Diagnosi degli accessi lenti a directory attive

Sto facendo fatica a diagnosticare accessi lenti intermittenti su PC di dominio.

Un po 'di informazioni sulla rete che presenta questo problema:

• Il mio dominio si estende su 5 siti, tutti con connessioni VPN.
• I controller di dominio sono una combinazione di 2003, 2008 e 2012. Il livello funzionale del dominio è 2003.
• I client sono principalmente Windows 7 x64.
• Utilizziamo criteri di gruppo, inclusi quelli che utilizzano WMI, il targeting a livello di elemento delle preferenze di gruppo e la distribuzione della stampante GPP.
• Non utilizziamo i profili di roaming.

Per la maggior parte, gli accessi funzionano bene e rapidamente per le persone che hanno usato la macchina in precedenza. Il primo accesso a un nuovo computer è sempre lento, ma è previsto.

Il problema sembra riguardare principalmente i laptop. Se vengono utilizzati a casa con una connessione di rete non di dominio o spostati in una posizione diversa (sempre su una rete di dominio, ma un sito AD diverso e non sembra essere cablato o wireless), gli accessi possono richiedere fino a 3 minuti dal momento in cui l'utente immette la password, fino al momento in cui inizia effettivamente a mostrare il desktop. Anche il nostro server terminal subisce intermittentemente accessi lenti.

Sfortunatamente, è un problema intermittente e non ho trovato alcun modo affidabile per riprodurlo. Il mio sospetto è che abbia a che fare con le preferenze dei criteri di gruppo, ma in realtà non ne ho alcuna prova. Ho visto un articolo di microsoft KB incolpare alcuni tipi di targeting a livello di articolo per accessi lenti, ma non fornisce alcuna guida per determinare se questa è effettivamente la causa.

Quali log e strumenti posso usare per capire cosa sta causando gli accessi lenti?

Quali impostazioni di criteri di gruppo dovrei usare o evitare se possibile per velocizzare gli accessi?

Fondamentalmente, sto andando nella stessa direzione di Joeqwerty

Ho riscontrato i sintomi che stai descrivendo in alcune aziende. Nella mia esperienza, di solito succede quando c'è più di un sito. Un modo per risolvere un potenziale problema con siti e servizi è il seguente. Su un computer che ha subito un accesso lento, andare al prompt dei comandi, digitare echo% logonserver% Se la risposta non è un server nello stesso sito del laptop o della workstation, la mia esperienza è stata che le subnet non sono configurate e assegnate il sito corretto nei siti e servizi di Active Directory.

Un altro modo per risolvere i problemi è guardare questo file di registro nei controller di dominio% SystemRoot% \ debug \ netlogon.log

Se vedi voci come questa, la sottorete specifica deve essere inserita in siti e servizi e assegnata a un sito.
16/05 22:57:31 [4068] AD: NO_CLIENT_SITE: specificserverhostname 172.16.10.104

Le workstation e i controller di dominio Microsoft hanno la possibilità di assicurarsi che vadano ai controller di dominio corretti per autenticazione e criteri a causa di siti e servizi.

Se questo è il caso e comporta un adeguamento di siti e servizi, tenere presente che la replica delle modifiche da / verso i controller di dominio può richiedere del tempo. Inoltre, ci vorrà ancora più tempo perché le workstation dell'endpoint possano vedere le nuove modifiche. Il tempo di replica predefinito è impostato in siti e servizi per 1 ora tra i controller di dominio. A seconda della distanza geografica e delle dimensioni della foresta AD, di solito la imposto a circa 15 minuti.

Una risposta che potrebbe adattarsi alla domanda o semplicemente una nota per me per dopo:

Abbiamo riscontrato ritardi estremi negli accessi per alcune delle nostre subnet. Si è scoperto che in quelle subnet mancavano zone DNS inverse nel server AD. Abbiamo aggiunto le zone inverse, AD ha aggiunto automaticamente le voci PTR e da allora non abbiamo riscontrato il ritardo. Potrebbe anche essere una coincidenza.