektivität zulassen.

Hinweis

Dies ist nur wirksam, wenn der Computer bereits über eine IP-Adresse verfügt. Dies gilt für Szenarien, in denen eine NAP-Lösung den Computer in ein Quarantänenetzwerk einfügt. Verwenden Sie die folgenden Einstellungen als Richtlinien.

Registrierungsunterschlüssel: HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Netlogon\Parameters
Wertname: ExpectedDialupDelay
Datentyp: REG_DWORD
Der Datenwert ist in Sekunden angegeben (Standard= 0 ).
Datenbereich liegt zwischen 0 und 600 Sekunden (10 Minuten)

Weitere Informationen finden Sie unter Einstellungen zum Minimieren des regelmäßigen WAN-Datenverkehrs.

Methode 3

Der IP-Stapel versucht, die IP-Adresse mithilfe einer ARP-Übertragung zu überprüfen. Es verzögert die Zeit, die die IP-Adresse benötigt, bis sie online geschaltet wird. Sie können den Registrierungseintrag ArpRetryCount auf 1 (1) festlegen, sodass das Warten auf Eindeutigkeit verkürzt wird. Gehen Sie dazu wie folgt vor:

  1. Starten Sie den Registrierungs-Editor.

  2. Suchen Sie den folgenden Unterschlüssel, und wählen Sie ihn aus:
    HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\TcpIp\Parameters\

  3. Zeigen Sie im Menü Bearbeiten auf Neu, und wählen Sie dann DWORD-Wert aus.

  4. Geben Sie ArpRetryCount ein.

  5. Klicken Sie mit der rechten Maustaste auf den ArpRetryCount Registrierungseintrag, und wählen Sie dann Ändern aus.

  6. Geben Sie im Feld Wertdatenden Wert 1 ein, und wählen Sie dann OK aus.

    Hinweis

    Der Datenbereich liegt zwischen 0 und 3 (3 ist standard).

  7. Beenden Sie den Registrierungs-Editor.

Methode 4

Verringern Sie den negativen Netlogon-Cachezeitraum, indem Sie den NegativeCachePeriod Registrierungseintrag im folgenden Unterschlüssel ändern:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Netlogon\Parameters\NegativeCachePeriod

Nachdem Sie diese Änderung vorgenommen haben, verhält sich der Netlogon-Dienst nicht so, als ob die Domänencontroller für 45 Sekunden offline sind. Das Ereignis 5719 wird weiterhin protokolliert. Das Ereignis verursacht jedoch keine anderen signifikanten Probleme. Diese Einstellung ermöglicht es dem Mitglied, Domänencontroller früher auszuprobieren, wenn der Prozess zuvor fehlgeschlagen ist.

Vorschlag: Versuchen Sie, einen niedrigen Wert festzulegen, z. B. drei Sekunden. In LAN-Umgebungen können Sie den Wert 0 verwenden, um den negativen Cache zu deaktivieren.

Weitere Informationen zu dieser Einstellung finden Sie unter Einstellungen zum Minimieren des regelmäßigen WAN-Datenverkehrs.

Methode 5

Konfigurieren Sie die Kerberos Registrierungseinstellung auf einen Wert, der sicher über den erforderlichen Zeitraum hinausgeht, Domänencontrollerkonnektivität zulassen. Verwenden Sie die folgenden Einstellungen als Richtlinien.

Hinweis

Diese Einstellung gilt nur für Windows XP und Windows Server 2003 oder frühere Versionen dieser Systeme. Windows Vista und Windows Server 2008 und höhere Versionen verwenden den Standardwert 0. Dieser Wert deaktiviert die UDP-Funktionalität (User Datagram Protocol) für den Kerberos-Client.

Registrierungsunterschlüssel: HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Lsa\Kerberos\Parameters
Wertname: MaxPacketSize
Datentyp: REG_DWORD
Wertdaten: 1
Standard: (abhängig von der Systemversion)

Weitere Informationen finden Sie unter Erzwingen der Verwendung von TCP anstelle von UDP durch Kerberos in Windows.

Methode 6

Deaktivieren Sie die Medienoptimierung für TCP/IP, indem Sie dem Registrierungsunterschlüssel den Tcpip folgenden Wert hinzufügen:

Registrierungsunterschlüssel: HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Tcpip\Parameters
Wertname: DisableDHCPMediaSense
Datentyp: REG_DWORD
Wertdaten: 1
Wertbereich: Boolean ( 0 =False, 1 =True)
Standardwert: 0 (False)

Weitere Informationen finden Sie unter Deaktivieren des Mediensensorfeatures für TCP/IP in Windows.

Methode 7

Gruppenrichtlinie verfügt über Richtlinieneinstellungen, um die Wartezeit für die Verarbeitung von Startrichtlinien zu steuern:

  1. Unternehmens-LAN oder WLAN:

    Richtlinienordner: "Computerkonfiguration\Administrative Vorlagen\System\Gruppenrichtlinie"
    Richtlinienname: "Wartezeit für die Verarbeitung der Startrichtlinie angeben"

  2. Externes LAN oder WLAN:

    Richtlinienordner: "Computerkonfiguration\Administrative Vorlagen\System\Gruppenrichtlinie"
    Richtlinienname: "Angeben der Wartezeit für die Arbeitsplatzkonnektivität für die Richtlinienverarbeitung"

Die Zeit, die Netlogon benötigt, um eine funktionierende IP-Adresse zu erhalten, kann die Grundlage für die Einstellung sein. Für Direct Access-Szenarien können Sie die typische Verzögerung Ihrer Benutzerbasis bis zum Herstellen der Verbindung messen.

Methode 8

Wenn DisabledComponents die Registrierungseinstellung vorhanden ist und den falschen Wert 0xfffffff aufweist, löschen Sie entweder den Schlüssel, oder ändern Sie ihn in den beabsichtigten Wert von 0xff.

Wichtig

InternetProtokoll Version 6 (IPv6) ist ein obligatorischer Bestandteil von Windows Vista und höheren Versionen von Windows. Es wird nicht empfohlen, IPv6 oder IPv6-Komponenten zu deaktivieren. Andernfalls funktionieren einige Windows-Komponenten möglicherweise nicht mehr. Darüber hinaus wird der Systemstart um fünf Sekunden verzögert, wenn IPv6 falsch deaktiviert wird, indem die DisabledComponents Registrierungseinstellung auf den Wert 0xfffffff festgelegt wird. Der richtige Wert ist 0xff.

Methode 9

Das Verhalten kann durch eine Racebedingung zwischen der Netzwerkinitialisierung, dem Suchen eines Domänencontrollers und der Verarbeitung Gruppenrichtlinie verursacht werden. Wenn das Netzwerk nicht verfügbar ist, wird kein Domänencontroller gefunden, und Gruppenrichtlinie Verarbeitung schlägt fehl. Sobald das Betriebssystem geladen wurde und eine Netzwerkverbindung ausgehandelt und hergestellt wurde, ist die Hintergrundaktualisierung von Gruppenrichtlinie erfolgreich.

Sie können einen Registrierungswert festlegen, um die Anwendung von Gruppenrichtlinie zu verzögern:

  1. Starten Sie den Registrierungs-Editor.

  2. Suchen Sie den folgenden Unterschlüssel, und wählen Sie ihn aus:
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon

  3. Zeigen Sie im Menü Bearbeiten auf Neu, und wählen Sie dann DWORD-Wert aus.

  4. Geben Sie GpNetworkStartTimeoutPolicyValue ein.

  5. Klicken Sie mit der rechten Maustaste auf den GpNetworkStartTimeoutPolicyValue Registrierungseintrag, und wählen Sie dann Ändern aus.

  6. Wählen Sie unter Basis die Option Dezimal aus.

  7. Geben Sie im Feld Wertdatenden Wert 60 ein, und wählen Sie dann OK aus.

  8. Beenden Sie den Registrierungs-Editor, und starten Sie den Computer anschließend neu.

  9. Wenn das Gruppenrichtlinie Startskript nicht ausgeführt wird, erhöhen Sie den Wert des GpNetworkStartTimeoutPolicyValue Registrierungseintrags.

Weitere Informationen

Wenn Sie sich problemlos bei der Domäne anmelden können, können Sie die Ereignis-ID 5719 problemlos ignorieren. Da der Netlogon-Dienst möglicherweise gestartet wird, bevor das Netzwerk bereit ist, kann der Computer den Anmeldedomänencontroller möglicherweise nicht finden. Daher wird die Ereignis-ID 5719 protokolliert. Nachdem das Netzwerk bereit ist, versucht der Computer erneut, den Anmeldedomänencontroller zu suchen. In diesem Fall sollte der Vorgang erfolgreich sein.

In einem Netogon.log können Einträge protokolliert werden, die dem folgenden Beispiel ähneln:

DateTime [CRITICAL] <domain>: NlDiscoverDc: Cannot find DC. DateTime [CRITICAL] <domain>: NlSessionSetup: Session setup: cannot pick trusted DC DateTime [MISC] Eventlog: 5719 (1)"<domain>" 0xc000005e ... DateTime [SESSION] WPNG: NlSetStatusClientSession: Set connection status to c000005e ... DateTime [SESSION] \Device\NetBT_Tcpip_{4A47AF53-40D3-4F92-ACDF-9B5E82A50E32}: Transport Added (10.0.64.232) -> Getting a proper IP address takes >15 seconds.

Ähnliche Fehler können von anderen Komponenten gemeldet werden, für die eine ordnungsgemäße Funktion der Domänencontrollerkonnektivität erforderlich ist. Beispielsweise kann die Gruppenrichtlinie beim Systemstart nicht angewendet werden. In diesem Fall werden Startskripts nicht ausgeführt. Die Gruppenrichtlinie Fehler können mit dem Fehler von Netlogon bei der Suche nach einem Domänencontroller zusammenhängen. Sie können Gruppenrichtlinie so festlegen, dass sie besser auf verspätete Netzwerkkonnektivität reagieren.