L’ID d’événement Netlogon 5719 ou l’événement stratégie de groupe 1129 est enregistré lorsque vous démarrez un membre de domaine

Cet article résout l’ID d’événement Netlogon 5719 ou l’événement stratégie de groupe 1129 enregistré lorsque vous démarrez un membre de domaine.

Applicabilité : Windows 10 - toutes les éditions, Windows Server 2012 R2
Numéro de la base de connaissances d’origine : 938449

Symptômes

Importante

Suivez attentivement les étapes de cette section. Des problèmes graves peuvent se produire si vous modifiez le Registre de façon incorrecte. Avant de modifier le Registre, sauvegardez-le pour restauration en cas de problèmes.

Envisagez le scénario suivant :

• Vous avez un ordinateur qui exécute Windows 10 ou Windows Server 2012 R2.
• L’ordinateur est joint à un domaine.
• L’une de ces conditions est vraie :
  • Une carte réseau Gigabit est installée sur l’ordinateur.
  • Vous sécurisez l’accès réseau à l’aide de la protection d’accès réseau (NAP), de l’authentification réseau (à l’aide de 802.1x) ou d’une autre méthode.

Dans ce scénario, l’événement suivant est enregistré dans le journal système lorsque vous démarrez l’ordinateur dans Windows 8.1 et versions antérieures. Dans Windows 10 et versions ultérieures, l’événement 5719 n’est plus enregistré dans cette situation. Les lignes suivantes sont enregistrées dans Netlogon.log à la place :

[CRITICAL] [960] CONTOSO: NlSessionSetup: Session setup: cannot pick trusted DC  
[SESSION] [960] No IP addresses present, skipping No DC event log

Après ce problème, une adresse IP est affectée à l’ordinateur :

[SESSION] [960] V6 Winsock Addrs: fe80::5faf:632a:f22c:644a%2 (1) V6WinsockPnpAddresses List used to be empty.  
[SESSION] [960] Winsock Addrs: 10.1.1.80 (1) List used to be empty.

Sur Windows 10 et versions ultérieures, vous verrez uniquement les événements par composants, en fonction de la connectivité du contrôleur de domaine (par exemple, stratégie de groupe). Les entrées suivantes sont enregistrées dans le journal de débogage de la stratégie de groupe :

CGPApplicationService::MachinePolicyStartedWaitingOnNetwork.  
CGPMachineStartupConnectivity::CalculateWaitTimeoutFromHistory: Average is 388.
CGPMachineStartupConnectivity::CalculateWaitTimeoutFromHistory: Current is -1.
CGPMachineStartupConnectivity::CalculateWaitTimeoutFromHistory: Taking min of 776 and 30000.  
Waiting for SamSs with timeout 776

NlaQueryNetSignatures returned 1 networks  
NSI Information (Network GUID) : {395DB3C8-CE45-11E5-9739-806E6F6E6963}  
NSI Information (CompartmentId) : 1  
NSI Information (SiteId) : 134217728  
NSI Information (Network Name) :  
NlaGetIntranetCapability failed with 0x15  
There is no domain compartment  
ProcessGPOs(Machine): MyGetUserName failed with 1355.  
Opened query for NLA successfully  
NlaGetIntranetCapability returned Not Ready error. Consider it as NOT intranet capable.  

GPSVC(530.ae0) <DateTime> There is no connectivity  
GPSVC(530.8e0) <DateTime> ApplyGroupPolicy: Getting ready to create background thread GPOThread.

La première section montre le calcul du délai d’attente à utiliser pour afficher le réseau. Il peut être basé sur des start-ups rapides précédentes.

La deuxième section montre que la reconnaissance de l’emplacement réseau (NLA) ne parvient pas à signaler un réseau opérationnel dans l’intervalle d’attente autorisé, et que le traitement du démarrage de la stratégie de groupe échoue. La troisième section montre que le moteur stratégie de groupe démarre une procédure en arrière-plan, puis attend une minute après la mise à disposition d’un réseau.

Cause

Ce problème peut se produire pour l’une des raisons suivantes :

• Le service Netlogon démarre avant que le réseau ne soit prêt. L’initialisation de la pile réseau et de la carte commence souvent à peu près en même temps. Certaines cartes réseau et commutateurs ont des contrôles d’arbitrage de liaison et d’unicité d’adresse MAC qui prennent plus de temps que le temps d’attente défini pour Que Netlogon détecte la connectivité réseau.
• Les solutions qui vérifient l’intégrité du nouveau membre réseau retardent la connexion réseau et votre capacité à accéder aux contrôleurs de domaine. Si vous disposez d’une connexion de canal d’accès direct automatique activée, cela peut également nécessiter plus de temps que netlogon.
• Le processus d’authentification 802.1X retarde les connexions aux contrôleurs de domaine.
• Le client subit un délai pour récupérer une adresse IP à partir du serveur DHCP. Il retarde l’affichage de l’interface réseau.

stratégie de groupe dans Windows Vista et les versions ultérieures est écrit pour négocier le status réseau sur lequel NLA est activé. Et il attend un réseau qui dispose d’une connectivité DC. Toutefois, stratégie de groupe peut démarrer prématurément en raison d’une application de stratégie. Cette situation est particulièrement vraie lorsque le retard dans la recherche d’un réseau alterne entre les start-ups.

Avertissement

De graves problèmes peuvent se produire si vous vous trompez en modifiant le Registre à l’aide de l’Éditeur du Registre ou toute autre méthode. Vous risquez même de devoir réinstaller le système d’exploitation. Microsoft ne peut pas garantir que ces problèmes puissent être résolus. Vous assumez l’ensemble des risques liés à la modification du Registre.

Résolution 1

Pour résoudre ce problème, installez le pilote le plus actuel pour la carte réseau Gigabit. Vous pouvez également activer l’option PortFast sur les commutateurs réseau.

Résolution 2

Pour résoudre ce problème, utilisez le Registre pour modifier les paramètres associés qui affectent la connectivité dc. Pour ce faire, utilisez les méthodes suivantes.

Méthode 1

Ajustez les paramètres de pare-feu ou les stratégies IPSEC qui sont modifiés pour autoriser la connectivité dc. Ces modifications sont apportées lorsque le client reçoit une adresse IP, mais nécessite plus de temps pour accéder à un contrôleur de domaine, par exemple, après une vérification réussie via cisco NAC ou microsoft NPS Services.

Méthode 2

Configurez le paramètre de Netlogon Registre sur une valeur qui est en toute sécurité au-delà du temps nécessaire pour autoriser la connectivité DC.

Remarque

Cela n’est efficace que si l’ordinateur a déjà une adresse IP. Cela s’applique aux scénarios où une solution NAP place la machine dans un réseau de quarantaine. Utilisez les paramètres suivants comme instructions.

Sous-clé de Registre : HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Netlogon\Parameters
Nom de la valeur : ExpectedDialupDelay
Type de données : REG_DWORD
La valeur des données est en secondes (valeur par défaut = 0 )
La plage de données est comprise entre 0 et 600 secondes (10 minutes)

Pour plus d’informations, consultez Paramètres pour réduire le trafic WAN périodique.

Méthode 3

La pile IP tente de vérifier l’adresse IP à l’aide d’une diffusion ARP. Cela retarde le temps que prend l’adresse IP pour se mettre en ligne. Vous pouvez définir l’entrée de Registre ArpRetryCount sur une (1), de sorte que l’attente d’unicité soit raccourcie. Pour ce faire, procédez comme suit :

1. Démarrez l’Éditeur du Registre.

2. Recherchez et sélectionnez la sous-clé suivante :
   HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\TcpIp\Parameters\

3. Dans le menu Modifier , pointez sur Nouveau, puis sélectionnez Valeur DWORD.

4. Tapez ArpRetryCount.

5. Cliquez avec le bouton droit sur l’entrée de ArpRetryCount Registre, puis sélectionnez Modifier.

6. Dans la zone Données de la valeur , tapez 1, puis sélectionnez OK.

   Remarque

   La plage de données est comprise entre 0 et 3 (3 est la valeur par défaut).

7. Fermez l’Éditeur du Registre.

Méthode 4

Réduisez la période de cache négatif netlogon en modifiant l’entrée de NegativeCachePeriod Registre dans la sous-clé suivante :
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Netlogon\Parameters\NegativeCachePeriod

Après avoir apporté cette modification, le service Netlogon ne se comporte pas comme si les contrôleurs de domaine sont hors connexion pendant 45 secondes. L’événement 5719 est toujours journalisé. Toutefois, l’événement ne provoque pas d’autres problèmes importants. Ce paramètre permet au membre d’essayer les contrôleurs de domaine plus tôt si le processus a échoué précédemment.

Suggestion : Essayez de définir une valeur faible, par exemple trois secondes. Dans les environnements LAN, vous pouvez utiliser la valeur 0 pour désactiver le cache négatif.

Pour plus d’informations sur ce paramètre, consultez Paramètres pour réduire le trafic WAN périodique.

Méthode 5

Configurez le paramètre de Kerberos Registre sur une valeur qui est en toute sécurité au-delà du temps nécessaire pour autoriser la connectivité DC. Utilisez les paramètres suivants comme instructions.

Remarque

Ce paramètre s’applique uniquement à Windows XP et Windows Server 2003 ou versions antérieures de ces systèmes. Windows Vista et Windows Server 2008 et versions ultérieures utilisent la valeur par défaut 0. Cette valeur désactive la fonctionnalité UDP (User Datagram Protocol) pour le client Kerberos.

Sous-clé de Registre : HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Lsa\Kerberos\Parameters
Nom de la valeur : MaxPacketSize
Type de données : REG_DWORD
Données de valeur : 1
Par défaut : (dépend de la version du système)

Pour plus d’informations, consultez Guide pratique pour forcer Kerberos à utiliser TCP au lieu d’UDP dans Windows.

Méthode 6

Désactivez l’assistant multimédia pour TCP/IP en ajoutant la valeur suivante à la sous-clé de Tcpip Registre :

Sous-clé de Registre : HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Tcpip\Parameters
Nom de la valeur : DisableDHCPMediaSense
Type de données : REG_DWORD
Données de valeur : 1
Plage de valeurs : Boolean ( 0 =False, 1 =True)
Valeur par défaut : 0 (False)

Pour plus d’informations, consultez Comment désactiver la fonctionnalité Media Sensing pour TCP/IP dans Windows.

Méthode 7

stratégie de groupe dispose de paramètres de stratégie pour contrôler le temps d’attente pour le traitement de la stratégie de démarrage :

1. Réseau local d’entreprise ou WLAN :

   Dossier de stratégie : « Configuration ordinateur\Modèles d’administration\Système\stratégie de groupe »
   Nom de la stratégie : « Spécifier le temps d’attente de traitement de la stratégie de démarrage »

2. Réseau local externe ou WLAN :

   Dossier de stratégie : « Configuration ordinateur\Modèles d’administration\Système\stratégie de groupe »
   Nom de la stratégie : « Spécifier le temps d’attente de connectivité de l’espace de travail pour le traitement de la stratégie »

Le temps nécessaire à Netlogon pour acquérir une adresse IP opérationnelle peut être la base du paramètre. Pour les scénarios d’accès direct, vous pouvez mesurer le délai typique de votre base d’utilisateurs jusqu’à ce que la connexion soit établie.

Méthode 8

Si DisabledComponents le paramètre de Registre est en place et a une valeur incorrecte de 0xfffffff, supprimez la clé ou remplacez-la par la valeur prévue de 0xff.

Importante

Le protocole IPv6 (Internet Protocol version 6) est une partie obligatoire de Windows Vista et des versions ultérieures de Windows. Nous vous déconseillons de désactiver IPv6 ou ses composants. Si vous le faites, certains composants de Windows risquent de ne plus fonctionner. En outre, le démarrage du système est retardé de cinq secondes si IPv6 est désactivé de manière incorrecte en définissant le DisabledComponents paramètre de Registre sur une valeur de 0xfffffff. La valeur correcte est 0xff.

Méthode 9

Le comportement peut être dû à une condition de concurrence entre l’initialisation du réseau, la localisation d’un contrôleur de domaine et le traitement stratégie de groupe. Si le réseau n’est pas disponible, un contrôleur de domaine n’est pas localisé et stratégie de groupe traitement échoue. Une fois que le système d’exploitation est chargé et qu’une liaison réseau est négociée et établie, l’actualisation en arrière-plan de stratégie de groupe réussit.

Vous pouvez définir une valeur de Registre pour retarder l’application de stratégie de groupe :

1. Démarrez l’Éditeur du Registre.

2. Recherchez et sélectionnez la sous-clé suivante :
   HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon

3. Dans le menu Modifier , pointez sur Nouveau, puis sélectionnez Valeur DWORD.

4. Tapez GpNetworkStartTimeoutPolicyValue.

5. Cliquez avec le bouton droit sur l’entrée de GpNetworkStartTimeoutPolicyValue Registre, puis sélectionnez Modifier.

6. Sous Base, sélectionnez Décimal.

7. Dans la zone Données de la valeur , tapez 60, puis sélectionnez OK.

8. Quittez l’Éditeur du Registre, puis redémarrez l’ordinateur.

9. Si le script de démarrage stratégie de groupe ne s’exécute pas, augmentez la valeur de l’entrée GpNetworkStartTimeoutPolicyValue de Registre.

Plus d’informations

Si vous pouvez vous connecter au domaine sans problème, vous pouvez ignorer en toute sécurité l’ID d’événement 5719. Étant donné que le service Netlogon peut démarrer avant que le réseau ne soit prêt, l’ordinateur peut ne pas être en mesure de localiser le contrôleur de domaine d’ouverture de session. Par conséquent, l’ID d’événement 5719 est journalisé. Une fois le réseau prêt, l’ordinateur tente à nouveau de localiser le contrôleur de domaine d’ouverture de session. Dans ce cas, l’opération doit réussir.

Dans un Netogon.log, les entrées qui ressemblent à l’exemple suivant peuvent être journalisées :

DateTime [CRITICAL] <domain>: NlDiscoverDc: Cannot find DC. DateTime [CRITICAL] <domain>: NlSessionSetup: Session setup: cannot pick trusted DC DateTime [MISC] Eventlog: 5719 (1)"<domain>" 0xc000005e ... DateTime [SESSION] WPNG: NlSetStatusClientSession: Set connection status to c000005e ... DateTime [SESSION] \Device\NetBT_Tcpip_{4A47AF53-40D3-4F92-ACDF-9B5E82A50E32}: Transport Added (10.0.64.232) -> Getting a proper IP address takes >15 seconds.

Des erreurs similaires peuvent être signalées par d’autres composants qui nécessitent une connectivité du contrôleur de domaine pour fonctionner correctement. Par exemple, le stratégie de groupe peut ne pas être appliqué au démarrage du système. Dans ce cas, les scripts de démarrage ne s’exécutent pas. Les échecs stratégie de groupe peuvent être liés à l’échec de Netlogon à localiser un contrôleur de domaine. Vous pouvez définir stratégie de groupe pour être plus réactif à l’arrivée tardive de la connectivité réseau.