この記事では、ドメイン メンバーの起動時にログに記録される Netlogon イベント ID 5719 またはグループ ポリシー イベント 1129 を解決します。
元の KB 番号: 938449
現象
重要
慎重にこのセクションの手順に従います。 レジストリを正しく変更しないと、重大な問題が発生する可能性があります。 変更する前に、問題が発生した場合に復元するためにレジストリをバックアップします。
次のようなシナリオが考えられます。
- Windows 10 または Windows Server 2012 R2 を実行しているコンピューターがある。
- コンピューターがドメインに参加しています。
- 以下のいずれかの条件が満たされている場合。
- コンピューターにギガビット ネットワーク アダプターがインストールされている。
- ネットワーク アクセスをセキュリティで保護するには、ネットワーク アクセス保護 (NAP)、ネットワーク認証 (802.1x を使用)、または別の方法を使用します。
このシナリオでは、Windows 8.1 以前のバージョンでコンピューターを起動すると、次のイベントがシステム ログに記録されます。 Windows 10 以降のバージョンでは、この状況ではイベント 5719 はログに記録されなくなりました。 代わりに、次の行がNetlogon.logに記録されます。
[CRITICAL] [960] CONTOSO: NlSessionSetup: Session setup: cannot pick trusted DC
[SESSION] [960] No IP addresses present, skipping No DC event log
この問題が発生すると、コンピューターに IP アドレスが割り当てられます。
[SESSION] [960] V6 Winsock Addrs: fe80::5faf:632a:f22c:644a%2 (1) V6WinsockPnpAddresses List used to be empty.
[SESSION] [960] Winsock Addrs: 10.1.1.80 (1) List used to be empty.
Windows 10 以降のバージョンでは、ドメイン コントローラーの接続 (グループ ポリシーなど) に応じて、コンポーネントごとのイベントのみが表示されます。 グループ ポリシーのデバッグ ログには、次のエントリが記録されます。
CGPApplicationService::MachinePolicyStartedWaitingOnNetwork.
CGPMachineStartupConnectivity::CalculateWaitTimeoutFromHistory: Average is 388.
CGPMachineStartupConnectivity::CalculateWaitTimeoutFromHistory: Current is -1.
CGPMachineStartupConnectivity::CalculateWaitTimeoutFromHistory: Taking min of 776 and 30000.
Waiting for SamSs with timeout 776
NlaQueryNetSignatures returned 1 networks
NSI Information (Network GUID) : {395DB3C8-CE45-11E5-9739-806E6F6E6963}
NSI Information (CompartmentId) : 1
NSI Information (SiteId) : 134217728
NSI Information (Network Name) :
NlaGetIntranetCapability failed with 0x15
There is no domain compartment
ProcessGPOs(Machine): MyGetUserName failed with 1355.
Opened query for NLA successfully
NlaGetIntranetCapability returned Not Ready error. Consider it as NOT intranet capable.
GPSVC(530.ae0) <DateTime> There is no connectivity
GPSVC(530.8e0) <DateTime> ApplyGroupPolicy: Getting ready to create background thread GPOThread.
最初のセクションでは、ネットワークの起動に使用するタイムアウトの計算を示します。 これは、以前の高速スタートアップに基づくことができます。
2 番目のセクションでは、ネットワークの場所認識 (NLA) が許可されている待機時間内に稼働中のネットワークを報告できず、グループ ポリシーの起動処理が失敗することを示しています。 3 番目のセクションでは、グループ ポリシー エンジンがバックグラウンド プロシージャを開始し、ネットワークが使用可能になるまで 1 分間待機することを示します。
原因
この問題は、次のいずれかの理由で発生する可能性があります。
- ネットワークの準備が整う前に、Netlogon サービスが開始されます。 ネットワーク スタックとアダプターの初期化は、多くの場合、約同時に開始されます。 一部のネットワーク アダプターとスイッチには、ネットワーク接続を検出するために Netlogon に設定されている待機時間よりも完了に時間がかかるリンク判別と MAC アドレスの一意性チェックがあります。
- 新しいネットワーク メンバーの正常性を確認するソリューションは、ネットワーク接続とドメイン コントローラーにアクセスする機能を遅延させます。 自動直接アクセス チャネル接続を有効にしている場合は、Netlogon で許可されているよりも多くの時間が必要になる場合もあります。
- 802.1X 認証プロセスでは、ドメイン コントローラーへの接続が遅延します。
- クライアントは、DHCP サーバーから IP アドレスを取得するのに遅延が発生します。 ネットワーク インターフェイスの表示が遅れます。
Windows Vista 以降のバージョンのグループ ポリシーは、NLA が有効になっているネットワークの状態をネゴシエートするために書き込まれます。 また、DC 接続を持つネットワークを待機します。 ただし、ポリシー アプリケーションが原因で、グループ ポリシーが途中で開始される場合があります。 この状況は、特に、ネットワーク検索の遅延がスタートアップ間で代替される場合に当てはまります。
警告
レジストリ エディタや他の方法を使用してレジストリを変更する際、適切に変更しないと重大な問題を引き起こす可能性があります。 場合によっては、オペレーティング システムの再インストールが必要になります。 こうした問題の修復について、マイクロソフトはいかなる保証もいたしません。 レジストリはユーザー自身の責任において変更してください。
解決策 1
この問題を解決するには、ギガビット ネットワーク アダプターの最新のドライバーをインストールします。 または、ネットワーク スイッチで PortFast オプションを有効にします。
解決策 2
この問題を解決するには、レジストリを使用して、DC 接続に影響する関連設定を変更します。 これを行うには、次のメソッドを使用します。
方法 1
DC 接続を許可するように変更されたファイアウォール設定または IPSEC ポリシーを調整します。 これらの変更は、クライアントが IP アドレスを受け取ったときに行われますが、たとえば、Cisco NAC または Microsoft NPS サービスを通じて検証が成功した後など、ドメイン コントローラーにアクセスするためにより多くの時間が必要になります。
方法 2
Netlogon レジストリ設定を、DC 接続を許可するために必要な時間を超えて安全な値に構成します。
Note
これは、マシンに既に IP アドレスがある場合にのみ有効です。 これは、NAP ソリューションによってマシンが検疫ネットワークに配置されるシナリオに適用されます。 ガイドラインとして次の設定を使用します。
レジストリ サブキー: HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Netlogon\Parameters
値の名前: ExpectedDialupDelay
データ型: REG_DWORD
データ値が秒単位 (既定値 = 0)
データ範囲は 0 ~ 600 秒 (10 分) です
詳細については、「 定期的な WAN トラフィックを最小限に抑えるための設定を参照してください。
方法 3
IP スタックは、ARP ブロードキャストを使用して IP アドレスの検証を試みます。 IP がオンラインになるまでにかかる時間が遅延します。 ArpRetryCount レジストリ エントリを 1 に設定できるため、一意性の待機が短縮されます。 これを行うには、次の手順に従います。
レジストリ エディターを起動します。
次のサブキーを見つけて選択します。
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\TcpIp\Parameters\[編集] メニューの [新規] をポイントし、[DWORD 値] をクリックします。
ArpRetryCount を入力します。
ArpRetryCountレジストリ エントリを右クリックし、 Modifyを選択します。[値] データ ボックスに「1」と入力し、[OK] を選択します。
Note
データ範囲は 0 ~ 3 です (既定値は 3)。
レジストリ エディターを終了します。
方法 4
次のサブキーの NegativeCachePeriod レジストリ エントリを変更して、Netlogon の負のキャッシュ期間を短縮します。
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Netlogon\Parameters\NegativeCachePeriod
この変更を行った後、Netlogon サービスは、ドメイン コントローラーが 45 秒間オフラインであるかのように動作しません。 イベント 5719 は引き続きログに記録されます。 ただし、このイベントは他の重大な問題を引き起こしません。 この設定を使用すると、以前にプロセスが失敗した場合に、メンバーはドメイン コントローラーを試すことができます。
提案: 3 秒などの低い値を設定してみてください。 LAN 環境では、値 0 を使用して、負のキャッシュをオフにすることができます。
この設定の詳細については、「定期的な WAN トラフィックを最小限に抑えるための Settingsを参照してください。
方法 5
Kerberos レジストリ設定を、DC 接続を許可するために必要な時間を超えて安全な値に構成します。 ガイドラインとして次の設定を使用します。
Note
この設定は、これらのシステムの Windows XP および Windows Server 2003 以前のバージョンにのみ適用されます。 Windows Vista および Windows Server 2008 以降のバージョンでは、既定値の 0 が使用されます。 この値により、Kerberos クライアントのユーザー データグラム プロトコル (UDP) 機能がオフになります。
レジストリ サブキー: HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Lsa\Kerberos\Parameters
値の名前: MaxPacketSize
データ型: REG_DWORD
値データ: 1
既定値: (システムバージョンによって異なります)
詳細については、「 Windows で UDP ではなく TCP を Kerberos に強制的に使用させる方法を参照してください。
方法 6
Tcpip レジストリ サブキーに次の値を追加して、TCP/IP のメディア センスを無効にします。
レジストリ サブキー: HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Tcpip\Parameters
値の名前: DisableDHCPMediaSense
データ型: REG_DWORD
値データ: 1
値の範囲: ブール値 ( 0 =False, 1 =True)
既定値: 0 (False)
詳細については、「 Windows で TCP/IP のメディア センシング機能を無効にする方法を参照してください。
方法 7
グループ ポリシーには、スタートアップ ポリシー処理の待機時間を制御するためのポリシー設定があります。
企業 LAN または WLAN:
ポリシー フォルダー: "Computer Configuration\Administrative Templates\System\Group Policy"
ポリシー名: "スタートアップ ポリシーの処理待機時間を指定する"外部 LAN または WLAN:
ポリシー フォルダー: "Computer Configuration\Administrative Templates\System\Group Policy"
ポリシー名: "ポリシー処理のワークプレース接続待機時間を指定する"
Netlogon が動作 IP を取得するのにかかる時間は、設定の基礎となる場合があります。 直接アクセスのシナリオでは、接続が確立されるまでのユーザー ベースの一般的な遅延を測定できます。
方法 8
レジストリ設定 DisabledComponents 設定されていて、 0xfffffffの値が正しくない場合は、キーを削除するか、 0xffの目的の値に変更します。
重要
インターネット プロトコル バージョン 6 (IPv6) は、Windows Vista 以降のバージョンの Windows の必須の部分です。 マイクロソフトは、IPv6 またはそのコンポーネントを無効にすることは推奨しません。 無効にすると、一部のコンピューターは機能しなくなることがあります。 さらに、 DisabledComponents レジストリ設定を 0xfffffff の値に設定することで、IPv6 が正しく無効にされていない場合、システムの起動が 5 秒間遅延します。 正しい値は 0xff。
方法 9
この動作は、ネットワークの初期化、ドメイン コントローラーの検索、およびグループ ポリシーの処理の間の競合状態が原因である可能性があります。 ネットワークが利用できない場合、ドメイン コントローラーは見つからないので、グループ ポリシーの処理は失敗します。 オペレーティング システムが読み込まれ、ネットワーク リンクがネゴシエートされて確立されると、グループ ポリシーのバックグラウンド更新は成功します。
レジストリ値を設定して、グループ ポリシーの適用を遅らせることができます。
レジストリ エディターを起動します。
次のサブキーを見つけて選択します。
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon[編集] メニューの [新規] をポイントし、[DWORD 値] をクリックします。
「 GpNetworkStartTimeoutPolicyValue」と入力します。
GpNetworkStartTimeoutPolicyValueレジストリ エントリを右クリックし、 Modifyを選択します。[ Base で、 Decimal を選択します。
[ 値データ ボックスに「 60」と入力し、 OK を選択します。
レジストリ エディターを終了し、コンピューターを再起動します。
グループ ポリシーのスタートアップ スクリプトが実行されない場合は、
GpNetworkStartTimeoutPolicyValueレジストリ エントリの値を増やします。
詳細
問題なくドメインにログオンできる場合は、イベント ID 5719 を無視しても問題ありません。 ネットワークの準備が整う前に Netlogon サービスが開始される可能性があるため、コンピューターがログオン ドメイン コントローラーを見つけられない可能性があります。 そのため、イベント ID 5719 がログに記録されます。 ネットワークの準備ができたら、コンピューターはログオン ドメイン コントローラーの検索を再試行します。 この状況では、操作は成功するはずです。
Netogon.logでは、次の例のようなエントリがログに記録されることがあります。
DateTime [CRITICAL] <domain>: NlDiscoverDc: Cannot find DC. DateTime [CRITICAL] <domain>: NlSessionSetup: Session setup: cannot pick trusted DC DateTime [MISC] Eventlog: 5719 (1)"<domain>" 0xc000005e ... DateTime [SESSION] WPNG: NlSetStatusClientSession: Set connection status to c000005e ... DateTime [SESSION] \Device\NetBT_Tcpip_{4A47AF53-40D3-4F92-ACDF-9B5E82A50E32}: Transport Added (10.0.64.232) -> Getting a proper IP address takes >15 seconds.
同様のエラーは、ドメイン コントローラーの接続を正しく機能させる必要がある他のコンポーネントによって報告される場合があります。 たとえば、システムの起動時にグループ ポリシーが適用されない場合があります。 この場合、スタートアップ スクリプトは実行されません。 グループ ポリシーのエラーは、ドメイン コントローラーを見つけるための Netlogon の障害に関連している可能性があります。 グループ ポリシーは、ネットワーク接続の到着遅延に対する応答性を高めるために設定できます。