因此,我们有一个分支机构,通过 10Mb 光纤连接到总部。在 Windows 7(专业版,32 位)域 PC 上登录非常慢。第一次登录最多需要 7 分钟。之后,登录需要约 2 分钟,注销需要约 3-5 分钟。
我检查了所有能检查到的,没有发现任何异常:
- DNS 设置
- Tracert 到域
- 登录/退出时服务器没有极端负载
- 从服务器下载文件到本地计算机没有显示低速度(1.2MB/s)(或者说太慢了?)
- 更新网络驱动程序
- GPO 设置例如
- 启动并登录时等待网络
- 使用干净的 GPO(未设置漫游配置文件选项)
- 设置最大等待时间
- 仅允许本地用户配置文件
- 禁用漫游配置文件共享上的脱机文件
- 在本地 PC 上禁用 IPv6
- 禁用本地 PC 上的防火墙
- 本地电脑上已禁用索引服务
- 计算机确实有壁纸(见http://support.microsoft.com/kb/977346)
事件日志显示事件 ID 为 6005 和 6006 的警告:
winlogon 通知订阅者花费 284 秒来处理通知事件(登录)
所以我按照上面提到的进行了启动日志记录这里并且它显示很多 NotifyChangeDirectory 操作花费了很长时间。
我已经没有办法了。还有其他方法可以解决这个问题吗?
更新
我认为问题更多与带宽有关。将 100mb 文件从服务器复制到客户端大约需要 3 分钟。从总部的 win 7 客户端复制到分支机构的客户端需要 1.5 分钟。因此,win2003 服务器很可能存在一些性能问题。
一年后更新
我现在已经为这些用户禁用了漫游配置文件。这极大地提高了速度。这对我们来说很有用,因为用户有自己的工作站。
答案1
客户端的网络数据包捕获可能会有所帮助。它会向您显示登录期间传输的数据总量,对于 sysvol/gpo 操作,您可以确定客户端是否在特定 gpo 上花费了异常长的时间。
安装 Microsoft Network Monitor 3.4 后,将以下内容保存到 cmd 文件中,并在系统启动时将其作为计划任务运行。这将创建一个捕获文件,您可以在登录完成后对其进行分析。
cd /d "C:\Program Files\Microsoft Network Monitor 3"
nmcap.exe /network * /capture /DisableConversations /file c:\temp\test.cap:100M
以下是您可以在客户端工作站上测试的一些注册表设置,以确定它们是否有帮助:
Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"BufferPolicyReads"=dword:00000001
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer]
"NoRemoteRecursiveEvents"=dword:00000001
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer]
"NoRemoteChangeNotify"=dword:00000001
更多信息:
319440 - 如果 Windows 中的策略文件未授予机会锁定,则在连接速度较慢的情况下会发生登录延迟
http://support.microsoft.com/kb/319440
Microsoft 网络监视器 3.4 开源 Windows 解析器 3.4.2654
http://nmparsers.codeplex.com/
下载并安装 Windows 解析器后,在网络监视器的“工具”>“选项”>“解析器配置文件”下,选择“Windows”,然后单击“设置为活动”。
在查看捕获时,在“框架摘要”窗口中,SMB/SMB2 协议数据包将显示读取组策略的位置的 UNC 路径。您可以通过应用过滤器(如SMB2 && tcp.DstPort == 445
(或 SMB,如果未使用 SMB2))进一步优化显示。这应该会提供 GPO 处理的相当简洁的显示。
答案2
假设您没有与 Active Directory 站点和服务中总部“站点”关联的分支机构子网....
如果上述陈述属实,那么您的问题在于您的分支机构 PC 位于与您期望它们进行身份验证的 DC 不同的子网中。您的分支机构 PC 将花时间在自己的子网中寻找 DC,然后失败并使用主办公室子网中的 DC。
为了解决这个问题,您可以将分支机构子网与包含您希望他们进行身份验证的 DC 的主办公室“站点”关联起来。
或者,您可以在分支机构(在分支机构子网上)添加 DC。如果尚未设置,请在 ADs&S 中为分支机构添加一个新站点,并将分支机构子网与此站点关联。
创建子网:
打开 Active Directory 站点和服务。在控制台树中,右键单击“子网”,然后单击“新建子网”。在“地址”中,键入子网地址。在“掩码”中,键入描述此子网中包含的地址范围的子网掩码。在“为此子网选择站点对象”下,单击要与此子网关联的站点(主站点),然后单击“确定”。
您必须属于域管理员组才能执行此操作。
答案3
看一下 sysinternals 的这个博客:http://blogs.technet.com/b/markrussinovich/archive/2012/07/02/3506849.aspx 它有关于如何调试慢速登录的详细信息