Событие netlogon с идентификатором 5719 или событие групповая политика 1129 регистрируется при запуске члена домена

  • Статья

В этой статье рассматривается событие Netlogon с идентификатором 5719 или событие групповая политика 1129, которое регистрируется при запуске члена домена.

Область применения: Windows 10 — все выпуски, Windows Server 2012 R2
Исходный номер базы знаний: 938449

Симптомы

Важно!

Точно следуйте всем указаниям из этого раздела. Внесение неправильных изменений в реестр может привести к возникновению серьезных проблем. Прежде чем приступить к изменениям, создайте резервную копию реестра для восстановления на случай возникновения проблем.

Рассмотрим следующий сценарий:

  • У вас есть компьютер под управлением Windows 10 или Windows Server 2012 R2.
  • Компьютер присоединен к домену.
  • Выполняется одно из следующих условий:
    • На компьютере установлен гигабитный сетевой адаптер.
    • Вы защищаете сетевой доступ с помощью защиты доступа к сети (NAP), проверки подлинности сети (с помощью 802.1x) или другого метода.

В этом сценарии следующее событие регистрируется в системном журнале при запуске компьютера в Windows 8.1 и более ранних версиях. В Windows 10 и более поздних версиях событие 5719 больше не регистрируется в этой ситуации. Вместо этого в Netlogon.log записываются следующие строки:

[CRITICAL] [960] CONTOSO: NlSessionSetup: Session setup: cannot pick trusted DC  
[SESSION] [960] No IP addresses present, skipping No DC event log

После возникновения этой проблемы компьютеру назначается IP-адрес:

[SESSION] [960] V6 Winsock Addrs: fe80::5faf:632a:f22c:644a%2 (1) V6WinsockPnpAddresses List used to be empty.  
[SESSION] [960] Winsock Addrs: 10.1.1.80 (1) List used to be empty.

В Windows 10 и более поздних версиях вы увидите только события по компонентам в зависимости от подключения контроллера домена (например, групповая политика). В журнал отладки групповой политики записываются следующие записи:

CGPApplicationService::MachinePolicyStartedWaitingOnNetwork.  
CGPMachineStartupConnectivity::CalculateWaitTimeoutFromHistory: Average is 388.
CGPMachineStartupConnectivity::CalculateWaitTimeoutFromHistory: Current is -1.
CGPMachineStartupConnectivity::CalculateWaitTimeoutFromHistory: Taking min of 776 and 30000.  
Waiting for SamSs with timeout 776

NlaQueryNetSignatures returned 1 networks  
NSI Information (Network GUID) : {395DB3C8-CE45-11E5-9739-806E6F6E6963}  
NSI Information (CompartmentId) : 1  
NSI Information (SiteId) : 134217728  
NSI Information (Network Name) :  
NlaGetIntranetCapability failed with 0x15  
There is no domain compartment  
ProcessGPOs(Machine): MyGetUserName failed with 1355.  
Opened query for NLA successfully  
NlaGetIntranetCapability returned Not Ready error. Consider it as NOT intranet capable.  

GPSVC(530.ae0) <DateTime> There is no connectivity  
GPSVC(530.8e0) <DateTime> ApplyGroupPolicy: Getting ready to create background thread GPOThread.

В первом разделе показано вычисление времени ожидания, используемого для запуска сети. Он может быть основан на предыдущих быстрых стартапах.

Во втором разделе показано, что осведомленность о сетевом расположении (NLA) не сообщает о рабочей сети в пределах допустимого интервала ожидания, а обработка запуска групповой политики завершается сбоем. В третьем разделе показано, что подсистема групповая политика запускает фоновую процедуру, а затем ожидает одну минуту после того, как сеть станет доступной.

Причина

Эта проблема может возникнуть по любой из следующих причин:

  • Служба Netlogon запускается до того, как сеть будет готова. Инициализация сетевого стека и адаптера часто начинается примерно в одно и то же время. Некоторые сетевые адаптеры и коммутаторы выполняют проверки уникальности протоколов и MAC-адресов, которые выполняются дольше времени ожидания, установленного для netlogon для обнаружения сетевого подключения.
  • Решения, которые проверяют работоспособность нового члена сети, задерживают сетевое подключение и возможность доступа к контроллерам домена. Если у вас включено автоматическое подключение к каналу прямого доступа, это также может потребовать больше времени, чем позволяет Netlogon.
  • Процесс проверки подлинности 802.1X задерживает подключения к контроллерам домена.
  • Клиент испытывает задержку при получении IP-адреса с DHCP-сервера. Это задерживает отображение сетевого интерфейса.

групповая политика в Windows Vista и более поздних версиях записывается для согласования состояния сети с включенным NLA. И он ожидает сети с подключением к контроллеру домена. Однако групповая политика может начаться преждевременно из-за приложения политики. Это особенно актуально, когда задержка в поиске сети чередуется между стартапами.

Предупреждение

При неправильном изменении реестра с использованием редактора реестра или другого способа могут случиться серьезные проблемы. Для решения этих проблем может потребоваться переустановка операционной системы. Компания Microsoft не может гарантировать, что эти проблемы могут быть решены. Вносите изменения в реестр на ваш страх и риск.

Решение 1

Чтобы устранить эту проблему, установите самый актуальный драйвер для сетевого адаптера Gigabit. Или включите параметр PortFast в сетевых коммутаторах.

Решение 2

Чтобы устранить эту проблему, используйте реестр для изменения связанных параметров, влияющих на подключение контроллера домена. Для этого используйте следующие методы.

Способ 1

Настройте параметры брандмауэра или политики IPSEC, которые были изменены, чтобы разрешить подключение контроллера домена. Эти изменения вносятся, когда клиент получает IP-адрес, но требуется больше времени для доступа к контроллеру домена, например после успешной проверки через Cisco NAC или службы Microsoft NPS.

Способ 2

Netlogon Настройте для параметра реестра значение, которое безопасно превышает время, необходимое для подключения контроллера домена.

Примечание.

Это действует только в том случае, если на компьютере уже есть IP-адрес. Это относится к сценариям, когда решение nap помещает компьютер в сеть карантина. Используйте следующие параметры в качестве рекомендаций.

Подраздел реестра: HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Netlogon\Parameters
Имя значения: ExpectedDialupDelay
Тип данных: REG_DWORD
Значение данных в секундах (по умолчанию = 0 )
Диапазон данных составляет от 0 до 600 секунд (10 минут)

Дополнительные сведения см. в разделе Параметры для минимизации периодического трафика глобальной сети.

Способ 3

Стек IP-адресов пытается проверить IP-адрес с помощью широковещательной передачи ARP. Это задерживает время, необходимое IP-адресу, чтобы подключиться к сети. Для записи реестра ArpRetryCount можно задать значение один (1), чтобы сократить время ожидания уникальности. Для этого выполните следующие действия:

  1. Откройте редактор реестра.

  2. Найдите и выберите следующий подраздел:
    HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\TcpIp\Parameters\

  3. В меню Правка наведите указатель мыши на пункт Создать, а затем выберите значение DWORD.

  4. Введите ArpRetryCount.

  5. Щелкните правой ArpRetryCount кнопкой мыши запись реестра и выберите Изменить.

  6. В поле Данные значения введите 1 и нажмите кнопку ОК.

    Примечание.

    Диапазон данных находится в диапазоне от 0 до 3 (по умолчанию — 3).

  7. Закройте редактор реестра.

Способ 4

Уменьшите период отрицательного кэша Netlogon, изменив NegativeCachePeriod запись реестра в следующем подразделе:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Netlogon\Parameters\NegativeCachePeriod

После внесения этого изменения служба Netlogon не будет работать так, как будто контроллеры домена находятся в автономном режиме в течение 45 секунд. Событие 5719 по-прежнему регистрируется в журнале. Однако событие не вызывает других существенных проблем. Этот параметр позволяет участнику попробовать контроллеры домена ранее, если процесс ранее завершился сбоем.

Предложение. Попробуйте задать низкое значение, например три секунды. В средах локальной сети можно использовать значение 0, чтобы отключить отрицательный кэш.

Дополнительные сведения об этом параметре см. в разделе Параметры для минимизации периодического трафика глобальной сети.

Метод 5

Kerberos Настройте для параметра реестра значение, которое безопасно превышает время, необходимое для подключения контроллера домена. Используйте следующие параметры в качестве рекомендаций.

Примечание.

Этот параметр применяется только к Windows XP и Windows Server 2003 или более ранним версиям этих систем. Windows Vista и Windows Server 2008 и более поздних версий используют значение по умолчанию 0. Это значение отключает функциональные возможности протокола UDP для клиента Kerberos.

Подраздел реестра: HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Lsa\Kerberos\Parameters
Имя значения: MaxPacketSize
Тип данных: REG_DWORD
Данные значения: 1
По умолчанию: (зависит от версии системы)

Дополнительные сведения см. в статье Принудительное использование Протокола Kerberos вместо UDP в Windows.

Метод 6

Отключите контроль мультимедиа для TCP/IP, добавив следующее значение в Tcpip подраздел реестра:

Подраздел реестра: HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Tcpip\Parameters
Имя значения: DisableDHCPMediaSense
Тип данных: REG_DWORD
Данные значения: 1
Диапазон значений: логическое значение ( 0 =False, 1 =True)
По умолчанию: 0 (false)

Дополнительные сведения см. в разделе Отключение функции проверки мультимедиа для TCP/IP в Windows.

Способ 7

групповая политика имеет параметры политики для управления временем ожидания для обработки политики запуска:

  1. Корпоративная локальная сеть или WLAN:

    Папка политики: "Конфигурация компьютера\Административные шаблоны\Система\групповая политика".
    Имя политики: "Укажите время ожидания обработки политики запуска"

  2. Внешняя локальная сеть или WLAN:

    Папка политики: "Конфигурация компьютера\Административные шаблоны\Система\групповая политика".
    Имя политики: "Укажите время ожидания подключения к рабочему месту для обработки политики"

В основе параметра может быть время, необходимое netlogon для получения рабочего IP-адреса. В сценариях с прямым доступом можно измерить типичную задержку, которая имеется в базе пользователей до установления подключения.

Способ 8

Если DisabledComponents параметр реестра установлен и имеет неверное значение 0xfffffff, удалите раздел или измените его на предполагаемое значение 0xff.

Важно!

Протокол ИНТЕРНЕТА версии 6 (IPv6) является обязательной частью Windows Vista и более поздних версий Windows. Отключать протокол IPv6 или его компоненты не рекомендуется. Это может привести к нарушению работы компонентов Windows. Кроме того, запуск системы будет отложен на пять секунд, если IPv6 отключен неправильно, задав DisabledComponents для параметра реестра значение 0xfffffff. Правильное значение — 0xff.

Метод 9

Поведение может быть вызвано состоянием гонки между инициализацией сети, размещением контроллера домена и обработкой групповая политика. Если сеть недоступна, контроллер домена не будет расположен, и обработка групповая политика завершится ошибкой. После загрузки операционной системы и согласования и установки сетевого канала будет выполнено фоновое обновление групповая политика.

Можно задать значение реестра, чтобы отложить применение групповая политика:

  1. Откройте редактор реестра.

  2. Найдите и выберите следующий подраздел:
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon

  3. В меню Правка наведите указатель мыши на пункт Создать, а затем выберите значение DWORD.

  4. Введите GpNetworkStartTimeoutPolicyValue.

  5. Щелкните правой GpNetworkStartTimeoutPolicyValue кнопкой мыши запись реестра и выберите Изменить.

  6. В разделе Базовый выберите Десятичный.

  7. В поле Значение введите60 и нажмите кнопку ОК.

  8. Закройте редактор реестра и перезагрузите компьютер.

  9. Если скрипт запуска групповая политика не выполняется, увеличьте значение GpNetworkStartTimeoutPolicyValue записи реестра.

Дополнительная информация

Если вы можете войти в домен без проблем, можно спокойно игнорировать событие с идентификатором 5719. Так как служба Netlogon может запуститься до того, как сеть будет готова, компьютеру не удается найти контроллер домена для входа. Таким образом, регистрируется событие с идентификатором 5719. Когда сеть будет готова, компьютер снова попытается найти контроллер домена входа. В этой ситуации операция должна быть успешной.

В Netogon.log записи, похожие на следующий пример, могут быть зарегистрированы:

DateTime [CRITICAL] <domain>: NlDiscoverDc: Cannot find DC. DateTime [CRITICAL] <domain>: NlSessionSetup: Session setup: cannot pick trusted DC DateTime [MISC] Eventlog: 5719 (1)"<domain>" 0xc000005e ... DateTime [SESSION] WPNG: NlSetStatusClientSession: Set connection status to c000005e ... DateTime [SESSION] \Device\NetBT_Tcpip_{4A47AF53-40D3-4F92-ACDF-9B5E82A50E32}: Transport Added (10.0.64.232) -> Getting a proper IP address takes >15 seconds.

Аналогичные ошибки могут сообщаться другими компонентами, для которых требуется правильное подключение контроллера домена. Например, групповая политика может не применяться при запуске системы. В этом случае скрипты запуска не выполняются. Сбои групповая политика могут быть связаны со сбоем netlogon при поиске контроллера домена. Вы можете настроить групповая политика, чтобы они были более чувствительными к задержке подключения к сети.