Диагностика медленных входов в активный каталог
Мне трудно диагностировать прерывистые медленные входы в систему на доменных ПК.
Немного информации о сети, которая имеет эту проблему:
- Мой домен охватывает 5 сайтов, все с VPN-подключениями.
- Контроллеры домена представляют собой смесь 2003, 2008 и 2012 годов. Функциональный уровень домена - 2003.
- Клиенты в основном Windows 7 x64.
- Мы используем групповые политики, в том числе те, которые используют WMI, таргетинг на уровне элементов предпочтения группы и развертывание принтера GPP.
- Мы не используем перемещаемые профили.
По большей части, логины работают хорошо и быстро для людей, которые использовали машину раньше. Первый вход на новый компьютер всегда медленный, но это ожидаемо.
Проблема, кажется, в основном с ноутбуками. Если они используются дома с подключением к сети, не входящим в домен, или перемещены в другое место (все еще в сети домена, но на другом сайте AD, и, кажется, не имеет значения проводной или беспроводной), вход в систему может занять до 3 минут с момента, когда пользователь вводит свой пароль, до момента, когда он фактически начинает показывать рабочий стол. Наш терминальный сервер также периодически испытывает медленные входы в систему.
К сожалению, это временная проблема, и я не нашел надежного способа ее воспроизвести. Я подозреваю, что это связано с предпочтениями групповой политики, но у меня нет никаких доказательств этого. Я видел статью в Microsoft KB, в которой обвиняют определенные типы таргетинга на уровне элементов в медленном входе в систему, но он не дает никаких указаний для определения того, является ли это причиной.
Какие журналы и инструменты я могу использовать, чтобы выяснить причину медленного входа в систему?
Какие параметры групповой политики следует использовать или по возможности избегать, чтобы ускорить вход в систему?
2 ответа
В основном я направляюсь в том же направлении, что и joeqwerty
Я испытал симптомы, которые вы описываете в нескольких компаниях. По моему опыту, это обычно происходит, когда существует более одного сайта. Один из способов устранения потенциальной проблемы с сайтами и службами заключается в следующем. На компьютере, который только что испытал медленный вход в систему, перейдите в командную строку, введите echo% logonserver%. Если ответ не является сервером на том же сайте, что и ноутбук или рабочая станция, то мой опыт показывает, что подсети не настроены и не назначены правильный сайт в активном каталоге сайтов и сервисов.
Еще один способ устранения неполадок - посмотреть этот файл журнала на контроллерах домена%SystemRoot%\debug\netlogon.log
Если вы видите такие записи, необходимо указать конкретную подсеть для сайтов и служб и назначить сайт.
16.05 22:57:31 [4068] AD: NO_CLIENT_SITE: имя конкретного сервера 172.16.10.104
Рабочие станции и контроллеры домена Майкрософт имеют возможность убедиться, что они обращаются к правильным контроллерам домена для проверки подлинности и политик из-за сайтов и служб.
Если это так и это приводит к корректировке сайтов и служб, имейте в виду, что репликация изменений на контроллеры домена и с них может занять некоторое время. Кроме того, рабочим станциям конечной точки потребуется еще больше времени, чтобы увидеть новые изменения. Время репликации по умолчанию устанавливается для сайтов и служб на 1 час между контроллерами домена. В зависимости от расстояния в географии и размера вашего леса AD, я обычно устанавливаю его на 15 минут или около того.
Ответ, который мог бы соответствовать вопросу или просто примечание для себя на потом:
Мы испытали крайнюю задержку при входе в систему для некоторых наших подсетей. Оказалось, что в этих подсетях отсутствовали обратные зоны DNS на сервере AD. Мы добавили обратные зоны, AD добавил записи PTR автоматически, и с тех пор задержки не было. Может быть совпадение тоже.