Event id 1129 ошибка при обработке групповой политики попытка чтения файла
Для отключения данного рекламного блока вам необходимо зарегистрироваться или войти с учетной записью социальной сети.
У вас корень домена открывается по UNC пути? Делали ли какие либо манипуляции с портами, антивирусами?
У нас был неудачный запуск. Но мы временно отключили firewall, по телнету работает 389, 53.
В сети у меня 2 AD, 2 DNS, 1 DHCP
Между domens gpupdate проходит исправно. Но остальные обычные ПК не могу обновить политику.
Question
Нужно войти
0
Нужно войти
А сам контроллер/контроллеры работают? dcdiag /q что выдает?
Службы AD DS, DFSR запущены?
Выдают одинаково на двух AD DS
C:\Windows\system32>sc start dfsr
[SC] StartService: ошибка: 1056:
Одна копия службы уже запущена.
C:\Windows\system32>dcdiag /q
[DC1SRV] Сбой операции net use или LsaPolicy с ошибкой 1, Неверная функция..
. DC1SRV - не пройдена проверка NetLogons
-------
Когда я впервые увидел Win8, я спросил: «Windows 3.1 возвращается?» (c)
PS C:\Windows\system32> dcdiag /test:dns
Диагностика сервера каталогов
Выполнение начальной настройки:
Выполняется попытка поиска основного сервера.
Основной сервер = dc1srv
* Определен лес AD.
Сбор начальных данных завершен.
Выполнение обязательных начальных проверок
Сервер проверки: Default-First-Site-Name\DC1SRV
Запуск проверки: Connectivity
. DC1SRV - пройдена проверка Connectivity
Выполнение основных проверок
Сервер проверки: Default-First-Site-Name\DC1SRV
Запуск проверки: DNS
Проверки DNS выполняются без зависания. Подождите несколько минут.
. DC1SRV - пройдена проверка DNS
Выполнение проверок разделов на: ForestDnsZones
Выполнение проверок разделов на: DomainDnsZones
Выполнение проверок разделов на: Schema
Выполнение проверок разделов на: Configuration
Выполнение проверок разделов на: semz
Выполнение проверок предприятия на: semz.local
Запуск проверки: DNS
Результаты проверки контроллеров домена:
Контроллер домена: dc1srv.semz.local
Домен: semz.local
TEST: Dynamic update (Dyn)
Warning: Failed to delete the test record dcdiag-test-record in zone semz.local
dc1srv PASS PASS PASS PASS WARN PASS n/a
. semz.local - пройдена проверка DNS
PS C:\Windows\system32> repadmin /showrepl
Repadmin: выполнение команды /showrepl контроллере домена localhost с полным доступом
Default-First-Site-Name\DC1SRV
Параметры DSA: IS_GC
Параметры сайта: (none)
DSA - GUID объекта: 9f53659d-6505-42f0-8fa0-815bdf690e59
DSA - код вызова: d0aca813-ba13-42be-9f43-f53fb0215f89
Repadmin: выполнение команды /showrepl контроллере домена localhost с полным доступом
Default-First-Site-Name\DC1SRV
Параметры DSA: IS_GC
Параметры сайта: (none)
DSA - GUID объекта: 9f53659d-6505-42f0-8fa0-815bdf690e59
DSA - код вызова: d0aca813-ba13-42be-9f43-f53fb0215f89
В этой статье решается ID события Netlogon 5719 или событие групповой политики 1129, которое регистрируется при запуске участника домена.
Применяется к: Windows 10 — все выпуски, Windows Server 2012 R2
Исходный номер КБ: 938449
Причина
Эта проблема может возникнуть по любой из этих причин:
- Служба Netlogon запускается до готовности сети. Инициализация сетевого стека и адаптеров часто начинается примерно в одно и то же время. Некоторые сетевые адаптеры и коммутаторы имеют проверки уникальности ссылок и проверки уникальности MAC-адресов, которые для выполнения более длительные, чем время ожидания, назначенное Для Netlogon для обнаружения подключения к сети.
- Решения, которые проверяют состояние нового члена сети, задерживают подключение к сети и возможность доступа к контроллерам домена. Если включено автоматическое подключение к каналу прямого доступа, для этого может потребоваться больше времени, чем позволяет Netlogon.
- Процесс проверки подлинности 802.1X задерживает подключение к контроллерам домена.
- Клиент испытывает задержку с извлечением IP-адреса с сервера DHCP. Это задерживает отображение сетевого интерфейса.
Group Policy в Windows Vista и более поздних версиях написана для переговоров о сетевом состоянии с включенной поддержкой NLA. И она ждет сеть с подключением к DC. Однако групповая политика может начаться преждевременно из-за приложения политики. Это особенно актуально, когда задержка в поиске сети чередуется между стартапами.
При неправильном изменении реестра с использованием редактора реестра или другого способа могут случиться серьезные проблемы. Для решения этих проблем может потребоваться переустановка операционной системы. Компания Microsoft не может гарантировать, что эти проблемы могут быть решены. Вносите изменения в реестр на ваш страх и риск.
Метод 8
Если параметр реестра на месте и имеет неправильное значение DisabledComponents 0xfffffff, удалите ключ или измените его на предназначенное значение 0xff.
Версия 6 протокола Интернета (IPv6) является обязательной частью Windows Vista и более поздних версий Windows. Мы не рекомендуем отключить IPv6 или его компоненты. Если это так, некоторые Windows могут не функционировать. Кроме того, запуск системы будет отложен на пять секунд, если неправильно отключен IPv6, установив параметр реестра на DisabledComponents значение 0xfffffff. Правильное значение — 0xff.
Способ 3
Стек IP пытается проверить IP-адрес с помощью ARP-трансляции. Это задерживает время, которое требуется IP для того, чтобы выйти в интернет. Вы можете установить запись реестра ArpRetryCount до одной (1), поэтому ожидание уникальности сокращается. Для этого выполните следующие действия:
Откройте редактор реестра.
Найдите и выберите следующий подкай:
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\TcpIp\Parameters\
В меню Редактирование указать значение New, а затем выберите значение DWORD.
Щелкните правой кнопкой мыши ArpRetryCount запись реестра, а затем выберите Изменение.
В поле Значение данных введите 1, а затем выберите ОК.
Диапазон данных составляет от 0 до 3 (по умолчанию — 3).
Закройте редактор реестра.
Method 8
If DisabledComponents registry setting is in place and has an incorrect value of 0xfffffff, either delete the key or change it to the intended value of 0xff.
Internet Protocol version 6 (IPv6) is a mandatory part of Windows Vista and later versions of Windows. We do not recommend that you disable IPv6 or its components. If you do, some Windows components may not function. Additionally, system startup will be delayed for five seconds if IPv6 is disabled incorrectly by setting the DisabledComponents registry setting to a value of 0xfffffff. The correct value is 0xff.
Дополнительная информация
Если вы можете войти в домен без проблем, можно смело игнорировать ИД события 5719. Поскольку служба Netlogon может начаться до того, как сеть будет готова, компьютер может не найти контроллер домена logon. Поэтому регистрируется ИД события 5719. После того как сеть будет готова, компьютер снова попытается найти контроллер домена logon. В этой ситуации операция должна быть успешной.
Аналогичные ошибки могут быть допущены другими компонентами, которые требуют правильной работы контроллера домена. Например, групповая политика может не применяться при запуске системы. В этом случае сценарии запуска не запускают. Сбои групповой политики могут быть связаны с ошибкой Netlogon найти контроллер домена. Можно настроить групповую политику на более чувствительную реакцию на позднее подключение к сети.
This article solves the Netlogon event ID 5719 or Group Policy event 1129 that's logged when you start a domain member.
Applies to: Windows 10 - all editions, Windows Server 2012 R2
Original KB number: 938449
Method 1
Adjust the firewall settings or IPSEC policies that are changed to allow DC connectivity. These changes are made when the client receives an IP address but requires more time to access a domain controller, for example, after a successful verification through Cisco NAC or Microsoft NPS Services.
Разрешение 2
Чтобы устранить эту проблему, используйте реестр для изменения связанных параметров, влияющих на подключение к DC. Для этого используйте следующие методы.
Способ 1
Настройка параметров брандмауэра или политик IPSEC, которые изменены, чтобы разрешить подключение к dc. Эти изменения внесения, когда клиент получает IP-адрес, но требуется больше времени для доступа к контроллеру домена, например после успешной проверки через Cisco NAC или Microsoft NPS Services.
Разрешение 1
Чтобы устранить эту проблему, установите самый текущий драйвер для сетевого адаптера Gigabit. Или включить параметр PortFast в сетевых переключателях.
Способ 4
Уменьшите период отрицательного кэша Netlogon, изменив запись реестра NegativeCachePeriod в следующем подкайке:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Netlogon\Parameters\NegativeCachePeriod
После этого изменения служба Netlogon не ведет себя так, как будто контроллеры домена отключены в течение 45 секунд. Событие 5719 по-прежнему регистрируется. Однако это событие не вызывает каких-либо других существенных проблем. Этот параметр позволяет участнику попробовать контроллеры домена раньше, если процесс не удалось ранее.
Предложение. Попробуйте установить низкое значение, например три секунды. В локальной среде можно использовать значение 0, чтобы отключить отрицательный кэш.
Дополнительные сведения об этом параметре см. в Параметры для минимизации периодического трафика WAN.
Метод 9
Поведение может быть вызвано состоянием рас между инициализацией сети, поиском контроллера домена и групповой политикой обработки. Если сеть недоступна, контроллер домена не будет расположен, а обработка групповой политики будет неудачной. После загрузки операционной системы и согласований и установленной сетевой связи обновление фонового фона групповой политики будет успешным.
Можно установить значение реестра, чтобы отложить применение групповой политики:
Откройте редактор реестра.
Найдите и выберите следующий подкай:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
В меню Редактирование указать значение New, а затем выберите значение DWORD.
Щелкните правой кнопкой мыши GpNetworkStartTimeoutPolicyValue запись реестра, а затем выберите Изменение.
В базовой статье выберите десятичной знак.
В поле Данных Значения введите 60 и выберите ОК.
Закройте редактор реестра и перезагрузите компьютер.
Если сценарий запуска групповой политики не работает, увеличите значение GpNetworkStartTimeoutPolicyValue записи реестра.
Method 6
Disable media sense for TCP/IP by adding the following value to the Tcpip registry subkey:
Registry subkey: HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Tcpip\Parameters
Value Name: DisableDHCPMediaSense
Data Type: REG_DWORD
Value Data: 1
Value Range: Boolean ( 0 =False, 1 =True)
Default: 0 (False)
More information
If you can log on to the domain without a problem, you can safely ignore event ID 5719. Because the Netlogon service may start before the network is ready, the computer may be unable to locate the logon domain controller. Therefore, event ID 5719 is logged. After the network is ready, the computer will try again to locate the logon domain controller. In this situation, the operation should be successful.
In a Netogon.log, entries that resemble the following example may be logged:
Similar errors might be reported by other components that require Domain Controller connectivity to function correctly. For example, the Group Policy may not be applied at system startup. In this case, startup scripts don't run. The Group Policy failures may be related to the failure of Netlogon to locate a domain controller. You can set Group Policy to be more responsive to late network connectivity arrival.
08.02.2022
itpro
Active Directory, Windows 10, Windows Server 2019, Групповые политики
Комментариев пока нет
На одном из компьютеров перестали применяться новые параметры групповых политик. Для диагностики я вручную обновил параметров GPO с помощью команды gpupdate /force и увидел такую ошибку в консоли:
При этом в журнале System появляется событие с EvetID 1096 с тем же описанием (The processing of Group Policy failed):
Если попробовать выполнить диагностику применения GPO с помощью команды gpresult ( gpresult.exe /h c:\tempt\gpresultreport.html ), видно что не применяется только настройки из раздела Group Policy Registry — Failed :
Получается, что к компьютеру не применяются только GPO с настройками клиентских расширений групповых политик CSE (client-side extension), которые отвечают за управление ключами реестра через GPO.
Расширение Registry client-side не смогло прочитать файл registry.pol. Скорее всего файл это поврежден (рекомендуем проверить файловую систему на ошибки с помощью chkdsk). Чтобы пересоздать этот файл, перейдите в каталог c:\Windows\System32\GroupPolicy\Machine и переименуйте его в registry.bak.
Можно переименовать файл из командой строки:
cd "C:\Windows\System32\GroupPolicy\Machine"
ren registry.pol registry.bak
Windows должна пересоздать файл registry.pol (настройки локальных GPO будут сброшены) и успешно применить все настройки GPO.
Если в журнале вы видите событие Event ID 1096 ( The processing of Group Policy failed. Windows could not apply the registry-based policy settings for the Group Policy object LDAP:// ) c ErrorCode 13 и описанием “ The data is invalid ”, значит проблема связана с доменной GPO, указанной в ошибке.
В следующей таблице перечислены события групповой политики, регистрируемые в журнале системных событий программы Просмотр событий.
Код события
Уровень события
Журнал регистрации
Узел «Журналы Windows – Система»
Ошибка выделения памяти. Данное событие регистрируется в случае неудачной попытки выделения памяти.
Узел «Журналы Windows – Система»
Ошибка привязки к службе каталогов. Данное событие регистрируется в случае неудачной попытки аутентификации в службе каталогов Active Directory.
Узел «Журналы Windows – Система»
Ошибка выполнения запроса к узлу Active Directory. Данное событие регистрируется в случае неудачной попытки выполнения запроса к узлу Active Directory с использованием учетных данных пользователя или компьютера.
Узел «Журналы Windows – Система»
Ошибка выполнения запроса к объекту групповой политики. Данное событие регистрируется в случае неудачной попытки выполнения запроса к объекту групповой политики.
Узел «Журналы Windows – Система»
Ошибка определения роли компьютера. Данное событие регистрируется в случае неудачной попытки определения роли компьютера (член домена или рабочей группы, либо контроллер домена).
Узел «Журналы Windows – Система»
Ошибка получения имени пользователя. Данное событие регистрируется в случае неудачной попытки получения имени пользователя.
Узел «Журналы Windows – Система»
Ошибка получения имени контроллера домена. Данное событие регистрируется в случае неудачной попытки получения имени контроллера домена.
Узел «Журналы Windows – Система»
Ошибка получения имени компьютера. Данное событие регистрируется в случае неудачной попытки получения имени компьютера.
Узел «Журналы Windows – Система»
Ошибка чтения файла объекта GPO. Данное событие регистрируется в случае неудачной попытки чтения файла GPT.INI объекта GPO.
Узел «Журналы Windows – Система»
Ошибка определения параметров фильтра WMI. Данное событие регистрируется в случае неудачной попытки определения параметров фильтра WMI.
Узел «Журналы Windows – Система»
Ошибка получения списка объектов GPO. Данное событие регистрируется в случае неудачной попытки получения списка объектов GPO.
Узел «Журналы Windows – Система»
Ошибка определения иерархии подразделений Active Directory. Данное событие регистрируется в случае неудачной попытки определения иерархии подразделений службы каталогов Active Directory.
Узел «Журналы Windows – Система»
Предупреждение об ошибке работы клиентского расширения. Данное событие регистрируется в случае неудачного завершения работы клиентского расширения групповой политики.
Узел «Журналы Windows – Система»
Превышение количества объектов GPO. Данное событие регистрируется в случае, если количество объектов GPO, областью действия которых является компьютер или пользователей, превышает 999.
Узел «Журналы Windows – Система»
Ошибка сеанса RSOP. Данное событие регистрируется в случае неудачного завершения сеанса результирующей групповой политики (RSOP).
Узел «Журналы Windows – Система»
Ошибка службы WMI. Данное событие регистрируется при возникновении ошибок в процессе работы службы инструментария управления Windows (Windows Management Instrumentation, WMI).
Узел «Журналы Windows – Система»
Ошибка записи информации RSOP клиентским расширением. Данное событие регистрируется в случае, если клиентскому расширению групповой политики не удается записать информацию RSOP.
Узел «Журналы Windows – Система»
Ошибка записи информации RSOP. Данное событие регистрируется при возникновении ошибок в процессе записи информации результирующей групповой политики (RSOP).
Узел «Журналы Windows – Система»
Ошибка чтения файла registry.pol. Данное событие регистрируется в случае неудачной попытки чтения файла registry.pol.
Узел «Журналы Windows – Система»
Ошибка чтения маркера проверки подлинности компьютера. Данное событие регистрируется в случае неудачной попытки чтения маркера проверки подлинности компьютера.
Узел «Журналы Windows – Система»
Ошибка поиска объекта. Данное событие регистрируется в случае неудачной попытки поиска объекта Active Directory.
Узел «Журналы Windows – Система»
Ошибка поиска фильтра WMI. Данное событие регистрируется в случае неудачной попытки поиска связанного фильтра WMI.
Узел «Журналы Windows – Система»
Предупреждение об отключенной обработке групповой политики перекрестного леса. Данное событие регистрируется в случае, если обработка групповой политики перекрестного леса (Cross Forest GP) отключена.
Узел «Журналы Windows – Система»
Ошибка проверки перекрестного леса. Данное событие регистрируется в случае неудачной попытки проверить, принадлежат ли учетные записи компьютера и пользователя к одному лесу,.
Узел «Журналы Windows – Система»
Предупреждение о синхронном режиме обработки клиентского расширения. Данное событие регистрируется в случае, если для применения одного или нескольких параметров клиентского расширения групповой политики требуется синхронный режим обработки.
Узел «Журналы Windows – Система»
Ошибка синхронизации времени. Данное событие регистрируется в случае, если время на локальном компьютере не синхронизировано со временем на контроллере домена.
Узел «Журналы Windows – Система»
Предупреждение об отключении клиентского расширения. Данное событие регистрируется в случае, если происходит отключение клиентское расширение в целях предотвращения непредвиденного завершения работы службы групповой политики.
Узел «Журналы Windows – Система»
Ошибка подключения к контроллеру домена. Данное событие регистрируется в случае отсутствия авторизованного сетевого подключения между компьютером и контроллером домена.
Узел «Журналы Windows – Система»
Ошибка запуска сценария. Данное событие регистрируется в случае неудачной попытки запуска сценария.
Узел «Журналы Windows – Система»
Обработка групповой политики компьютера. Данное событие регистрируется в случае, если обработка экземпляра групповой политики компьютера была успешно завершена, и при этом не были заданы никакие новые параметры.
Узел «Журналы Windows – Система»
Обработка групповой политики пользователя. Данное событие регистрируется в случае, если обработка экземпляра групповой политики пользователя была успешно завершена, и при этом не были заданы никакие новые параметры.
Узел «Журналы Windows – Система»
Обработка групповой политики компьютера. Данное событие регистрируется в случае, если обработка экземпляра групповой политики компьютера была успешно завершена, и при этом были заданы новые параметры, либо изменены текущие.
Узел «Журналы Windows – Система»
Обработка групповой политики пользователя. Данное событие регистрируется в случае, если обработка экземпляра групповой политики пользователя была успешно завершена, и при этом были заданы новые параметры, либо изменены текущие.
Метод 5
Настройте параметр реестра на значение, которое безопасно выходит за пределы требуемой времени, Kerberos позволяя подключаться к DC. В качестве руководства используйте следующие параметры.
Этот параметр применяется только к Windows XP и Windows Server 2003 или более ранних версий этих систем. Windows Vista и Windows Server 2008 и более поздние версии используют значение по умолчанию 0. Это значение отключит функции протокола пользовательских данных (UDP) для клиента Kerberos.
Подкайка реестра: HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Lsa\Kerberos\Parameters
Имя значения: MaxPacketSize
Тип данных: REG_DWORD
Данные значения: 1
По умолчанию: (зависит от системной версии)
Дополнительные сведения см. в дополнительных сведениях о том, как заставить Kerberosиспользовать TCP вместо UDP в Windows .
Method 5
Configure the Kerberos registry setting to a value that is safely beyond the time that is required allow DC connectivity. Use the following settings as guidelines.
This setting applies only to Windows XP and Windows Server 2003 or earlier versions of these systems. Windows Vista and Windows Server 2008 and later versions use a default value of 0. This value turns off User Datagram Protocol (UDP) functionality for the Kerberos client.
Registry subkey: HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Lsa\Kerberos\Parameters
Value name: MaxPacketSize
Data Type: REG_DWORD
Value Data: 1
Default: (depends on the system version)
Symptoms
Follow the steps in this section carefully. Serious problems might occur if you modify the registry incorrectly. Before you modify it, back up the registry for restoration in case problems occur.
Consider this scenario:
- You have a computer that's running Windows 10 or Windows Server 2012 R2.
- The computer is joined to a domain.
- One of these conditions is true:
- The computer has a Gigabit network adapter installed.
- You secure the network access by using Network Access Protection (NAP), network authentication (by using 802.1x), or another method.
In this scenario, the following event is logged in the System log when you start the computer in Windows 8.1 and earlier versions. In Windows 10 and later versions, event 5719 is no longer logged in this situation. The following lines are recorded in Netlogon.log instead:
After this issue occurs, the computer is assigned an IP address:
On Windows 10 and later versions, you'll see only events by components, depending on the Domain Controller connectivity (such as Group Policy). The following entries are recorded in the group policy debug log:
The first section shows the calculation for the time-out to use to bring up the network. It can be based on previous fast startups.
The second section shows that Network Location Awareness (NLA) fails to report a working network within the wait interval that's allowed, and group policy startup processing fails. The third section shows that the Group Policy engine starts a background procedure, and then waits for one minute after a network becomes available.
Method 9
The behavior may be caused by a race condition between network initialization, locating a Domain Controller and processing Group Policy. If the network isn't available, a Domain Controller won't be located, and Group Policy processing will fail. Once the operating system has loaded and a network link is negotiated and established, background refresh of Group Policy will succeed.
You can set a registry value to delay the application of Group Policy:
Start Registry Editor.
Locate and select the following subkey:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\WinlogonOn the Edit menu, point to New, and then select DWORD Value.
Right-click the GpNetworkStartTimeoutPolicyValue registry entry, and then select Modify.
Under Base, select Decimal.
In the Value data box, type 60, and then select OK.
Exit Registry Editor, and then restart the computer.
If the Group Policy startup script doesn't run, increase the value of the GpNetworkStartTimeoutPolicyValue registry entry.
Method 2
Configure the Netlogon registry setting to a value that is safely beyond the time that is required allow DC connectivity.
This is only effective if the machine already has an IP address. This applies to scenarios where a NAP solution puts the machine into a quarantine network. Use the following settings as guidelines.
Registry subkey: HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Netlogon\Parameters
Value Name: ExpectedDialupDelay
Data Type: REG_DWORD
Data Value is in seconds (default= 0 )
Data Range is between 0 and 600 seconds (10 minutes)Симптомы
Точно следуйте всем указаниям из этого раздела. Внесение неправильных изменений в реестр может привести к возникновению серьезных проблем. Прежде чем приступить к изменениям, создайте резервную копию реестра для восстановления на случай возникновения проблем.
Рассмотрим этот сценарий:
- У вас есть компьютер с Windows 10 или Windows Server 2012 R2.
- Компьютер присоединяется к домену.
- Одно из этих условий верно:
- На компьютере установлен сетевой адаптер Gigabit.
- Вы обеспечиваете безопасность доступа к сети с помощью сетевой защиты доступа (NAP), проверки подлинности сети (с помощью 802.1 x) или другого метода.
В этом сценарии при запуске компьютера в Windows 8.1 и более ранних версиях в журнале System регистрируется следующее событие. В Windows 10 и более поздних версиях событие 5719 больше не регистрируется в этой ситуации. Вместо этого в Netlogon.log записывают следующие строки:
После возникновения этой проблемы компьютеру назначен IP-адрес:
В Windows 10 и более поздних версиях вы увидите только события по компонентам в зависимости от подключения контроллера домена (например, групповой политики). В журнале отлагки групповой политики записывают следующие записи:
В первом разделе показан расчет времени, который необходимо использовать для подвоза сети. Он может быть основан на предыдущих быстрых запусках.
Во втором разделе показано, что осведомленность о расположении сети (NLA) не сообщает о рабочей сети в допустимом интервале ожидания, а обработка запуска групповой политики не удается. В третьем разделе показано, что двигатель групповой политики запускает фоновую процедуру, а затем ждет одну минуту после того, как сеть станет доступной.
Приложение Б. События групповой политики, регистрируемые в операционном журнале групповой политики
В следующей таблице перечислены группы событий групповой политики, регистрируемых в журнале системных событий программы Просмотр событий, отсортированные по кодам событий запуска.
Method 4
Reduce the Netlogon negative cache period by changing the NegativeCachePeriod registry entry in the following subkey:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Netlogon\Parameters\NegativeCachePeriodAfter you make this change, the Netlogon service doesn't behave as if the domain controllers are offline for 45 seconds. The event 5719 is still logged. However, the event doesn't cause any other significant problems. This setting allows member to try domain controllers earlier if the process failed previously.
Suggestion: Try to set a low value, such as three seconds. In LAN environments, you can use a value of 0 to turn off the negative cache.
For more information about this setting, see Settings for minimizing periodic WAN traffic.
Метод 6
Отключить значение мультимедиа для TCP/IP, добавив следующее значение в подкайку Tcpip реестра:
Подкайка реестра: HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Tcpip\Parameters
Имя значения: ОтключениеDHCPMediaSense
Тип данных: REG_DWORD
Данные значения: 1
Диапазон значений: Boolean ( 0 =False, 1 =True)
По умолчанию: 0 (False)Дополнительные сведения см. в дополнительных сведениях о том, как отключить функцию зондирования мультимедиа для TCP/IP в Windows.
Cause
This issue may occur for any of these reasons:
- The Netlogon service starts before the network is ready. The network stack and adapter initialization often start at about the same time. Some network adapters and switches have link arbitration and MAC address uniqueness checks that take longer to complete than the wait time that is set for Netlogon to detect network connectivity.
- Solutions that verify the health of the new network member delay the network connection and your ability to access domain controllers. If you have an automatic Direct Access channel connection enabled, it may also require more time to do than Netlogon allows.
- The 802.1X authentication process delays connections to the domain controllers.
- The client experiences a delay to retrieve an IP address from the DHCP server. It delays the display of the network interface.
Group Policy in Windows Vista and later versions is written to negotiate the network status that has NLA enabled. And it waits for a network that has DC connectivity. However, Group Policy may start prematurely because of a policy application. This situation is especially true when the delay in finding a network alternates between startups.
Serious problems might occur if you modify the registry incorrectly by using Registry Editor or by using another method. These problems might require that you reinstall the operating system. Microsoft cannot guarantee that these problems can be solved. Modify the registry at your own risk.
Method 3
The IP stack tries to verify the IP address using an ARP broadcast. It delays the time that the IP takes to come online. You can set the ArpRetryCount registry entry to one (1), so the wait for uniqueness is shortened. To do it, follow these steps:
Start Registry Editor.
Locate and select the following subkey:
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\TcpIp\Parameters\On the Edit menu, point to New, and then select DWORD Value.
Right-click the ArpRetryCount registry entry, and then select Modify.
In the Value data box, type 1, and then select OK.
The Data Range is between 0 and 3 (3 is default).
Exit Registry Editor.
Метод 7
Group Policy имеет параметры политики для управления временем ожидания для обработки политики запуска:
Корпоративный LAN или WLAN:
Папка политик: "Конфигурация компьютера\Административные шаблоны\System\Group Policy"
Имя политики: "Укажите время ожидания обработки политики запуска"Внешний LAN или WLAN:
Папка политик: "Конфигурация компьютера\Административные шаблоны\System\Group Policy"
Имя политики: "Укажите время ожидания подключения к рабочим местам для обработки политики"Время, необходимое Netlogon для приобретения рабочего IP-адреса, может стать основой для настройки. Для сценариев прямого доступа можно измерить типичную задержку, которая имеется у базы пользователей до момента подключения.
Resolution 2
To resolve this issue, use the registry to change the related settings that affect DC connectivity. To do it, use the following methods.
Resolution 1
To resolve this issue, install the most current driver for the Gigabit network adapter. Or, enable the PortFast option on the network switches.
Способ 2
Настройте параметр реестра на значение, которое безопасно выходит за пределы требуемой времени, Netlogon позволяя подключаться к DC.
Это эффективно только в том случае, если на компьютере уже есть IP-адрес. Это относится к сценариям, когда решение NAP помещает машину в карантинную сеть. В качестве руководства используйте следующие параметры.
Подкайка реестра: HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Netlogon\Parameters
Имя значения: ExpectedDialupDelay
Тип данных: REG_DWORD
Значение данных в секундах (по умолчанию= 0)
Диапазон данных составляет от 0 до 600 секунд (10 минут)Method 7
Group Policy has policy settings to control the wait time for startup policy processing:
Corporate LAN or WLAN:
Policy Folder: "Computer Configuration\Administrative Templates\System\Group Policy"
Policy Name: "Specify startup policy processing wait time"External LAN or WLAN:
Policy Folder: "Computer Configuration\Administrative Templates\System\Group Policy"
Policy Name: "Specify workplace connectivity wait time for policy processing"The time it takes Netlogon to acquire a working IP can be the basis for the setting. For Direct Access scenarios, you can measure the typical delay your user base has until the connection is established.
Читайте также: