ドメイン メンバーを起動すると、Netlogon イベント ID 5719 または グループ ポリシー イベント 1129 がログに記録されます

この記事では、ドメイン メンバーの起動時にログに記録される Netlogon イベント ID 5719 または グループ ポリシー イベント 1129 を解決します。

適用対象: Windows 10 - すべてのエディション、Windows Server 2012 R2
元の KB 番号: 938449

現象

次のシナリオを考えます。

• Windows 10または Windows Server 2012 R2 を実行しているコンピューターがあります。
• コンピューターがドメインに参加しています。
• 次のいずれかの条件が当てはまります。
  • コンピューターにギガビット ネットワーク アダプターがインストールされています。
  • ネットワーク アクセス保護 (NAP)、ネットワーク認証 (802.1x を使用)、または別の方法を使用して、ネットワーク アクセスをセキュリティで保護します。

このシナリオでは、Windows 8.1以前のバージョンでコンピューターを起動すると、次のイベントがシステム ログに記録されます。 Windows 10以降のバージョンでは、イベント 5719 はこの状況ではログに記録されなくなりました。 代わりに、次の行がNetlogon.logに記録されます。

[CRITICAL] [960] CONTOSO: NlSessionSetup: Session setup: cannot pick trusted DC  
[SESSION] [960] No IP addresses present, skipping No DC event log

この問題が発生すると、コンピューターに IP アドレスが割り当てられます。

[SESSION] [960] V6 Winsock Addrs: fe80::5faf:632a:f22c:644a%2 (1) V6WinsockPnpAddresses List used to be empty.  
[SESSION] [960] Winsock Addrs: 10.1.1.80 (1) List used to be empty.

Windows 10以降のバージョンでは、ドメイン コントローラーの接続 (グループ ポリシーなど) に応じて、コンポーネントごとのイベントのみが表示されます。 グループ ポリシーのデバッグ ログには、次のエントリが記録されます。

CGPApplicationService::MachinePolicyStartedWaitingOnNetwork.  
CGPMachineStartupConnectivity::CalculateWaitTimeoutFromHistory: Average is 388.
CGPMachineStartupConnectivity::CalculateWaitTimeoutFromHistory: Current is -1.
CGPMachineStartupConnectivity::CalculateWaitTimeoutFromHistory: Taking min of 776 and 30000.  
Waiting for SamSs with timeout 776

NlaQueryNetSignatures returned 1 networks  
NSI Information (Network GUID) : {395DB3C8-CE45-11E5-9739-806E6F6E6963}  
NSI Information (CompartmentId) : 1  
NSI Information (SiteId) : 134217728  
NSI Information (Network Name) :  
NlaGetIntranetCapability failed with 0x15  
There is no domain compartment  
ProcessGPOs(Machine): MyGetUserName failed with 1355.  
Opened query for NLA successfully  
NlaGetIntranetCapability returned Not Ready error. Consider it as NOT intranet capable.  

GPSVC(530.ae0) <DateTime> There is no connectivity  
GPSVC(530.8e0) <DateTime> ApplyGroupPolicy: Getting ready to create background thread GPOThread.

最初のセクションでは、ネットワークの起動に使用するタイムアウトの計算を示します。 これは、以前の高速スタートアップに基づいている可能性があります。

2 番目のセクションでは、ネットワークの場所認識 (NLA) が許可されている待機時間内に作業ネットワークを報告できず、グループ ポリシーの起動処理が失敗することを示します。 3 番目のセクションでは、グループ ポリシー エンジンがバックグラウンド プロシージャを開始し、ネットワークが使用可能になるまで 1 分間待機することを示します。

原因

この問題は、次のいずれかの理由で発生する可能性があります。

• ネットワークの準備が整う前に、Netlogon サービスが開始されます。 ネットワーク スタックとアダプターの初期化は、多くの場合、約同時に開始されます。 一部のネットワーク アダプターとスイッチには、ネットワーク接続を検出するために Netlogon に設定されている待機時間よりも長い時間がかかるリンクアービトレーションと MAC アドレスの一意性チェックがあります。
• 新しいネットワーク メンバーの正常性を確認するソリューションは、ネットワーク接続とドメイン コントローラーにアクセスする機能を遅延させます。 自動ダイレクト アクセス チャネル接続を有効にしている場合は、Netlogon で許可されているよりも多くの時間が必要になる場合もあります。
• 802.1X 認証プロセスでは、ドメイン コントローラーへの接続が遅延します。
• クライアントでは、DHCP サーバーから IP アドレスを取得するのに遅延が発生します。 ネットワーク インターフェイスの表示が遅延します。

Windows Vista 以降のバージョンのグループ ポリシーは、NLA が有効になっているネットワーク状態をネゴシエートするために記述されています。 また、DC 接続を持つネットワークを待機します。 ただし、グループ ポリシーは、ポリシー アプリケーションのために途中で開始される可能性があります。 この状況は、ネットワーク検索の遅延がスタートアップ企業間で代替される場合に特に当てはまります。

解決方法 1

この問題を解決するには、ギガビット ネットワーク アダプターの最新のドライバーをインストールします。 または、ネットワーク スイッチで PortFast オプションを有効にします。

解決方法 2

この問題を解決するには、レジストリを使用して、DC 接続に影響する関連設定を変更します。 これを行うには、次のメソッドを使用します。

方法 1

DC 接続を許可するように変更されたファイアウォール設定または IPSEC ポリシーを調整します。 これらの変更は、クライアントが IP アドレスを受信したときに行われますが、たとえば、Cisco NAC または Microsoft NPS サービスを介して検証が成功した後など、ドメイン コントローラーにアクセスするにはさらに時間が必要です。

方法 2

レジストリ設定を Netlogon 、DC 接続を許可するために必要な時間を超えて安全な値に構成します。

レジストリ サブキー: HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Netlogon\Parameters
値名: ExpectedDialupDelay
データ型: REG_DWORD
データ値は秒単位 (既定値= 0)
データ範囲は 0 ~ 600 秒 (10 分) です

詳細については、「 定期的な WAN トラフィックを最小限に抑えるための設定」を参照してください。

方法 3

IP スタックは、ARP ブロードキャストを使用して IP アドレスの検証を試みます。 IP がオンラインになるまでにかかる時間が遅延します。 ArpRetryCount レジストリ エントリを 1 に設定できるため、一意性の待機が短縮されます。 これを行うには、次の手順に従います。

1. レジストリ エディターを起動します。

2. 次のサブキーを見つけて選択します。
   HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\TcpIp\Parameters\

3. [ 編集 ] メニューの [ 新規] をポイントし、[ DWORD 値] を選択します。

4. 「 ArpRetryCount」と入力します。

5. レジストリ エントリを ArpRetryCount 右クリックし、[ 変更] を選択します。

6. [ 値データ ] ボックスに「 1」と入力し、[ OK] を選択します。

   注:

   データ範囲は 0 ~ 3 です (既定値は 3)。

7. レジストリ エディターを終了します。

方法 4

次のサブキーのレジストリ エントリを変更して、 NegativeCachePeriod Netlogon の負のキャッシュ期間を短縮します。
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Netlogon\Parameters\NegativeCachePeriod

この変更を行った後、Netlogon サービスは、ドメイン コントローラーが 45 秒間オフラインであるかのように動作しません。 イベント 5719 は引き続きログに記録されます。 ただし、イベントは他の重要な問題を引き起こしません。 この設定を使用すると、以前にプロセスが失敗した場合にメンバーがドメイン コントローラーを試すことができます。

提案: 3 秒などの低い値を設定してみてください。 LAN 環境では、値 0 を使用して、負のキャッシュをオフにすることができます。

この設定の詳細については、「 定期的な WAN トラフィックを最小限に抑えるための設定」を参照してください。

方法 5

レジストリ設定を Kerberos 、DC 接続を許可するために必要な時間を超えて安全な値に構成します。 ガイドラインとして次の設定を使用します。

レジストリ サブキー: HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Lsa\Kerberos\Parameters
値名: MaxPacketSize
データ型: REG_DWORD
値データ: 1
既定値: (システムバージョンによって異なります)

詳細については、「 Windows で UDP ではなく TCP を使用するように Kerberos に強制する方法」を参照してください。

方法 6

レジストリ サブキーに次の値を追加して、TCP/IP のメディア センサーを Tcpip 無効にします。

レジストリ サブキー: HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Tcpip\Parameters
値名: DisableDHCPMediaSense
データ型: REG_DWORD
値データ: 1
値の範囲: ブール値 ( 0 =False,1 =True)
既定値: 0 (False)

詳細については、「 Windows で TCP/IP のメディア センシング機能を無効にする方法」を参照してください。

方法 7

グループ ポリシーには、スタートアップ ポリシー処理の待機時間を制御するポリシー設定があります。

1. 企業 LAN または WLAN:

   ポリシー フォルダー: "コンピューターの構成\管理用テンプレート\System\グループ ポリシー"
   ポリシー名: "スタートアップ ポリシー処理の待機時間を指定する"

2. 外部 LAN または WLAN:

   ポリシー フォルダー: "コンピューターの構成\管理用テンプレート\System\グループ ポリシー"
   ポリシー名: "ポリシー処理のワークプレース接続の待機時間を指定する"

Netlogon が動作 IP を取得するのにかかる時間は、設定の基礎となる場合があります。 直接アクセスのシナリオでは、接続が確立されるまでのユーザー ベースの一般的な遅延を測定できます。

方法 8

レジストリ設定が正しく設定されておらず、0xfffffffの値が正しくない場合DisabledComponentsは、キーを削除するか、0xffの目的の値に変更します。

方法 9

この動作は、ネットワークの初期化、ドメイン コントローラーの検索、グループ ポリシーの処理の間の競合状態によって発生する可能性があります。 ネットワークが使用できない場合、ドメイン コントローラーは見つからないので、グループ ポリシー処理は失敗します。 オペレーティング システムが読み込まれ、ネットワーク リンクがネゴシエートされて確立されると、グループ ポリシーのバックグラウンド更新は成功します。

レジストリ値を設定して、グループ ポリシーのアプリケーションを遅延させることができます。

1. レジストリ エディターを起動します。

2. 次のサブキーを見つけて選択します。
   HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon

3. [ 編集 ] メニューの [ 新規] をポイントし、[ DWORD 値] を選択します。

4. 「GpNetworkStartTimeoutPolicyValue」と入力します。

5. レジストリ エントリを GpNetworkStartTimeoutPolicyValue 右クリックし、[ 変更] を選択します。

6. [ 基本] で[ 10 進数] を選択します。

7. [ 値データ ] ボックスに「 60」と入力し、[ OK] を選択します。

8. レジストリ エディターを終了し、コンピューターを再起動します。

9. グループ ポリシースタートアップ スクリプトが実行されない場合は、レジストリ エントリの値をGpNetworkStartTimeoutPolicyValue増やします。

詳細

問題なくドメインにログオンできる場合は、イベント ID 5719 を無視しても問題ありません。 ネットワークの準備が整う前に Netlogon サービスが開始される可能性があるため、コンピューターがログオン ドメイン コントローラーを見つけることができない可能性があります。 そのため、イベント ID 5719 がログに記録されます。 ネットワークの準備ができたら、コンピューターはログオン ドメイン コントローラーの検索を再試行します。 この状況では、操作が成功する必要があります。

Netogon.logでは、次の例のようなエントリがログに記録される場合があります。

DateTime [CRITICAL] <domain>: NlDiscoverDc: Cannot find DC. DateTime [CRITICAL] <domain>: NlSessionSetup: Session setup: cannot pick trusted DC DateTime [MISC] Eventlog: 5719 (1)"<domain>" 0xc000005e ... DateTime [SESSION] WPNG: NlSetStatusClientSession: Set connection status to c000005e ... DateTime [SESSION] \Device\NetBT_Tcpip_{4A47AF53-40D3-4F92-ACDF-9B5E82A50E32}: Transport Added (10.0.64.232) -> Getting a proper IP address takes >15 seconds.

同様のエラーは、ドメイン コントローラーの接続を正しく機能させる必要がある他のコンポーネントによって報告される場合があります。 たとえば、グループ ポリシーはシステムの起動時に適用されない場合があります。 この場合、スタートアップ スクリプトは実行されません。 グループ ポリシーエラーは、ドメイン コントローラーを見つけるための Netlogon の障害に関連している可能性があります。 グループ ポリシーを設定して、ネットワーク接続の到着遅延に対する応答性を高めることができます。