问题背景:
某企业用户连续反映客户端在登陆时与AD验证时异常缓慢,主要有以下现像:
2015年12月份反映,Windows XP/2003在登陆域时非常慢,需要耗费1-3分钟的时间,组策略加载不成功
由于该公司本地环境中没有部署DC,需要通过其他地区的服务器(用户与服务器之间通过专线连接带宽为40M)进行验证请求。该网络环境满足AD与客户之间的网络需求,理论上不会对客户端通多DC验证产生任何影响,为此,我们对问题进行详细分析。
==============================================
- Windows XP客户端在登陆域是,输入用户名和密码进行登陆后,进入到桌面花费的时间较长,大约需要1-3分钟左右的时间。长时间停留在“正在应用计算机设置”和“正在应用个人设置”窗口。
- Windows XP在注销后重新登陆问题依旧
- Windows XP在断开网络的情况下可以很快进入到桌面
- Windows 7客户端一切正常
问题分析过程
===================================================
在存在问题的客户端App enevt log 存在1054 错误ID
从问题现象来看,这是一个比较典型的加载组策略异常的问题。在问题客户端的注册表中创建以下键值,开启组策略Debug Log:
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows Nt\CurrentVersion\WinLogon
名称:UserEnvDebugLevel
类型:DWORD
值:10002(十六进制)
重启计算机并等到登陆到桌面后,在C:\Windwos\Debug目录中查看userenv.log,可以看到以下信息:
上图中的Log是Windows XP系统判断网络质量的行为。用户在通过域登陆时,在进入到桌面之前需要去加载组策略,但是在加载组策略之前,系统首先要判断客户端与域控之间的网络质量。而在Windows XP/2003中,客户端判断与DC之间的网络是一个fast link还是slow link是通过ping来决定的,具体行为是:客户端首先会对目标域控发送一个0字节的ping,之后再发送一个2048字节的ping,共重复六次。在上图log中可以看到整个ping的过程持续了半分多钟,这也是为什么XP的客户端登陆慢的主要原因。另外在Windows Vista以后版本的操作系统中,已经不再使用ping来判断网络质量,所以Windows 7登陆速度就很正常。
上图的log中也可以看到,客户端在”Second send”一直是“fail”状态,“sendcond send”即发送一个2048字节的MTU,“fail”即表示ping超时。我们直接在客户端cmd中执行一个2048字节的MTU,可以看到确实无法ping通:
而普通的ping是够能正常通信的:
经过确认该网络对MTU值是存在限制的,MTU值为2048的网络包不能正常通信是导致这个问题的主要原因。讲网络MTU值调整为大于2048改问题顺利解决。
下面是关于windows如何判定一个网络是否为慢速链接的参考: