Dela via

Netlogon-händelse-ID 5719 eller grupprincip händelse 1129 loggas när du startar en domänmedlem

Den här artikeln löser Netlogon-händelse-ID 5719 eller grupprincip händelse 1129 som loggas när du startar en domänmedlem.

Ursprungligt KB-nummer: 938449

Symptom

Viktigt!

Följ stegen i det här avsnittet noggrant. Det kan uppstå allvarliga problem om du gör felaktiga ändringar i registret. Innan du ändrar det bör du först säkerhetskopiera registret för att kunna återställa det om problem skulle uppstå.

Anta följande:

  • Du har en dator som kör Windows 10 eller Windows Server 2012 R2.
  • Datorn är ansluten till en domän.
  • Ett av dessa villkor är sant:
    • Datorn har ett Gigabit-nätverkskort installerat.
    • Du skyddar nätverksåtkomsten med hjälp av NAP (Network Access Protection), nätverksautentisering (med hjälp av 802.1x) eller någon annan metod.

I det här scenariot loggas följande händelse i systemloggen när du startar datorn i Windows 8.1 och tidigare versioner. I Windows 10 och senare versioner loggas inte längre händelse 5719 i den här situationen. Följande rader registreras i Netlogon.log i stället:

[CRITICAL] [960] CONTOSO: NlSessionSetup: Session setup: cannot pick trusted DC  
[SESSION] [960] No IP addresses present, skipping No DC event log

När det här problemet uppstår tilldelas datorn en IP-adress:

[SESSION] [960] V6 Winsock Addrs: fe80::5faf:632a:f22c:644a%2 (1) V6WinsockPnpAddresses List used to be empty.  
[SESSION] [960] Winsock Addrs: 10.1.1.80 (1) List used to be empty.

I Windows 10 och senare versioner ser du bara händelser efter komponenter, beroende på domänkontrollantanslutningen (till exempel grupprincip). Följande poster registreras i felsökningsloggen för grupprincip:

CGPApplicationService::MachinePolicyStartedWaitingOnNetwork.  
CGPMachineStartupConnectivity::CalculateWaitTimeoutFromHistory: Average is 388.
CGPMachineStartupConnectivity::CalculateWaitTimeoutFromHistory: Current is -1.
CGPMachineStartupConnectivity::CalculateWaitTimeoutFromHistory: Taking min of 776 and 30000.  
Waiting for SamSs with timeout 776

NlaQueryNetSignatures returned 1 networks  
NSI Information (Network GUID) : {395DB3C8-CE45-11E5-9739-806E6F6E6963}  
NSI Information (CompartmentId) : 1  
NSI Information (SiteId) : 134217728  
NSI Information (Network Name) :  
NlaGetIntranetCapability failed with 0x15  
There is no domain compartment  
ProcessGPOs(Machine): MyGetUserName failed with 1355.  
Opened query for NLA successfully  
NlaGetIntranetCapability returned Not Ready error. Consider it as NOT intranet capable.  

GPSVC(530.ae0) <DateTime> There is no connectivity  
GPSVC(530.8e0) <DateTime> ApplyGroupPolicy: Getting ready to create background thread GPOThread.

Det första avsnittet visar beräkningen för tidsgränsen som ska användas för att ta upp nätverket. Den kan baseras på tidigare snabba nystartade företag.

Det andra avsnittet visar att NLA (Network Location Awareness) inte rapporterar ett fungerande nätverk inom det vänteintervall som tillåts och att bearbetningen av grupprinciper misslyckas. Det tredje avsnittet visar att den grupprincip motorn startar en bakgrundsprocedur och sedan väntar en minut efter att ett nätverk blir tillgängligt.

Orsak

Det här problemet kan inträffa av någon av följande orsaker:

  • Netlogon-tjänsten startar innan nätverket är klart. Nätverksstacken och nätverkskortets initiering startar ofta ungefär samtidigt. Vissa nätverkskort och växlar har länkfel och MAC-adress unika kontroller som tar längre tid att slutföra än den väntetid som har angetts för Netlogon för att identifiera nätverksanslutning.
  • Lösningar som verifierar hälsotillståndet för den nya nätverksmedlemmen fördröjer nätverksanslutningen och din möjlighet att komma åt domänkontrollanter. Om du har aktiverat en automatisk direktåtkomstkanalanslutning kan det också kräva mer tid än vad Netlogon tillåter.
  • 802.1X-autentiseringsprocessen fördröjer anslutningarna till domänkontrollanterna.
  • Klienten får en fördröjning när en IP-adress hämtas från DHCP-servern. Det fördröjer visningen av nätverksgränssnittet.

grupprincip i Windows Vista och senare versioner skrivs för att förhandla om nätverksstatusen som har NLA aktiverat. Och det väntar på ett nätverk som har DC-anslutning. Men grupprincip kan starta i förtid på grund av ett principprogram. Den här situationen gäller särskilt när fördröjningen med att hitta ett nätverk växlar mellan nystartade företag.

Varning

Varning: Allvarliga problem kan uppstå om du felaktigt ändrar registret med hjälp av Registereditorn eller med en annan metod. Dessa problem kan kräva att du installerar om operativsystemet. Microsoft kan inte garantera att dessa problem kan lösas. Ändringar av registret sker på egen risk.

Lösning 1

Lös problemet genom att installera den senaste drivrutinen för Gigabit-nätverkskortet. Eller aktivera alternativet PortFast på nätverksväxlarna.

Lösning 2

Lös problemet genom att använda registret för att ändra de relaterade inställningar som påverkar DC-anslutningen. Använd följande metoder för att göra det.

Metod 1

Justera de brandväggsinställningar eller IPSEC-principer som ändras för att tillåta DC-anslutning. Dessa ändringar görs när klienten tar emot en IP-adress men kräver mer tid för att komma åt en domänkontrollant, till exempel efter en lyckad verifiering via Cisco NAC eller Microsoft NPS Services.

Metod 2

Konfigurera registerinställningen Netlogon till ett värde som är säkert längre än den tid som krävs för att tillåta DC-anslutning.

Kommentar

Detta gäller endast om datorn redan har en IP-adress. Detta gäller för scenarier där en NAP-lösning placerar datorn i ett karantännätverk. Använd följande inställningar som riktlinjer.

Registerundernyckel: HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Netlogon\Parameters
Värdenamn: ExpectedDialupDelay
Datatyp: REG_DWORD
Datavärdet är i sekunder (standard= 0 )
Dataintervallet är mellan 0 och 600 sekunder (10 minuter)

Mer information finns i Inställningar för att minimera periodisk WAN-trafik.

Metod 3

IP-stacken försöker verifiera IP-adressen med hjälp av en ARP-sändning. Det fördröjer den tid som IP-adressen tar att komma online. Du kan ange registerposten ArpRetryCount till en (1), så att väntan på unikhet förkortas. Gör detta genom att följa stegen nedan:

  1. Öppna Registereditorn.

  2. Leta upp och välj följande undernyckel:
    HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\TcpIp\Parameters\

  3. På menyn Redigera pekar du på Ny och väljer sedan DWORD-värde.

  4. Skriv ArpRetryCount.

  5. Högerklicka på ArpRetryCount registerposten och välj sedan Ändra.

  6. I rutan Värdedata skriver du 1 och väljer sedan OK.

    Kommentar

    Dataområdet är mellan 0 och 3 (3 är standard).

  7. Avsluta Registereditorn.

Metod 4

Minska den negativa cacheperioden för Netlogon genom att ändra NegativeCachePeriod registerposten i följande undernyckel:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Netlogon\Parameters\NegativeCachePeriod

När du har slutfört den här ändringen fungerar inte Netlogon-tjänsten som om domänkontrollanterna är offline i 45 sekunder. Händelsen 5719 loggas fortfarande. Händelsen orsakar dock inga andra betydande problem. Med den här inställningen kan medlemmen prova domänkontrollanter tidigare om processen misslyckades tidigare.

Förslag: Försök att ange ett lågt värde, till exempel tre sekunder. I LAN-miljöer kan du använda värdet 0 för att inaktivera den negativa cachen.

Mer information om den här inställningen finns i Inställningar för att minimera periodisk WAN-trafik.

Metod 5

Konfigurera registerinställningen Kerberos till ett värde som är säkert längre än den tid som krävs för att tillåta DC-anslutning. Använd följande inställningar som riktlinjer.

Kommentar

Den här inställningen gäller endast för Windows XP och Windows Server 2003 eller tidigare versioner av dessa system. Windows Vista och Windows Server 2008 och senare versioner använder standardvärdet 0. Det här värdet inaktiverar UDP-funktioner (User Datagram Protocol) för Kerberos-klienten.

Registerundernyckel: HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Lsa\Kerberos\Parameters
Värdenamn: MaxPacketSize
Datatyp: REG_DWORD
Värdedata: 1
Standard: (beror på systemversionen)

Mer information finns i Så här tvingar du Kerberos att använda TCP i stället för UDP i Windows.

Metod 6

Inaktivera media sense för TCP/IP genom att lägga till följande värde i registerundernyckeln Tcpip :

Registerundernyckel: HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Tcpip\Parameters
Värdenamn: DisableDHCPMediaSense
Datatyp: REG_DWORD
Värdedata: 1
Värdeintervall: Booleskt ( 0 = Falskt, 1 = Sant)
Standard: 0 (falskt)

Mer information finns i Inaktivera mediaavkänningsfunktionen för TCP/IP i Windows.

Metod 7

grupprincip har principinställningar för att styra väntetiden för bearbetning av startprinciper:

  1. Företags-LAN eller WLAN:

    Principmapp: "Datorkonfiguration\Administrativa mallar\System\grupprincip"
    Principnamn: "Ange väntetid för bearbetning av startprincip"

  2. Externt LAN eller WLAN:

    Principmapp: "Datorkonfiguration\Administrativa mallar\System\grupprincip"
    Principnamn: "Ange väntetid för arbetsplatsanslutning för principbearbetning"

Den tid det tar för Netlogon att hämta en fungerande IP-adress kan vara grunden för inställningen. För direct access-scenarier kan du mäta den typiska fördröjning som användarbasen har tills anslutningen har upprättats.

Metod 8

Om DisabledComponents registerinställningen är på plats och har ett felaktigt värde för 0xfffffff tar du antingen bort nyckeln eller ändrar den till det avsedda värdet för 0xff.

Viktigt!

Internet Protocol version 6 (IPv6) är en obligatorisk del av Windows Vista och senare versioner av Windows. Vi rekommenderar inte att du inaktiverar IPv6 eller dess komponenter. Om du gör det kanske vissa Windows-komponenter inte fungerar. Dessutom fördröjs systemstarten i fem sekunder om IPv6 inaktiveras felaktigt genom att registerinställningen DisabledComponents anges till värdet 0xfffffff. Rätt värde är 0xff.

Metod 9

Beteendet kan orsakas av ett konkurrenstillstånd mellan nätverksinitiering, lokalisera en domänkontrollant och bearbeta grupprincip. Om nätverket inte är tillgängligt finns ingen domänkontrollant och grupprincip bearbetningen misslyckas. När operativsystemet har lästs in och en nätverkslänk har förhandlats fram och upprättats kommer bakgrundsuppdateringen av grupprincip att lyckas.

Du kan ange ett registervärde för att fördröja tillämpningen av grupprincip:

  1. Öppna Registereditorn.

  2. Leta upp och välj följande undernyckel:
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon

  3. På menyn Redigera pekar du på Ny och väljer sedan DWORD-värde.

  4. Skriv GpNetworkStartTimeoutPolicyValue.

  5. Högerklicka på GpNetworkStartTimeoutPolicyValue registerposten och välj sedan Ändra.

  6. Under Bas väljer du Decimal.

  7. I rutan Värdedata skriver du 60 och väljer sedan OK.

  8. Stäng Registereditorn och starta om datorn.

  9. Om det grupprincip startskriptet inte körs ökar du värdet för GpNetworkStartTimeoutPolicyValue registerposten.

Mer information

Om du kan logga in på domänen utan problem kan du ignorera händelse-ID 5719 på ett säkert sätt. Eftersom Netlogon-tjänsten kan starta innan nätverket är klart kan det hända att datorn inte kan hitta domänkontrollanten för inloggning. Därför loggas händelse-ID 5719. När nätverket är klart försöker datorn igen för att hitta domänkontrollanten för inloggning. I det här fallet bör åtgärden lyckas.

I en Netogon.log kan poster som liknar följande exempel loggas:

DateTime [CRITICAL] <domain>: NlDiscoverDc: Cannot find DC. DateTime [CRITICAL] <domain>: NlSessionSetup: Session setup: cannot pick trusted DC DateTime [MISC] Eventlog: 5719 (1)"<domain>" 0xc000005e ... DateTime [SESSION] WPNG: NlSetStatusClientSession: Set connection status to c000005e ... DateTime [SESSION] \Device\NetBT_Tcpip_{4A47AF53-40D3-4F92-ACDF-9B5E82A50E32}: Transport Added (10.0.64.232) -> Getting a proper IP address takes >15 seconds.

Liknande fel kan rapporteras av andra komponenter som kräver att domänkontrollantanslutningen fungerar korrekt. Till exempel kanske grupprincip inte tillämpas vid systemstart. I det här fallet körs inte startskript. De grupprincip felen kan bero på att Netlogon inte kan hitta en domänkontrollant. Du kan ange att grupprincip ska vara mer dynamiskt för sena nätverksanslutningar.