Діагностування повільних активних входів у каталог

Мені важко діагностувати періодичні повільні входи на доменних ПК.

Трохи інформації про мережу, яка має цю проблему:

• Мій домен охоплює 5 сайтів, усі з підключенням VPN.
• ДК - це суміш 2003, 2008 та 2012 років. Функціональний рівень домену - 2003 рік.
• Клієнтами в основному є Windows 7 x64.
• Ми використовуємо групову політику, включаючи політику, що використовує WMI, націлювання на рівень переваг групи та розгортання принтера GPP.
• Ми не використовуємо роумінгові профілі.

Здебільшого входи в систему працюють добре і швидко для людей, які раніше використовували цей апарат. Перший вхід на новий комп'ютер завжди повільний, але це очікувано.

Здається, проблема в основному з ноутбуками. Якщо вони використовуються вдома з бездоменним мережевим підключенням або переміщені в інше місце (все ще в доменній мережі, але на іншому веб-сайті AD і, здається, не має значення дротовий або бездротовий доступ), реєстрація може зайняти до 3 хвилин з моменту введення користувачем свого пароля до моменту, коли він фактично починає показувати робочий стіл. Наш сервер терміналів також періодично працює з повільними входами.

На жаль, це переривчаста проблема, і я не знайшов надійного способу її відтворення. Я підозрюю, що це стосується переваг групової політики, але я насправді не маю доказів цього. Я бачив статтю про Microsoft Microsoft KB, яка звинувачує певні типи орієнтації на рівень предметів у повільних входах, але це не дає ніяких вказівок для визначення, чи це насправді причина.

Які журнали та інструменти я можу використовувати, щоб з’ясувати, що спричиняє повільні входи?

Які параметри групової політики я повинен використовувати або уникати, якщо можливо, для прискорення входу?

В основному я пряму в тому ж напрямку, що і joeqwerty

Я відчув симптоми, які ви описуєте в кількох компаніях. На мій досвід, зазвичай це трапляється, коли є кілька сайтів. Один із способів усунення потенційної проблеми із веб-сайтами та службами полягає в наступному. На комп’ютері, який щойно зазнав повільного входу, перейдіть до командного рядка, введіть echo% logonserver% Якщо відповідь не є сервером на тому ж сайті, що і ноутбук чи робоча станція, то мій досвід полягає в тому, що підмережі не налаштовані і не призначені правильний сайт в активних сайтах та службах каталогів.

Ще один спосіб усунення несправностей - подивитися цей файл журналу на контролерах домену% SystemRoot% \ debug \ netlogon.log

Якщо ви бачите такі записи, певну підмережу потрібно ввести на сайти та служби та призначити сайт.
16.05 22:57:31 [4068] AD: NO_CLIENT_SITE: Specificserverhostname 172.16.10.104

Робочі станції та контролери домену Microsoft мають можливість переконатися, що вони переходять до правильних контролерів домену для автентифікації та політики через сайти та служби.

Якщо це так, і це призводить до коригування сайтів та служб, будь ласка, знайте, що тиражування змін до / від контролерів домену може зайняти деякий час. Крім того, знадобиться ще більше часу, щоб робочі станції кінцевих точок побачили нові зміни. Час тиражування за замовчуванням встановлюється на сайтах і службах протягом 1 години між контролерами домену. Залежно від географічної відстані та розміру вашого лісу AD, я зазвичай встановлюю 15 хвилин.

Відповідь, яка може відповісти на запитання чи просто замітку для себе на потім:

Ми зазнали надзвичайних затримок входу в систему для кількох наших підмереж. Виявилося, що в цих підмережах відсутні сервери зворотних DNS-серверів на сервері AD. Ми додали зворотні зони, AD додав записи PTR автоматично, і з тих пір не відчули затримки. Може бути і збігом обставин.