Диагностика медленных входов в активный каталог

Мне трудно диагностировать прерывистые медленные входы в систему на ПК.

Немного информации о сети, которая имеет эту проблему:

• Мой домен охватывает 5 сайтов, все с VPN-подключениями.
• Контроллеры домена представляют собой смесь 2003, 2008 и 2012 годов. Функциональный уровень домена - 2003.
• Клиенты в основном Windows 7 x64.
• Мы используем групповые политики, в том числе те, которые используют WMI, таргетинг на уровне элементов предпочтения группы и развертывание принтера GPP.
• Мы не используем перемещаемые профили.

По большей части, логины работают хорошо и быстро для людей, которые использовали машину раньше. Первый вход на новый компьютер всегда медленный, но это ожидаемо.

Проблема, кажется, в основном с ноутбуками. Если они используются дома с подключением к сети, не входящим в домен, или перемещены в другое место (все еще в сети домена, но на другом сайте AD, и, кажется, не имеет значения проводной или беспроводной), вход в систему может занять до 3 минут с момента, когда пользователь вводит свой пароль, до момента, когда он фактически начинает показывать рабочий стол. Наш терминальный сервер также периодически испытывает медленные входы в систему.

К сожалению, это периодически возникающая проблема, и я не нашел надежного способа ее воспроизвести. Я подозреваю, что это связано с предпочтениями групповой политики, но у меня нет никаких доказательств этого. Я видел статью в Microsoft KB, в которой обвиняют определенные типы таргетинга на уровне элементов в медленном входе в систему, но он не дает никаких рекомендаций по определению, является ли это причиной.

Какие журналы и инструменты я могу использовать, чтобы выяснить, что вызывает медленный вход в систему?

Какие параметры групповой политики следует использовать или по возможности избегать, чтобы ускорить вход в систему?

В основном я направляюсь в том же направлении, что и joeqwerty

Я испытал симптомы, которые вы описываете в нескольких компаниях. По моему опыту, это обычно происходит, когда существует более одного сайта. Один из способов устранения потенциальной проблемы с сайтами и службами заключается в следующем. На компьютере, который только что испытал медленный вход в систему, перейдите в командную строку и введите echo% logonserver%. Если ответ не является сервером на том же сайте, что и ноутбук или рабочая станция, то мой опыт показывает, что подсети не настроены и не назначены правильный сайт в активном каталоге сайтов и сервисов.

Еще один способ устранения неполадок - посмотреть этот файл журнала на контроллерах домена% SystemRoot% \ debug \ netlogon.log

Если вы видите такие записи, необходимо указать конкретную подсеть для сайтов и служб и назначить сайт.
16.05 22:57:31 [4068] AD: NO_CLIENT_SITE: имя конкретного сервера 172.16.10.104

Рабочие станции и контроллеры домена Майкрософт имеют возможность убедиться, что они обращаются к правильным контроллерам домена для проверки подлинности и политик из-за сайтов и служб.

Если это так и это приводит к корректировке сайтов и служб, имейте в виду, что репликация изменений на контроллеры домена и с них может занять некоторое время. Кроме того, рабочим станциям конечной точки потребуется еще больше времени, чтобы увидеть новые изменения. Время репликации по умолчанию устанавливается для сайтов и служб на 1 час между контроллерами домена. В зависимости от расстояния в географии и размера вашего леса AD, я обычно устанавливаю его на 15 минут или около того.

Ответ, который мог бы соответствовать вопросу или просто примечание для себя на потом:

Мы столкнулись с большими задержками при входе в систему в некоторых наших подсетях. Оказалось, что в этих подсетях отсутствовали обратные зоны DNS на сервере AD. Мы добавили обратные зоны, AD добавил записи PTR автоматически, и с тех пор задержки не было. Может быть совпадение тоже.