Компьютер в домене тормозит: После ввода ПК в домен торомозит Excel 2016? — Хабр Q&A

Содержание

Решено — сильно тормозит сервер

Логи —

Регистрация сервера {06622D85-6856-4460-8DE1-A81921B41C4B} DCOM не прошла за отведенное время ожидания.
—————————
Ошибка установки: не удается установить следующее обновление из-за ошибки 0x80246007: Обн. без. и испр. для .NET Framework 3.5.1, 4.5.2, 4.6, 4.6.1, 4.6.2, 4.7, 4.7.1, 4.7.2, 4.8 в Windows 7 и Server 2008 R2 для x64 (KB4535102), 2020-01.
—————————
Ошибка DCOM «2147746132» с компьютера PDC.DOMEN.Local при попытке активации сервера:
{D99E6E73-FC88-11D0-B498-00A0C90312F3}
—————————
Report Server Windows Service (MSSQLSERVER) cannot connect to the report server database.
—————————
Сбой при выгрузке домена приложения DefaultDomain. Произошло следующее исключение: Ошибка при выгрузке домена приложения. (Исключение из HRESULT: 0x80131015).
—————————
Система Windows обнаружила, что файл реестра используется другими приложениями или службами.

Файл будет сейчас выгружен. Приложения или службы, которые используют файл реестра, могут впоследствии работать неправильно.
ПОДРОБНО —
1 user registry handles leaked from \Registry\User\S-1-5-21-1528798102-2062014940-865251808-500:
Process 328 (\Device\HarddiskVolume2\Windows\System32\svchost.exe) has opened key \REGISTRY\USER\S-1-5-21-1528798102-2062014940-865251808-500\Printers\DevModePerUser
——————-
Operator = admin
Message = Failed to revoke token. Exception: в MsCA.CertAdmin.RevokeCertificate(String strConfig, String strSerialNumber, RevocationReason Reason, DateTime Date)
в MsCA.OperationUnit.Revoke[RevocationReasonType](TmsToken objToken, ConnectorOpContext objContext, RevocationReasonType reason, Boolean bPublishCRL, Boolean bRequireAfterRevoke, Boolean bInternal)
в MsCA.OperationUnit.Process(TmsToken objToken, ConnectorOpContext objContext)
в MsCA.Operations.Process(TmsToken objToken, ConnectorOpContext objContext)
в MsCA. MsCAConnector.Revoke(TmsToken token, RevocationReason reason, RevocationOpContext context)
в AKS_TMS.WindowsServices.TMSBackendService.RevokeTheToken(ProcessType pt, TmsToken token, TmsUser& objUser, Boolean& bUser)
в AKS_TMS.WindowsServices.TMSBackendService.RevokeToken(ProcessType pt, TmsToken token, TmsUser& tokenUser, Boolean& bUser, TmsSettings& settings)

 

Разбираемся, почему могут медленно применяться групповые политики в Windows | WinITPro.ru — Блог админа

Медленная загрузка компьютера, вызванная долгим применением групповых политик, является одной из частых проблем в домене, на которые жалуются пользователи. С точки зрения пользователя компьютер загружается очень долго, и как будто зависает на несколько минут на этапе «Применение параметров компьютера / пользователя». В этой статье я попробую собрать полезные диагностические инструменты и приемы, позволяющие администратору выявить причины медленного применения GPO на компьютерах домена.

На самом деле причин, из-за которых на компьютере долго применяются групповые политики может быть множество: это и проблемы с DNS, доступностью и скоростью подключения к DC, неправильной настройкой  сайтов AD или проблемы с репликацией, неверно настроенные групповых политики и кривые скрипты и т.п. Проблематично описать универсальный алгоритм по диагностике всех этих проблем.  При решении таких проблем,  как правило,  большую роль имеет опыт и навыки специалиста, производящего диагностику. В этой статье мы остановимся только на диагностики проблем, связанных с самими механизмами работы GPO и клиента GPClient.

Блокирование наследования групповой политик

Чтобы убедиться, что проблема связана именно с доменными GPO, создайте в домене отдельную OU, перенесите в нее проблемный компьютер и с помощью консоли Group Policy Management Console (GPMC.msc) включите блокирование наследование политик для данного контейнера (Block Inheritance). Таким образом на компьютер перестанут действовать все доменные политики (исключение — политики, для которых  включен режим Enforced) .

Перезагрузите компьютер  и проверьте, сохранилась ли проблема с долгим применением GPO. Если сохранилась, вероятнее всего проблема с самим компьютером или локальными политиками (попробуйте их сбросить на дефолтные).

Вывод подробных сообщений на экране загрузки

В Windows на экране загрузки системы можно включить отображение расширенной статусной информации, позволяющей пользователям и администратору визуально понять на каком этапе загрузки компьютера наблюдается наибольшая задержка. При включении данной политики, в том числе, начинает отображаться информация о применяемых компонентах GPO.
Включить эту политику можно в следующем разделе GPO:

  • в Windows 7 / Vista : Computer Configuration -> Policies -> System -> Verbose vs normal status messages = Enabled
  • в Windows 8/10 : Computer Configuration -> Policies -> System -> Display highly detailed status messages = Enabled

Этот же параметр можно активировать через реестр, создав в ветке HKEY_LOCAL_MACHINE\SOFTWARE Microsoft \Windows \CurrentVersion\ Policies\System параметр типа DWORD с именем verbosestatus и значением 1.

В результате на экране в процессе загрузки будут отображаться такие сообщения:

Отчет GPResult

Результирующую политику, которая была применена к компьютеру, стоит проанализировать  с помощью HTML отчета gpresult, создать который можно такой командой, запущенной с правами администратора:

gpresult /h c:\ps\gpreport.html

Этот отчет достаточно удобен для анализа и может содержать ссылки на различные ошибки при применении GPO.

Кроме того, в разделе отчета Computer Details -> Component Status присутствуют полезные данные о времени (в мс) применения различных компонентов GPO в виде:

Group Policy Files (N/A) 453 Millisecond(s) 18.01.2017 14:10:01 View Log
Group Policy Folders (N/A) 188 Millisecond(s) 18.01.2017 14:10:00 View Log
Group Policy Local Users and Groups (N/A) 328 Millisecond(s) 18.01.2017 14:10:00 View Log
Group Policy Registry (N/A) 171 Millisecond(s) 18. 01.2017 14:10:01 View Log
Group Policy Scheduled Tasks (N/A) 343 Millisecond(s) 18.01.2017 14:10:01 View Log
Scripts (N/A) 156 Millisecond(s) 18.01.2017 14:09:04 View Log
Security (N/A) 3 Second(s) 495 Millisecond(s) 18.01.2017 14:09:08 View Log
Реестр (N/A) 18 Second(s) 814 Millisecond(s) 18.01.2017 14:10:00 View Log

Анализ событий от Group Policy в системных журналах Windows

В журнале приложений о медленном применении политик может свидетельствовать событие с EventID 6006 от источника Winlogon с текстом:

Подписчик уведомлений winlogon <GPClient> потратил 3594 сек. на обработку события уведомления (CreateSession).The winlogon notification subscriber <GPClient> took 3594 seconds to handle the notification event (CreateSession).

Судя по данному событию, пользователю пришлось ждать применения групповых политик при загрузке компьютера в течении  почти часа…

В Windows 7 / Windows 2008 R2 и выше все события, касающиеся процесса применения групповых политик на клиенте доступны в журнале событий Event Viewer (eventvwr. msc) в разделе  Applications and Services Logs –> Microsoft -> Windows -> Applications and Services Logs -> Group Policy -> Operational.

Примечание. В журнале  System  остались только события, относящиеся к функционирования самой службы  Group Policy Client (gpsvc).

Для анализа времени применения политик будут полезны следующие EventID:

События 4016 и 5016 показывают время начала и завышения процесса обработки расширений применения GPO, причем в последнем указано общую длительность обработки расширения.К примеру, на скриншоте ниже был включен фильтр журнала Group Policy -> Operational по событиям 4016 и 5016. По тексту события 5016 можно увидеть время обработки этого компонента GPOЗавершена обработка расширения Group Policy Local Users and Groups за 1357 мс.

  • Событие 5312 содержит список применённых политик, а в событии 5317 есть список отфильтрованных GPO.

В событиях 8000 и 8001 содержится, соответственно, время обработки политик компьютера и пользователя при загрузке компьютера. А в событиях 8006 и 8007 есть данные о времени применения политик при периодическом обновлении.Завершена обработка политики загрузки компьютера для CORP\pc212333$ за 28 с.

При анализе журнала стоит также обращать на время, прошедшее между двумя соседними событиями, это может помочь обнаружить проблемный компонент.

Отладочный журнал службы GPSVC

В некоторых ситуациях бывает полезным включить ведение отладочного журнала обработки GPO — gpsvc.log. С помощью временных меток в файле gpsvc.log можно найти компоненты GPO, которые долго отрабатывали.

Отладочные журналы Group Policy Preferences

Расширения Group Policy Preferences также могут вести подробные лог загрузки каждого  компоненте CSE (Client-Side Extensions). Отладочные журналы CSE можно включить в разделе GPO: Computer Configuration -> Policies -> Administrative Templates->System->Group Policy -> Logging and tracing

Как вы видите, доступные индивидуальные настройки для каждого CSE. В настройках политики можно указать тип событий, записываемых в журнал (Informational, Errors, Warnings или все), максимальный размер журнала и местоположение лога:

  • Трейс файл пользовательских политик %SYSTEMDRIVE%\ProgramData\GroupPolicy\Preference\Trace\User.log
  • Трейс файл политик компьютера %SYSTEMDRIVE%\ProgramData\GroupPolicy\Preference\Trace\Computer.log

Совет. В том случае, если у вас в консоли gpedit/ GPMC в разделе Group Policy отсутствует подраздел Logging and Tracing, нужно будет скачать и установить шаблоны Group Policy Preferences ADMX и скопировать GroupPolicyPreferences.admx из %PROGRAMFILES%\Microsoft Group Policy  в локальный каталог PolicyDefinitions либо в централизованный каталог PolicyDefinitions на SYSVOL.

После сбора логов нужно проанализировать их на ошибки,  а также попытаться найти соседние события, время между которыми отличается на несколько минут.

Итак, в этой статье мы рассмотрели основные способы диагностики проблем долгого применения групповых политик на компьютерах домена. Надеюсь, статья будет полезной

http://winitpro.ru/index.php/2017/01/20/diagnostika-dolgogo-primeneniya-politik-v-windows/

Тормозит обращение к MS SQL SERVER, причем только иногда

 
И. Павел ©   (2011-04-01 08:47) [0]

Здравствуйте.

Программа установлена на 1200 компьютерах. Но, думаю, активно используют ее максимум человек 300-500.

У одного пользователя программа подвисает на простеньком запросе к БД (ADO, MS SQL SERVER 2005). В это же время та же операция, но с моего компьютера, выполняется как всегда быстро.

Потом программа опять начинает работать у пользователя нормально (не сказать, что сетевое взаимодействие идет быстро, но хоть работать можно). Потом орять начинает тормозить и т.д. Время между циклами торжения и нормальной работы — примерно пол-дня. Компьютер и сеть проверяли коллеги — сказали, что все нормально. SQL клиент переставляли.

Свой код перечитывал много раз… Нет там ничего такого, что могло бды привести к таким подвисаниям, кроме обращения к БД.

Мистика! Подскажите, пожалуйста, MS SQL SERVER может быть лицеприятен к разным соединениям к нему с разных компьютеров в одно и тоже время под одним и тем же пользователем?

Ну и еще: подскажите, пожалуйста, что может быть причиной этой ошибки? Хоть чтобы сказать сетевикам, что проверить, а то ведь они опять скажут, что все работает… а самому поковыряться не дадут… и правильно сделают 😉

Заранее спасибо.


 
han_malign   (2011-04-01 09:12) [1]


> Компьютер и сеть проверяли коллеги — сказали, что все нормально.

— ну-ну…
Во первых посмотреть системный журнал(eventvwr) — там обычно все написано и помечено красными крестами…

Во вторых обновить антивирус.
В третьих обновить прошивку материнки, драйвер сетевухи.
А дальше SysInternals — procexp, procmon и т.д.


 
Медвежонок ХМЛ ©   (2011-04-01 09:30) [2]

Потом программа опять начинает работать у пользователя нормально

Она у него виснет не на запросе, а на поиске самого сервера перед подключением.


 
sniknik ©   (2011-04-01 09:37) [3]

вряд ли тут «тот» случай, из-за периодичности, но единственный раз когда было торможение с ADO + MSSQL в моей программе, был потому, что соединение настроили через ODBC, а в нем (по незнанию/умыслу?) включили логирование… т.

е. весь обмен, в виде запросов писался в гигантские текстовые файлы… естественно тормозило. там тормоза были постоянные.

+ на какой системе стоит сервер MSSQL? если на рабочей станции 2000й/xp то там ограничение на количество коннектов к ней = 10, не знаю влияет ли это конкретно на MSSQL но если не серверная операционка то если не это, то возможны другие ограничения.

> Во вторых обновить антивирус.
скорее отключить и посмотреть не он ли сам тому виной…


 
И. Павел ©   (2011-04-01 10:14) [4]

han_malign, Медвежонок ХМЛ, sniknik
спасибо.

Во время подвисания, почему-то, сильно загружается ЦП (хотя если программа ждет ответа от сервера, по моему, это странно, т.к. ответ — одна небольшая запись).

Сейчас высянил, что, оказывается, иногда тормозит также и еще одна программа (не моя, а купленная), работающая с этим же SQL сервером.

> на какой системе стоит сервер MSSQL?

ОС cерверная — Microsoft Windows Server 2003 (NT 5.2). Сервер сильный (ОЗУ — 32Гб).


> Она у него виснет не на запросе, а на поиске самого сервера
> перед подключением.

Даже после подключения к серверу при старте программы, каждый запрос зависает. Соединение сохраняется во время работы программы. Или провайдер ищет сервер при каждом запросе заново? Кстати, когда программа уже не зависала, первый пинг к серверу БД не дошел, хотя потом все пошло нормально… Подожду следующего зависания и попробую повторить пинг.


 
Дмитрий Тимохов   (2011-04-01 10:24) [5]

а сколько сетевых плат у сервера?

у меня был случай, правда, не с MSSQL, а с самописным сервером.

была организация, у которой сервер был с 3 сетевухами.
сеть была доменная.

в итоге при указании имени компа тоже было зависание.
спасло полное указание имени компа с именем домена.

т.е. комбинация переменных окружения COMPUTERNAME.USERNDSDOMAIN, вместо COMPUTERNAME.


 
OW ©   (2011-04-01 10:30) [6]

если
> Программа установлена на 1200 компьютерах. .. активно

> используют ..человек 300-500.

значит должны быть админы.

показать, что программа работает на другой, аналогичной, конфигурации нормально. Пусть у них голова болит.


 
clickmaker ©   (2011-04-01 10:40) [7]

> ОС cерверная — Microsoft Windows Server 2003 (NT 5.2). Сервер
> сильный (ОЗУ — 32Гб).

на 2003 Ent отдельно взятая прога все равно не сможет захапать больше 2Гб
С такой оперативой есть смысл переползать на 64 бит


 
И.
Павел ©   (2011-04-01 10:42) [8]

> [5] Дмитрий Тимохов   (01.04.11 10:24)

Карточка одна. Но проверять, как быстро происходит поиск сервера буду, спасибо.

> показать, что программа работает на другой, аналогичной,
> конфигурации нормально. Пусть у них голова болит.

У нас «узкая специализация»… Есть куча людей с мелкими функциями. Есть даже целый кабинет, в котором сидит несколько человек и я понятия не имею, что они делают. Если бы я знал, в чем причина ошибки, вот тогда бы я, путем обзванивания кучи народу, нашел бы того, кто именно этим занимается…

«-У нас узкая специализация, я лично пуговицы пришиваю. К пуговицам претензии есть?

-Нет, пришиты намертво, не отдерёшь»


 
И. Павел ©   (2011-04-01 10:47) [9]

Раздал админам задания, детально их описал. Буду ждать, что они скажут. Пользователь позвонит, как только начнется зависание, запущу тестовые соединения. Все равно причину найду 🙂

PS: буду рад еще советам, вариантам, предположениям.


 
И. Павел ©   (2011-04-01 10:49) [10]

> [7] clickmaker ©   (01.04.11 10:40)

Действительно странно… Даже у меня теперь дома 64 битная ОС, т.к. обновил компьютер. Спасибо. Предложу.


 
DiamondShark ©   (2011-04-01 11:25) [11]


> sniknik ©   (01.04.11 09:37) [3]
> если на рабочей станции 2000й/xp то там ограничение на количество
> коннектов к ней = 10

Слышал звон, не понял где он.


> clickmaker ©   (01.04.11 10:40) [7]
> на 2003 Ent отдельно взятая прога все равно не сможет захапать
> больше 2ГбС такой оперативой есть смысл переползать на 64 бит

Ещё один спец.

Как деревенские знахари, все познания по слухам собраны.


> И. Павел ©   (01.04.11 10:49) [10]

Местные бабки-знахарки насоветуют…
Не забудь SQL SERVER тоже 64-битный поставить (ну и соответственную денежку готовь).


 
И. Павел ©   (2011-04-01 11:52) [12]

> [11] DiamondShark ©   (01.04.11 11:25)

Вот тут неплохо это описано:
http://dynamicsuser.net/blogs/waldo/archive/2007/06/28/sql-server-x64-vs-x86.aspx


 
И. Павел ©   (2011-04-01 12:05) [13]

Хотя наши даже флажек AWE не удосужились поставить…


 
OW ©   (2011-04-01 12:07) [14]


> > показать, что программа работает на другой, аналогичной,
> > конфигурации нормально. Пусть у них голова болит.
> У нас «узкая специализация»…

элементарно

если не знаешь кого пинать, поднимаешь проблему непосредственному начальнику, ввиду того, что собственных горизонтальных связей для решения не хватает


 
DiamondShark ©   (2011-04-01 12:32) [15]


> OW ©   (01.04.11 12:07) [14]

Угу. А начальник потом пинает тебя: это ж твоя программа тормозит, ты и парься. В лучшем случае, если начальнику больше делать нефиг, он может методом тыка попинать других подчинённых или смежных начальников. Получив отовсюду отписку: «Провели анализ, пришли к выводу, что не наша компетенция» он опять же пнёт тебя.

Плавали, знаем.


 
OW ©   (2011-04-01 12:42) [16]


>  А начальник потом пинает тебя

может.
Но тогда уже есть официальная отмазка почему баг-репорты без ответа стоят или что план не продвинулся ни на пункт


 
sniknik ©   (2011-04-01 13:09) [17]

> Слышал звон, не понял где он.
> если не это, то возможны другие ограничения.

> Как деревенские знахари, все познания по слухам собраны.
когда в поддержке (цто) исчерпываются знания/идеи, зовут меня, и я часто именно по слухам, типа «вроде что то похожее, может связано. надо проверить» нахожу проблему… после найденное систематизируется, записывают в «базу знаний» и… что поразительно, чуть позже полуграмотные цто-шники начинают меня же «попрекать» «че ты этого не знаешь, какие то слухи проверяешь»… ну вот прям как ты сейчас. наверное из тех кто мозги использует только для запоминания.


 
Anatoly Podgoretsky ©   (2011-04-01 13:56) [18]

> И. Павел  (01.04.2011 08:47:00)  [0]

Если они будут проверять в то время когда не тормозит, то ничего не поможет.
И проверять можно по разному.
Простенькую проверку можешь сделать и сам, запусти непрерывный пинг, можно
большего размера, скаже килобайт на 50 и в момент торможения посмотреть на
статистику.


 
DiamondShark ©   (2011-04-01 13:58) [19]


> sniknik ©   (01.04.11 13:09) [17]
> если не это, то возможны другие ограничения.

Вот тоже характерная черта: читать не то, что написано. Я ведь не сказал, что ограничений нет.


> когда в поддержке (цто) исчерпываются знания/идеи, зовут меня

Я и говорю: типично знахарское сознание. «Когда медицина бессильна, идут ко мне».
Точно такая же паралогика: если пришли, значит кончились знания, значит они полуграмотные. Тот факт, что «полуграмотные» врачи-убийцы решают сотню проблем в день, а к знахарям приходят раз в месяц, из картины мира выпадает.

Кончают знахари одинаково: ошибка в диагнозе «по чутью», с ориентацией на внешние признаки и смутные ассоциации вместо системных знаний, и — exitus letalis.
Для знахарей есть вероятность уголовной ответственности.
А технический псевдоспец просто вычеркнет эпизод из памяти и продолжит знахарствовать дальше.


 
sniknik ©   (2011-04-01 14:03) [20]

> Вот тоже характерная черта: читать не то, что написано.
именно… у меня ведь написано, что «раз есть это то возможны и другие ограничения». но бревно в своем глазу не так заметно как щепка в чужом, естественно.


 
Дмитрий Тимохов   (2011-04-01 14:15) [21]

пусть автор разберется — там просто сетевые проблемы очевидно есть, а не с БД.

у нас у одного из заказчика трудоустроили одного айтишника по безопасности — наша БД иногда просто лежит.

говорят, что уволили его, опять же по слухам «ваша система стала значительно лучше работать!».

надо изучить вопрос сетевого взаимодействия.


 
sniknik ©   (2011-04-01 15:14) [22]

кстати еще один «слух» — количество полуоткрытых соединений, уже не на сервере, а у клиента (торенты там запускает?), и не на всех системах почему то (некоторые успевают «разгребать»),  когда кончаются, в системный лог пишется определенная ошибка (не помню какая, но поискать найдешь) и тормоза такие, что страничку в браузере может пол часа открывать…


 
DiamondShark ©   (2011-04-01 15:35) [23]


> sniknik ©   (01.04.11 15:14) [22]
> кстати еще один «слух» — количество полуоткрытых соединений

Вот в том-то и дело, что это не еще один «слух», а тот же самый слух: ограничение в 10 полуоткрытых исходящих(!) соединений.

На входящие и на полное количество установленных соединений специальных ограничений нет.

———

Знахарство — это обрывки (часто искажённые) сведений, фрагментарное мышление, паралогика и ЧСВ over_9000.


 
Дмитрий Тимохов   (2011-04-01 15:41) [24]


> Вот в том-то и дело, что это не еще один «слух», а тот же
> самый слух: ограничение в 10 полуоткрытых исходящих(!) соединений.
>

скажите мне незнающему — о чем речь?

а. Что такое полуоткрытые?
б. Где написан про ограничение на 10 исходящих соединений?


 
DiamondShark ©   (2011-04-01 15:42) [25]


> Дмитрий Тимохов   (01.04.11 15:41) [24]

http://ru.wikipedia.org/wiki/Half-open


 
Anatoly Podgoretsky ©   (2011-04-01 16:03) [26]

> Дмитрий Тимохов  (01. 04.2011 15:41:24)  [24]

Не исходящих, а входящих и не любых, а только не анонимных


 
Плохиш ©   (2011-04-01 16:03) [27]

Удалено модератором


 
sniknik ©   (2011-04-01 16:26) [28]

>  а тот же самый слух
в одном случае сервер, в другом клиент.
ты бы хоть один выдал, такой всезнающий и непогрешимый.


 
DiamondShark ©   (2011-04-01 16:36) [29]


> Anatoly Podgoretsky ©   (01.04.11 16:03) [26]

Онотоле, вы думаете, что наш знахарь настолько запущен?!


> Дмитрий Тимохов  (01.04.2011 15:41:24)  [24]

Теперь я могу восстановить тот извилистый путь, которым шла знахарская мысль.

Знахарь где-то слышал (но сам не видел), что в воркстэйшн-версиях виндос есть какое-то ограничение. Даже магическая цифра 10 в память запала.
Знахарь где-то слышал (или даже видел), что торренты тормозят.
Знахарь где-то слышал (но не помнит, видел ли), что торренты тормозят тоже из-за какого-то ограничения, и вроде бы, там тоже была какая-то цифра (возможно даже, что 10).
Тут сработал знахарский механизм pattern-matching»а: «тормозит», «ограничение», «10», «виндос».
У знахаря готов диагноз!
Потом знахаря щёлкают по носу. Знахарь, конечно, не опускается до такой мелочи, как выяснить, в чем, собственно, содержательные претензии к его диагнозу. Знахарь наскоро отбрёхивается со всей высоты своего ЧСВ, но зерно сомнения уже заронено.
Знахарь глубже копается в той куче огрызков, что называется «Мой Опыт» (а может даже тайком гуглит! тс-с…), и начинает понимать (точнее, догадываться, знахарь никогда ничего не понимает в том смысле, в каком это делают «полуобразованные»), что что-то тут не срастается.
И знахарь дезавуирует свой диагноз, подав его, с целью «сохранения лица», под соусом «кстати, ещё один».


 
DiamondShark ©   (2011-04-01 16:44) [30]


> sniknik ©   (01.04.11 16:26) [28]
> в одном случае сервер, в другом клиент.

Но ты-то этого не знал.
Если бы знал, то не приплёл бы сюда лимит на серверные сессии, потому что инициация серверных сессий, при исчерпании лимита, не тормозит, а заканчивается ошибкой.


> ты бы хоть один выдал, такой всезнающий и непогрешимый.

О, «спервадобейся» детектед.

Диагностика по телефону и лечение по фотографии — это эксклюзивно знахарские технологии. Зачем мне с тобой соревноваться?


Что такое домен Windows и каковы его преимущества?

Если вы используете компьютер на работе или в школе, он почти наверняка является частью домена Windows. Но что это на самом деле означает? Что делает домен, и каковы преимущества присоединения компьютера к нему?

Давайте посмотрим, что такое домен Windows, как они работают и почему компании используют их.

Что такое домен Windows?

Домен Windows — это, по сути, сеть управляемых компьютеров, используемых в бизнес-среде. По крайней мере, один сервер, называемый контроллер домена, отвечает за другие устройства. Это позволяет сетевым администраторам (обычно ИТ-персоналу) управлять компьютерами в домене с помощью пользователей, настроек и многого другого.

Поскольку домены предназначены не для домашних пользователей, только для Windows версии Professional или Enterprise

могу присоединиться к одному. Вам также потребуется копия Windows Server для контроллера домена, поскольку она включает в себя необходимое программное обеспечение, такое как Active Directory (подробнее об этом позже).

Как вы знаете, если ваш компьютер находится в домене?

Если у вас есть домашний компьютер, маловероятно, что вы находитесь в домене. Вы можете создать домен в своей домашней сети, но в этом нет особого смысла. Но если вы используете компьютер, предоставленный вашей работой или школой, он почти наверняка находится в домене.

Чтобы проверить, является ли ваш компьютер частью домена, откройте Панель управления и нажмите система запись. Заглянуть под Имя компьютера раздел. Если вы видите Workgroup вход с РАБОЧАЯ (по умолчанию) или другое имя в списке, ваш компьютер не находится в домене. Точно так же, если вы видите Домен здесь, то ваш компьютер находится в домене.

Эти шаги также позволяют вам найти ваше доменное имя на вашем компьютере.

Домены против рабочих групп

Прежде чем мы обсудим больше о доменах, мы должны кратко упомянуть, как они сравниваются с рабочими группами. Если компьютер не принадлежит домену, он входит в рабочую группу

, Они гораздо более слабые, чем домены, поскольку у них нет центральной власти. У каждого компьютера свои правила.

В современных версиях Windows рабочие группы на самом деле являются формальностью, особенно когда Microsoft отказывается от функции HomeGroup.

, Windows никогда не просит вас настроить один, и они используются только для обмена файлами между устройствами в вашей сети

, Microsoft хочет, чтобы вы использовали OneDrive для этого

в настоящее время, поэтому, если вы не хотите настраивать свою собственную рабочую группу, вам не нужно беспокоиться об этом.

Что такое учетная запись пользователя домена?

В отличие от персонального компьютера, подключенный к домену ПК не использует локальные учетные записи

, Вместо этого контроллер домена управляет логинами. Используя Microsoft Active Directory, программное обеспечение для управления пользователями, сетевые администраторы могут легко создавать новых пользователей и отключать старых. Они также могут добавлять пользователей в определенные группы, чтобы разрешить доступ к частным папкам сервера.

С помощью доменной учетной записи вы можете войти на любой компьютер в домене. Вы начнете с новой учетной записи на этом компьютере, но это позволит вам использовать любой компьютер в вашей компании при необходимости. Благодаря учетным записям домена бывшие сотрудники не могут войти в систему. Если они попытаются войти со своим старым паролем, они увидят сообщение, что им отказано в доступе.

Экран входа в Windows выглядит немного иначе, когда вы используете компьютер, подключенный к домену. Вместо локального имени пользователя вам необходимо убедиться, что вы входите в домен под своим именем пользователя. Таким образом, ваш логин будет выглядеть примерно так MyDomain \ StegnerB01.

Контроль домена и групповая политика в Windows

Самым большим преимуществом доменов является простота управления несколькими компьютерами одновременно. Без домена ИТ-персоналу пришлось бы индивидуально управлять каждым компьютером в компании. Это означает настройку параметров безопасности, установку программного обеспечения и управление учетными записями пользователей вручную. Хотя это может работать для крошечной компании, это не масштабируемый подход, и он быстро станет неуправляемым.

Наряду с управлением пользователями Active Directory присоединение компьютеров к домену позволяет использовать групповую политику. Мы обсудили, как групповая политика полезна на вашем ПК

, но он действительно предназначен для корпоративного использования.

Используя контроллер домена, администраторы могут настраивать все виды безопасности и использовать политики для всех компьютеров. Например, групповая политика упрощает применение всех следующих методов:

Это лишь небольшая часть того, что позволяет групповая политика. Администраторы могут настроить эти изменения один раз и применить их ко всем компьютерам, даже к новым, которые они настроят позже.

Присоединиться или оставить домен в Windows

Как правило, добавление компьютера в домен или его отключение не является вашей работой. ИТ-персонал вашей компании позаботится о том, чтобы присоединиться до того, как вы получите компьютер, и заберет ваш компьютер, когда вы уйдете. Для завершения, однако, мы упомянем, как этот процесс работает здесь.

Возвращайтесь к Панель управления> Система снова. На Имя компьютера, домен и параметры рабочей группы страницу, нажмите Изменить настройки. Вы увидите Свойства системы окно. Нажмите на + Изменить кнопка рядом с Чтобы переименовать этот компьютер или изменить его домен коробка.

Здесь вы увидите окно, позволяющее изменить имя вашего компьютера (это не единственное место, где это можно сделать в Windows 10). Что еще более важно, вы увидите Член поле ниже. Проверить Домен Bubble и введите имя домена, чтобы присоединиться к нему. Windows подтвердит это, поэтому вам нужно иметь домен, чтобы присоединиться к нему.

После перезагрузки ПК ваш компьютер будет находиться в домене. Чтобы покинуть домен, повторите этот процесс, но выберите Workgroup вместо пузыря. Конечно, для этого вам понадобится пароль администратора домена.

Домен Мастера

Мы рассмотрели, что делают домены Windows и как они используются. По сути, домены позволяют администраторам контролировать большое количество бизнес-ПК из центрального местоположения. Локальный пользователь имеет меньший контроль над управляемым доменом ПК, чем персональный. Без доменов управление корпоративными компьютерами было бы кошмаром для ИТ-персонала.

С новыми сотрудниками и компьютерами, постоянно заменяющими отдельных сотрудников и старые машины, хорошо отлаженная система является ключом для бесперебойной работы бизнес-компьютеров. Чтобы обеспечить бесперебойную работу вашего ПК, ознакомьтесь с нашим руководством для начинающих по установке Windows 10.

,

Кредит изображения: kovaleff / Depositphotos

Медленная работа Windows

Проблемы с замедлением работы Windows

Медленный доступ к данным в Windows 2003
Очень медленный доступ к Windows 2008
Проверка списков на устранение медленной проблемы
Компьютер работает медленно или мышь прыгает из-за экранной заставки
Скопируйте файлы на 2000 Контроллер домена медленно
Домен ПК слишком долго загружается. загрузить
Чрезвычайно медленное сетевое соединение/интернет
Чрезвычайно медленный вход в систему с использованием учетной записи домена?
IE работает медленно после установка обновления Майкрософт
Медленный вход в систему — пример использования
Медленный вход в систему или медленный доступ к сети
Перезапуск/загрузка сервера занимает много времени
Медленный доступ в Интернет — пример из практики
Медленный Проблема просмотра компьютеров
Медленное копирование файлов по сети
Сервер терминалов с медленным выходом из системы
Медленные подключенные диски после обновления DC
Медленная запись файла с win2k на сервер NT 4
Медленный вход в домен Windows
Медленный доступ к сети база данных
Медленный для резервного копирования — для резервного копирования удаленного компьютера требуется 5 МБ/мин
Медленная работа в сети через концентратор
Медленно открывается проводник Windows
Медленно открывает файл или просматривает, потому что отображения на отключенный диск
Медленный просмотр My Network Places Issue
Медленно при доступе к файлам, расположенным на сервере
Медленно при открытии «Смотрите В» и «Сохранить как»
Симптомы и разрешение шпионского и рекламного ПО
Устранение неполадок, связанных с медленной работой компьютера
Устранение неполадок с медленным жестким диском с помощью монитора производительности
Устранение неполадок, связанных с медленной работой сети
Устранение неполадок, связанных с медленной работой ПК Советы
Долго открывается ФАЙЛЫ
Сервер терминалов работает медленно, потому что Ввод-вывод — разрешение со снимками экрана
XP доступ к Win9x очень медленный
XP работает медленно
Браузер Windows замедляется по сети.
Окна задержка записи на подключенный сетевой диск
Почему W2K работает медленнее при входе в систему 1
Почему XP работает медленнее — проблем с DNS нет 2
Браузер Windows медленно работает по сети.
 

Проверка списков на устранение неполадок медленной проблемы

1. Проверьте DNS, WINS, DHCP и главный браузер.
2. Проверьте наличие проблем с отображением, например, сеть отключена с красным крестиком.
3. Проверьте настройки оборудования и убедитесь, что коммутаторы и концентраторы могут работать с сетевой картой. настройки. Многие концентраторы не поддерживают полнодуплексный режим.
4. Проверьте антивирусное программное обеспечение, особенно защиту в реальном времени.
5. Проверьте наличие шпионского и рекламного ПО.

Симптомы: 1) При копировании несколько небольших файлов с компьютера w2k/xp на сетевой ресурс в домене 2000 контроллер, производительность сети ниже, чем при копировании тех же файлов на рядовой сервер. Однако у вас может не возникнуть этой проблемы при копировании нескольких больших файлы.2) Эта проблема возникает только в том случае, если вы используете проводник Windows для копирования файлы или если окно проводника Windows открыто и подключено к цели сервер. Однако, если вы используете Xcopy.exe для копирования файлов и всех файлов Проводника окна закрыты, вы не сталкиваетесь с этой проблемой.

Разрешения: 1) На контроллере домена можно отредактировать Значение реестра TcpDelAckTicks для настройки таймера отложенного подтверждения TCP. 2) Применить латсет СП. Или Re: MS Q270926, Q321098 и 321169

СИМПТОМЫ: Если у вас многосетевой или многотранспортный компьютер, процесс просмотра может быть медленным.Такое поведение может возникать из-за следующих сценарий: если клиент браузера пытается найти сервер браузера на каждом сетевой карты или транспорта, он ждет, пока он не получит действительный информация или время ожидания на каждой конечной точке перед возвратом.

РЕШЕНИЯ:  


1) Используйте меньше протоколов или сетевых карт на компьютере.
2) Отключите NetBIOS на интерфейсах, которые клиент не будет использовать.
3) Наличие сервера браузера, доступного на всех конечных точках, ускорит обработать.
4) Остановить главный браузер на клиентах W2K/XP с помощью браузера net stop.
5) Убедитесь, что WINS доступна для сетей TCP\IP или включите NetBIOS через TCP/IP.

Медленный резервное копирование — для резервного копирования удаленного компьютера требуется 5 МБ/мин.

Всегда проверяйте настройки сетевой карты, если у вас медленное резервное копирование. В частности, убедитесь, что ваш коммутатор или концентратор поддерживает полнодуплексный режим сетевой карты. настройки.

Медленная запись файлов из win2k на сервер NT 4

Причина: Win2k использует поддержку больших файлов, в то время как Windows NT 4.0 использовать большой файл Поддержка только чтения, но не поддержка записи больших файлов.

Медленный вход в домен Windows

Возможные решения:
1) проверьте настройки DNS.
2) Лучше использовать его, используя тот же DNS, что и сервер, т.е. локальный DNS, а не интернет-DNS.
3) Проверьте сценарии входа на наличие ошибок.
4) Проверьте средство просмотра событий на наличие ошибок, особенно ошибок GPO, которые могут быть вызывая задержку.
5) Проверьте наличие ошибок в средстве просмотра событий.

Медленный доступ к сети база данных

1. Антивирусная защита в режиме реального времени может медленное открытие данных.
2. Если он замедляется из-за того, что система находится в режиме ожидания, вы можете изменить настройки управления питанием сетевой карты, перейдя в свойства Сетевая карта> Конфигурация> Управление питанием, снимите флажок Разрешить компьютеру отключать это. устройство для экономии энергии.

Медленно подключение к сети через концентратор

Симптомы: у вас небольшая сеть, соединяющая 2 компьютеры через хаб.Сеть работает нормально, но медленнее. Если вы используете перекрестный кабель для подключения этих компов, скорость нормальная.

Решение: настроить все компьютеры сетевые карты для полудуплекса. Большинство концентраторов не поддерживают полный дуплекс.

Медленное открытие проводника Windows

Q: Когда я вхожу в свой ноутбук с учетной записью домена дома и открываю Проводник Windows, он работает очень медленно. Почему?

A: При входе в систему на этом ноутбуке на работе проводник Windows может постоянно отображать сетевые диски.Теперь, когда вы входите в пользователь домена без домена, проводник Windows будет открываться долго. Решение заключается в том, чтобы отключить постоянное сопоставление.

СИМПТОМЫ: при использовании такой программы, как Блокнот который использует общие диалоговые окна и щелкает

Открыть на Файл , а затем щелкните стрелку раскрывающегося списка Look In . или раскрывающийся список Сохранить в в окне Сохранить . или Сохранить как , вы можете столкнуться с проблемой, занимает несколько минут, прежде чем списки действительно упадут.

Это несколько причин такой задержки: 1) если у вас есть постоянные подключения к сетевые диски (например, на диск Z), недоступные для некоторых причинам, 2) если вы работаете в автономном режиме без подключения к сети.

РЕШЕНИЕ:


1) Если открытие проводника Windows также занимает много времени, убедитесь, что все сетевые соединения активны. Если нет, отключите доступные сетевые диски.
2) Чтобы решить эту проблему немедленно, обратитесь в службу поддержки Майкрософт. Услуги для получения исправления.
3) Вместо подключения постоянного сетевого диска к сетевому ресурсу добавьте сетевое расположение в «Мое сетевое окружение».
4) Вместо подключения постоянного сетевого диска к сетевому расположению используйте сценарий входа в систему для сопоставления сетевого диска с /постоянный: нет вариант. См. MS Q321126.

Симптомы и разрешение шпионского и рекламного ПО

Симптомы: 1. Плохая работа.
2. Нежелательное поведение браузера.
3. Всплывающие окна, когда вас нет в Интернете.
4. Проблемы с использованием защищенных веб-сайтов.
5.
Диспетчер задач перечисляет некоторые странные программы, такие как regpd.exe и vgmc.exe. и вы не можете удалить их или они вернутся после того, как вы удалите их.

резолюций: 1. Удалить все временные файлы.
2. Используйте инструменты для удаления шпионского и рекламного ПО.
3. Используйте regedit и msconfig для их очистки.
4. Включите брандмауэр и блокировщики всплывающих окон.

XP обращается к Win9x очень медленно

Симптом: в смешанная ОС, win98, MW и W2K/XP, если клиент win98 и Me имеет файловый ресурс, защищенный паролем; все компьютеры входят в рабочую группу; Вы используя функцию «Сохранить этот пароль» на клиентском компьютере XP, вы можете испытайте медленный просмотр Win98 и ME из XP.

Решение: XP всегда сохраняет пароль в диспетчере учетных данных. Когда вы просматриваете клиент Win98 или Me в одноранговой сети, Credential Manager пытается связаться с контроллером домена для подтверждения пароля. Поскольку компьютеры находятся в среде рабочей группы, контроллера домена нет, и вы необходимо дождаться тайм-аута запросов. Установите SP1, это должно исправить проблема.

Почему XP работает медленнее 2

Если решение «Почему XP работает медленнее при входе в систему 1» не решает более медленную проблему.и если другие операционные системы, включая w2k, не есть такая же проблема, вы можете проверить настройки оборудования, например, настроить все сетевые карты компьютеров для полудуплекса. Большинство концентраторов не поддерживают полный дуплекс.

Пишите свои вопросы, комментарии, отзывы и предложения

Связанные темы

 

 

Услуги фотографа Боба Лина

Недвижимость Фотоуслуги  

Этот веб-сайт предоставляется «КАК ЕСТЬ» без каких-либо гарантий.
Copyright 2002-2018 ЧикагоТех.нет, Все права защищены. Несанкционированное воспроизведение запрещено.

Настройка домена: повышение производительности в медленной сети

В этом образце конфигурации показано, как можно настроить домен Reflection X Advantage для повышения производительности, когда конфигурация сети вызывает задержки, затрудняющие запуск удаленного клиентского приложения X.

ПРИМЕЧАНИЕ. В этой конфигурации используются компоненты домена Reflection X Advantage для предоставления служб удаленных сеансов для подключений из X Manager for Domains.Вы также можете настроить службы удаленных сеансов для подключений из автономного X Manager. Дополнительные сведения см. в разделе Как настроить распределенный сеанс в автономном режиме.

В этой конфигурации сеанс запускает два объединенных X-сервера. Дисплей X-сервера работает на пользовательской рабочей станции (1). Этот сервер создает визуальное отображение клиентского приложения X. Дополнительный (3) выполняется на узле домена, расположенном в клиентском приложении X или рядом с ним. Когда сеанс установлен, весь X-протокол проходит между X-клиентским приложением (4) и безголовым сервером.На рабочую станцию ​​отправляется только протокол, необходимый для обновления дисплея. Поскольку многие запросы протокола X не нужно отправлять на рабочую станцию, эта конфигурация повышает производительность за счет уменьшения объема трафика, который необходимо передать по сети. Reflection X Advantage также сжимает протокол, который передается между рабочей станцией пользователя (1) и узлом домена (3).

Компоненты этой конфигурации:

Рабочая станция пользователя (1)

Запускает X Manager for Domains.Дисплей X-сервера создается на этом компьютере.

Контроллер домена (2)

Запускает контроллер домена Reflection X Advantage. (В этом примере административная консоль также работает на этом компьютере.)

Узел домена (3)

Запускает безголовый X-сервер.

ПРИМЕЧАНИЕ. Узел домена может работать на хосте X-клиента или на соседнем компьютере (как показано выше).

Х-клиентский хост (4)

Компьютер, на котором запущено клиентское приложение X.

Для настройки компонентов домена

  1. На контроллере домена установите следующие компоненты:

    (включая функцию)

    (только Windows)

  2. На узле домена установите вызываемую функцию (без включения функции).Если вы работаете в Windows, также подтвердите, что выбрано. Используйте утилиту rxsconfig, чтобы добавить этот узел в свой домен. Дополнительные сведения см. в разделе Настройка узлов домена.

  3. На рабочих станциях пользователей установите следующие компоненты:

    (только Windows)

Для настройки и запуска сеанса

  1. На контроллере домена запустите X Manager for Domains и войдите в систему.
    • Для и укажите любого пользователя, который может войти на ваш компьютер.Имя, которое вы укажете для первоначального входа в систему, будет администратором домена по умолчанию.

    • В поле введите имя этого компьютера. Доменное имя Reflection X Advantage всегда совпадает с именем компьютера, на котором работает контроллер домена.

      ПРИМЕЧАНИЕ. В системах Windows первым пользователем домена должен быть пользователь, который является членом того же домена Windows, что и пользователь, устанавливающий Reflection X Advantage.

      В системах Linux аутентификация PAM используется по умолчанию для аутентификации пользователя.В некоторых системах Linux модуль pam_securetty по умолчанию настроен на разрешение входа в систему с правами суперпользователя только в том случае, если пользователь входит в систему с защищенного терминала. В этих системах вы не можете войти в домен Reflection X Advantage, используя учетные данные root

      .

    Этот первоначальный вход в систему создает административную учетную запись для домена (используя метод проверки подлинности по умолчанию для вашей системы) и импортирует все выбранные вами настройки.

  2. Создайте определение сеанса, поддерживающее службы удаленных сеансов.Для этого на вкладке в разделе выберите любой уровень обслуживания, включающий .

  3. Чтобы настроить сжатие протокола X от X-клиента на хосте до вашей рабочей станции, выберите один из следующих элементов в списке:

    • может повысить производительность, если пропускная способность менее ограничена, чем ЦП или память.

    • включает сжатие только тогда, когда полоса пропускания достаточно низка, чтобы повлиять на производительность. Если выбран этот параметр, Reflection X Advantage измеряет пропускную способность данных, передаваемых от маршрутизатора протокола к каждому удаленному X-серверу, и автоматически сжимает протокол, когда пропускная способность становится низкой.

    • — значение по умолчанию. Это может обеспечить более высокую производительность, когда ресурсы ЦП и памяти менее ограничены, чем пропускная способность.

  4. Чтобы настроить уровень сжатия, используйте ползунок. Более высокие уровни сжатия улучшают производительность, но также снижают качество.

    ПРИМЕЧАНИЕ. В большинстве случаев уровень сжатия по умолчанию обеспечивает наилучшее соотношение производительности и качества.

  5. Настройте X-клиент или соединение XDMCP и установите сеанс, созданный на шаге 2.

  6. Запустите X-клиент или соединение XDMCP.

  7. В списке выберите запущенный сеанс, чтобы просмотреть панель. В разделе вы увидите запись для вашей рабочей станции. Если в вашем сетевом соединении обнаружена высокая задержка, вы также увидите второй безголовый X-сервер, работающий на узле домена.

Делаем больше с этой идеей…

После запуска этой базовой конфигурации вы можете использовать ее различными способами.Например:

Медленный вход в Windows —

Медленный вход в Windows

Последнее обновление: 2021-05-24

Автор: Трэвис Кук


Многие удаленные подключения или запросы к серверу Windows® могут вызвать задержку входа в систему с ваши пользователи. В этой статье описаны некоторые основные шаги, которые можно предпринять для подтверждения и устранения неполадок. Эта проблема.

Проблема

Медленный вход в систему в Windows характеризуется длительными попытками входа пользователя, которые занимают минуту или два, прежде чем отключиться. Отключение приводит к появлению предупреждения в средстве просмотра событий. Высокое использование ресурсов на локальном сервере или контроллере домена может вызвать некоторые из этих проблем. вопросы. Однако, если вы не видите низкой общей производительности и использования ресурсов для ЦП, ОЗУ и диска были ниже 40%, может быть полезно следующее решение:

Вы можете увидеть запись, похожую на следующий пример предупреждения в средстве просмотра событий, если у вас проблемы с медленным входом на ваш сервер:

  • Имя журнала: Microsoft-Windows-TerminalServices-RemoteConnectionManager/Admin
  • Источник: Microsoft-Windows-TerminalServices-RemoteConnectionManager
  • Дата: 17.12.2019 14:40:15
  • Идентификатор события: 20499
  • Категория задачи: Нет
  • Уровень: Предупреждение
  • Ключевые слова:
  • Пользователь: СЕТЕВАЯ СЛУЖБА
  • Компьютер: 123456-exampledomain.ком
  • Описание: Службам удаленных рабочих столов потребовалось слишком много времени для загрузки конфигурации пользователя с сервера \123456-exampledomain.com для пользователя rsadmin

Разрешение:

Теперь вы можете отключить запросы контроллера домена во время входа пользователя, что позволяет избежать окна для тупик и устраняет проблемы с производительностью. Чтобы устранить эту проблему в Windows Server 2012, необходимо обновление до Windows Server 2012 R2. В Windows Server 2012 R2 создайте fQueryUserConfigFromLocalMachine . запись реестра в соответствии со следующими шагами.

Примечание: Это изменение не требует перезагрузки системы.

Чтобы внести изменения в реестр, выполните следующие действия:

  1. Чтобы запустить редактор реестра, нажмите клавишу с логотипом Windows + R, введите regedit.exe в поле Откройте окно и нажмите OK .

  2. В редакторе реестра найдите и щелкните один из следующих подразделов реестра:

      HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Windows NT\Terminal Services
      
  3. В меню Edit выберите New , а затем выберите DWORD Value .

  4. Введите fQueryUserConfigFromLocalMachine .

  5. Нажмите и удерживайте (или щелкните правой кнопкой мыши) fQueryUserConfigFromLocalMachine и выберите Изменить .

  6. В поле данных Value введите 1 и выберите OK .

  7. Закройте редактор реестра.

**Примечание. Для Windows Server 2016 вам не нужно обновлять ключи реестра в Windows. Server 2016, поскольку обновленное поведение используется по умолчанию.

Используйте вкладку «Обратная связь», чтобы оставлять комментарии или задавать вопросы. Вы также можете начать разговор с нами.

© 2020 Rackspace US, Inc.

Если не указано иное, контент на этом сайте находится под лицензией Creative Commons Attribution-NonCommercial-NoDerivs 3.0 Unported License

См. особенности лицензии и ОТКАЗ ОТ ОТВЕТСТВЕННОСТИ

Устранение неполадок, связанных с медленной обработкой GPO и влиянием на скорость входа в систему

Довольно часто пользователи домена жалуются на медленную загрузку компьютера и время входа в систему, вызванное длительной обработкой групповых политик (GPO).С точки зрения пользователя, компьютер долго загружается и кажется, что зависает на несколько минут на стадии « Применение настроек компьютера/пользователя ». В этой статье я постараюсь собрать полезные диагностические инструменты и методы, позволяющие администратору определить причины медленного применения GPO на компьютерах домена.

На самом деле существует ряд причин, по которым групповые политики долго не применяются: это могут быть проблемы с DNS, доступностью ДК и скоростью подключения к нему, неправильная настройка сайтов AD или проблемы репликации, неправильно настроенные групповые политики, неправильная скрипты и т.д.Трудно описать универсальный алгоритм для диагностики всех этих проблем. При решении подобных задач, как правило, большую роль играет опыт и навыки администратора, производящего диагностику. В этой статье мы сосредоточимся только на диагностике проблем с механизмами GPO и GPClient.

Как заблокировать наследование групповой политики

Чтобы убедиться, что проблема связана с доменным GPO, создайте в домене отдельную OU и переместите туда проблемный компьютер.Затем с помощью консоли управления групповыми политиками (GPMC.msc) включите блокировку наследования политики для этого контейнера ( Block Inheritance ). Таким образом, к этому контейнеру перестанут применяться все доменные политики (исключение составляют политики с включенным режимом Enforced).

Перезагрузите компьютер и проверьте, сохраняется ли проблема с медленным применением GPO . Если не исчезает, то, скорее всего, проблема в самом компьютере или в локальных групповых политиках (попробуйте сбросить их на дефолтные).

Как отобразить подробную информацию на экране загрузки

В Windows можно включить отображение подробной информации о состоянии, что позволит пользователям и администратору наглядно понять, на каком этапе загрузки компьютера наблюдается наибольшая задержка. Если вы включите эту политику, также будет отображаться информация о применяемых компонентах GPO.
Вы можете включить эту политику в следующем разделе GPO:

  • в Windows 7/Vista: Конфигурация компьютера -> Политики -> Система -> Подробные и обычные сообщения о состоянии = Включено
  • в Windows 8/10: Конфигурация компьютера -> Политики -> Система -> Отображение подробных сообщений о состоянии = Включено

Этот же параметр можно активировать через реестр.Для этого создайте параметр DWORD с именем verbosestatus и значением 1 в ключе реестра HKEY_LOCAL_MACHINE\SOFTWARE Microsoft\Windows\CurrentVersion\Policies\System.

В результате во время загрузки вы увидите на экране следующие сообщения:

Отчет GPResult

Лучше проанализировать результирующую политику, примененную к компьютеру, с помощью HTML-отчета GPResult, который можно создать с помощью следующей команды, запущенной с правами администратора:

gpresult /h c:\scripts\gpreport.HTML

Этот отчет достаточно удобен для анализа и содержит ссылки на ошибки при применении GPO.

Кроме того, в разделе Computer Details -> Component Status отчета есть полезные данные о времени применения (в мс) различных компонентов GPO, которые выглядят следующим образом:
Файлы групповой политики (N/A) 432 Millisecond( s) 19.02.2017 11:10:01 Просмотр журнала
Папки групповой политики (Н/Д) 188 Миллисекунд(ы) 19.02.2017 11:10:00 Просмотр журнала
Групповая политика Локальные пользователи и группы (Н/Д) 338 Миллисекунд (с) 19.02.2017 11:10:00 Просмотр журнала
Реестр групповой политики (н/д) 171 миллисекунд(ы) 19.02.2017 11:10:01 Просмотр журнала
Запланированные задачи групповой политики (н/д) 353 миллисекунды 19.02.2017 11:10:01 Просмотр журнала
Сценарии (н/д) 156 миллисекунд(ы) 19.02.2017 11:09:04 Просмотр журнала
Безопасность (н/д) 3 секунды 495 миллисекунд 19.02.2017 11 :09:08 Просмотр журнала
Реестр (нет данных) 18 секунд 814 миллисекунд 19.02.2017 11:10:00 Просмотр журнала

Анализ событий групповой политики в системных журналах Windows

В журнале приложений EventID 6006 от Winlogon со следующим сообщением может свидетельствовать о медленном применении политики:

Подписчику уведомлений winlogon потребовалось 3104 секунды для обработки события уведомления (CreateSession).

Согласно этому событию пользователю пришлось ждать применения групповых политик во время загрузки почти час…

В Windows 7 / Windows 2008 R2 или выше все события, связанные с обработкой групповой политики на клиенте, доступны в средстве просмотра событий (eventvwr.msc) в Журналы приложений и служб -> Microsoft -> Windows -> Журналы приложений и служб -> Групповая политика -> Оперативный .

Примечание . В Системном журнале остаются только события, связанные с работой самого Клиента групповой политики (gpsvc).

Для анализа времени применения политики будут полезны следующие EventID:

Завершена обработка политики загрузки компьютера для CORP\pc212333$ за 28 секунд.

При анализе журнала обратите внимание на время между двумя соседними событиями. Это может помочь найти проблемный компонент.

Журнал отладки GPSVC

В некоторых случаях полезно включить журнал отладки обработки GPO — gpsvc.журнал. Используя метки времени в gpsvc.log , вы можете найти компоненты GPO, которые обрабатывались в течение длительного времени.

Журналы отладки предпочтений групповой политики

Расширения предпочтений групповой политики также могут регистрировать загрузку каждого компонента CSE (клиентские расширения). Журналы отладки CSE можно включить в следующем разделе GPO: Конфигурация компьютера -> Политики -> Административные шаблоны -> Система -> Групповая политика -> Ведение журнала и трассировка

Как видите, для каждой СПП доступны индивидуальные настройки.В настройках политики вы можете указать тип регистрируемого события (Информационное, Ошибки, Предупреждения или все вместе), максимальный размер журнала и путь к местоположению журнала:

  • Файл трассировки пользовательской политики %SYSTEMDRIVE%\ProgramData\GroupPolicy\Preference\Trace\User.log
  • Файл трассировки политики компьютера %SYSTEMDRIVE%\ProgramData\GroupPolicy\Preference\Trace\Computer.log

Наконечник . Если у вас нет подраздела «Журналирование и трассировка» в разделе «Групповая политика» вашего gpedit.msc/ GPMC, загрузите и установите шаблоны ADMX предпочтений групповой политики и скопируйте GroupPolicyPreferences.admx из %PROGRAMFILES%\Microsoft Group Policy в локальную папку PolicyDefinitions или в центральный каталог PolicyDefinitions в SYSVOL.

Собрав логи, нужно проанализировать их на наличие ошибок, а также попытаться найти рядом события, время между которыми отличается на несколько минут.

Итак, в этой статье мы рассмотрели основные способы диагностики медленной обработки групповой политики на компьютерах домена.Надеюсь статья будет полезна.

Исправление низкой скорости локальной сети на компьютере с Windows 11/10

Если вы столкнулись с низкой скоростью интернета на вашем ПК, в этом руководстве у нас есть несколько решений для исправления низкой скорости локальной сети Ethernet на компьютере с Windows 11 или Windows 10. В наши дни медленный интернет — это кошмар. Наша жизнь полностью зависит от него. Будь то работа, развлечения или занятия, он везде найдет применение. Диапазоны скоростей различаются в зависимости от интернет-провайдеров, и есть некоторые интернет-провайдеры, которые предоставляют конечным пользователям самые высокие скорости.Если вы столкнулись с низкой скоростью локальной сети Ethernet на ПК с Windows, вот несколько советов по увеличению скорости вашего Интернета.

Почему скорость моей локальной сети низкая?

Низкая скорость локальной сети может быть вызвана многими причинами. Это может быть связано с:

  • Плохое интернет-соединение
  • Неисправные кабели
  • Проблема в модеме или маршрутизаторе
  • Проблема с Интернет-провайдером
  • Медленный DNS-сервер

Могут быть и другие причины медленной локальной сети.В основном вышеуказанные проблемы являются причинами медленной работы локальной сети в большинстве случаев. Давайте посмотрим, как их исправить.

Исправление низкой скорости локальной сети на компьютере с Windows 11/10

Плохую или медленную скорость локальной сети Ethernet в Windows 11 или Windows 10 можно исправить следующими способами:

  1. Проверить подключение к Интернету
  2. Обновить сетевые драйверы DNS-сервер
  3. Отключить VPN
  4. Отключить разгрузку больших пакетов
  5. Изменить скорость и параметры дуплекса
  6. Отключить IPv6

Давайте подробно рассмотрим каждое исправление.

1] Проверьте подключение к Интернету

Если у вас медленная локальная сеть на Windows, первое, что вам нужно сделать, это проверить, нормально ли работает Интернет на других устройствах. Проверьте скорости на других устройствах, перезапустите модем или маршрутизатор и обратитесь к своему интернет-провайдеру, если у вас возникнут какие-либо проблемы.

2] Обновите сетевые драйверы

Устаревший или неисправный сетевой драйвер также может привести к снижению скорости локальной сети. Вам необходимо обновить сетевые драйверы, а также проверить наличие обновлений для ОС Windows.Он может автоматически обновить драйверы до последних версий, и ваша проблема с низкой скоростью локальной сети будет решена.

3] Изменить DNS-сервер

Причиной проблемы может быть сервер доменных имен (DNS) на вашем ПК. Вы должны изменить DNS на другие общедоступные серверы, такие как Google Public DNS или Cloudflare или любой другой. Это может исправить низкую скорость локальной сети, если это вызвано медленным DNS-сервером.

4] Отключить VPN

Если вы используете VPN на своем ПК, вы должны отключить его, чтобы использовать Интернет на полной скорости.В некоторых VPN автоматически включаются аварийные выключатели. Это может привести к неработоспособности интернета на вашем компьютере. Отключите его в настройках VPN.

Чтение : Увеличьте скорость Wi-Fi, силу сигнала и зону покрытия.

5] Отключить разгрузку при отправке больших объемов данных

Отправка больших фрагментов данных наружу может быть проблемой до сортировки загрузок в вашей локальной сети. Вы должны отключить большую разгрузку отправки, чтобы прекратить отправку больших объемов данных. Для этого откройте Диспетчер устройств на своем ПК и нажмите Сетевые адаптеры .Затем дважды щелкните сетевой адаптер. Перейдите на вкладку  Advanced и выберите Разгрузка при отправке больших объемов в списке свойств. Затем установите для него значение Disabled .

Связанный : исправлена ​​низкая скорость Ethernet в Windows.

6] Изменение настроек скорости и дуплекса

Настройки скорости и дуплекса на вашем ПК согласовываются с аппаратным обеспечением и приводят к скорости на вашем ПК. Вы должны изменить их на более высокую скорость, чтобы разрешить медленную скорость. На вкладке «Дополнительные параметры» сетевого адаптера выберите « Настройки скорости/дуплекса » в списке «Свойства».Установите максимальное значение Мбит/с и нажмите OK.

7] Отключение IPv6

Отключение IPv6 решает многие проблемы с подключением к Интернету. Это стандартное исправление, которое помогло многим пользователям. Вам необходимо отключить IPv6, чтобы увеличить скорость локальной сети. Проверьте, решил ли он проблему.

Если ни одна из вышеперечисленных проблем не устранила медленную работу локальной сети, возможно, вам придется обратиться к поставщику услуг Интернета.

Связанный : Как увеличить скорость загрузки и выгрузки в Windows.

Как исправить медленный Ethernet LAN?

Существует много способов исправить медленную работу LAN Ethernet. Вы можете исправить это, изменив DNS, отключив разгрузку при отправке больших объемов, изменив настройки скорости/дуплекса, обновив сетевые драйверы и т. д. Сначала необходимо найти причину проблемы и внедрить исправление, устраняющее ее.

Связанное чтение: Исправить подключение IPv6, нет ошибки доступа к сети в Windows.

Присоединение рабочей станции Windows к домену DSfW

Проверка подлинности Kerberos требует, чтобы время контроллера домена и время рабочей станции Windows были синхронизированы.После установки сервера DSfW убедитесь, что рабочие станции Windows в домене настроены на получение времени с этого сервера.

Необходимо убедиться, что рабочие станции, присоединенные к домену DSfW, имеют уникальное имя машины. Повторяющееся имя машины приведет к нестабильности домена и медленному входу в систему на рабочей станции. Если вы попытаетесь присоединить машину с повторяющимся именем к домену DSfW, предупреждения или сообщения об ошибках отображаться не будут.

В случае медленного входа в систему на рабочих станциях из-за повторяющихся имен машин в вашей среде вы можете применить блокировку злоумышленника.Для получения дополнительной информации см. TID.

ПРИМЕЧАНИЕ. Повторяющееся имя машины может быть назначено из-за повторного использования имени машины или повторного создания образов машин в виртуализированной среде.

Выполните следующие шаги, чтобы присоединить рабочую станцию ​​Windows к домену DSfW:

ПРИМЕЧАНИЕ. Действия могут различаться в зависимости от конфигурации Windows. Показанные примеры относятся к «классическому» рабочему столу Windows.

  1. На компьютере с ОС Windows в той же сети, что и сервер DSfW, перейдите в раздел «Сетевые подключения» на панели управления, выберите «Подключение по локальной сети» и щелкните .

  2. Выберите Интернет-протокол (TCP/IP) и нажмите .

  3. Выберите . В качестве предпочитаемого DNS-сервера введите IP-адрес DNS-сервера, настроенного для DSfW, затем щелкните .

  4. В меню «Пуск» щелкните правой кнопкой мыши и выберите .

  5. На вкладке щелкните .

  6. В диалоговом окне «Изменение имени компьютера» выберите «Введите доменное имя DSfW», затем щелкните .

  7. При появлении запроса укажите имя и пароль для учетной записи с разрешением на присоединение к домену.Это администратор и пароль, настроенные при установке DSfW.

  8. После успешного присоединения компьютера к домену отображается приветственное сообщение. Нажмите для продолжения.

  9. При появлении запроса щелкните, чтобы перезагрузить компьютер, чтобы изменения вступили в силу.

Для компьютера, который вы только что присоединили к домену, создан объект в контейнере Computers в домене DSfW.

Пользователь с правами администратора для контейнера, имя которого сопоставляется, может присоединить рабочую станцию ​​к создаваемому домену.

ПРИМЕЧАНИЕ. При установке Windows XP вам будет предложено выбрать, является ли она частью рабочей группы или домена. Если выбран домен, он сообщает, что указан недопустимый домен. Однако, если на компьютере установлена ​​операционная система Windows XP, эту рабочую станцию ​​можно присоединить к домену.

Предположим, вы присоединили рабочую станцию ​​к домену example.com. После присоединения рабочей станции к домену в контейнере по умолчанию cn=computers,dc=example,dc=com создается объект компьютера.Этот контейнер по умолчанию по умолчанию связан с политикой паролей по умолчанию cn=Default Password Policy,cn=Password Policies,cn=System,dc=example,dc=com.

Атрибут wellKnownObjects в контейнере домена (dc=example,dc=com для домена example.com) содержит список известных контейнеров объектов по GUID и отличительному имени. Хорошо известные объекты — это системные контейнеры. Если вы хотите поместить все объекты-компьютеры в настраиваемый контейнер, отличный от используемого по умолчанию, необходимо изменить запись контейнера компьютеров атрибута wellKnownObjects, чтобы включить нужный контейнер.

  1. Запустите iManager и подключитесь к серверу DSfW.

  2. В разделе «Роли и задачи» выберите .

  3. Укажите объект-контейнер домена в поле или найдите и выберите объект-контейнер домена и щелкните .

  4. Щелкните вкладку.

  5. Выберите wellKnownObjects из списка Valued Attributes и щелкните .

  6. Выберите запись, содержащую GUID AA312825768811D1ADED00C04FD, и укажите нужный контейнер в поле.

После изменения записи атрибута wellKnownObjects убедитесь, что вы связали cn=Default Password Policy,cn=Password Policies,cn=System,dc=example,dc=com с новым контейнером Computer. Эта ассоциация политики паролей требуется для всех таких контейнеров, которые будут содержать объекты-компьютеры.

8 главных проблем с производительностью Active Directory

Microsoft Active Directory является ключевым компонентом ИТ-инфраструктуры любой организации, использующей серверы или настольные компьютеры Microsoft Windows.

Active Directory отвечает за управление пользователями, их учетными записями и их доступом к отдельным компьютерам, общим драйверам, принтерам, серверам и многому другому. С точки зрения пользователя, возможность единого входа Active Directory гарантирует, что пользователям не нужно запоминать и использовать разные пароли для разных типов доступа.

С точки зрения администрирования Active Directory также предлагает большие преимущества. Учетные записи пользователей, пароли, права доступа и т. д. могут управляться централизованно.Когда необходимо добавить нового пользователя или отозвать разрешения существующего пользователя, администраторы могут сделать это централизованно через Active Directory.

Учитывая его центральную роль, неудивительно, что мониторинг доступности и производительности Active Directory чрезвычайно важен. Если служба Active Directory не работает, пользователи не смогут пройти аутентификацию для доступа к каким-либо общим ресурсам в сети. Точно так же, если Active Directory работает медленно, вход пользователей в систему и доступ к ключевым службам будут происходить намного медленнее, чем обычно.Часто пользователи могут не осознавать, что обращаются к службам Active Directory, когда они входят в систему или запускают приложение. Их жалобы часто связаны с медлительностью приложений, тогда как реальная проблема заключается в медленной работе служб Active Directory. Следовательно, крайне важно, чтобы администраторы круглосуточно и без выходных контролировали доступность и производительность служб Active Directory, чтобы они могли заблаговременно обнаруживать и устранять проблемы, которые могут повлиять на работу пользователей и производительность.

Поскольку Active Directory управляет учетными данными и разрешениями в ИТ-инфраструктуре, ее также необходимо контролировать с точки зрения безопасности.Необходимо отслеживать частые недопустимые обращения пользователей, блокировки учетных записей, ошибки разрешений и т. д. Политики паролей также применяются через Active Directory. С точки зрения мониторинга администраторы должны иметь возможность отслеживать пользователей, которые не входили в систему в течение нескольких дней, или тех, кто не менял пароли в течение длительного периода времени.

Вот 8 распространенных проблем Active Directory, с которыми сталкиваются организации, последствия этих проблем и способы их упреждающего обнаружения и устранения администраторами.Прежде чем мы начнем, давайте рассмотрим некоторые из распространенных терминов Active Directory:

  • Active Directory — это служба аутентификации и каталогов, предоставляемая одним или несколькими серверами. Каждый из этих серверов является контроллером домена .
  • Домен Active Directory — это набор объектов в сети Microsoft Active Directory. Объектом может быть один пользователь или группа, либо аппаратный компонент, такой как компьютер или принтер.Каждый домен содержит базу данных, содержащую информацию об идентификаторах объектов.
  • Лес Active Directory (лес AD) — это самый верхний логический контейнер в конфигурации Active Directory, содержащий домены, пользователей, компьютеры и групповые политики.

#1 Проблемы репликации Active Directory

Из-за важности служб Active Directory организации редко имеют только один сервер Active Directory. В крупных организациях обычно имеется несколько серверов Active Directory, а также запросы пользователей, поиск в каталогах и т. д.может быть направлен на сервер Active Directory, ближайший к местоположению, откуда был отправлен запрос, чтобы свести к минимуму задержку и использование полосы пропускания.

Репликация — важнейшая функция Active Directory, когда речь идет об одном или нескольких доменах или контроллерах домена, независимо от того, принадлежат ли они одному и тому же сайту или разным. Репликация Active Directory обеспечивает синхронизацию изменений с другими контроллерами домена в лесу Active Directory. Репликация должна происходить на локальном сайте, а также на дополнительных сайтах, чтобы все соответствующие данные домена и леса оставались одинаковыми на каждом из контроллеров домена.

Исправная репликация в лесу AD имеет решающее значение для его бесперебойного функционирования. Без этого изменения, сделанные в одном контроллере домена, не передаются на все остальные контроллеры домена. Это может привести ко всевозможным проблемам, включая сбои аутентификации и проблемы с доступом к сетевым ресурсам (файлам, принтерам, приложениям). Проблемы с репликацией могут проявиться не сразу. Таким образом, отказ от мониторинга репликации хотя бы периодически может привести к серьезной проблеме в очень неудобное/критическое время.Инструмент мониторинга AD помогает следить за состоянием репликации AD и обнаруживать ошибки, а также другие распространенные проблемы репликации AD.

#2 Блокировка учетных записей пользователей

Большинство организаций имеют (или должны иметь) стратегию блокировки учетных записей. Это мера безопасности, специально разработанная для предотвращения попыток несанкционированного подбора паролей третьими лицами. Политики блокировки учетных записей можно реализовать с помощью Active Directory. Повторная попытка ввести неправильный пароль приводит к тому, что учетная запись становится непригодной для использования, пока администратор не активирует ее вручную.

Иногда блокировка учетной записи может произойти без видимой причины. Даже если системный администратор изменит пароль, вскоре после этого учетная запись может снова быть заблокирована. Это может быть крайне неприятно как для пользователей, так и для администраторов. Часто проблема усугубляется неизвестным происхождением локаутов. Такие блокировки могут произойти, когда автоматизированный сценарий или процесс настроен на использование учетной записи пользователя для выполнения задачи (например, резервного копирования файла), и если сценарий не был обновлен последним паролем, используемая учетная запись может быть заблокирована.

Инструмент мониторинга AD может легко идентифицировать и отслеживать, когда происходит блокировка пользователей, определять, какие учетные записи затронуты, и предоставлять сведения о системе, из которой произошел неверный вход в систему. Вся эта информация полезна для администраторов, чтобы получать уведомления о потенциальных проблемах безопасности или проблемах с конфигурацией, которые могут вызывать блокировку учетной записи.

#3 Проблемы групповой политики

Групповая политика — невероятно полезный инструмент для системных администраторов, который позволяет им централизованно настраивать и развертывать практически все в своей среде Active Directory.От развертывания программного обеспечения до настройки принтера по умолчанию для системы — групповые политики решают их все. Однако в крупных организациях может быть много правил и исключений групповой политики, и это может затруднить системным администраторам отслеживание всего. Замедление входа может произойти, если групповые политики настроены неправильно, и администраторы должны определить, какая групповая политика вызывает замедление.

Некоторые распространенные проблемы групповой политики в среде Active Directory включают:

  • Групповые политики не применяются должным образом
  • Групповые политики применяются, но не работают должным образом
  • Циклы в групповых политиках, приводящие к замедлению обработки
  • Групповые политики, которые не были обновлены при изменении инфраструктуры (т.е. политика, которая пытается смонтировать диск, которого больше не существует)
  • Медленные сетевые соединения, приводящие к тому, что некоторые групповые политики не применяются
  • Нечетные перенаправления папок

Мониторинг действий и событий групповой политики необходим, чтобы знать, когда и как они выполняются, а также есть ли какие-либо задержки или сбои. Изменения в групповых политиках также следует отслеживать, и любое влияние этих изменений на производительность следует обнаруживать заранее, чтобы решить любые проблемы в групповых политиках.

#4 Проблемы с DNS/DHCP

DHCP и DNS являются двумя наиболее важными службами во всех ИТ-сетях. Сервер DHCP отвечает за управление IP-адресами, которые динамически выдаются серверам и клиентам, чтобы они могли обмениваться данными. При мониторинге служб DHCP отслеживайте количество используемых IP-адресов, чтобы вы могли определить, когда у вас может закончиться нехватка IP-адресов для выделения.

Службы DNS обеспечивают возможность поиска серверов, клиентов и служб по имени.Те, кто имеет дело с Active Directory, хорошо осведомлены о критической роли DNS в таких конфигурациях. Фактически, опрос, опубликованный Microsoft, показывает, что 70% всех проблем с Active Directory связаны с DNS.

Некоторые из наиболее распространенных проблем с DNS, с которыми сталкиваются системные администраторы, включают:

  • Неправильная конфигурация сервера пересылки
  • Неверная регистрация DNS-имени
  • Неверное делегирование доменов AD DNS
  • Несоответствие между контроллерами домена, глобальными каталогами и DNS
  • Несогласованность в инфраструктуре сайта AD

Службы DNS и DHCP настолько важны для любой сети, что непрерывный мониторинг их доступности и производительности имеет чрезвычайно важное значение.Microsoft предоставляет утилиту командной строки dcdiag, которую можно использовать для проверки конфигурации DNS сервера Active Directory. Dcdiag также может выполнять тесты для проверки различных аспектов конфигурации DNS, включая проверки серверов пересылки, корневых ссылок, делегирования, регистрации записей, разрешения внешних имен и так далее.

#5 Роли FSMO

Active Directory была разработана как база данных с поддержкой нескольких мастеров. Большим преимуществом является то, что изменения возможны на каждом контроллере домена.Также возможна передача ролей любому контроллеру домена. Поскольку роль Active Directory не привязана к одному контроллеру домена, она называется ролью гибкой единой главной операции (FSMO).

В настоящее время в Windows существует пять ролей FSMO:

  • Мастер схемы
  • Главное доменное имя
  • Мастер RID
  • Эмулятор PDC
  • Мастер инфраструктуры

Некоторые из наиболее распространенных проблем, связанных с FSMO, с которыми регулярно сталкиваются системные администраторы, связаны с захватом ролей

  • Передача ролей
  • Потеря ролей

Важно отслеживать, какой контроллер домена выполняет определенную роль FSMO и в какое время.

#6 Ошибки при входе в систему

Ошибки при входе в систему являются распространенной проблемой в любой инфраструктуре AD. Ошибки при вводе или забытые пароли могут привести к сбоям при входе в систему, но главная проблема, которая беспокоит администраторов, — это несанкционированные попытки входа в сеть со стороны злоумышленников. Повторяющиеся попытки ввода неправильного пароля являются признаком нарушения кибербезопасности. Одним из способов защиты от взлома является постоянное отслеживание последовательных неудачных попыток входа в систему.В системах Windows это делается путем обращения к журналу событий безопасности.

Журнал событий безопасности может содержать тысячи событий, связанных с различными источниками, связанных с входом пользователя в систему, сбоем входа в систему, блокировкой учетной записи и т. д. Анализ событий с целью выявления несоответствий, а также выявления источников потенциальных попыток взлома — трудоемкая, трудоемкая и кропотливая задача! В таких случаях пригодится инструмент мониторинга AD, который следит за журналом системных событий на предмет потенциальных попыток взлома.

#7 Проблемы базы данных Active Directory

Первое, что приходит на ум при слове «база данных», — это программное обеспечение, такое как Microsoft SQL, MySQL, Oracle или подобное. Однако база данных Active Directory сильно отличается тем, что в ней используется ESE (расширяемый механизм хранения), который представляет собой базу данных ISAM (метод индексированного и последовательного доступа). Такие базы данных используют ориентированную на записи архитектуру базы данных, которая обеспечивает чрезвычайно быстрый доступ к записям. ESE работает путем индексации данных в файле базы данных.Этот файл базы данных может достигать размера 16 терабайт и содержать более 2 миллиардов записей.

Каждый объект в Active Directory занимает место в базе данных AD (ntds.dit). Для оптимальной производительности контроллеры домена кэшируют базы данных AD в ОЗУ, поскольку доступ к данным в оперативной памяти намного быстрее, чем доступ к данным на традиционных жестких или твердотельных дисках. Когда части базы данных AD не кэшируются в памяти, эти части будут работать намного медленнее, чем кэшированные.

Минимальный размер базы данных AD является ключом к производительности контроллера домена, особенно на оборудовании, которое больше нельзя обновлять, и на установках Windows Server, которые не могут поддерживать дополнительные ЦП или ОЗУ.

Хотя большие базы данных Active Directory неуклонно росли на протяжении многих лет, добавление новых функций может привести к внезапному и беспрецедентному росту. Хранение фотографий пользователей и информации для восстановления BitLocker в Active Directory без надлежащего планирования может привести к быстрому снижению производительности Active Directory.

Отслеживание использования хранилища базы данных AD и подключения к базе данных является ключевым фактором обеспечения бесперебойной работы Active Directory.

#8 Проблемы с Kerberos

Центр распространения ключей основан на Kerberos и является самой важной службой в Active Directory.Всякий раз, когда компьютер или пользователь запрашивает доступ к ресурсу, происходит обмен учетными данными, передаваемыми KDC. Мониторинг необходим постоянно для выявления любых проблем, связанных с авторизацией в среде AD.

Проблемы, которые можно решить с помощью мониторинга Kerberos, включают в себя возможность выяснить:

  • Где пользователь использовал свою учетную запись для выполнения важных бизнес-задач, несмотря на то, что его учетная запись была полностью отключена
  • Где учетная запись пользователя была заблокирована
  • Какой именно компьютер имеет разницу во времени (перекос), которая не позволяет им получить доступ к определенным ресурсам
  • На каких компьютерах пароли не синхронизированы

Как видите, мониторинг является ключом к легкому выявлению и пониманию причин доступности, репликации, безопасности и других проблем с производительностью Active Directory.Попробуйте eG Enterprise, комплексное решение для мониторинга Active Directory, которое автоматически обнаруживает вашу среду AD и отслеживает все аспекты производительности AD.

Leave a comment