L’ID d’événement Netlogon 5719 ou l’événement de stratégie de groupe 1129 est enregistré lorsque vous démarrez un membre de domaine

Cet article fournit les méthodes pour résoudre l’ID d’événement Netlogon 5719 ou le 1129 de stratégie de groupe enregistré lorsque vous démarrez un membre de domaine.

Version du produit d’origine :   Windows 10-toutes les éditions, Windows Server 2012 R2
Numéro de la base de connaissances initiale :   938449

Symptômes

Important

Suivez attentivement les étapes de cette section. Des problèmes graves peuvent se produire si vous modifiez le Registre de façon incorrecte. Avant de modifier le Registre, sauvegardez-le pour restauration en cas de problèmes.

Considérez ce scénario comme suit :

  • Vous disposez d’un ordinateur qui exécute Windows 10 ou Windows Server 2012 R2.
  • L’ordinateur est joint à un domaine.
  • L’une des conditions suivantes est vraie :
    • Une carte réseau Gigabit est installée sur l’ordinateur.
    • Vous sécurisez l’accès au réseau à l’aide de la protection d’accès réseau (NAP), de l’authentification réseau (à l’aide de 802,1x) ou d’une autre méthode.

Dans ce scénario, l’événement suivant est enregistré dans le journal système lorsque vous démarrez l’ordinateur dans toutes les versions de Windows jusqu’à et y compris Windows 8,1. Dans Windows 10 et les versions ultérieures, l’événement 5719 n’est plus enregistré dans cette situation. Au lieu de cela, les lignes suivantes sont enregistrées dans Netlogon. log :

INDISPENSABLES [960] CONTOSO : NlSessionSetup : configuration de session : impossible de sélectionner un contrôleur de contrôleur de confiance approuvé
SÉANCE [960] aucune adresse IP présente, aucun journal des événements DC ignoré

Une fois cela se produit, une adresse IP est attribuée à l’ordinateur :

SÉANCE [960] V6 Winsock addr : fe80 :: 5faf : 632a : f22c : 644a %2 (1) V6WinsockPnpAddresses liste utilisée pour être vide.
SÉANCE [960] Winsock addrs : 10.1.1.80 (1) la liste est vide.

Sur Windows 10 et les versions ultérieures, vous ne verrez que les événements par composants, en fonction de la connectivité du contrôleur de domaine (par exemple, la stratégie de groupe). Le code suivant est enregistré dans le journal de débogage de la stratégie de groupe :

CGPApplicationService::MachinePolicyStartedWaitingOnNetwork.
CGPMachineStartupConnectivity :: CalculateWaitTimeoutFromHistory : la moyenne est de 388. CGPMachineStartupConnectivity :: CalculateWaitTimeoutFromHistory : Current est-1. CGPMachineStartupConnectivity :: CalculateWaitTimeoutFromHistory : prise en charge des minutes 776 et 30000.
Attente des Sam avec le délai d’expiration 776

NlaQueryNetSignatures a renvoyé 1 réseau
Informations NSI (GUID réseau) : {395DB3C8-CE45-11E5-9739-806E6F6E6963}
Informations NSI (CompartmentId) : 1
Informations NSI (SiteId) : 134217728
Informations sur NSI (nom réseau) :
NlaGetIntranetCapability a échoué avec 0x15
Il n’y a pas de compartiment de domaine
ProcessGPOs (ordinateur) : MyGetUserName a échoué avec 1355.
Requête ouverte pour NLA
NlaGetIntranetCapability erreur renvoyée non prête. Considérez qu’il ne prend pas en charge l’intranet.

GPSVC (530. ae0) 13:32:28:728 il n’y a pas de connectivité
GPSVC (530.8 E0) 13:32:28:728 ApplyGroupPolicy : prêt à créer des GPOThread de thread d’arrière-plan.

La première section indique le calcul du délai d’attente à utiliser pour ouvrir le réseau. Cela peut être basé sur les Démarrages rapides précédents.

La deuxième section indique que NLA ne parvient pas à signaler un réseau de travail dans l’intervalle d’attente autorisé et que le traitement de démarrage de la stratégie de groupe échoue. La troisième section indique que le moteur de stratégie de groupe démarre une procédure d’arrière-plan, puis attend une minute après la disponibilité d’un réseau.

Cause

Ce problème peut se produire pour l’une des raisons suivantes :

  • Le service Netlogon démarre avant que le réseau soit prêt. La pile réseau et l’initialisation de l’adaptateur commencent souvent à peu de temps. Certaines cartes réseau et commutateurs ont des vérifications d’unicité des adresses MAC et de l’arbitrage de liens qui prennent plus de temps que le temps d’attente défini pour que Netlogon détecte la connectivité réseau.
  • Les solutions qui vérifient l’intégrité du nouveau membre du réseau retardent la connexion réseau et votre capacité à accéder aux contrôleurs de domaine. Si vous disposez d’une connexion de canal d’accès direct automatique activée, cela peut également nécessiter plus de temps que celui autorisé par Netlogon.
  • Le processus d’authentification 802.1 X retarde les connexions aux contrôleurs de domaine.
  • Le client subit un retard pour récupérer une adresse IP à partir du serveur DHCP. Cela retarde l’affichage de l’interface réseau.

La stratégie de groupe dans Windows Vista et les versions ultérieures est écrite pour négocier l’état du réseau sur lequel la reconnaissance de l’emplacement du réseau (NLA) est activée, et attend un réseau disposant d’une connectivité C.C.. Toutefois, la stratégie de groupe peut démarrer prématurément en raison d’une application de stratégie. Cela est particulièrement vrai lorsque le retard de la recherche d’un réseau alterne entre les démarrages.

Avertissement

De graves problèmes peuvent se produire si vous vous trompez en modifiant le Registre à l’aide de l’Éditeur du Registre ou toute autre méthode. Vous risquez même de devoir réinstaller le système d’exploitation. Microsoft ne peut pas garantir que ces problèmes puissent être résolus. Vous assumez l’ensemble des risques liés à la modification du Registre.

Résolution 1

Pour résoudre ce problème, installez le pilote le plus récent pour la carte réseau Gigabit. Vous pouvez également activer l’option PortFast sur les commutateurs réseau.

Résolution 2

Pour résoudre ce problème, utilisez le registre pour modifier les paramètres associés qui affectent la connectivité DC. Pour ce faire, utilisez les méthodes suivantes.

Méthode 1

Ajustez les paramètres de pare-feu ou les stratégies IPSEC qui sont modifiés pour autoriser la connectivité CC. Ces modifications sont apportées lorsque le client reçoit une adresse IP mais nécessite plus de temps pour accéder à un contrôleur de domaine (par exemple, après une vérification réussie par le biais des services NAC Cisco ou Microsoft NPS).

Méthode 2

Configurez le Netlogon paramètre de Registre sur une valeur qui se trouve en toute sécurité au-delà du temps requis pour autoriser la connectivité CC.

Notes

Cette condition n’est effective que si l’ordinateur possède déjà une adresse IP. Cela s’applique aux scénarios dans lesquels une solution NAP place l’ordinateur dans un réseau de quarantaine. Utilisez les paramètres suivants comme instructions.

Sous-clé de Registre : HKEY_LOCAL_MACHINE \System\CurrentControlSet\Services\Netlogon\Parameters
Nom de la valeur : ExpectedDialupDelay
Type de données : REG_DWORD
La valeur des données est exprimée en secondes (valeur par défaut = 0)
La plage de données est comprise entre 0 et 600 secondes (10 minutes)

Pour plus d’informations, consultez la rubrique paramètres permettant de réduire le trafic WAN périodique.

Méthode 3

La pile IP tente de vérifier l’adresse IP à l’aide d’une diffusion ARP. Cela permet de retarder la mise en ligne de la période d’enquête. Vous pouvez définir l’entrée de Registre ArpRetryCount sur un (1), afin que l’attente d’unicité soit raccourcie. Pour cela, procédez comme suit :

  1. Démarrez l’Éditeur du Registre.

  2. Recherchez et sélectionnez la sous-clé suivante :
    HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\TcpIp\Parameters\

  3. Dans le menu Edition , pointez sur nouveau, puis sélectionnez valeur DWORD.

  4. Tapez ArpRetryCount.

  5. Cliquez avec le bouton droit sur l' ArpRetryCount entrée de Registre, puis sélectionnez modifier.

  6. Dans la zone données de la valeur , tapez 1, puis sélectionnez OK.

    Notes

    La plage de données est comprise entre 0 et 3 (3 est la valeur par défaut).

  7. Fermez l’Éditeur du Registre.

Méthode 4

Réduisez la période de cache négative Netlogon en modifiant l' NegativeCachePeriod entrée de Registre dans la sous-clé suivante :
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Netlogon\Parameters\NegativeCachePeriod

Une fois cette modification apportée, le service Netlogon ne se comporte pas comme si les contrôleurs de domaine étaient hors ligne pendant 45 secondes. L’événement 5719 est toujours journalisé. Toutefois, l’événement ne provoque pas d’autres problèmes importants. Ce paramètre permet à membre d’essayer les contrôleurs de domaine plus tôt si le processus a échoué précédemment.

Suggestion : essayez de définir une valeur faible, par exemple trois secondes. Dans les environnements LAN, vous pouvez utiliser la valeur 0 pour désactiver le cache négatif.

Pour plus d’informations sur ce paramètre, consultez la rubrique paramètres permettant de réduire le trafic WAN périodique.

Méthode 5

Configurez le Kerberos paramètre de Registre sur une valeur qui se trouve en toute sécurité au-delà du temps requis pour autoriser la connectivité CC. Utilisez les paramètres suivants comme instructions.

Notes

Ce paramètre s’applique uniquement à Windows XP et Windows Server 2003 ou aux versions antérieures de ces systèmes. Windows Vista et Windows Server 2008 et versions ultérieures utilisent la valeur par défaut 0. Cette valeur désactive la fonctionnalité UDP (User Datagram Protocol) pour le client Kerberos.

Sous-clé de Registre : HKEY_LOCAL_MACHINE \System\CurrentControlSet\Control\Lsa\Kerberos\Parameters
Nom de la valeur : MaxPacketSize
Type de données : REG_DWORD
Données de la valeur : 1
Valeur par défaut : (dépend de la version du système)

Pour plus d’informations, consultez la rubrique How to force Kerberos to use TCP au lieu de UDP dans Windows.

Méthode 6

Désactivez la détection de média pour TCP/IP. Pour ce faire, ajoutez la valeur suivante à la Tcpip sous-clé de Registre :

Sous-clé de Registre : HKEY_LOCAL_MACHINE \System\CurrentControlSet\Services\Tcpip\Parameters
Nom de la valeur : DisableDHCPMediaSense
Type de données : REG_DWORD
Données de la valeur : 1
Plage de valeurs : Boolean (0 = false, 1 = true)
Valeur par défaut : 0 (false)

Pour plus d’informations, reportez-vous à la rubrique How to Disable Media Detection for TCP/IP in Windows.

Méthode 7

La stratégie de groupe dispose de paramètres de stratégie pour contrôler le temps d’attente pour le traitement de la stratégie de démarrage :

  1. Réseau local d’entreprise ou WLAN :

    Dossier de stratégie : «Configuration ordinateur \ modèles d’assurance"
    Nom de la stratégie : « spécifier le temps d’attente de traitement de la stratégie de démarrage »

  2. Réseau local ou WLAN externe :

    Dossier de stratégie : «Configuration ordinateur \ modèles d’assurance"
    Nom de la stratégie : « spécifier le temps d’attente de la connectivité Workplace pour le traitement de la stratégie »

Le temps nécessaire à Netlogon pour acquérir une adresse IP de travail peut être la base du paramètre. Pour les scénarios d’accès direct, vous pouvez mesurer le retard standard de votre base d’utilisateurs jusqu’à ce que la connexion soit établie.

Méthode 8

Si DisabledComponents le paramètre de Registre est en place et a une valeur incorrecte de 0xFFFFFFF, supprimez la clé ou remplacez-la par la valeur de 0xFFsouhaitée.

Important

Le protocole Internet version 6 (IPv6) est un composant obligatoire de Windows Vista et des versions ultérieures de Windows. Nous vous déconseillons de désactiver le protocole IPv6 ou ses composants. Dans ce cas, certains composants Windows risquent de ne pas fonctionner. De plus, le démarrage du système sera retardé de cinq secondes si le protocole IPv6 est désactivé de manière incorrecte en définissant le DisabledComponents paramètre de Registre sur la valeur 0xFFFFFFF. La valeur correcte est 0xFF.

Méthode 9

Le comportement peut être dû à une condition de concurrence entre l’initialisation du réseau, la localisation d’un contrôleur de domaine et le traitement de la stratégie de groupe. Si le réseau n’est pas disponible, cela indique qu’un contrôleur de domaine est introuvable et que le traitement de la stratégie de groupe échoue. Une fois que le système d’exploitation a été chargé et qu’une liaison réseau est négociée et établie, l’actualisation en arrière-plan de la stratégie de groupe réussit.

Vous pouvez définir une valeur de Registre qui retarde l’application de la stratégie de groupe :

  1. Démarrez l’Éditeur du Registre.

  2. Recherchez et sélectionnez la sous-clé suivante :
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon

  3. Dans le menu Edition , pointez sur nouveau, puis sélectionnez valeur DWORD.

  4. Tapez GpNetworkStartTimeoutPolicyValue.

  5. Cliquez avec le bouton droit sur l' GpNetworkStartTimeoutPolicyValue entrée de Registre, puis sélectionnez modifier.

  6. Sous base, sélectionnez décimale.

  7. Dans la zone données de la valeur , tapez 60, puis sélectionnez OK.

  8. Fermez l'Éditeur du Registre et redémarrez l'ordinateur.

  9. Si le script de démarrage de la stratégie de groupe ne s’exécute pas, augmentez la valeur de l' GpNetworkStartTimeoutPolicyValue entrée de registre.

Informations supplémentaires

Si vous pouvez vous connecter au domaine sans problème, vous pouvez ignorer l’ID d’événement 5719. Étant donné que le service Netlogon peut démarrer avant que le réseau soit prêt, il se peut que l’ordinateur ne parvient pas à trouver le contrôleur de domaine de connexion. Par conséquent, l’ID d’événement 5719 est journalisé. Toutefois, une fois que le réseau est prêt, l’ordinateur réessaiera de localiser le contrôleur de domaine de connexion. Dans ce cas, l’opération doit aboutir.

Dans un Netogon. log, les entrées qui ressemblent à ce qui suit peuvent être enregistrées :

DateTime [Critical] <domain> : NLDISCOVERDC : le contrôleur de clés est introuvable. DateTime [Critical] <domain> : NlSessionSetup : configuration de session : impossible de sélectionner le DateTime DC approuvé [misc] EventLog : 5719 (1) " <domain> " 0xc000005e... DateTime [session] WPNG : NlSetStatusClientSession : Set connection Status to c000005e... DateTime [session] \device\ NetBT_Tcpip_ {4A47AF53-40D3-4F92-ACDF-9B5E82A50E32} : transport added (10.0.64.232)-> l’obtention d’une adresse IP correcte prend >15 secondes.

Des erreurs similaires peuvent être signalées par d’autres composants nécessitant une connectivité de contrôleur de domaine pour fonctionner correctement. Par exemple, la stratégie de groupe ne peut pas être appliquée au démarrage du système. Dans ce cas, les scripts de démarrage ne s’exécutent pas. Les échecs de la stratégie de groupe peuvent être liés à l’échec de Netlogon pour localiser un contrôleur de domaine. Vous pouvez définir une stratégie de groupe plus réactive à l’arrivée de la connectivité réseau tardive.