Freigeben über

Netlogon-Ereignis-ID 5719 oder Gruppenrichtlinienereignis 1129 wird protokolliert, wenn Sie ein Domänenmitglied starten

  • Artikel

In diesem Artikel wird die Netlogon-Ereignis-ID 5719 oder das Gruppenrichtlinienereignis 1129 gelöst, das beim Starten eines Domänenmitglieds protokolliert wird.

Ursprüngliche KB-Nummer: 938449

Symptome

Wichtig

Folgen Sie den Schritten in diesem Abschnitt sorgfältig. Wird die Registrierung falsch angepasst, können schwerwiegende Probleme auftreten. Bevor Sie sie ändern, sichern Sie die Registrierung zwecks Wiederherstellung für den Fall, dass Probleme auftreten.

Sehen Sie sich dieses Szenario an:

  • Sie verfügen über einen Computer mit Windows 10 oder Windows Server 2012 R2.
  • Der Computer ist einer Domäne beigetreten.
  • Eine der folgenden Bedingungen gilt:
    • Auf dem Computer ist ein Gigabit-Netzwerkadapter installiert.
    • Sie sichern den Netzwerkzugriff mithilfe von Network Access Protection (NAP), der Netzwerkauthentifizierung (mit 802.1x) oder einer anderen Methode.

In diesem Szenario wird das folgende Ereignis im Systemprotokoll protokolliert, wenn Sie den Computer in Windows 8.1 und früheren Versionen starten. In Windows 10 und höheren Versionen wird ereignis 5719 nicht mehr in dieser Situation protokolliert. Stattdessen werden die folgenden Zeilen in Netlogon.log aufgezeichnet:

[CRITICAL] [960] CONTOSO: NlSessionSetup: Session setup: cannot pick trusted DC  
[SESSION] [960] No IP addresses present, skipping No DC event log

Nach diesem Problem wird dem Computer eine IP-Adresse zugewiesen:

[SESSION] [960] V6 Winsock Addrs: fe80::5faf:632a:f22c:644a%2 (1) V6WinsockPnpAddresses List used to be empty.  
[SESSION] [960] Winsock Addrs: 10.1.1.80 (1) List used to be empty.

Unter Windows 10 und höheren Versionen werden je nach Domänencontrollerkonnektivität (z. B. Gruppenrichtlinie) nur Ereignisse nach Komponenten angezeigt. Die folgenden Einträge werden im Debugprotokoll für Gruppenrichtlinien aufgezeichnet:

CGPApplicationService::MachinePolicyStartedWaitingOnNetwork.  
CGPMachineStartupConnectivity::CalculateWaitTimeoutFromHistory: Average is 388.
CGPMachineStartupConnectivity::CalculateWaitTimeoutFromHistory: Current is -1.
CGPMachineStartupConnectivity::CalculateWaitTimeoutFromHistory: Taking min of 776 and 30000.  
Waiting for SamSs with timeout 776

NlaQueryNetSignatures returned 1 networks  
NSI Information (Network GUID) : {395DB3C8-CE45-11E5-9739-806E6F6E6963}  
NSI Information (CompartmentId) : 1  
NSI Information (SiteId) : 134217728  
NSI Information (Network Name) :  
NlaGetIntranetCapability failed with 0x15  
There is no domain compartment  
ProcessGPOs(Machine): MyGetUserName failed with 1355.  
Opened query for NLA successfully  
NlaGetIntranetCapability returned Not Ready error. Consider it as NOT intranet capable.  

GPSVC(530.ae0) <DateTime> There is no connectivity  
GPSVC(530.8e0) <DateTime> ApplyGroupPolicy: Getting ready to create background thread GPOThread.

Der erste Abschnitt zeigt die Berechnung des Timeouts, das zum Aufrufen des Netzwerks verwendet werden soll. Es kann auf früheren schnellen Startups basieren.

Im zweiten Abschnitt wird gezeigt, dass die Netzwerkspeicherort-Sensibilisierung (Network Location Awareness, NLA) innerhalb des zulässigen Wartezeitintervalls ein funktionierendes Netzwerk nicht meldet, und die Startverarbeitung von Gruppenrichtlinien schlägt fehl. Der dritte Abschnitt zeigt, dass das Gruppenrichtlinienmodul eine Hintergrundprozedur startet und dann eine Minute wartet, nachdem ein Netzwerk verfügbar ist.

Ursache

Dieses Problem kann aus einem der folgenden Gründe auftreten:

  • Der Netlogon-Dienst wird gestartet, bevor das Netzwerk bereit ist. Die Netzwerkstapel- und Adapterinitialisierung beginnen häufig gleichzeitig. Einige Netzwerkadapter und Switches verfügen über Verbindungsvermittlung und MAC-Adress eindeutigkeitsprüfungen, die länger dauern, als die Wartezeit, die für Netlogon festgelegt ist, um die Netzwerkkonnektivität zu erkennen.
  • Lösungen, die die Integrität des neuen Netzwerkmitglieds überprüfen, verzögern die Netzwerkverbindung und Ihre Fähigkeit, auf Domänencontroller zuzugreifen. Wenn sie eine automatische Direct Access-Kanalverbindung aktiviert haben, ist möglicherweise auch mehr Zeit erforderlich, als Netlogon zulässt.
  • Der 802.1X-Authentifizierungsprozess verzögert Verbindungen mit den Domänencontrollern.
  • Der Client verursacht eine Verzögerung zum Abrufen einer IP-Adresse vom DHCP-Server. Die Anzeige der Netzwerkschnittstelle wird verzögert.

Gruppenrichtlinien in Windows Vista und höheren Versionen werden geschrieben, um den Netzwerkstatus mit aktivierter NLA auszuhandeln. Und es wartet auf ein Netzwerk mit DC-Konnektivität. Gruppenrichtlinien können jedoch aufgrund einer Richtlinienanwendung vorzeitig gestartet werden. Diese Situation trifft besonders zu, wenn sich die Verzögerung beim Auffinden eines Netzwerks zwischen Startups abwechselt.

Warnung

Schwerwiegende Probleme können auftreten, wenn die Registrierung mit dem Registrierungs-Editor oder einer anderen Methode unsachgemäß bearbeitet wird. Aufgrund dieser Probleme kann eine Neuinstallation des Betriebssystems erforderlich sein. Microsoft gibt keinerlei Garantien dafür ab, dass diese Probleme behoben werden können. Das Ändern der Registrierung erfolgt auf eigenes Risiko.

Lösung 1

Um dieses Problem zu beheben, installieren Sie den aktuellen Treiber für den Gigabit-Netzwerkadapter. Oder aktivieren Sie die Option "PortFast " auf den Netzwerkswitchen.

Lösung 2

Um dieses Problem zu beheben, verwenden Sie die Registrierung, um die zugehörigen Einstellungen zu ändern, die sich auf die DC-Konnektivität auswirken. Verwenden Sie dazu die folgenden Methoden.

Methode 1

Passen Sie die Firewalleinstellungen oder IPSEC-Richtlinien an, die geändert werden, um dc-Konnektivität zu ermöglichen. Diese Änderungen werden vorgenommen, wenn der Client eine IP-Adresse empfängt, aber mehr Zeit benötigt, um auf einen Domänencontroller zuzugreifen, z. B. nach einer erfolgreichen Überprüfung über Cisco NAC oder Microsoft NPS Services.

Methode 2

Konfigurieren Sie die Netlogon Registrierungseinstellung auf einen Wert, der sicher über die erforderliche Zeit für dc-Konnektivität hinausgeht.

Notiz

Dies ist nur wirksam, wenn der Computer bereits über eine IP-Adresse verfügt. Dies gilt für Szenarien, in denen eine NAP-Lösung den Computer in ein Quarantänenetzwerk versetzt. Verwenden Sie die folgenden Einstellungen als Richtlinien.

Registrierungsunterschlüssel: HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Netlogon\Parameters
Wertname: ExpectedDialupDelay
Datentyp: REG_DWORD
Der Datenwert ist in Sekunden (Standard= 0)
Der Datenbereich liegt zwischen 0 und 600 Sekunden (10 Minuten)

Weitere Informationen finden Sie unter "Einstellungen zum Minimieren des regelmäßigen WAN-Datenverkehrs".

Methode 3

Der IP-Stapel versucht, die IP-Adresse mithilfe einer ARP-Übertragung zu überprüfen. Es verzögert die Zeit, zu der die IP online kommt. Sie können den ArpRetryCount-Registrierungseintrag auf einen (1) festlegen, sodass die Wartezeit auf Eindeutigkeit gekürzt wird. Gehen Sie dazu wie folgt vor:

  1. Starten Sie den Registrierungs-Editor.

  2. Suchen Sie den folgenden Unterschlüssel, und wählen Sie ihn aus:
    HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\TcpIp\Parameters\

  3. Zeigen Sie im Menü Bearbeiten auf Neu und wählen Sie dann DWORD-Wert.

  4. Geben Sie ArpRetryCount ein.

  5. Klicken Sie mit der rechten Maustaste auf den ArpRetryCount Registrierungseintrag, und wählen Sie dann "Ändern" aus.

  6. Geben Sie im Datenfeld Wert den Wert 1 ein, und wählen Sie dann OK aus.

    Notiz

    Der Datenbereich liegt zwischen 0 und 3 (3 ist Standardeinstellung).

  7. Beenden Sie den Registrierungs-Editor.

Methode 4

Verringern Sie den negativen Cachezeitraum von Netlogon, indem Sie den NegativeCachePeriod Registrierungseintrag im folgenden Unterschlüssel ändern:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Netlogon\Parameters\NegativeCachePeriod

Nachdem Sie diese Änderung vorgenommen haben, verhält sich der Netlogon-Dienst nicht so, als ob die Domänencontroller 45 Sekunden offline sind. Das Ereignis 5719 wird noch protokolliert. Das Ereignis verursacht jedoch keine anderen erheblichen Probleme. Diese Einstellung ermöglicht es Membern, zuvor Domänencontroller zu testen, wenn der Prozess zuvor fehlgeschlagen ist.

Vorschlag: Versuchen Sie, einen niedrigen Wert festzulegen, z. B. drei Sekunden. In LAN-Umgebungen können Sie den Wert 0 verwenden, um den negativen Cache zu deaktivieren.

Weitere Informationen zu dieser Einstellung finden Sie unter Einstellungen zum Minimieren des regelmäßigen WAN-Datenverkehrs.

Methode 5

Konfigurieren Sie die Kerberos Registrierungseinstellung auf einen Wert, der sicher über die erforderliche Zeit für dc-Konnektivität hinausgeht. Verwenden Sie die folgenden Einstellungen als Richtlinien.

Notiz

Diese Einstellung gilt nur für Windows XP und Windows Server 2003 oder frühere Versionen dieser Systeme. Windows Vista und Windows Server 2008 und höhere Versionen verwenden den Standardwert 0. Dieser Wert deaktiviert die Udp-Funktionalität (User Datagram Protocol) für den Kerberos-Client.

Registrierungsunterschlüssel: HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Lsa\Kerberos\Parameters
Wertname: MaxPacketSize
Datentyp: REG_DWORD
Wertdaten: 1
Standard: (hängt von der Systemversion ab)

Weitere Informationen finden Sie unter How to force Kerberos to use TCP instead of UDP in Windows.

Methode 6

Deaktivieren Sie die Medienoptimierung für TCP/IP, indem Sie dem Registrierungsunterschlüssel den Tcpip folgenden Wert hinzufügen:

Registrierungsunterschlüssel: HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Tcpip\Parameters
Wertname: DisableDHCPMediaSense
Datentyp: REG_DWORD
Wertdaten: 1
Wertbereich: Boolean ( 0 =False, 1 =True)
Standard: 0 (False)

Weitere Informationen finden Sie unter Deaktivieren des Features "Medienerkennung" für TCP/IP in Windows.

Methode 7

Gruppenrichtlinie verfügt über Richtlinieneinstellungen, um die Wartezeit für die Verarbeitung von Startrichtlinien zu steuern:

  1. Unternehmens-LAN oder WLAN:

    Richtlinienordner: "Computerkonfiguration\Administrative Vorlagen\System\Gruppenrichtlinie"
    Richtlinienname: "Wartezeit für die Verarbeitung von Startrichtlinien angeben"

  2. Externes LAN oder WLAN:

    Richtlinienordner: "Computerkonfiguration\Administrative Vorlagen\System\Gruppenrichtlinie"
    Richtlinienname: "Angeben der Wartezeit für die Arbeitsplatzkonnektivität für die Richtlinienverarbeitung"

Die Zeit, die netlogon benötigt, um eine funktionierende IP zu erwerben, kann die Grundlage für die Einstellung sein. Für Direct Access-Szenarien können Sie die typische Verzögerung der Benutzerbasis messen, bis die Verbindung hergestellt wurde.

Methode 8

Wenn DisabledComponents die Registrierungseinstellung vorhanden ist und einen falschen Wert von 0xfffffff hat, löschen Sie entweder den Schlüssel, oder ändern Sie sie in den beabsichtigten Wert von 0xff.

Wichtig

Die Internetprotokollversion 6 (IPv6) ist ein obligatorischer Bestandteil von Windows Vista und neueren Versionen von Windows. Es wird nicht empfohlen, IPv6 oder IPv6-Komponenten zu deaktivieren. Andernfalls funktionieren einige Windows-Komponenten möglicherweise nicht mehr. Darüber hinaus wird der Systemstart fünf Sekunden verzögert, wenn IPv6 falsch deaktiviert ist, indem die DisabledComponents Registrierungseinstellung auf einen Wert von 0xfffffff festgelegt wird. Der richtige Wert ist 0xff.

Methode 9

Das Verhalten kann durch eine Racebedingung zwischen der Netzwerkinitialisierung und dem Auffinden eines Domänencontrollers und der Verarbeitung von Gruppenrichtlinien verursacht werden. Wenn das Netzwerk nicht verfügbar ist, befindet sich kein Domänencontroller, und die Gruppenrichtlinienverarbeitung schlägt fehl. Sobald das Betriebssystem geladen wurde und eine Netzwerkverbindung ausgehandelt und eingerichtet wird, wird die Hintergrundaktualisierung der Gruppenrichtlinie erfolgreich ausgeführt.

Sie können einen Registrierungswert festlegen, um die Anwendung der Gruppenrichtlinie zu verzögern:

  1. Starten Sie den Registrierungs-Editor.

  2. Suchen Sie den folgenden Unterschlüssel, und wählen Sie ihn aus:
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon

  3. Zeigen Sie im Menü Bearbeiten auf Neu und wählen Sie dann DWORD-Wert.

  4. Geben Sie GpNetworkStartTimeoutPolicyValue ein.

  5. Klicken Sie mit der rechten Maustaste auf den GpNetworkStartTimeoutPolicyValue Registrierungseintrag, und wählen Sie dann "Ändern" aus.

  6. Wählen Sie unter "Basis" die Option "Dezimal" aus.

  7. Geben Sie im Feld "Wert" 60 ein, und wählen Sie dann "OK" aus.

  8. Beenden Sie den Registrierungs-Editor, und starten Sie den Computer anschließend neu.

  9. Wenn das Startskript für Gruppenrichtlinien nicht ausgeführt wird, erhöhen Sie den Wert des GpNetworkStartTimeoutPolicyValue Registrierungseintrags.

Weitere Informationen

Wenn Sie sich ohne Probleme bei der Domäne anmelden können, können Sie die Ereignis-ID 5719 sicher ignorieren. Da der Netlogon-Dienst gestartet werden kann, bevor das Netzwerk bereit ist, kann der Computer den Anmeldedomänencontroller möglicherweise nicht finden. Daher wird die Ereignis-ID 5719 protokolliert. Nachdem das Netzwerk bereit ist, versucht der Computer erneut, den Anmeldedomänencontroller zu suchen. In dieser Situation sollte der Vorgang erfolgreich sein.

In einem Netogon.log können Einträge protokolliert werden, die dem folgenden Beispiel ähneln:

DateTime [CRITICAL] <domain>: NlDiscoverDc: Cannot find DC. DateTime [CRITICAL] <domain>: NlSessionSetup: Session setup: cannot pick trusted DC DateTime [MISC] Eventlog: 5719 (1)"<domain>" 0xc000005e ... DateTime [SESSION] WPNG: NlSetStatusClientSession: Set connection status to c000005e ... DateTime [SESSION] \Device\NetBT_Tcpip_{4A47AF53-40D3-4F92-ACDF-9B5E82A50E32}: Transport Added (10.0.64.232) -> Getting a proper IP address takes >15 seconds.

Ähnliche Fehler können von anderen Komponenten gemeldet werden, für die eine Domänencontrollerkonnektivität ordnungsgemäß funktioniert. Die Gruppenrichtlinie kann z. B. beim Systemstart nicht angewendet werden. In diesem Fall werden Startskripts nicht ausgeführt. Die Gruppenrichtlinienfehler können mit dem Fehler von Netlogon zusammenhängen, um einen Domänencontroller zu finden. Sie können die Gruppenrichtlinie so festlegen, dass sie schneller auf die Ankunft der Netzwerkkonnektivität reagiert.