Diagnosticando logins lentos do diretório ativo

Estou tendo problemas para diagnosticar logins lentos intermitentes em computadores de domínio.

Um pouco de informação sobre a rede que tem esse problema:

• Meu domínio abrange 5 sites, todos com conexões VPN.
• Os DCs são uma mistura de 2003, 2008 e 2012. O nível funcional do domínio é 2003.
• Os clientes são principalmente o Windows 7 x64.
• Usamos políticas de grupo, incluindo aquelas que usam WMI, segmentação por nível de item de preferência de grupo e implantação de impressoras GPP.
• Nós não usamos perfis de roaming.

Na maioria das vezes, os logins funcionam bem e rapidamente para pessoas que usaram a máquina antes. O primeiro login em um novo computador é sempre lento, mas isso é esperado.

O problema parece ser principalmente com laptops. Se eles forem usados ​​em casa com uma conexão de rede que não seja de domínio ou forem movidos para um local diferente (ainda em uma rede de domínio, mas em um site do AD diferente e não parecer com fio ou sem fio), os logins poderão demorar até 3 minutos desde o momento em que o usuário digita sua senha até o momento em que ele realmente começa a mostrar a área de trabalho. Nosso servidor de terminal também experimenta intermitentemente logins lentos.

Infelizmente, é um problema intermitente e não encontrei nenhuma maneira confiável de reproduzi-lo. Minha suspeita é que isso tenha a ver com as preferências da política de grupo, mas eu realmente não tenho nenhuma prova disso. Eu vi um artigo da Microsoft KB culpando certos tipos de segmentação em nível de item por logins lentos, mas ele não fornece nenhuma orientação para determinar se essa é realmente a causa.

Quais logs e ferramentas posso usar para descobrir o que está causando os logins lentos?

Quais configurações de diretiva de grupo devo usar ou evitar, se possível, para acelerar os logins?

Basicamente, estou indo na mesma direção que joeqwerty

Eu experimentei os sintomas que você está descrevendo em algumas empresas. Na minha experiência, isso geralmente acontece quando há mais de um site. Uma maneira de solucionar um possível problema com sites e serviços é a seguinte. Em um computador que sofreu apenas um logon lento, vá para o prompt de comando, digite echo% logonserver% Se a resposta não for um servidor no mesmo site que o laptop ou a estação de trabalho, minha experiência foi que as sub-redes não foram configuradas e atribuídas o site correto nos sites e serviços do Active Directory.

Outra maneira de solucionar problemas é examinar esse arquivo de log nos controladores de domínio% SystemRoot% \ debug \ netlogon.log

Se você vir entradas como essa, a sub-rede específica precisará ser inserida em sites e serviços e atribuída a um site.
16/05 22:57:31 [4068] ANÚNCIO: NO_CLIENT_SITE: specificserverhostname 172.16.10.104

As estações de trabalho e controladores de domínio da Microsoft têm a capacidade de garantir que eles acessem os controladores de domínio corretos para autenticação e políticas devido a sites e serviços.

Se for esse o caso e levar a um ajuste de sites e serviços, saiba que a replicação das alterações de / para controladores de domínio pode levar algum tempo. Além disso, as estações de trabalho do terminal levarão ainda mais tempo para ver as novas alterações. O tempo de replicação padrão é definido em sites e serviços por 1 hora entre controladores de domínio. Dependendo da distância geográfica e do tamanho da sua floresta do AD, eu normalmente a defino para 15 minutos ou mais.

Uma resposta que pode se encaixar na pergunta ou simplesmente uma nota para mim mesmo mais tarde:

Tivemos atrasos extremos nos logins de algumas de nossas sub-redes. Aconteceu que essas sub-redes estavam faltando zonas DNS reversas no servidor AD. Adicionamos as zonas reversas, o AD adicionou entradas PTR automaticamente e não sofremos o atraso desde então. Pode ser coincidência também.