A ID do evento Netlogon 5719 ou Política de Grupo evento 1129 é registrada quando você inicia um membro de domínio

  • Artigo

Este artigo resolve a ID do evento Netlogon 5719 ou Política de Grupo evento 1129 que é registrado quando você inicia um membro de domínio.

Aplica-se a: Windows 10 — todas as edições, Windows Server 2012 R2
Número de KB original: 938449

Sintomas

Importante

Siga as etapas nesta seção com cuidado. Sérios problemas poderão ocorrer caso você modifique o Registro incorretamente. Antes de modificá-lo, faça backup do Registro para restauração em caso de problemas.

Considere este cenário:

  • Você tem um computador que está executando Windows 10 ou Windows Server 2012 R2.
  • O computador é ingressado em um domínio.
  • Uma dessas condições é verdadeira:
    • O computador tem um adaptador de rede Gigabit instalado.
    • Você protege o acesso à rede usando a NAP (Proteção de Acesso à Rede), autenticação de rede (usando 802.1x) ou outro método.

Nesse cenário, o evento a seguir é registrado no log do Sistema quando você inicia o computador em versões Windows 8.1 e anteriores. Em versões Windows 10 e posteriores, o evento 5719 não está mais registrado nessa situação. Em vez disso, as seguintes linhas são registradas em Netlogon.log:

[CRITICAL] [960] CONTOSO: NlSessionSetup: Session setup: cannot pick trusted DC  
[SESSION] [960] No IP addresses present, skipping No DC event log

Depois que esse problema ocorre, o computador recebe um endereço IP:

[SESSION] [960] V6 Winsock Addrs: fe80::5faf:632a:f22c:644a%2 (1) V6WinsockPnpAddresses List used to be empty.  
[SESSION] [960] Winsock Addrs: 10.1.1.80 (1) List used to be empty.

Em versões Windows 10 e posteriores, você verá apenas eventos por componentes, dependendo da conectividade do Controlador de Domínio (como Política de Grupo). As seguintes entradas são registradas no log de depuração da política de grupo:

CGPApplicationService::MachinePolicyStartedWaitingOnNetwork.  
CGPMachineStartupConnectivity::CalculateWaitTimeoutFromHistory: Average is 388.
CGPMachineStartupConnectivity::CalculateWaitTimeoutFromHistory: Current is -1.
CGPMachineStartupConnectivity::CalculateWaitTimeoutFromHistory: Taking min of 776 and 30000.  
Waiting for SamSs with timeout 776

NlaQueryNetSignatures returned 1 networks  
NSI Information (Network GUID) : {395DB3C8-CE45-11E5-9739-806E6F6E6963}  
NSI Information (CompartmentId) : 1  
NSI Information (SiteId) : 134217728  
NSI Information (Network Name) :  
NlaGetIntranetCapability failed with 0x15  
There is no domain compartment  
ProcessGPOs(Machine): MyGetUserName failed with 1355.  
Opened query for NLA successfully  
NlaGetIntranetCapability returned Not Ready error. Consider it as NOT intranet capable.  

GPSVC(530.ae0) <DateTime> There is no connectivity  
GPSVC(530.8e0) <DateTime> ApplyGroupPolicy: Getting ready to create background thread GPOThread.

A primeira seção mostra o cálculo do tempo limite a ser usado para criar a rede. Ele pode ser baseado em inicializações rápidas anteriores.

A segunda seção mostra que a NLA (Reconhecimento de Localização de Rede) falha ao relatar uma rede de trabalho dentro do intervalo de espera permitido e o processamento de inicialização de política de grupo falha. A terceira seção mostra que o mecanismo Política de Grupo inicia um procedimento em segundo plano e aguarda um minuto depois que uma rede fica disponível.

Motivo

Esse problema pode ocorrer por qualquer um desses motivos:

  • O serviço Netlogon é iniciado antes que a rede esteja pronta. A inicialização da pilha de rede e do adaptador geralmente começam ao mesmo tempo. Alguns adaptadores de rede e comutadores têm arbitragem de link e verificações de exclusividade de endereço MAC que levam mais tempo para serem concluídas do que o tempo de espera definido para o Netlogon detectar conectividade de rede.
  • Soluções que verificam a integridade do novo membro de rede atrasam a conexão de rede e sua capacidade de acessar controladores de domínio. Se você tiver uma conexão automática de canal de Acesso Direto habilitada, também poderá exigir mais tempo para fazer do que o Netlogon permite.
  • O processo de autenticação 802.1X atrasa as conexões com os controladores de domínio.
  • O cliente sofre um atraso para recuperar um endereço IP do servidor DHCP. Ele atrasa a exibição da interface de rede.

Política de Grupo no Windows Vista e versões posteriores são gravadas para negociar o status de rede que tem o NLA habilitado. E aguarda uma rede com conectividade DC. No entanto, Política de Grupo pode começar prematuramente devido a um aplicativo de política. Essa situação é especialmente verdadeira quando o atraso na localização de uma rede alterna entre inicializações.

Aviso

Poderão ocorrer sérios problemas se você modificar o Registro incorretamente com o Editor do Registro ou outro método. Talvez seja necessária a reinstalação do sistema operacional. A Microsoft não pode garantir que esses problemas possam ser resolvidos. Modifique o Registro a seu próprio risco.

Solução 1

Para resolve esse problema, instale o driver mais atual para o adaptador de rede Gigabit. Ou habilite a opção PortFast nos comutadores de rede.

Solução 2

Para resolve esse problema, use o registro para alterar as configurações relacionadas que afetam a conectividade DC. Para fazer isso, use os métodos a seguir.

Método 1

Ajuste as configurações de firewall ou as políticas IPSEC que são alteradas para permitir a conectividade DC. Essas alterações são feitas quando o cliente recebe um endereço IP, mas requer mais tempo para acessar um controlador de domínio, por exemplo, após uma verificação bem-sucedida por meio do Cisco NAC ou do Microsoft NPS Services.

Método 2

Configure a configuração do Netlogon registro como um valor que está com segurança além do tempo necessário para permitir a conectividade DC.

Observação

Isso só será eficaz se o computador já tiver um endereço IP. Isso se aplica a cenários em que uma solução NAP coloca o computador em uma rede de quarentena. Use as seguintes configurações como diretrizes.

Subchave do Registro: HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Netlogon\Parameters
Nome do valor: ExpectedDialupDelay
Tipo de dados: REG_DWORD
O Valor de Dados está em segundos (padrão= 0 )
O intervalo de dados está entre 0 e 600 segundos (10 minutos)

Para obter mais informações, consulte Configurações para minimizar o tráfego de WAN periódico.

Método 3

A pilha de IP tenta verificar o endereço IP usando uma transmissão ARP. Ele atrasa o tempo que o IP leva para entrar online. Você pode definir a entrada do registro do ArpRetryCount como uma (1), para que a espera por exclusividade seja reduzida. Para fazer isso, siga estas etapas:

  1. Inicie o Editor do Registro.

  2. Localize e selecione a seguinte subchave:
    HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\TcpIp\Parameters\

  3. No menu Editar , aponte para Novo e selecione Valor DWORD.

  4. Digite ArpRetryCount.

  5. Clique com o botão direito do mouse na entrada do ArpRetryCount registro e selecione Modificar.

  6. Na caixa de dados Valor , digite 1 e selecione OK.

    Observação

    O Intervalo de Dados está entre 0 e 3 (3 é padrão).

  7. Saia do Editor do Registro.

Método 4

Reduza o período de cache negativo do Netlogon alterando a entrada do NegativeCachePeriod registro na seguinte subchave:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Netlogon\Parameters\NegativeCachePeriod

Depois de fazer essa alteração, o serviço Netlogon não se comporta como se os controladores de domínio estiverem offline por 45 segundos. O evento 5719 ainda está registrado. No entanto, o evento não causa outros problemas significativos. Essa configuração permite que o membro experimente controladores de domínio anteriormente se o processo falhou anteriormente.

Sugestão: tente definir um valor baixo, como três segundos. Em ambientes LAN, você pode usar um valor de 0 para desativar o cache negativo.

Para obter mais informações sobre essa configuração, consulte Configurações para minimizar o tráfego de WAN periódico.

Método 5

Configure a configuração do Kerberos registro como um valor que está com segurança além do tempo necessário para permitir a conectividade DC. Use as seguintes configurações como diretrizes.

Observação

Essa configuração se aplica apenas ao Windows XP e ao Windows Server 2003 ou versões anteriores desses sistemas. Windows Vista e Windows Server 2008 e versões posteriores usam um valor padrão de 0. Esse valor desativa a funcionalidade UDP (User Datagram Protocol) para o cliente Kerberos.

Subchave do Registro: HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Lsa\Kerberos\Parameters
Nome do valor: MaxPacketSize
Tipo de dados: REG_DWORD
Dados de valor: 1
Padrão: (depende da versão do sistema)

Para obter mais informações, consulte Como forçar Kerberos a usar o TCP em vez de UDP no Windows.

Método 6

Desabilite o sentido de mídia para TCP/IP adicionando o seguinte valor à subchave do Tcpip registro:

Subchave do Registro: HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Tcpip\Parameters
Nome do valor: DisableDHCPMediasense
Tipo de dados: REG_DWORD
Dados de valor: 1
Intervalo de valor: booliano ( 0 =False, 1 =True)
Padrão: 0 (False)

Para obter mais informações, consulte Como desabilitar o recurso Media Sensing para TCP/IP no Windows.

Método 7

Política de Grupo tem configurações de política para controlar o tempo de espera para o processamento da política de inicialização:

  1. LAN corporativa ou WLAN:

    Pasta política: "Configuração do computador\modelos administrativos\System\Política de Grupo"
    Nome da política: "Especificar o tempo de espera de processamento de política de inicialização"

  2. LAN externo ou WLAN:

    Pasta política: "Configuração do computador\modelos administrativos\System\Política de Grupo"
    Nome da política: "Especifique o tempo de espera de conectividade no local de trabalho para processamento de políticas"

O tempo que o Netlogon leva para adquirir um IP de trabalho pode ser a base para a configuração. Para cenários de Acesso Direto, você pode medir o atraso típico que sua base de usuários tem até que a conexão seja estabelecida.

Método 8

Se DisabledComponents a configuração do registro estiver em vigor e tiver um valor incorreto de 0xfffffff, exclua a chave ou altere-a para o valor pretendido de 0xff.

Importante

O Protocolo de Internet versão 6 (IPv6) é uma parte obrigatória do Windows Vista e versões posteriores do Windows. Não recomendamos desabilitar o IPv6 ou seus componentes. Se você fizer isso, alguns componentes do Windows talvez não funcionem. Além disso, a inicialização do sistema será atrasada por cinco segundos se o IPv6 estiver desabilitado incorretamente definindo a configuração do DisabledComponents registro como um valor de 0xfffffff. O valor correto é 0xff.

Método 9

O comportamento pode ser causado por uma condição de corrida entre inicialização de rede, localização de um Controlador de Domínio e Política de Grupo de processamento. Se a rede não estiver disponível, um Controlador de Domínio não será localizado e Política de Grupo processamento falhará. Depois que o sistema operacional tiver carregado e um link de rede for negociado e estabelecido, a atualização em segundo plano do Política de Grupo será bem-sucedida.

Você pode definir um valor de registro para atrasar a aplicação de Política de Grupo:

  1. Inicie o Editor do Registro.

  2. Localize e selecione a seguinte subchave:
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon

  3. No menu Editar , aponte para Novo e selecione Valor DWORD.

  4. Digite GpNetworkStartTimeoutPolicyValue.

  5. Clique com o botão direito do mouse na entrada do GpNetworkStartTimeoutPolicyValue registro e selecione Modificar.

  6. Em Base, selecione Decimal.

  7. Na caixa de dados Valor , digite 60 e selecione OK.

  8. Saia do Editor do Registro e reinicie o computador.

  9. Se o script de inicialização Política de Grupo não for executado, aumente o valor da entrada do GpNetworkStartTimeoutPolicyValue registro.

Mais informações

Se você puder fazer logon no domínio sem problemas, poderá ignorar com segurança a ID do evento 5719. Como o serviço Netlogon pode começar antes que a rede esteja pronta, o computador pode não conseguir localizar o controlador de domínio de logon. Portanto, a ID do evento 5719 está registrada. Depois que a rede estiver pronta, o computador tentará novamente localizar o controlador de domínio de logon. Nessa situação, a operação deve ser bem-sucedida.

Em um Netogon.log, as entradas que se assemelham ao exemplo a seguir podem ser registradas:

DateTime [CRITICAL] <domain>: NlDiscoverDc: Cannot find DC. DateTime [CRITICAL] <domain>: NlSessionSetup: Session setup: cannot pick trusted DC DateTime [MISC] Eventlog: 5719 (1)"<domain>" 0xc000005e ... DateTime [SESSION] WPNG: NlSetStatusClientSession: Set connection status to c000005e ... DateTime [SESSION] \Device\NetBT_Tcpip_{4A47AF53-40D3-4F92-ACDF-9B5E82A50E32}: Transport Added (10.0.64.232) -> Getting a proper IP address takes >15 seconds.

Erros semelhantes podem ser relatados por outros componentes que exigem a conectividade do Controlador de Domínio para funcionar corretamente. Por exemplo, o Política de Grupo pode não ser aplicado na inicialização do sistema. Nesse caso, os scripts de inicialização não são executados. As falhas Política de Grupo podem estar relacionadas à falha do Netlogon em localizar um controlador de domínio. Você pode definir Política de Grupo para ser mais responsivo à chegada tardia da conectividade de rede.