App*_*ity 7 windows netlogon group-policy
我正在尝试解决加入域的远程计算机上的一些组策略启动处理问题,这些计算机在启动时和登录之前建立 Zscaler/VPN 连接。这会导致域连接出现短暂延迟,而当计算机物理位于网络上时,这种延迟通常不会出现。
我设置了几个 GPO:
这会产生以下类型的事件日志条目:
计算机启动时组策略等待网络子系统 17031 毫秒。
然而,有时这个数字会达到 60000 毫秒,这与我的 GPO 一致。因此,本质上,有时 GPO 检测到“网络子系统”可用,有时则不可用。然而,它总是成功下载 GPO 并在此时间后应用它们。
为了尝试确定组策略如何确定网络可用性,我以 netlogon 服务调试日志为目标,认为 DC 发现和连接正在发挥作用。但是,netlogon 有时会指示与 DC 的成功会话设置,但与组策略事件日志条目不一致。例如,当 GP 等待 60 秒时,netlogon 早在这之前就已经指示与域控制器的成功连接。其他时候,当 GP 等待时间少于 60 秒时,netlogon 仍未完成与 DC 的成功会话。
组策略如何确定网络子系统何时可用?
好吧,我想我们必须猜测一下,因为这没有很好的记录......
首先我们看一下GPSvc调试日志:
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Diagnostics
DWORD 值:GPSvcDebugLevel设置为30002 (Hexadecimal)
Connectivity并在日志文件中搜索。这将使您了解正在发生的事情。
在这个日志文件中,我们还可以看到:
CoCreateInstance for INetworkListManager succeeded
因此,我认为可以安全地假设网络列表管理器用于确定计算机上可用网络的状态。最重要的是,网络列表管理器可以向各种系统组件发送有关网络连接变化的通知。
网络列表管理器还可以判断我们是否连接到域网络。
话虽如此,我认为您也可能在 NlaSvc 日志中找到有用的信息(网络位置感知,与网络列表管理器相关):
在事件查看器 -> 查看 -> 显示分析和调试日志。然后:
应用程序和服务日志 -> Microsoft -> Windows -> NlaSvc -> 诊断(右键单击以启用此日志)并查看是否可以在其中找到有用的位。您应该能够看到 NLA 是否能够找到域 (DsGetDcName)。
组策略如何确定网络子系统何时可用?
我的猜测是,当网络连接发生变化(插入/拔出网络电缆、启用/禁用网络适配器、收到 IP 地址等)时,组策略服务会侦听网络列表管理器发送的通知,我认为网络列表管理器/NLA是负责确定网络是否提供域连接的人员。
| 归档时间: |
|
| 查看次数: |
961 次 |
| 最近记录: |