Nota
El acceso a esta página requiere autorización. Puede intentar iniciar sesión o cambiar directorios.
El acceso a esta página requiere autorización. Puede intentar cambiar los directorios.
En este artículo se resuelve el identificador de evento de Netlogon 5719 o el evento de directiva de grupo 1129 que se registra al iniciar un miembro de dominio.
Número de KB original: 938449
Síntomas
Importante
Sigue meticulosamente los pasos que se describen en esta sección. Pueden producirse problemas graves si modifica el Registro de manera incorrecta. Antes de modificarlo, haz una copia de seguridad del registro para restaurarlo, por si se produjeran problemas.
Tenga en cuenta este contexto:
- Tiene un equipo que ejecuta Windows 10 o Windows Server 2012 R2.
- El equipo está unido a un dominio.
- Se cumple una de estas condiciones:
- El equipo tiene instalado un adaptador de red Gigabit.
- El acceso a la red se protege mediante network Access Protection (NAP), la autenticación de red (mediante 802.1x) u otro método.
En este escenario, el siguiente evento se registra en el registro del sistema al iniciar el equipo en Windows 8.1 y versiones anteriores. En Windows 10 y versiones posteriores, el evento 5719 ya no se registra en esta situación. En su lugar, las líneas siguientes se registran en Netlogon.log:
[CRITICAL] [960] CONTOSO: NlSessionSetup: Session setup: cannot pick trusted DC
[SESSION] [960] No IP addresses present, skipping No DC event log
Una vez que se produce este problema, al equipo se le asigna una dirección IP:
[SESSION] [960] V6 Winsock Addrs: fe80::5faf:632a:f22c:644a%2 (1) V6WinsockPnpAddresses List used to be empty.
[SESSION] [960] Winsock Addrs: 10.1.1.80 (1) List used to be empty.
En Windows 10 y versiones posteriores, solo verá eventos por componentes, en función de la conectividad del controlador de dominio (como la directiva de grupo). Las siguientes entradas se registran en el registro de depuración de directivas de grupo:
CGPApplicationService::MachinePolicyStartedWaitingOnNetwork.
CGPMachineStartupConnectivity::CalculateWaitTimeoutFromHistory: Average is 388.
CGPMachineStartupConnectivity::CalculateWaitTimeoutFromHistory: Current is -1.
CGPMachineStartupConnectivity::CalculateWaitTimeoutFromHistory: Taking min of 776 and 30000.
Waiting for SamSs with timeout 776
NlaQueryNetSignatures returned 1 networks
NSI Information (Network GUID) : {395DB3C8-CE45-11E5-9739-806E6F6E6963}
NSI Information (CompartmentId) : 1
NSI Information (SiteId) : 134217728
NSI Information (Network Name) :
NlaGetIntranetCapability failed with 0x15
There is no domain compartment
ProcessGPOs(Machine): MyGetUserName failed with 1355.
Opened query for NLA successfully
NlaGetIntranetCapability returned Not Ready error. Consider it as NOT intranet capable.
GPSVC(530.ae0) <DateTime> There is no connectivity
GPSVC(530.8e0) <DateTime> ApplyGroupPolicy: Getting ready to create background thread GPOThread.
En la primera sección se muestra el cálculo del tiempo de espera que se usará para abrir la red. Puede basarse en startups rápidas anteriores.
En la segunda sección se muestra que el reconocimiento de ubicación de red (NLA) no puede notificar una red en funcionamiento dentro del intervalo de espera permitido y se produce un error en el procesamiento de inicio de la directiva de grupo. En la tercera sección se muestra que el motor de directivas de grupo inicia un procedimiento en segundo plano y, a continuación, espera un minuto después de que una red esté disponible.
Causa
Este problema puede producirse por cualquiera de estos motivos:
- El servicio Netlogon se inicia antes de que la red esté lista. La inicialización del adaptador y la pila de red a menudo comienzan al mismo tiempo. Algunos adaptadores de red y conmutadores tienen comprobaciones de exclusividad de direcciones MAC y arbitraje de vínculos que tardan más tiempo en completarse que el tiempo de espera establecido para Netlogon para detectar la conectividad de red.
- Las soluciones que comprueban el estado del nuevo miembro de red retrasan la conexión de red y su capacidad de acceder a los controladores de dominio. Si tiene habilitada una conexión automática de canal de Acceso directo, también puede requerir más tiempo para hacer lo que permite Netlogon.
- El proceso de autenticación 802.1X retrasa las conexiones a los controladores de dominio.
- El cliente experimenta un retraso para recuperar una dirección IP del servidor DHCP. Retrasa la presentación de la interfaz de red.
La directiva de grupo en Windows Vista y versiones posteriores se escribe para negociar el estado de red que tiene habilitado el NLA. Y espera una red que tenga conectividad de controlador de dominio. Sin embargo, la directiva de grupo puede iniciarse prematuramente debido a una aplicación de directiva. Esta situación es especialmente cierta cuando el retraso en la búsqueda de una red alternativa entre las startups.
Advertencia
Es posible que se produzcan problemas graves si modifica el Registro de forma incorrecta mediante el Editor del Registro u otro método. Estos problemas pueden requerir la reinstalación del sistema operativo. Microsoft no puede garantizar la solución de estos problemas. La modificación del Registro se hará bajo su propia responsabilidad.
Resolución 1
Para resolver este problema, instale el controlador más actual para el adaptador de red Gigabit. O bien, habilite la opción PortFast en los conmutadores de red.
Resolución 2
Para resolver este problema, use el Registro para cambiar la configuración relacionada que afecta a la conectividad de controlador de dominio. Para ello, use los métodos siguientes.
Método 1
Ajuste la configuración del firewall o las directivas de IPSEC que se cambian para permitir la conectividad de controlador de dominio. Estos cambios se realizan cuando el cliente recibe una dirección IP, pero requiere más tiempo para acceder a un controlador de dominio, por ejemplo, después de una comprobación correcta a través de Cisco NAC o Microsoft NPS Services.
Método 2
Configure la configuración del Netlogon Registro en un valor que esté fuera del tiempo necesario para permitir la conectividad de controlador de dominio de forma segura.
Nota:
Esto solo es efectivo si la máquina ya tiene una dirección IP. Esto se aplica a escenarios en los que una solución NAP coloca la máquina en una red de cuarentena. Use la siguiente configuración como directrices.
Subclave del Registro: HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Netlogon\Parameters
Nombre del valor: ExpectedDialupDelay
Tipo de datos: REG_DWORD
El valor de datos es en segundos (valor predeterminado= 0 )
El intervalo de datos está comprendido entre 0 y 600 segundos (10 minutos)
Para obtener más información, consulte Configuración para minimizar el tráfico WAN periódico.
Método 3
La pila ip intenta comprobar la dirección IP mediante una difusión de ARP. Retrasa el tiempo que tarda la dirección IP en conectarse. Puede establecer la entrada del Registro ArpRetryCount en una (1), por lo que se abre la espera de unicidad. Para ello, siga estos pasos:
Inicia el Editor del Registro.
Busque y seleccione la subclave siguiente:
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\TcpIp\Parameters\En el menú Editar, seleccione Nuevo y a continuación, Valor DWORD.
Escriba ArpRetryCount.
Haga clic con el botón derecho en la entrada del
ArpRetryCountRegistro y seleccione Modificar.En el cuadro de datos Valor, escriba 1 y, a continuación, seleccione Aceptar.
Nota:
El intervalo de datos está comprendido entre 0 y 3 (3 es el valor predeterminado).
Salga del Editor del Registro.
Método 4
Reduzca el período de caché negativa de Netlogon cambiando la entrada del NegativeCachePeriod Registro en la subclave siguiente:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Netlogon\Parameters\NegativeCachePeriod
Después de realizar este cambio, el servicio Netlogon no se comporta como si los controladores de dominio estuvieran sin conexión durante 45 segundos. El evento 5719 todavía está registrado. Sin embargo, el evento no causa ningún otro problema significativo. Esta configuración permite al miembro probar controladores de dominio anteriormente si se produjo un error en el proceso anteriormente.
Sugerencia: intente establecer un valor bajo, como tres segundos. En entornos LAN, puede usar un valor de 0 para desactivar la caché negativa.
Para obtener más información sobre esta configuración, consulte Configuración para minimizar el tráfico WAN periódico.
Método 5
Configure la configuración del Kerberos Registro en un valor que esté fuera del tiempo necesario para permitir la conectividad de controlador de dominio de forma segura. Use la siguiente configuración como directrices.
Nota:
Esta configuración solo se aplica a Windows XP y Windows Server 2003 o versiones anteriores de estos sistemas. Windows Vista y Windows Server 2008 y versiones posteriores usan un valor predeterminado de 0. Este valor desactiva la funcionalidad del Protocolo de datagramas de usuario (UDP) para el cliente Kerberos.
Subclave del Registro: HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Lsa\Kerberos\Parameters
Nombre del valor: MaxPacketSize
Tipo de datos: REG_DWORD
Datos de valor: 1
Valor predeterminado: (depende de la versión del sistema)
Para obtener más información, consulte Cómo forzar a Kerberos a usar TCP en lugar de UDP en Windows.
Método 6
Deshabilite el sentido multimedia para TCP/IP agregando el siguiente valor a la subclave del Tcpip Registro:
Subclave del Registro: HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Tcpip\Parameters
Nombre del valor: DisableDHCPMediaSense
Tipo de datos: REG_DWORD
Datos de valor: 1
Intervalo de valores: Boolean ( 0 =False, 1 =True)
Valor predeterminado: 0 (False)
Para obtener más información, vea Cómo deshabilitar la característica Detección de medios para TCP/IP en Windows.
Método 7
La directiva de grupo tiene la configuración de directiva para controlar el tiempo de espera para el procesamiento de directivas de inicio:
LAN corporativa o WLAN:
Carpeta de directivas: "Configuración del equipo\Plantillas administrativas\System\Directiva de grupo"
Nombre de directiva: "Especificar el tiempo de espera de procesamiento de directivas de inicio"LAN externa o WLAN:
Carpeta de directivas: "Configuración del equipo\Plantillas administrativas\System\Directiva de grupo"
Nombre de directiva: "Especificar el tiempo de espera de conectividad del área de trabajo para el procesamiento de directivas"
El tiempo que tarda Netlogon en adquirir una dirección IP de trabajo puede ser la base de la configuración. En escenarios de Direct Access, puede medir el retraso típico que tiene la base de usuarios hasta que se establezca la conexión.
Método 8
Si DisabledComponents la configuración del Registro está en su lugar y tiene un valor incorrecto de 0xfffffff, elimine la clave o cámbiela al valor previsto de 0xff.
Importante
Protocolo de Internet versión 6 (IPv6) es una parte obligatoria de Windows Vista y versiones posteriores de Windows. No recomendamos deshabilitar el protocolo de Internet versión 6 (IPv6) ni sus componentes. Si lo hace, es posible que algunos componentes de Windows no funcionen. Además, el inicio del sistema se retrasará durante cinco segundos si IPv6 está deshabilitado incorrectamente estableciendo la configuración del DisabledComponents Registro en un valor de 0xfffffff. El valor correcto es 0xff.
Método 9
El comportamiento puede deberse a una condición de carrera entre la inicialización de red, la ubicación de un controlador de dominio y la directiva de grupo de procesamiento. Si la red no está disponible, no se ubicará un controlador de dominio y se producirá un error en el procesamiento de la directiva de grupo. Una vez cargado el sistema operativo y se negocia y se establece un vínculo de red, la actualización en segundo plano de la directiva de grupo se realizará correctamente.
Puede establecer un valor del Registro para retrasar la aplicación de la directiva de grupo:
Inicia el Editor del Registro.
Busque y seleccione la subclave siguiente:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\WinlogonEn el menú Editar, seleccione Nuevo y a continuación, Valor DWORD.
Escriba GpNetworkStartTimeoutPolicyValue.
Haga clic con el botón derecho en la entrada del
GpNetworkStartTimeoutPolicyValueRegistro y seleccione Modificar.En Base, seleccione Decimal.
En el cuadro Datos de valor , escriba 60 y, a continuación, seleccione Aceptar.
Cierre el Editor del Registro y reinicie el equipo.
Si el script de inicio de directiva de grupo no se ejecuta, aumente el valor de la entrada del
GpNetworkStartTimeoutPolicyValueRegistro.
Más información
Si puede iniciar sesión en el dominio sin ningún problema, puede omitir de forma segura el identificador de evento 5719. Dado que el servicio Netlogon puede iniciarse antes de que la red esté lista, es posible que el equipo no pueda encontrar el controlador de dominio de inicio de sesión. Por lo tanto, se registra el identificador de evento 5719. Después de que la red esté lista, el equipo volverá a intentar localizar el controlador de dominio de inicio de sesión. En esta situación, la operación debe realizarse correctamente.
En un Netogon.log, se pueden registrar entradas similares al ejemplo siguiente:
DateTime [CRITICAL] <domain>: NlDiscoverDc: Cannot find DC. DateTime [CRITICAL] <domain>: NlSessionSetup: Session setup: cannot pick trusted DC DateTime [MISC] Eventlog: 5719 (1)"<domain>" 0xc000005e ... DateTime [SESSION] WPNG: NlSetStatusClientSession: Set connection status to c000005e ... DateTime [SESSION] \Device\NetBT_Tcpip_{4A47AF53-40D3-4F92-ACDF-9B5E82A50E32}: Transport Added (10.0.64.232) -> Getting a proper IP address takes >15 seconds.
Otros componentes pueden notificar errores similares que requieren conectividad del controlador de dominio para funcionar correctamente. Por ejemplo, es posible que la directiva de grupo no se aplique al inicio del sistema. En este caso, los scripts de inicio no se ejecutan. Los errores de directiva de grupo pueden estar relacionados con el error de Netlogon para localizar un controlador de dominio. Puede establecer la directiva de grupo para que tenga más capacidad de respuesta a la llegada de la conectividad de red tardía.