L'ID evento Netlogon 5719 o Criteri di gruppo evento 1129 viene registrato quando si avvia un membro di dominio

  • Articolo

Questo articolo risolve l'ID evento Netlogon 5719 o Criteri di gruppo evento 1129 registrato quando si avvia un membro di dominio.

Si applica a: Windows 10: tutte le edizioni, Windows Server 2012 R2
Numero KB originale: 938449

Sintomi

Importante

Seguire attentamente i passaggi in questa sezione. L'errata modifica del Registro di sistema può causare seri problemi. Prima di apportare le modifiche, eseguire il backup del Registro di sistema per il ripristino nel caso si verifichino dei problemi.

Prendiamo in considerazione questo scenario:

  • Si dispone di un computer che esegue Windows 10 o Windows Server 2012 R2.
  • Il computer è aggiunto a un dominio.
  • Una di queste condizioni è vera:
    • Nel computer è installata una scheda di rete Gigabit.
    • Per proteggere l'accesso alla rete, usare Protezione accesso alla rete , l'autenticazione di rete (tramite 802.1x) o un altro metodo.

In questo scenario, l'evento seguente viene registrato nel registro di sistema quando si avvia il computer in Windows 8.1 e versioni precedenti. In Windows 10 e versioni successive, l'evento 5719 non viene più registrato in questa situazione. Le righe seguenti vengono invece registrate in Netlogon.log:

[CRITICAL] [960] CONTOSO: NlSessionSetup: Session setup: cannot pick trusted DC  
[SESSION] [960] No IP addresses present, skipping No DC event log

Dopo questo problema, al computer viene assegnato un indirizzo IP:

[SESSION] [960] V6 Winsock Addrs: fe80::5faf:632a:f22c:644a%2 (1) V6WinsockPnpAddresses List used to be empty.  
[SESSION] [960] Winsock Addrs: 10.1.1.80 (1) List used to be empty.

In Windows 10 e versioni successive verranno visualizzati solo gli eventi in base ai componenti, a seconda della connettività del controller di dominio , ad esempio Criteri di gruppo. Nel log di debug di Criteri di gruppo vengono registrate le voci seguenti:

CGPApplicationService::MachinePolicyStartedWaitingOnNetwork.  
CGPMachineStartupConnectivity::CalculateWaitTimeoutFromHistory: Average is 388.
CGPMachineStartupConnectivity::CalculateWaitTimeoutFromHistory: Current is -1.
CGPMachineStartupConnectivity::CalculateWaitTimeoutFromHistory: Taking min of 776 and 30000.  
Waiting for SamSs with timeout 776

NlaQueryNetSignatures returned 1 networks  
NSI Information (Network GUID) : {395DB3C8-CE45-11E5-9739-806E6F6E6963}  
NSI Information (CompartmentId) : 1  
NSI Information (SiteId) : 134217728  
NSI Information (Network Name) :  
NlaGetIntranetCapability failed with 0x15  
There is no domain compartment  
ProcessGPOs(Machine): MyGetUserName failed with 1355.  
Opened query for NLA successfully  
NlaGetIntranetCapability returned Not Ready error. Consider it as NOT intranet capable.  

GPSVC(530.ae0) <DateTime> There is no connectivity  
GPSVC(530.8e0) <DateTime> ApplyGroupPolicy: Getting ready to create background thread GPOThread.

La prima sezione mostra il calcolo del timeout da usare per visualizzare la rete. Può essere basato su startup veloci precedenti.

La seconda sezione mostra che Network Location Awareness (NLA) non riesce a segnalare una rete funzionante entro l'intervallo di attesa consentito e l'elaborazione dell'avvio dei criteri di gruppo non riesce. La terza sezione mostra che il motore Criteri di gruppo avvia una procedura in background e quindi attende un minuto dopo la disponibilità di una rete.

Causa

Questo problema può verificarsi per uno dei motivi seguenti:

  • Il servizio Netlogon viene avviato prima che la rete sia pronta. L'inizializzazione dello stack di rete e della scheda inizia spesso all'incirca contemporaneamente. Alcune schede di rete e commutatori hanno l'arbitrato dei collegamenti e i controlli di univocità degli indirizzi MAC che richiedono più tempo rispetto al tempo di attesa impostato per Il rilevamento della connettività di rete da parte di Netlogon.
  • Le soluzioni che verificano l'integrità del nuovo membro di rete ritardano la connessione di rete e la possibilità di accedere ai controller di dominio. Se è abilitata una connessione automatica al canale di Accesso diretto, potrebbe essere necessario più tempo rispetto a quanto consentito da Netlogon.
  • Il processo di autenticazione 802.1X ritarda le connessioni ai controller di dominio.
  • Il client riscontra un ritardo nel recupero di un indirizzo IP dal server DHCP. Ritarda la visualizzazione dell'interfaccia di rete.

Criteri di gruppo in Windows Vista e versioni successive viene scritto per negoziare lo stato di rete in cui è abilitata l'autenticazione a livello di rete. Attende inoltre una rete con connettività controller di dominio. Tuttavia, Criteri di gruppo potrebbe iniziare prematuramente a causa di un'applicazione di criteri. Questa situazione è particolarmente vera quando il ritardo nella ricerca di una rete si alterna tra le startup.

Avviso

L'errata modifica del Registro di sistema tramite l'editor o un altro metodo può causare seri problemi. che potrebbero richiedere la reinstallazione del sistema operativo. Microsoft non è in grado di garantire la soluzione di tali problemi. La modifica del Registro di sistema è a rischio e pericolo dell'utente.

Risoluzione 1

Per risolvere questo problema, installare il driver più recente per la scheda di rete Gigabit. In alternativa, abilitare l'opzione PortFast nei commutatori di rete.

Risoluzione 2

Per risolvere questo problema, usare il Registro di sistema per modificare le impostazioni correlate che influiscono sulla connettività del controller di dominio. A tale scopo, usare i metodi seguenti.

Metodo 1

Modificare le impostazioni del firewall o i criteri IPSEC modificati per consentire la connettività del controller di dominio. Queste modifiche vengono apportate quando il client riceve un indirizzo IP, ma richiede più tempo per accedere a un controller di dominio, ad esempio dopo una verifica riuscita tramite Cisco NAC o Microsoft NPS Services.

Metodo 2

Configurare l'impostazione Netlogon del Registro di sistema su un valore che supera in modo sicuro il tempo necessario per consentire la connettività del controller di dominio.

Nota

Ciò è efficace solo se il computer ha già un indirizzo IP. Questo vale per gli scenari in cui una soluzione di Protezione accesso alla rete inserisce il computer in una rete di quarantena. Usare le impostazioni seguenti come linee guida.

Sottochiave del Registro di sistema: HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Netlogon\Parameters
Nome valore: ExpectedDialupDelay
Tipo di dati: REG_DWORD
Il valore dei dati è espresso in secondi (valore predefinito= 0 )
Intervallo di dati compreso tra 0 e 600 secondi (10 minuti)

Per altre informazioni, vedere Impostazioni per ridurre al minimo il traffico WAN periodico.

Metodo 3

Lo stack IP tenta di verificare l'indirizzo IP usando una trasmissione ARP. Ritarda il tempo necessario per l'accesso online dell'IP. È possibile impostare la voce del Registro di sistema ArpRetryCount su una (1), in modo che l'attesa dell'univocità venga abbreviata. Per effettuare questa operazione, seguire questi passaggi:

  1. Avviare l'editor del Registro di sistema

  2. Individuare e selezionare la sottochiave seguente:
    HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\TcpIp\Parameters\

  3. Scegliere Nuovo dal menu Modifica, quindi selezionare Valore DWORD.

  4. Digitare ArpRetryCount.

  5. Fare clic con il pulsante destro del mouse sulla voce del ArpRetryCount Registro di sistema e quindi scegliere Modifica.

  6. Nella casella Dati valore digitare 1 e quindi selezionare OK.

    Nota

    L'intervallo di dati è compreso tra 0 e 3 (3 è l'impostazione predefinita).

  7. Uscire dall'editor del Registro di sistema.

Metodo 4

Ridurre il periodo di cache negativa netlogon modificando la NegativeCachePeriod voce del Registro di sistema nella sottochiave seguente:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Netlogon\Parameters\NegativeCachePeriod

Dopo aver effettuato questa modifica, il servizio Netlogon non si comporta come se i controller di dominio siano offline per 45 secondi. L'evento 5719 è ancora registrato. Tuttavia, l'evento non causa altri problemi significativi. Questa impostazione consente al membro di provare i controller di dominio in precedenza se il processo non è riuscito in precedenza.

Suggerimento: provare a impostare un valore basso, ad esempio tre secondi. Negli ambienti LAN è possibile usare un valore pari a 0 per disattivare la cache negativa.

Per altre informazioni su questa impostazione, vedere Impostazioni per ridurre al minimo il traffico WAN periodico.

Metodo 5

Configurare l'impostazione Kerberos del Registro di sistema su un valore che supera in modo sicuro il tempo necessario per consentire la connettività del controller di dominio. Usare le impostazioni seguenti come linee guida.

Nota

Questa impostazione si applica solo a Windows XP e Windows Server 2003 o versioni precedenti di questi sistemi. Windows Vista e Windows Server 2008 e versioni successive usano il valore predefinito 0. Questo valore disattiva la funzionalità UDP (User Datagram Protocol) per il client Kerberos.

Sottochiave del Registro di sistema: HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Lsa\Kerberos\Parameters
Nome valore: MaxPacketSize
Tipo di dati: REG_DWORD
Dati valore: 1
Impostazione predefinita: (dipende dalla versione del sistema)

Per altre informazioni, vedere Come forzare Kerberos a usare TCP anziché UDP in Windows.

Metodo 6

Disabilitare il senso multimediale per TCP/IP aggiungendo il valore seguente alla sottochiave del Tcpip Registro di sistema:

Sottochiave del Registro di sistema: HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Tcpip\Parameters
Nome valore: DisableDHCPMediaSense
Tipo di dati: REG_DWORD
Dati valore: 1
Intervallo di valori: Boolean ( 0 =False, 1 =True)
Impostazione predefinita: 0 (False)

Per altre informazioni, vedere Come disabilitare la funzionalità Di rilevamento multimediale per TCP/IP in Windows.

Metodo 7

Criteri di gruppo dispone di impostazioni dei criteri per controllare il tempo di attesa per l'elaborazione dei criteri di avvio:

  1. LAN aziendale o WLAN:

    Cartella criteri: "Configurazione computer\Modelli amministrativi\Sistema\Criteri di gruppo"
    Nome criterio: "Specificare il tempo di attesa per l'elaborazione dei criteri di avvio"

  2. LAN esterno o WLAN:

    Cartella criteri: "Configurazione computer\Modelli amministrativi\Sistema\Criteri di gruppo"
    Nome criterio: "Specificare il tempo di attesa della connettività dell'area di lavoro per l'elaborazione dei criteri"

Il tempo impiegato da Netlogon per acquisire un INDIRIZZO IP funzionante può essere la base per l'impostazione. Per gli scenari di accesso diretto, è possibile misurare il ritardo tipico della base utente fino a quando non viene stabilita la connessione.

Metodo 8

Se DisabledComponents l'impostazione del Registro di sistema è impostata e ha un valore non corretto di 0xfffffff, eliminare la chiave o impostarla sul valore previsto di 0xff.

Importante

Internet Protocol versione 6 (IPv6) è una parte obbligatoria di Windows Vista e versioni successive di Windows. Si consiglia di non disattivare IPv6 o i relativi componenti. La disattivazione potrebbe determinare il mancato funzionamento di alcuni componenti di Windows. Inoltre, l'avvio del sistema verrà ritardato di cinque secondi se IPv6 viene disabilitato in modo errato impostando l'impostazione DisabledComponents del Registro di sistema su un valore di 0xfffffff. Il valore corretto è 0xff.

Metodo 9

Il comportamento può essere causato da una race condition tra l'inizializzazione della rete, l'individuazione di un controller di dominio e l'elaborazione Criteri di gruppo. Se la rete non è disponibile, non verrà individuato un controller di dominio e l'elaborazione Criteri di gruppo avrà esito negativo. Dopo aver caricato il sistema operativo e aver negoziato e stabilito un collegamento di rete, l'aggiornamento in background di Criteri di gruppo avrà esito positivo.

È possibile impostare un valore del Registro di sistema per ritardare l'applicazione di Criteri di gruppo:

  1. Avviare l'editor del Registro di sistema

  2. Individuare e selezionare la sottochiave seguente:
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon

  3. Scegliere Nuovo dal menu Modifica, quindi selezionare Valore DWORD.

  4. Digitare GpNetworkStartTimeoutPolicyValue.

  5. Fare clic con il pulsante destro del mouse sulla voce del GpNetworkStartTimeoutPolicyValue Registro di sistema e quindi scegliere Modifica.

  6. In Base selezionare Decimal.

  7. Nella casella Dati valore digitare 60 e quindi selezionare OK.

  8. Chiudere l'editor del Registro di sistema e riavviare il computer.

  9. Se lo script di avvio Criteri di gruppo non viene eseguito, aumentare il valore della voce del GpNetworkStartTimeoutPolicyValue Registro di sistema.

Ulteriori informazioni

Se è possibile accedere al dominio senza problemi, è possibile ignorare l'ID evento 5719. Poiché il servizio Netlogon può essere avviato prima che la rete sia pronta, il computer potrebbe non essere in grado di individuare il controller di dominio di accesso. Di conseguenza, viene registrato l'ID evento 5719. Quando la rete è pronta, il computer proverà di nuovo a individuare il controller di dominio di accesso. In questo caso, l'operazione deve avere esito positivo.

In un Netogon.log è possibile registrare voci simili all'esempio seguente:

DateTime [CRITICAL] <domain>: NlDiscoverDc: Cannot find DC. DateTime [CRITICAL] <domain>: NlSessionSetup: Session setup: cannot pick trusted DC DateTime [MISC] Eventlog: 5719 (1)"<domain>" 0xc000005e ... DateTime [SESSION] WPNG: NlSetStatusClientSession: Set connection status to c000005e ... DateTime [SESSION] \Device\NetBT_Tcpip_{4A47AF53-40D3-4F92-ACDF-9B5E82A50E32}: Transport Added (10.0.64.232) -> Getting a proper IP address takes >15 seconds.

Errori simili potrebbero essere segnalati da altri componenti che richiedono la connettività del controller di dominio per funzionare correttamente. Ad esempio, il Criteri di gruppo potrebbe non essere applicato all'avvio del sistema. In questo caso, gli script di avvio non vengono eseguiti. Gli errori Criteri di gruppo possono essere correlati all'errore di Netlogon durante l'individuazione di un controller di dominio. È possibile impostare Criteri di gruppo in modo che siano più reattivi all'arrivo in ritardo della connettività di rete.