Udostępnij za pośrednictwem


Zdarzenie Netlogon o identyfikatorze 5719 lub zdarzeniu zasad grupy 1129 jest rejestrowane podczas uruchamiania członka domeny

Ten artykuł rozwiązuje zdarzenie Netlogon o identyfikatorze 5719 lub zdarzeniu zasad grupy 1129, które jest rejestrowane podczas uruchamiania członka domeny.

Oryginalny numer KB: 938449

Symptomy

Ważne

Należy rozważnie wykonywać czynności podane w tej sekcji. Niepoprawne zmodyfikowanie rejestru może być przyczyną poważnych problemów. Przed zmodyfikowaniem rejestru należy utworzyć jego kopię zapasową, aby móc przywrócić rejestr na wypadek problemów.

Weź pod uwagę ten scenariusz:

  • Masz komputer z systemem Windows 10 lub Windows Server 2012 R2.
  • Komputer jest przyłączony do domeny.
  • Jeden z tych warunków jest spełniony:
    • Na komputerze zainstalowano kartę sieciową Gigabit.
    • Dostęp sieciowy można zabezpieczyć przy użyciu ochrony dostępu do sieci (NAP), uwierzytelniania sieciowego (przy użyciu 802.1x) lub innej metody.

W tym scenariuszu następujące zdarzenie jest rejestrowane w dzienniku systemowym po uruchomieniu komputera w systemie Windows 8.1 i starszych wersjach. W systemie Windows 10 i nowszych wersjach zdarzenie 5719 nie jest już rejestrowane w tej sytuacji. Następujące wiersze są rejestrowane w Netlogon.log zamiast tego:

[CRITICAL] [960] CONTOSO: NlSessionSetup: Session setup: cannot pick trusted DC  
[SESSION] [960] No IP addresses present, skipping No DC event log

Po wystąpieniu tego problemu komputer ma przypisany adres IP:

[SESSION] [960] V6 Winsock Addrs: fe80::5faf:632a:f22c:644a%2 (1) V6WinsockPnpAddresses List used to be empty.  
[SESSION] [960] Winsock Addrs: 10.1.1.80 (1) List used to be empty.

W systemie Windows 10 i nowszych wersjach zobaczysz tylko zdarzenia według składników, w zależności od łączności kontrolera domeny (np. zasad grupy). Następujące wpisy są rejestrowane w dzienniku debugowania zasad grupy:

CGPApplicationService::MachinePolicyStartedWaitingOnNetwork.  
CGPMachineStartupConnectivity::CalculateWaitTimeoutFromHistory: Average is 388.
CGPMachineStartupConnectivity::CalculateWaitTimeoutFromHistory: Current is -1.
CGPMachineStartupConnectivity::CalculateWaitTimeoutFromHistory: Taking min of 776 and 30000.  
Waiting for SamSs with timeout 776

NlaQueryNetSignatures returned 1 networks  
NSI Information (Network GUID) : {395DB3C8-CE45-11E5-9739-806E6F6E6963}  
NSI Information (CompartmentId) : 1  
NSI Information (SiteId) : 134217728  
NSI Information (Network Name) :  
NlaGetIntranetCapability failed with 0x15  
There is no domain compartment  
ProcessGPOs(Machine): MyGetUserName failed with 1355.  
Opened query for NLA successfully  
NlaGetIntranetCapability returned Not Ready error. Consider it as NOT intranet capable.  

GPSVC(530.ae0) <DateTime> There is no connectivity  
GPSVC(530.8e0) <DateTime> ApplyGroupPolicy: Getting ready to create background thread GPOThread.

W pierwszej sekcji przedstawiono obliczenie limitu czasu używanego do uruchomienia sieci. Może on być oparty na poprzednich szybkich startach.

Druga sekcja pokazuje, że rozpoznawanie lokalizacji sieciowej (NLA) nie może zgłosić działającej sieci w dozwolonym interwale oczekiwania, a przetwarzanie uruchamiania zasad grupy kończy się niepowodzeniem. Trzecia sekcja pokazuje, że aparat zasad grupy uruchamia procedurę w tle, a następnie czeka na minutę po udostępnieniu sieci.

Przyczyna

Ten problem może wystąpić z dowolnego z następujących powodów:

  • Usługa Netlogon jest uruchamiana przed przygotowaniem sieci. Inicjowanie stosu sieciowego i karty często rozpoczyna się mniej więcej w tym samym czasie. Niektóre karty sieciowe i przełączniki mają testy unikatowości adresów MAC i arbitrażu linków, które trwa dłużej niż czas oczekiwania ustawiony dla netlogon w celu wykrywania łączności sieciowej.
  • Rozwiązania sprawdzające kondycję nowego elementu członkowskiego sieci opóźniają połączenie sieciowe i możliwość uzyskiwania dostępu do kontrolerów domeny. Jeśli masz włączone automatyczne połączenie kanału dostępu bezpośredniego, może również wymagać więcej czasu, niż zezwala netlogon.
  • Proces uwierzytelniania 802.1X opóźnia połączenia z kontrolerami domeny.
  • Klient ma opóźnienie pobierania adresu IP z serwera DHCP. Opóźnia wyświetlanie interfejsu sieciowego.

Zasady grupy w systemie Windows Vista i nowszych wersjach są zapisywane w celu negocjowania stanu sieci, który ma włączone równoważenie obciążenia sieciowego. I czeka na sieć, która ma łączność kontrolera domeny. Jednak zasady grupy mogą rozpoczynać się przedwcześnie z powodu aplikacji zasad. Ta sytuacja jest szczególnie prawdziwa, gdy opóźnienie w znalezieniu sieci jest alternatywne między startami.

Ostrzeżenie

Niepoprawne zmodyfikowanie rejestru przy użyciu Edytora rejestru lub innej metody może stać się przyczyną poważnych problemów. Ich rozwiązanie może wymagać ponownego zainstalowania systemu operacyjnego. Firma Microsoft nie może zagwarantować, że rozwiązanie tych problemów będzie możliwe. Modyfikujesz rejestr na własną odpowiedzialność.

Rozwiązanie 1

Aby rozwiązać ten problem, zainstaluj najnowszy sterownik dla karty sieciowej Gigabit. Możesz też włączyć opcję PortFast na przełącznikach sieciowych.

Rozwiązanie 2

Aby rozwiązać ten problem, użyj rejestru, aby zmienić powiązane ustawienia wpływające na łączność kontrolera domeny. Aby to zrobić, użyj następujących metod.

Metoda 1

Dostosuj ustawienia zapory lub zasady protokołu IPSEC, które zostały zmienione, aby zezwolić na łączność kontrolera domeny. Te zmiany są wprowadzane, gdy klient otrzymuje adres IP, ale wymaga więcej czasu na dostęp do kontrolera domeny, na przykład po pomyślnej weryfikacji za pośrednictwem usług Cisco NAC lub Microsoft NPS.

Metoda 2

Netlogon Skonfiguruj ustawienie rejestru na wartość, która jest bezpiecznie spoza czasu wymaganego zezwalania na łączność kontrolera domeny.

Uwaga 16.

Jest to skuteczne tylko wtedy, gdy maszyna ma już adres IP. Dotyczy to scenariuszy, w których rozwiązanie ochrony dostępu do sieci powoduje przełączenie maszyny do sieci kwarantanny. Użyj następujących ustawień jako wskazówek.

Podklucz rejestru: HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Netlogon\Parameters
Nazwa wartości: ExpectedDialupDelay
Typ danych: REG_DWORD
Wartość danych jest wyrażona w sekundach (wartość domyślna= 0 )
Zakres danych wynosi od 0 do 600 sekund (10 minut)

Aby uzyskać więcej informacji, zobacz Ustawienia minimalizacji okresowego ruchu WAN.

Metoda 3

Stos IP próbuje zweryfikować adres IP przy użyciu emisji ARP. Opóźnia to czas potrzebny na przejście adresu IP do trybu online. Możesz ustawić wpis rejestru ArpRetryCount na jeden (1), więc oczekiwanie na unikatowość zostanie skrócone. W tym celu wykonaj następujące kroki:

  1. Uruchom Edytor rejestru.

  2. Znajdź i wybierz następujący podklucz:
    HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\TcpIp\Parameters\

  3. W menu Edycja wskaż polecenie Nowy, a następnie wybierz pozycję Wartość DWORD.

  4. Wpisz ArpRetryCount.

  5. Kliknij prawym przyciskiem myszy ArpRetryCount wpis rejestru, a następnie wybierz polecenie Modyfikuj.

  6. W polu Dane wartości wpisz 1, a następnie wybierz przycisk OK.

    Uwaga 16.

    Zakres danych wynosi od 0 do 3 (wartość domyślna to 3).

  7. Zamknij Edytor rejestru.

Metoda 4

Zmniejsz ujemny okres pamięci podręcznej Netlogon, zmieniając NegativeCachePeriod wpis rejestru w następującym podkluczu:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Netlogon\Parameters\NegativeCachePeriod

Po wprowadzeniu tej zmiany usługa Netlogon nie działa tak, jakby kontrolery domeny działały w trybie offline przez 45 sekund. Zdarzenie 5719 jest nadal rejestrowane. Jednak zdarzenie nie powoduje żadnych innych znaczących problemów. To ustawienie umożliwia członkom wcześniejsze wypróbowanie kontrolerów domeny, jeśli proces zakończył się niepowodzeniem.

Sugestia: Spróbuj ustawić niską wartość, na przykład trzy sekundy. W środowiskach LAN można użyć wartości 0, aby wyłączyć negatywną pamięć podręczną.

Aby uzyskać więcej informacji na temat tego ustawienia, zobacz Ustawienia w celu zminimalizowania okresowego ruchu WAN.

Metoda 5

Kerberos Skonfiguruj ustawienie rejestru na wartość, która jest bezpiecznie spoza czasu wymaganego zezwalania na łączność kontrolera domeny. Użyj następujących ustawień jako wskazówek.

Uwaga 16.

To ustawienie dotyczy tylko systemów Windows XP i Windows Server 2003 lub starszych wersji tych systemów. System Windows Vista i Windows Server 2008 i nowsze wersje używają wartości domyślnej 0. Ta wartość wyłącza funkcję protokołu UDP (User Datagram Protocol) dla klienta Protokołu Kerberos.

Podklucz rejestru: HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Lsa\Kerberos\Parameters
Nazwa wartości: MaxPacketSize
Typ danych: REG_DWORD
Dane wartości: 1
Ustawienie domyślne: (zależy od wersji systemowej)

Aby uzyskać więcej informacji, zobacz Jak wymusić użycie protokołu Kerberos do używania protokołu TCP zamiast protokołu UDP w systemie Windows.

Metoda 6

Wyłącz sens multimediów dla protokołu TCP/IP, dodając następującą wartość do podklucza Tcpip rejestru:

Podklucz rejestru: HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Tcpip\Parameters
Nazwa wartości: DisableDHCPMediaSense
Typ danych: REG_DWORD
Dane wartości: 1
Zakres wartości: wartość logiczna ( 0 =Fałsz, 1 =True)
Wartość domyślna: 0 (fałsz)

Aby uzyskać więcej informacji, zobacz Jak wyłączyć funkcję wykrywania multimediów dla protokołu TCP/IP w systemie Windows.

Metoda 7

Zasady grupy mają ustawienia zasad do kontrolowania czasu oczekiwania na przetwarzanie zasad uruchamiania:

  1. Firmowa sieć LAN lub sieć WLAN:

    Folder zasad: "Konfiguracja komputera\Szablony administracyjne\System\Zasady grupy"
    Nazwa zasad: "Określ czas oczekiwania przetwarzania zasad uruchamiania"

  2. Zewnętrzna sieć LAN lub sieć WLAN:

    Folder zasad: "Konfiguracja komputera\Szablony administracyjne\System\Zasady grupy"
    Nazwa zasad: "Określ czas oczekiwania na łączność w miejscu pracy na potrzeby przetwarzania zasad"

Czas potrzebny Netlogon na uzyskanie działającego adresu IP może być podstawą ustawienia. W przypadku scenariuszy dostępu bezpośredniego można zmierzyć typowe opóźnienie, które ma baza użytkowników do momentu nawiązania połączenia.

Metoda 8

Jeśli DisabledComponents ustawienie rejestru jest włączone i ma niepoprawną wartość 0xfffffff, usuń klucz lub zmień go na docelową wartość 0xff.

Ważne

Protokół internetowy w wersji 6 (IPv6) jest obowiązkową częścią systemu Windows Vista i nowszych wersji systemu Windows. Nie zalecamy wyłączania protokołu IPv6 ani jego składników. W przypadku wyłączenia tego protokołu niektóre składniki systemu Windows mogą nie działać. Ponadto uruchomienie systemu będzie opóźnione przez pięć sekund, jeśli protokół IPv6 jest niepoprawnie wyłączony, ustawiając DisabledComponents ustawienie rejestru na wartość 0xfffffff. Poprawna wartość to 0xff.

Metoda 9

Zachowanie może być spowodowane przez stan wyścigu między inicjowaniem sieci, lokalizowanie kontrolera domeny i przetwarzanie zasad grupy. Jeśli sieć nie jest dostępna, kontroler domeny nie zostanie zlokalizowany, a przetwarzanie zasad grupy zakończy się niepowodzeniem. Po załadowaniu systemu operacyjnego i wynegocjowaniu i ustanowieniu połączenia sieciowego odświeżanie w tle zasad grupy powiedzie się.

Można ustawić wartość rejestru, aby opóźnić stosowanie zasad grupy:

  1. Uruchom Edytor rejestru.

  2. Znajdź i wybierz następujący podklucz:
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon

  3. W menu Edycja wskaż polecenie Nowy, a następnie wybierz pozycję Wartość DWORD.

  4. Wpisz GpNetworkStartTimeoutPolicyValue.

  5. Kliknij prawym przyciskiem myszy GpNetworkStartTimeoutPolicyValue wpis rejestru, a następnie wybierz polecenie Modyfikuj.

  6. W obszarze Podstawa wybierz pozycję Dziesiętne.

  7. W polu Dane wartości wpisz wartość 60, a następnie wybierz przycisk OK.

  8. Zakończ działanie Edytora rejestru, a następnie ponownie uruchom komputer.

  9. Jeśli skrypt uruchamiania zasad grupy nie zostanie uruchomiony, zwiększ wartość GpNetworkStartTimeoutPolicyValue wpisu rejestru.

Więcej informacji

Jeśli możesz zalogować się do domeny bez problemu, możesz bezpiecznie zignorować identyfikator zdarzenia 5719. Ponieważ usługa Netlogon może zostać uruchomiona przed przygotowaniem sieci, komputer może nie być w stanie zlokalizować kontrolera domeny logowania. W związku z tym rejestrowane jest zdarzenie o identyfikatorze 5719. Gdy sieć będzie gotowa, komputer spróbuje ponownie zlokalizować kontroler domeny logowania. W takiej sytuacji operacja powinna zakończyć się pomyślnie.

W Netogon.log wpisy podobne do następującego przykładu mogą być rejestrowane:

DateTime [CRITICAL] <domain>: NlDiscoverDc: Cannot find DC. DateTime [CRITICAL] <domain>: NlSessionSetup: Session setup: cannot pick trusted DC DateTime [MISC] Eventlog: 5719 (1)"<domain>" 0xc000005e ... DateTime [SESSION] WPNG: NlSetStatusClientSession: Set connection status to c000005e ... DateTime [SESSION] \Device\NetBT_Tcpip_{4A47AF53-40D3-4F92-ACDF-9B5E82A50E32}: Transport Added (10.0.64.232) -> Getting a proper IP address takes >15 seconds.

Podobne błędy mogą być zgłaszane przez inne składniki, które wymagają poprawnej łączności kontrolera domeny. Na przykład zasady grupy mogą nie być stosowane podczas uruchamiania systemu. W takim przypadku skrypty uruchamiania nie są uruchamiane. Błędy zasad grupy mogą być związane z błędem Netlogon w celu zlokalizowania kontrolera domeny. Możesz ustawić zasady grupy, aby być bardziej reagujące na późne przybycie łączności sieciowej.