我有一个多站点 Active Directory 域。所有站点上的所有域控制器都运行 Windows 2012 Standard R2。
站点 1 和 2:一切正常
站点 3:我刚刚设置,但在不同的计算机上都遇到了相同的问题
- 首次登录计算机有时需要很长时间(新计算机上域用户的初始帐户设置)
- 尽管 gpresult 报告组策略已正确应用,但组策略映射驱动器并未出现
gpupdate通常需要很长时间才能申请。
我已经确认站点在 AD 中设置正确,并且只有两个本地 AD 服务器连接到本地站点。此外,我已通过echo %logonserver%以下方式确认我的本地计算机仅使用本地 AD 服务器登录。
我可以持续 ping AD 服务器,响应时间不到 1ms。大楼内的所有网络电缆都是最近安装的,并且是 CAT6,症状似乎不会持续影响一台计算机:这是相当随机的。有时映射驱动器可以成功加载,有时则不行。大楼内只有大约 15 台计算机,所有计算机都通过运行最新可用固件的 48 端口千兆思科交换机。
AD 服务器本身在 Intel i5、RAID SSD 上的 VM 上运行,每个服务器分配有 8GB 内存。
运行时我看到的唯一常见线索gpresult是收到slow link detected警告,考虑到所有东西都在 LAN 上并通过千兆位连接,这似乎很愚蠢。根据我的研究,在慢速链接连接下,映射驱动器似乎不会可靠地出现,这是可以预料的。
我该如何诊断该问题的原因?
答案1
LogonServer 甚至 nltest /dsgetdc 可能无法准确反映哪个域控制器用于提取组策略。我曾见过这样的情况:本地域控制器正确地用于身份验证,但另一个站点中的域控制器用于组策略。
您需要执行:
- 受影响工作站上登录缓慢的 netmon 数据包捕获。
- 确认 nltest /dsgetdc: 正在使用正确的域控制器和正确的 IP 地址(如果是多宿主的 - 希望不是)。
- 在受影响的工作站上启用组策略环境调试日志记录并查看以下日志:http://social.technet.microsoft.com/wiki/contents/articles/4506.group-policy-debug-log-settings.aspx
在 Windows 7 中启用 UserEnv 日志记录
在 Windows 7 中,GPO 处理由名为“组策略客户端”的服务执行。执行以下注册表值时,该服务可以写入日志文件:
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Diagnostics]
"GPSvcDebugLevel"=dword:00030002
生成的日志文件将是 %WINDIR%\debug\usermode\gpsvc.log
答案2
好吧,我决定尝试一下……将我的 Cisco 交换机重置为出厂默认设置,慢速链接问题就消失了。为了安全起见,我决定用现场的相同备份交换机替换整个交换机,也运行出厂默认设置。 gpresult现在将链接识别为高速。但是,我仍然遇到问题,gpupdate应用时间太长(有时 10 秒,有时 120 秒),而且我的驱动器映射仅间歇性显示。
我想也许我应该用不同的标题重新发布,因为slow link症状似乎并不像我想象的那么严重。