El identificador de evento de Netlogon 5719 o el evento de directiva de grupo 1129 se registra al iniciar un miembro de dominio

En este artículo se proporcionan los métodos para resolver el identificador de evento de Netlogon 5719 o el evento de directiva de grupo 1129 que se registra al iniciar un miembro del dominio.

Versión del producto original:   Windows 10: todas las ediciones, Windows Server 2012 R2
Número de KB original:   938449

Síntomas

Importante

Siga atentamente los pasos de esta sección. La modificación incorrecta del Registro puede producir graves problemas. Antes de modificarlo, realice una copia de seguridad del Registro para efectuar una restauración en caso de que surjan problemas.

Considere este escenario:

  • Tiene un equipo que ejecuta Windows 10 o Windows Server 2012 R2.
  • El equipo está unido a un dominio.
  • Una de estas condiciones es verdadera:
    • El equipo tiene un adaptador de red Gigabit instalado.
    • El acceso a la red se protege mediante el uso de la protección de acceso a redes (NAP), la autenticación de red (mediante 802,1x) u otro método.

En este escenario, se registra el siguiente evento en el registro del sistema cuando inicia el equipo en cada versión de Windows hasta e incluye Windows 8,1. En Windows 10 y versiones posteriores, el evento 5719 ya no está registrado en esta situación. En su lugar, se registran las siguientes líneas en Netlogon. log:

CRÍTICO [960] CONTOSO: NlSessionSetup: configuración de sesión: no se puede elegir un DC de confianza
SESIÓN [960] ninguna dirección IP presente, omisión de registro de eventos de DC

Una vez que esto ocurre, se asigna una dirección IP al equipo:

SESIÓN [960] V6 direcciones de Winsock: fe80:: 5faf: 632a: f22c: 644a %2 (1) V6WinsockPnpAddresses lista usada como vacía.
SESIÓN [960] direcciones de Winsock: 10.1.1.80 (1) lista usada para estar vacía.

En Windows 10 y versiones posteriores, solo verá los eventos por componentes, según la Conectividad del controlador de dominio (por ejemplo, la Directiva de grupo). Se registra lo siguiente en el registro de depuración de directiva de Grupo:

CGPApplicationService::MachinePolicyStartedWaitingOnNetwork.
CGPMachineStartupConnectivity:: CalculateWaitTimeoutFromHistory: el promedio es 388. CGPMachineStartupConnectivity:: CalculateWaitTimeoutFromHistory: Current es-1. CGPMachineStartupConnectivity:: CalculateWaitTimeoutFromHistory: se toma un mínimo de 776 y 30000.
Esperando a SamSs con timeout 776

NlaQueryNetSignatures devolvió 1 red
Información de NSI (GUID de red): {395DB3C8-CE45-11E5-9739-806E6F6E6963}
Información de NSI (ID de compartimiento): 1
Información de NSI (SiteId): 134217728
Información de NSI (nombre de red):
Error de NlaGetIntranetCapability con 0x15
No hay ningún compartimiento de dominio
ProcessGPOs (equipo): error de MyGetUserName con 1355.
La consulta abierta para NLA se ha completado correctamente
NlaGetIntranetCapability devolvió un error no está listo. Considérelo como no compatible con la intranet.

GPSVC (530. ae0) 13:32:28:728 no hay conectividad
GPSVC (530.8 E0) 13:32:28:728 ApplyGroupPolicy: Getting Ready to Create Background Thread GPOThread.

La primera sección muestra el cálculo para el tiempo de espera que se va a usar para mostrar la red. Se puede basar en los inicios rápidos anteriores.

La segunda sección muestra que NLA no puede informar de una red en funcionamiento dentro del intervalo de espera que se permite y el procesamiento de inicio de la Directiva de grupo da error. La tercera sección muestra que el motor de directiva de grupo inicia un procedimiento en segundo plano y, a continuación, espera un minuto después de que una red esté disponible.

Causa

Este problema puede producirse por cualquiera de estos motivos:

  • El servicio NetLogon se inicia antes de que la red esté lista. La pila de red y la inicialización del adaptador suelen comenzar aproximadamente al mismo tiempo. Algunos conmutadores y adaptadores de red tienen comprobaciones de incompatibilidad de vínculo y de unicidad de direcciones MAC que tardan más en completarse que el tiempo de espera establecido para que Netlogon detecte la conectividad de red.
  • Soluciones que comprueban el estado del nuevo miembro de red retrasar la conexión de red y la capacidad de tener acceso a los controladores de dominio. Si tiene una conexión de canal de acceso directo automática habilitada, esto también puede requerir más tiempo que Netlogon permite.
  • El proceso de autenticación de 802.1 X retrasa las conexiones a los controladores de dominio.
  • El cliente experimenta un retraso para recuperar una dirección IP del servidor DHCP. Esto retrasa la visualización de la interfaz de red.

La Directiva de grupo de Windows Vista y versiones posteriores se escribe para negociar el estado de la red que tiene habilitado el reconocimiento de ubicación de red (NLA) y espera una red con conectividad de DC. Sin embargo, la Directiva de grupo puede iniciarse prematuramente debido a una aplicación de directiva. Esto es especialmente cierto cuando el retraso en la búsqueda de una red alterna entre los inicios.

Advertencia

Es posible que se produzcan problemas graves si modifica el Registro de forma incorrecta mediante el Editor del Registro u otro método. Estos problemas pueden requerir la reinstalación del sistema operativo. Microsoft no puede garantizar la solución de estos problemas. Modifique el Registro bajo su propia responsabilidad.

Solución 1

Para solucionar este problema, instale el controlador más reciente para el adaptador de red Gigabit. O bien, habilite la opción PortFast en los conmutadores de red.

Resolución 2

Para resolver este problema, use el registro para cambiar la configuración relacionada que afecta a la conectividad de DC. Para ello, use los métodos siguientes.

Método 1

Ajuste la configuración del firewall o las directivas IPSEC que se han modificado para permitir la conectividad de DC. Estos cambios se realizan cuando el cliente recibe una dirección IP pero requiere más tiempo para acceder a un controlador de dominio (por ejemplo, tras una comprobación correcta a través de Cisco NAC o los servicios de Microsoft NPS).

Método 2

Configure la Netlogon configuración del registro en un valor que no esté seguro más allá del tiempo necesario para permitir la conectividad de DC.

Nota

Esto solo es efectivo si el equipo ya tiene una dirección IP. Esto se aplica a los escenarios en los que una solución NAP coloca el equipo en una red de cuarentena. Use las siguientes opciones como instrucciones.

Subclave del registro: HKEY_LOCAL_MACHINE \System\CurrentControlSet\Services\Netlogon\Parameters
Nombre del valor: ExpectedDialupDelay
Tipo de datos: REG_DWORD
El valor de los datos se encuentra en segundos (valor predeterminado = 0)
El intervalo de datos se encuentra entre 0 y 600 segundos (10 minutos)

Para obtener más información, consulte Settings for reduciendo el tráfico de WAN periódico.

Método 3

La pila IP intenta comprobar la dirección IP mediante una difusión ARP. Esto retrasa el tiempo que tarda la IP en ponerse en línea. Puede establecer la entrada del registro ArpRetryCount en un (1), por lo que se acorta la espera de exclusividad. Para ello, siga estos pasos:

  1. Inicie el Editor del Registro.

  2. Busque y seleccione la siguiente subclave:
    HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\TcpIp\Parameters\

  3. En el menú edición , seleccione nuevoy, a continuación, seleccione valor DWORD.

  4. Escriba ArpRetryCount.

  5. Haga clic con el botón secundario en la ArpRetryCount entrada del registro y seleccione modificar.

  6. En el cuadro información del valor , escriba 1y, a continuación, seleccione Aceptar.

    Nota

    El intervalo de datos está comprendido entre 0 y 3 (3 es el valor predeterminado).

  7. Salga del Editor del Registro.

Método 4

Reduzca el período de caché negativo de Netlogon cambiando la NegativeCachePeriod entrada del registro en la siguiente subclave:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Netlogon\Parameters\NegativeCachePeriod

Después de realizar este cambio, el servicio NetLogon no se comporta como si los controladores de dominio estuvieran desconectados durante 45 segundos. El evento 5719 sigue registrado. Sin embargo, el evento no provoca ningún otro problema significativo. Esta configuración permite que un miembro Pruebe los controladores de dominio antes si el proceso no se ha realizado anteriormente.

Sugerencia: intente establecer un valor bajo, como tres segundos. En entornos de LAN, puede usar un valor de 0 para desactivar la caché negativa.

Para obtener más información acerca de esta configuración, consulte Settings for reduciendo el tráfico de WAN periódico.

Método 5

Configure la Kerberos configuración del registro en un valor que no esté seguro más allá del tiempo necesario para permitir la conectividad de DC. Use las siguientes opciones como instrucciones.

Nota

Esta configuración solo se aplica a Windows XP y Windows Server 2003 o versiones anteriores de estos sistemas. Windows Vista y Windows Server 2008 y versiones posteriores usan un valor predeterminado de 0. Este valor desactiva la funcionalidad del Protocolo de datagramas de usuario (UDP) para el cliente Kerberos.

Subclave del registro: HKEY_LOCAL_MACHINE \System\CurrentControlSet\Control\Lsa\Kerberos\Parameters
Nombre del valor: MaxPacketSize
Tipo de datos: REG_DWORD
Datos del valor: 1
Valor predeterminado: (depende de la versión del sistema)

Para obtener más información, vea Cómo forzar a Kerberos a usar TCP en lugar de UDP en Windows.

Método 6

Deshabilitar la detección de medios para TCP/IP. Para ello, agregue el siguiente valor a la Tcpip subclave del registro:

Subclave del registro: HKEY_LOCAL_MACHINE \System\CurrentControlSet\Services\Tcpip\Parameters
Nombre de valor: DisableDHCPMediaSense
Tipo de datos: REG_DWORD
Datos del valor: 1
Intervalo de valores: booleano (0 = falso, 1 = verdadero)
Valor predeterminado: 0 (false)

Para obtener más información, consulte cómo deshabilitar la característica de detección de medios para TCP/IP en Windows.

Método 7

La Directiva de grupo tiene opciones de directiva para controlar el tiempo de espera para el procesamiento de la Directiva de Inicio:

  1. LAN corporativa o WLAN:

    Carpeta de directivas: "configuración del Equipo\plantillas Administrativas\sistema\directiva de Administrativas\sistema\directiva de equipo"
    Nombre de la Directiva: "especificar el tiempo de espera de procesamiento de la Directiva de inicio"

  2. LAN o WLAN externa:

    Carpeta de directivas: "configuración del Equipo\plantillas Administrativas\sistema\directiva de Administrativas\sistema\directiva de equipo"
    Nombre de directiva: "especificar el tiempo de espera de Conectividad del lugar de trabajo para el procesamiento de directivas"

El tiempo que tarda Netlogon para adquirir una dirección IP de trabajo puede ser la base para la configuración. Para los escenarios de acceso directo, puede medir el retraso típico que su base de usuarios tiene hasta que se establece la conexión.

Método 8

Si DisabledComponents la configuración del registro está en su ubicación y tiene un valor incorrecto de 0xfffffff, elimine la clave o cámbiela por el valor previsto de 0xFF.

Importante

El protocolo de Internet versión 6 (IPv6) es una parte obligatoria de Windows Vista y versiones posteriores de Windows. No se recomienda deshabilitar IPv6 o sus componentes. Si lo hace, es posible que algunos componentes de Windows no funcionen. Además, el inicio del sistema se retrasará cinco segundos si IPv6 está deshabilitado de forma incorrecta estableciendo la DisabledComponents configuración del registro en un valor de 0xfffffff. El valor correcto es 0xFF.

Método 9

El comportamiento puede deberse a una condición de carrera entre la inicialización de la red, la búsqueda de un controlador de dominio y el procesamiento de la Directiva de grupo. Si la red no está disponible, no se localizará un controlador de dominio y se producirá un error al procesar la Directiva de grupo. Una vez que se haya cargado el sistema operativo y se haya negociado y establecido un vínculo de red, se realizará correctamente la actualización en segundo plano de la Directiva de grupo.

Puede establecer un valor del registro para retrasar la aplicación de la Directiva de Grupo:

  1. Inicie el Editor del Registro.

  2. Busque y seleccione la siguiente subclave:
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon

  3. En el menú edición , seleccione nuevoy, a continuación, seleccione valor DWORD.

  4. Escriba GpNetworkStartTimeoutPolicyValue.

  5. Haga clic con el botón secundario en la GpNetworkStartTimeoutPolicyValue entrada del registro y seleccione modificar.

  6. En base, seleccione decimal.

  7. En el cuadro información del valor , escriba 60y, a continuación, seleccione Aceptar.

  8. Salga del Editor del Registro y, después, reinicie el equipo.

  9. Si no se ejecuta el script de inicio de la Directiva de grupo, aumente el valor de la GpNetworkStartTimeoutPolicyValue entrada del registro.

Más información

Si puede iniciar sesión en el dominio sin problemas, puede omitir con seguridad el identificador de evento 5719. Como el servicio NetLogon puede iniciarse antes de que la red esté lista, es posible que el equipo no pueda encontrar el controlador de dominio de inicio de sesión. Por lo tanto, se registra el identificador de evento 5719. Sin embargo, una vez que la red esté lista, el equipo volverá a intentar encontrar el controlador de dominio de inicio de sesión. En esta situación, la operación debe realizarse correctamente.

En un Netogon. log, se pueden registrar las entradas similares a las siguientes:

DateTime [Critical] <domain> : NlDiscoverDc: no se encuentra el DC. DateTime [Critical] <domain> : NlSessionSetup: Session Setup: no se puede seleccionar DC de confianza DateTime [Misc] EventLog: 5719 (1) " <domain> " 0xc000005e... DateTime [SESSION] WPNG: NlSetStatusClientSession: establecer el estado de la conexión a c000005e... DateTime [SESSION] \device\ NetBT_Tcpip_ {4A47AF53-40D3-4F92-ACDF-9B5E82A50E32}: Transport Added (10.0.64.232)-> obtener una dirección IP correcta tarda >15 segundos.

Otros componentes que requieren conectividad de controlador de dominio podrían informar de errores similares que funcionen correctamente. Por ejemplo, es posible que la Directiva de grupo no se aplique al iniciar el sistema. En este caso, no se ejecutan los scripts de inicio. Los errores de la Directiva de grupo pueden estar relacionados con el error de Netlogon para encontrar un controlador de dominio. Puede configurar la Directiva de grupo para que sea más eficaz a la hora de llegar a la conectividad de red.