Поделиться через

Событие Netlogon 5719 или событие групповой политики 1129 регистрируется при запуске члена домена

В этой статье рассматривается событие события Netlogon 5719 или групповой политики 1129, которое регистрируется при запуске члена домена.

Исходный номер базы знаний: 938449

Симптомы

Важно!

Точно следуйте всем указаниям из этого раздела. Неправильное изменение реестра может привести к серьезным проблемам. Прежде чем приступить к изменениям, создайте резервную копию реестра для восстановления на случай возникновения проблем.

Рассмотрите следующий сценарий:

  • У вас есть компьютер под управлением Windows 10 или Windows Server 2012 R2.
  • Компьютер присоединяется к домену.
  • Одно из следующих условий имеет значение true:
    • На компьютере установлен сетевой адаптер Gigabit.
    • Вы защищаете сетевой доступ с помощью защиты доступа к сети (NAP), проверки подлинности сети (с помощью 802.1x) или другого метода.

В этом сценарии следующее событие регистрируется в системном журнале при запуске компьютера в Windows 8.1 и более ранних версиях. В Windows 10 и более поздних версиях событие 5719 больше не регистрируется в этой ситуации. Вместо этого в Netlogon.log записываются следующие строки:

[CRITICAL] [960] CONTOSO: NlSessionSetup: Session setup: cannot pick trusted DC  
[SESSION] [960] No IP addresses present, skipping No DC event log

После возникновения этой проблемы компьютер назначается IP-адрес:

[SESSION] [960] V6 Winsock Addrs: fe80::5faf:632a:f22c:644a%2 (1) V6WinsockPnpAddresses List used to be empty.  
[SESSION] [960] Winsock Addrs: 10.1.1.80 (1) List used to be empty.

В Windows 10 и более поздних версиях вы увидите только события по компонентам в зависимости от подключения контроллера домена (например, групповой политики). Следующие записи записываются в журнал отладки групповой политики:

CGPApplicationService::MachinePolicyStartedWaitingOnNetwork.  
CGPMachineStartupConnectivity::CalculateWaitTimeoutFromHistory: Average is 388.
CGPMachineStartupConnectivity::CalculateWaitTimeoutFromHistory: Current is -1.
CGPMachineStartupConnectivity::CalculateWaitTimeoutFromHistory: Taking min of 776 and 30000.  
Waiting for SamSs with timeout 776

NlaQueryNetSignatures returned 1 networks  
NSI Information (Network GUID) : {395DB3C8-CE45-11E5-9739-806E6F6E6963}  
NSI Information (CompartmentId) : 1  
NSI Information (SiteId) : 134217728  
NSI Information (Network Name) :  
NlaGetIntranetCapability failed with 0x15  
There is no domain compartment  
ProcessGPOs(Machine): MyGetUserName failed with 1355.  
Opened query for NLA successfully  
NlaGetIntranetCapability returned Not Ready error. Consider it as NOT intranet capable.  

GPSVC(530.ae0) <DateTime> There is no connectivity  
GPSVC(530.8e0) <DateTime> ApplyGroupPolicy: Getting ready to create background thread GPOThread.

В первом разделе показано вычисление времени ожидания, используемого для создания сети. Он может быть основан на предыдущих быстрых запусках.

Во втором разделе показано, что служба "Осведомленность о расположении сети" (NLA) не может сообщать о рабочей сети в пределах допустимого интервала ожидания, а обработка групповой политики завершается сбоем. В третьем разделе показано, что подсистема групповой политики запускает фоновую процедуру, а затем ожидается через одну минуту после того, как сеть станет доступной.

Причина

Эта проблема может возникать по любой из следующих причин:

  • Служба Netlogon начинается до готовности сети. Инициализация сетевого стека и адаптера часто начинается примерно в то же время. Некоторые сетевые адаптеры и коммутаторы имеют проверки уникальности связи и MAC-адреса, которые требуют больше времени ожидания, установленного для Netlogon для обнаружения сетевого подключения.
  • Решения, которые проверяют работоспособность нового сетевого члена, задерживают сетевое подключение и возможность доступа к контроллерам домена. Если у вас включено автоматическое подключение канала Direct Access, может потребоваться больше времени, чем в Netlogon разрешено.
  • Процесс проверки подлинности 802.1X задерживает подключения к контроллерам домена.
  • Клиент испытывает задержку для получения IP-адреса с DHCP-сервера. Он задерживает отображение сетевого интерфейса.

Групповая политика в Windows Vista и более поздних версиях записывается для согласования состояния сети с включенной NLA. И он ожидает сети с подключением к контроллеру домена. Однако групповая политика может начаться преждевременно из-за приложения политики. Это особенно верно, если задержка в поиске сети чередуется между запусками.

Предупреждение

При неправильном изменении реестра с использованием редактора реестра или другого способа могут случиться серьезные проблемы. Для решения этих проблем может потребоваться переустановка операционной системы. Компания Microsoft не может гарантировать, что эти проблемы могут быть решены. Ответственность за изменение реестра несет пользователь.

Решение 1

Чтобы устранить эту проблему, установите самый актуальный драйвер сетевого адаптера Gigabit. Или включите параметр PortFast на сетевых коммутаторах.

Решение 2

Чтобы устранить эту проблему, используйте реестр для изменения связанных параметров, влияющих на подключение к контроллеру домена. Для этого используйте следующие методы.

Метод 1

Настройте параметры брандмауэра или политики IPSEC, которые изменяются, чтобы разрешить подключение к контроллеру домена. Эти изменения вносятся, когда клиент получает IP-адрес, но требует больше времени для доступа к контроллеру домена, например после успешной проверки через Cisco NAC или службы NPS Майкрософт.

Метод 2.

Netlogon Настройте параметр реестра в значение, безопасно превышающее время, которое требуется разрешить подключение к контроллеру домена.

Примечание.

Это действует только в том случае, если компьютер уже имеет IP-адрес. Это относится к сценариям, когда решение NAP помещает компьютер в сеть карантина. Используйте следующие параметры в качестве рекомендаций.

Подраздел реестра: HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Netlogon\Parameters
Имя значения: ExpectedDialupDelay
Тип данных: REG_DWORD
Значение данных в секундах (по умолчанию = 0)
Диапазон данных составляет от 0 до 600 секунд (10 минут)

Дополнительные сведения см. в разделе "Параметры" для минимизации периодического трафика глобальной сети.

Метод 3

Стек IP-адресов пытается проверить IP-адрес с помощью широковещательной трансляции ARP. Он задерживает время, когда IP-адрес приходит в интернет. Вы можете задать для записи реестра ArpRetryCount одну (1), чтобы сократить время ожидания уникальности. Для этого выполните следующие шаги:

  1. Откройте редактор реестра.

  2. Найдите и выберите следующий подраздел:
    HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\TcpIp\Parameters\

  3. В меню "Изменить" наведите указатель мыши на "Создать", а затем выберите значение DWORD.

  4. Введите ArpRetryCount.

  5. Щелкните правой кнопкой ArpRetryCount мыши запись реестра и выберите пункт "Изменить".

  6. В поле данных Значение введите 1 и нажмите кнопку ОК.

    Примечание.

    Диапазон данных составляет от 0 до 3 (по умолчанию — 3).

  7. Закройте редактор реестра.

Метод 4

Уменьшите период отрицательного кэша Netlogon, изменив NegativeCachePeriod запись реестра в следующем подразделе:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Netlogon\Parameters\NegativeCachePeriod

После внесения этого изменения служба Netlogon не ведет себя так, как если контроллеры домена находятся в автономном режиме в течение 45 секунд. Событие 5719 по-прежнему регистрируется. Однако событие не вызывает других существенных проблем. Этот параметр позволяет участнику попробовать контроллеры домена ранее, если процесс завершился сбоем.

Предложение. Попробуйте задать низкое значение, например три секунды. В средах локальной сети можно использовать значение 0, чтобы отключить отрицательный кэш.

Дополнительные сведения об этом параметре см. в разделе "Параметры" для минимизации периодического трафика глобальной сети.

Метод 5

Kerberos Настройте параметр реестра в значение, безопасно превышающее время, которое требуется разрешить подключение к контроллеру домена. Используйте следующие параметры в качестве рекомендаций.

Примечание.

Этот параметр применяется только к Windows XP и Windows Server 2003 или более ранним версиям этих систем. Windows Vista и Windows Server 2008 и более поздних версий используют значение по умолчанию 0. Это значение отключает функции протокола UDP для клиента Kerberos.

Подраздел реестра: HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Lsa\Kerberos\Parameters
Имя значения: MaxPacketSize
Тип данных: REG_DWORD
Данные значения: 1
Значение по умолчанию: (зависит от системной версии)

Дополнительные сведения см. в статье "Как принудительно использовать ПРОТОКОЛ TCP вместо UDP в Windows".

Метод 6

Отключите представление мультимедиа для TCP/IP, добавив следующее значение в Tcpip подраздел реестра:

Подраздел реестра: HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Tcpip\Parameters
Имя значения: DisableDHCPMediaSense
Тип данных: REG_DWORD
Данные значения: 1
Диапазон значений: логический ( 0 =False, 1 =True)
По умолчанию: 0 (false)

Дополнительные сведения см. в разделе "Отключение функции датчика мультимедиа для TCP/IP в Windows".

Метод 7

Групповая политика имеет параметры политики для управления временем ожидания обработки политики запуска:

  1. Корпоративная локальная сеть или WLAN:

    Папка политики: "Конфигурация компьютера\Административные шаблоны\System\Group Policy"
    Имя политики: "Указание времени ожидания обработки политики запуска"

  2. Внешняя локальная сеть или WLAN:

    Папка политики: "Конфигурация компьютера\Административные шаблоны\System\Group Policy"
    Имя политики: "Укажите время ожидания подключения к рабочему месту для обработки политики"

Время получения рабочего IP-адреса netlogon может быть основой для параметра. В сценариях Direct Access можно измерить типичную задержку, которая не будет установлена в базе пользователей.

Метод 8

Если DisabledComponents параметр реестра установлен и имеет неверное значение 0xfffffff, удалите ключ или измените его на предполагаемое значение 0xff.

Внимание

Протокол Интернета версии 6 (IPv6) является обязательной частью Windows Vista и более поздних версий Windows. Отключать протокол IPv6 или его компоненты не рекомендуется. Это может привести к нарушению работы компонентов Windows. Кроме того, запуск системы будет отложен в течение пяти секунд, если IPv6 отключен неправильно, задав DisabledComponents параметр реестра значением 0xfffffff. Правильное значение равно 0xff.

Метод 9

Поведение может быть вызвано состоянием гонки между инициализацией сети, поиском контроллера домена и обработкой групповой политики. Если сеть недоступна, контроллер домена не будет расположен, а обработка групповой политики завершится ошибкой. После загрузки операционной системы и согласования сетевой связи фоновое обновление групповой политики будет выполнено успешно.

Можно задать значение реестра, чтобы отложить применение групповой политики:

  1. Откройте редактор реестра.

  2. Найдите и выберите следующий подраздел:
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon

  3. В меню "Изменить" наведите указатель мыши на "Создать", а затем выберите значение DWORD.

  4. Тип GpNetworkStartTimeoutPolicyValue.

  5. Щелкните правой кнопкой GpNetworkStartTimeoutPolicyValue мыши запись реестра и выберите пункт "Изменить".

  6. В разделе "Базовый" выберите "Десятичный".

  7. В поле "Значение" введите 60 и нажмите кнопку "ОК".

  8. Закройте редактор реестра и перезагрузите компьютер.

  9. Если скрипт запуска групповой GpNetworkStartTimeoutPolicyValue политики не выполняется, увеличьте значение записи реестра.

Дополнительная информация

Если вы можете войти в домен без проблем, можно безопасно игнорировать идентификатор события 5719. Так как служба Netlogon может начаться до готовности сети, компьютер может не найти контроллер домена входа. Поэтому регистрируется идентификатор события 5719. После готовности сети компьютер попытается найти контроллер домена входа. В этой ситуации операция должна быть успешной.

В Netogon.log записи, похожие на следующий пример, могут быть записаны в журнал:

DateTime [CRITICAL] <domain>: NlDiscoverDc: Cannot find DC. DateTime [CRITICAL] <domain>: NlSessionSetup: Session setup: cannot pick trusted DC DateTime [MISC] Eventlog: 5719 (1)"<domain>" 0xc000005e ... DateTime [SESSION] WPNG: NlSetStatusClientSession: Set connection status to c000005e ... DateTime [SESSION] \Device\NetBT_Tcpip_{4A47AF53-40D3-4F92-ACDF-9B5E82A50E32}: Transport Added (10.0.64.232) -> Getting a proper IP address takes >15 seconds.

Аналогичные ошибки могут сообщаться другими компонентами, для которых требуется правильное подключение контроллера домена. Например, групповая политика может не применяться при запуске системы. В этом случае скрипты запуска не выполняются. Сбои групповой политики могут быть связаны с сбоем Netlogon для поиска контроллера домена. Вы можете настроить групповую политику более быстродействующей при поступлении с задержкой подключения к сети.