本文會解決當您啟動網域成員時所記錄的 Netlogon 事件標識碼 5719 或組策略事件 1129。
原始 KB 編號: 938449
徵兆
重要
請仔細依照本節中的步驟執行。 如果您未正確修改登錄,可能會發生嚴重問題。 在修改之前,備份登錄以供還原,以免發生問題。
請考慮下列案例:
- 您有執行 Windows 10 或 Windows Server 2012 R2 的電腦。
- 計算機已加入網域。
- 其中一個條件為 True:
- 計算機已安裝千兆位網路適配器。
- 您可以使用網路存取保護(NAP)、網路驗證(使用 802.1x)或其他方法來保護網路存取。
在此案例中,當您在 Windows 8.1 和舊版中啟動電腦時,會在系統記錄檔中記錄下列事件。 在 Windows 10 和更新版本中,事件 5719 已不再記錄在此狀況中。 下列幾行會改為在 Netlogon.log 中記錄:
[CRITICAL] [960] CONTOSO: NlSessionSetup: Session setup: cannot pick trusted DC
[SESSION] [960] No IP addresses present, skipping No DC event log
發生此問題之後,計算機會指派IP位址:
[SESSION] [960] V6 Winsock Addrs: fe80::5faf:632a:f22c:644a%2 (1) V6WinsockPnpAddresses List used to be empty.
[SESSION] [960] Winsock Addrs: 10.1.1.80 (1) List used to be empty.
在 Windows 10 和更新版本上,根據域控制器連線能力(例如組策略),您只會依元件看到事件。 下列項目會記錄在組策略偵錯記錄檔中:
CGPApplicationService::MachinePolicyStartedWaitingOnNetwork.
CGPMachineStartupConnectivity::CalculateWaitTimeoutFromHistory: Average is 388.
CGPMachineStartupConnectivity::CalculateWaitTimeoutFromHistory: Current is -1.
CGPMachineStartupConnectivity::CalculateWaitTimeoutFromHistory: Taking min of 776 and 30000.
Waiting for SamSs with timeout 776
NlaQueryNetSignatures returned 1 networks
NSI Information (Network GUID) : {395DB3C8-CE45-11E5-9739-806E6F6E6963}
NSI Information (CompartmentId) : 1
NSI Information (SiteId) : 134217728
NSI Information (Network Name) :
NlaGetIntranetCapability failed with 0x15
There is no domain compartment
ProcessGPOs(Machine): MyGetUserName failed with 1355.
Opened query for NLA successfully
NlaGetIntranetCapability returned Not Ready error. Consider it as NOT intranet capable.
GPSVC(530.ae0) <DateTime> There is no connectivity
GPSVC(530.8e0) <DateTime> ApplyGroupPolicy: Getting ready to create background thread GPOThread.
第一個區段會顯示用來啟動網路的逾時計算。 它可以以先前的快速啟動為基礎。
第二節顯示網路位置感知 (NLA) 無法在允許的等候間隔內報告工作網路,且組策略啟動處理失敗。 第三節顯示組策略引擎會啟動背景程式,然後在網路可用后等候一分鐘。
原因
此問題可能會因為下列任何原因而發生:
- Netlogon 服務會在網路就緒之前啟動。 網路堆疊和適配卡初始化通常會同時開始。 某些網路適配器和交換器具有連結仲裁和 MAC 位址唯一性檢查,其完成時間比 Netlogon 偵測網路連線所設定的等候時間還要長。
- 驗證新網路成員健康情況的解決方案會延遲網路連線,以及您存取域控制器的能力。 如果您已啟用自動直接存取通道連線,則可能需要比 Netlogon 允許更多的時間。
- 802.1X 驗證程式會延遲與域控制器的連線。
- 用戶端遇到從 DHCP 伺服器擷取IP位址的延遲。 它會延遲網路介面的顯示。
Windows Vista 和更新版本中的組策略會寫入,以交涉已啟用 NLA 的網路狀態。 它會等候具有DC連線的網路。 不過,組策略可能會因為原則應用程式而過早啟動。 當在啟動之間尋找網路替代的延遲時,這種情況尤其如此。
警告
Serious problems might occur if you modify the registry incorrectly by using Registry Editor or by using another method. These problems might require that you reinstall the operating system. Microsoft cannot guarantee that these problems can be solved. 修改登錄的風險請自負。
解決方法 1
若要解決此問題,請安裝 Gb 網路適配器的最新驅動程式。 或者,在網路交換器上啟用 PortFast 選項。
解決方法 2
若要解決此問題,請使用登錄來變更影響DC連線的相關設定。 若要這樣做,請使用下列方法。
方法 1
調整變更為允許DC連線的防火牆設定或IPSEC原則。 當用戶端收到IP位址,但需要更多時間來存取域控制器時,例如,在透過Cisco NAC或 Microsoft NPS Services 成功驗證之後,就會進行這些變更。
方法 2
將登錄 Netlogon 設定設定為安全超過所需時間允許DC連線的值。
注意
這只有在計算機已經有IP位址時才有效。 這適用於 NAP 解決方案將機器放入隔離網路的案例。 使用下列設定作為指導方針。
登錄子機碼:HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Netlogon\Parameters
數值名稱:ExpectedDialupDelay
數據類型:REG_DWORD
資料值以秒為單位(預設值= 0 )
資料範圍介於 0 到 600 秒之間(10 分鐘)
如需詳細資訊,請參閱 將定期 WAN 流量最小化的設定。
方法 3
IP 堆疊會嘗試使用ARP廣播來驗證IP位址。 它會延遲 IP 上線所需的時間。 您可以將 ArpRetryCount 登錄項目設定為一個 (1),因此縮短等候唯一性。 如果要執行這項操作,請依照下列步驟執行:
啟動 [登錄編輯程式]。
找出並選取下列子機碼:
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\TcpIp\Parameters\在 [ 編輯 ] 功能表上,指向 [ 新增],然後選取 [DWORD 值]。
輸入 ArpRetryCount。
以滑鼠右鍵按下
ArpRetryCount登錄項目,然後選取 [ 修改]。在 [ 值數據 ] 方塊中,輸入 1,然後選取 [ 確定]。
注意
數據範圍介於 0 到 3 之間(預設值為 3)。
結束登錄編輯程式。
方法 4
變更 NegativeCachePeriod 下列子機碼中的登錄專案,以減少 Netlogon 負快取期間:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Netlogon\Parameters\NegativeCachePeriod
進行這項變更之後,Netlogon 服務的行為不會像域控制器離線 45 秒一樣。 事件 5719 仍會記錄。 不過,事件不會造成任何其他重大問題。 如果先前的程式失敗,此設定可讓成員稍早嘗試域控制器。
建議:嘗試設定低值,例如三秒。 在 LAN 環境中,您可以使用值為 0 來關閉負快取。
如需此設定的詳細資訊,請參閱 將定期 WAN 流量最小化的設定。
方法 5
將登錄 Kerberos 設定設定為安全超過所需時間允許DC連線的值。 使用下列設定作為指導方針。
注意
此設定僅適用於 Windows XP 和 Windows Server 2003 或舊版這些系統。 Windows Vista 和 Windows Server 2008 和更新版本會使用預設值 0。 此值會關閉 Kerberos 用戶端的用戶數據報通訊協定 (UDP) 功能。
登錄子機碼:HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Lsa\Kerberos\Parameters
數值名稱:MaxPacketSize
數據類型:REG_DWORD
數值數據:1
預設值:(取決於系統版本)
如需詳細資訊,請參閱 如何在 Windows 中強制 Kerberos 使用 TCP 而非 UDP。
方法 6
將下列值新增至登錄子機碼,以停用 TCP/IP 的 Tcpip 媒體感知:
登錄子機碼:HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Tcpip\Parameters
數值名稱:DisableDHCPMediaSense
數據類型:REG_DWORD
數值數據:1
值範圍:布爾值 (0 =False,1 =True)
預設值:0 (False)
如需詳細資訊,請參閱 如何在 Windows 中停用 TCP/IP 的媒體感知功能。
方法 7
組策略具有原則設定,可控制啟動原則處理的等候時間:
公司 LAN 或 WLAN:
原則資料夾:“計算機設定\系統管理範本\系統\組策略”
原則名稱:「指定啟動原則處理等候時間”外部 LAN 或 WLAN:
原則資料夾:“計算機設定\系統管理範本\系統\組策略”
原則名稱:「指定工作場所連線等待時間進行原則處理”
取得工作IP需要 Netlogon 的時間可以設定的基礎。 針對直接存取案例,您可以測量使用者基底在建立連線之前的典型延遲。
方法 8
如果DisabledComponents登錄設定已就緒,且0xfffffff的值不正確,請刪除機碼,或將它變更為預期的0xff值。
重要
因特網通訊協定第 6 版 (IPv6) 是 Windows Vista 和更新版本的 Windows 的必要部分。 我們不建議您停用 IPv6 或其元件。 若停用,有些 Windows 元件可能無法運作。 此外,如果 IPv6 未正確停用,請將登錄設定設為 DisabledComponents 0xfffffff 值,系統啟動將會延遲 5 秒。 正確的值是 0xff。
方法 9
此行為可能是網路初始化之間的競爭條件所造成,並尋找域控制器和處理組策略。 如果網路無法使用,則不會找到域控制器,且組策略處理將會失敗。 載入作業系統並建立網路連結之後,組策略的背景重新整理將會成功。
您可以設定登入值來延遲組策略的應用程式:
啟動 [登錄編輯程式]。
找出並選取下列子機碼:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon在 [ 編輯 ] 功能表上,指向 [ 新增],然後選取 [DWORD 值]。
輸入 GpNetworkStartTimeoutPolicyValue。
以滑鼠右鍵按下
GpNetworkStartTimeoutPolicyValue登錄項目,然後選取 [ 修改]。在 [基底] 底下,選取 [十進位]。
在 [ 值數據] 方塊中,輸入 60,然後選取 [ 確定]。
結束 [登錄編輯程式],然後重新啟動電腦。
如果組策略啟動文本未執行,請增加登錄專案的值
GpNetworkStartTimeoutPolicyValue。
其他相關資訊
如果您可以登入網域而沒有問題,您可以放心地忽略事件標識碼 5719。 因為 Netlogon 服務可能會在網路就緒之前啟動,因此電腦可能無法找到登入域控制器。 因此,會記錄事件標識碼 5719。 網路就緒之後,計算機會再次嘗試找出登入域控制器。 在此情況下,作業應該會成功。
在Netogon.log中,可能會記錄類似下列範例的專案:
DateTime [CRITICAL] <domain>: NlDiscoverDc: Cannot find DC. DateTime [CRITICAL] <domain>: NlSessionSetup: Session setup: cannot pick trusted DC DateTime [MISC] Eventlog: 5719 (1)"<domain>" 0xc000005e ... DateTime [SESSION] WPNG: NlSetStatusClientSession: Set connection status to c000005e ... DateTime [SESSION] \Device\NetBT_Tcpip_{4A47AF53-40D3-4F92-ACDF-9B5E82A50E32}: Transport Added (10.0.64.232) -> Getting a proper IP address takes >15 seconds.
其他需要域控制器連線才能正常運作的元件可能會回報類似的錯誤。 例如,組策略可能不會在系統啟動時套用。 在此情況下,啟動文本不會執行。 組策略失敗可能與 Netlogon 找不到域控制器失敗有關。 您可以將組策略設定為回應較晚的網路連線抵達。