Назад | Перейти на главную страницу

Windows 7 медленный вход в домен в филиале

Итак, у нас есть филиал, который через оптоволокно 10 Мб подключен к главному офису. Вход на компьютер с доменом Windows 7 (профессиональная, 32-разрядная версия) происходит очень медленно. Первый раз занимает до 7 минут. После этого потребуется ~ 2 минуты для входа в систему и ~ 3-5 минут для выхода из системы.

Проверил все, что можно, ничего особенного не увидел:

Настройки DNS
Tracert в домен
При входе / выходе на сервер нет экстремальных нагрузок
Загрузка файла с сервера на локальный компьютер не показывает низкие скорости (1,2 МБ / с) (или это слишком медленно?)
Обновленный сетевой драйвер
Настройки GPO, такие как
- дождитесь сети при запуске и войдите в систему
- использовать чистый объект групповой политики (без установленных параметров перемещаемых профилей)
- установить максимальное время ожидания
- разрешить только локальные профили пользователей
отключены автономные файлы на общей папке перемещаемого профиля
отключил IPv6 на локальном ПК
отключен брандмауэр на локальном ПК
отключены службы индексирования на локальном ПК
на компьютере есть обои (см. http://support.microsoft.com/kb/977346)

В журнале событий отображаются предупреждения с идентификаторами события 6005 и 6006:

Подписчику уведомления winlogon потребовалось 284 секунды, чтобы обработать событие уведомления (вход в систему)

Итак, я сделал загрузочный журнал, как упоминалось Вот и он показал множество операций NotifyChangeDirectory, которые занимали много времени.

У меня кончились варианты. Есть ли что-нибудь еще, что могло бы это исправить?

Обновить

Я думаю, проблема больше связана с пропускной способностью. Копирование файла размером 100 МБ с сервера на клиент занимает около 3 минут. Копирование с клиента win 7 в главном офисе на клиент в филиале занимает 1,5 минуты. Так что, скорее всего, есть проблемы с производительностью сервера win2003.

Обновить через год

Я отключил перемещаемые профили для этих пользователей. Это дало огромный прирост скорости. У нас это работает, поскольку у пользователей есть собственная рабочая станция.

active-directory login

Предполагая, что у вас нет подсети филиала, связанной с «сайтом» главного офиса в Active Directory Sites & Services ....

Если приведенное выше утверждение верно, ваша проблема в том, что компьютеры вашего филиала находятся в другой подсети, чем контроллер домена, на котором вы ожидаете, что они будут проходить аутентификацию. ПК вашего филиала будут тратить время на поиск контроллера домена в своей собственной подсети, прежде чем отказывать и использовать тот, который находится в подсети главного офиса.

Чтобы решить эту проблему, вы можете связать подсеть филиала с «сайтом» главного офиса, который содержит контроллер домена, на котором они должны пройти аутентификацию.

Или вы можете добавить DC в филиале (в подсети филиала). Если это еще не сделано, добавьте новый сайт в ADs&S для филиала и свяжите подсеть филиала с этим сайтом.

Создайте подсеть:

Откройте сайты и службы Active Directory. В дереве консоли щелкните правой кнопкой мыши Подсети и выберите Новая подсеть. В поле «Адрес» введите адрес подсети. В поле «Маска» введите маску подсети, которая описывает диапазон адресов, включенных в эту подсеть. В разделе «Выберите объект сайта для этой подсети» щелкните сайт, который нужно связать с этой подсетью (основной сайт), а затем нажмите кнопку «ОК».

Для этого вы должны быть в группе администраторов домена.

Здесь, вероятно, поможет захват сетевого пакета на клиенте. Он покажет вам общий объем данных, переданных во время входа в систему, а для операций sysvol / gpo вы можете определить, тратит ли клиент необычное количество времени на определенные gpo (ы).

После установки Microsoft Network Monitor 3.4 сохраните следующее в cmd-файл и запустите его как запланированную задачу при запуске системы. Это создаст файл захвата, который вы сможете проанализировать после завершения входа в систему.

cd /d "C:\Program Files\Microsoft Network Monitor 3"
nmcap.exe /network * /capture /DisableConversations /file c:\temp\test.cap:100M

Вот некоторые параметры реестра, которые вы можете протестировать на клиентской рабочей станции, чтобы определить, помогают ли они:

Windows Registry Editor Version 5.00  

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]  
"BufferPolicyReads"=dword:00000001  

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer]  
"NoRemoteRecursiveEvents"=dword:00000001  

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer]  
"NoRemoteChangeNotify"=dword:00000001

Больше информации:

319440 - Задержки входа в систему происходят из-за медленного соединения, если гибкая блокировка не предоставляется для файла политики в Windows.
http://support.microsoft.com/kb/319440

http://blogs.technet.com/b/mrsnrub/archive/2009/09/03/windows-server-2003-x86-tuning-for-performance-based-on-role.aspx

Microsoft Network Monitor 3.4 Анализаторы Windows с открытым исходным кодом 3.4.2654
http://nmparsers.codeplex.com/

После загрузки и установки анализаторов Windows в сетевом мониторе в разделе «Инструменты»> «Параметры»> «Профили анализатора» выберите Windows и нажмите «Установить как активный».

При просмотре захвата в окне «Сводка кадров» для пакетов протокола SMB / SMB2 будет отображаться UNC-путь к месту, где считываются групповые политики. Вы можете дополнительно уточнить отображение, применив такой фильтр, как SMB2 && tcp.DstPort == 445 (или SMB, если SMB2 не используется). Это должно обеспечить достаточно краткое отображение обработки GPO.

Взгляните на этот блог от sysinternals: http://blogs.technet.com/b/markrussinovich/archive/2012/07/02/3506849.aspx В нем есть подробная информация о том, как отлаживать медленные входы в систему.