Windows 7 在分支机构登录域时速度很慢

tag-icon tag-icon active-directory login
Windows 7 在分支机构登录域时速度很慢

因此,我们有一个分支机构,通过 10Mb 光纤连接到总部。在 Windows 7(专业版,32 位)域 PC 上登录非常慢。第一次登录最多需要 7 分钟。之后,登录需要约 2 分钟,注销需要约 3-5 分钟。

我检查了所有能检查到的,没有发现任何异常:

  • DNS 设置
  • Tracert 到域
  • 登录/退出时服务器没有极端负载
  • 从服务器下载文件到本地计算机没有显示低速度(1.2MB/s)(或者说太慢了?)
  • 更新网络驱动程序
  • GPO 设置例如
    • 启动并登录时等待网络
    • 使用干净的 GPO(未设置漫游配置文件选项)
    • 设置最大等待时间
    • 仅允许本地用户配置文件
  • 禁用漫游配置文件共享上的脱机文件
  • 在本地 PC 上禁用 IPv6
  • 禁用本地 PC 上的防火墙
  • 本地电脑上已禁用索引服务
  • 计算机确实有壁纸(见http://support.microsoft.com/kb/977346

事件日志显示事件 ID 为 6005 和 6006 的警告:

winlogon 通知订阅者花费 284 秒来处理通知事件(登录)

所以我按照上面提到的进行了启动日志记录这里并且它显示很多 NotifyChangeDirectory 操作花费了很长时间。

我已经没有办法了。还有其他方法可以解决这个问题吗?

更新

我认为问题更多与带宽有关。将 100mb 文件从服务器复制到客户端大约需要 3 分钟。从总部的 win 7 客户端复制到分支机构的客户端需要 1.5 分钟。因此,win2003 服务器很可能存在一些性能问题。

一年后更新

我现在已经为这些用户禁用了漫游配置文件。这极大地提高了速度。这对我们来说很有用,因为用户有自己的工作站。

答案1

客户端的网络数据包捕获可能会有所帮助。它会向您显示登录期间传输的数据总量,对于 sysvol/gpo 操作,您可以确定客户端是否在特定 gpo 上花费了异常长的时间。

安装 Microsoft Network Monitor 3.4 后,将以下内容保存到 cmd 文件中,并在系统启动时将其作为计划任务运行。这将创建一个捕获文件,您可以在登录完成后对其进行分析。

cd /d "C:\Program Files\Microsoft Network Monitor 3"
nmcap.exe /network * /capture /DisableConversations /file c:\temp\test.cap:100M

以下是您可以在客户端工作站上测试的一些注册表设置,以确定它们是否有帮助:

Windows Registry Editor Version 5.00  

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]  
"BufferPolicyReads"=dword:00000001  

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer]  
"NoRemoteRecursiveEvents"=dword:00000001  

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer]  
"NoRemoteChangeNotify"=dword:00000001

更多信息:

319440 - 如果 Windows 中的策略文件未授予机会锁定,则在连接速度较慢的情况下会发生登录延迟
http://support.microsoft.com/kb/319440

http://blogs.technet.com/b/mrsnrub/archive/2009/09/03/windows-server-2003-x86-tuning-for-performance-based-on-role.aspx

Microsoft 网络监视器 3.4 开源 Windows 解析器 3.4.2654
http://nmparsers.codeplex.com/

下载并安装 Windows 解析器后,在网络监视器的“工具”>“选项”>“解析器配置文件”下,选择“Windows”,然后单击“设置为活动”。

在查看捕获时,在“框架摘要”窗口中,SMB/SMB2 协议数据包将显示读取组策略的位置的 UNC 路径。您可以通过应用过滤器(如SMB2 && tcp.DstPort == 445(或 SMB,如果未使用 SMB2))进一步优化显示。这应该会提供 GPO 处理的相当简洁的显示。

答案2

假设您没有与 Active Directory 站点和服务中总部“站点”关联的分支机构子网....

如果上述陈述属实,那么您的问题在于您的分支机构 PC 位于与您期望它们进行身份验证的 DC 不同的子网中。您的分支机构 PC 将花时间在自己的子网中寻找 DC,然后失败并使用主办公室子网中的 DC。

为了解决这个问题,您可以将分支机构子网与包含您希望他们进行身份验证的 DC 的主办公室“站点”关联起来。

或者,您可以在分支机构(在分支机构子网上)添加 DC。如果尚未设置,请在 ADs&S 中为分支机构添加一个新站点,并将分支机构子网与此站点关联。

创建子网:

打开 Active Directory 站点和服务。在控制台树中,右键单击“子网”,然后单击“新建子网”。在“地址”中,键入子网地址。在“掩码”中,键入描述此子网中包含的地址范围的子网掩码。在“为此子网选择站点对象”下,单击要与此子网关联的站点(主站点),然后单击“确定”。

您必须属于域管理员组才能执行此操作。

答案3

看一下 sysinternals 的这个博客:http://blogs.technet.com/b/markrussinovich/archive/2012/07/02/3506849.aspx 它有关于如何调试慢速登录的详细信息

相关内容