компьютер не может установить безопасный сеанс связи с контроллером домена код 5719
Компьютер не может установить безопасный сеанс связи с контроллером домена код 5719
Этот форум закрыт. Спасибо за участие!
Лучший отвечающий
Вопрос
Компьютер не может установить безопасный сеанс связи с контроллером домена DOMAIN по следующей причине:
Отсутствуют серверы, которые могли бы обработать запрос на вход в сеть.
Это может затруднить проверку подлинности. Убедитесь, что компьютер подключен к сети. Если ошибка повторится, обратитесь к администратору домена.
Если данный компьютер является контроллером указанного домена, он устанавливает безопасный сеанс связи с эмулятором основного контроллера этого домена. В противном случае компьютер устанавливает безопасный сеанс связи с произвольным контроллером данного домена.
А через некоторое время появляется ещё одна ошибка 5783
Установка сеанса к контролеру домена не отвечает. Текущий вызов RPC от Netlogon отменен.
Отключен RSS в реестре.
1. Click Start, click Run, type regedit, and then click OK.
2. Locate and then click the following registry subkey:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters
3. On the Edit menu, point to New, click DWORD Value, and then type EnableRSS.
4. Double-click EnableRSS, type 0, and then click OK.
5. Restart the computer on which you changed the EnableRSS value.
Что ещё может быть причиной данной ошибки.
Компьютер не может установить безопасный сеанс связи с контроллером домена код 5719
Этот форум закрыт. Спасибо за участие!
Лучший отвечающий
Вопрос
Добрый день господа. В логах рабочих станций стали появляться записи
«Компьютер не может установить безопасный сеанс связи с контроллером домена VDK1 по следующей причине:
Отсутствуют серверы, которые могли бы обработать запрос на вход в сеть.
Это может затруднить проверку подлинности. Убедитесь, что компьютер подключен к сети. Если ошибка повторится, обратитесь к администратору домена.
Дополнительные сведения
Если данный компьютер является контроллером указанного домена, он устанавливает безопасный сеанс связи с эмулятором основного контроллера этого домена. В противном случае компьютер устанавливает безопасный сеанс связи с произвольным контроллером данного домена.»
И еще одна с кодом 135:
«NTP-клиенту не удалось задать настроенный вручную узел в качестве источника времени из-за ошибки дублирования на «dc01.vdk1.local,0x9». Тот же источник времени «dc01.vdk1.local» был задан как настроенный вручную узел на NTP-сервере или выбран как узел домена. NTP-клиент повторит попытку через 15 мин., а затем удвоит интервал между попытками. Ошибка: Элемент уже существует. (0x800706E0)»
Сетвые карты Wi-FI и обычные проводные.
Win 7 Prof SP1 с актуальными обновлениями.
Win 8.1 Prof с актуальными обновлениями.
DC01- 2008R2 SP1 с актуальными обновлениями.
DC02- 2008R2 SP1 с актуальными обновлениями.
Ошибок в логах нет, DNS работает корректно.
Ipconfig клиента win 8.1
Microsoft Windows [Version 6.3.9600]
(c) Корпорация Майкрософт (Microsoft Corporation), 2013. Все права защищены.
Настройка протокола IP для Windows
Адаптер беспроводной локальной сети Подключение по локальной сети* 3:
Адаптер беспроводной локальной сети Беспроводная сеть:
Ethernet adapter VMware Network Adapter VMnet1:
Ethernet adapter VMware Network Adapter VMnet8:
Настройка протокола IP для Windows
Ethernet adapter Подключение по локальной сети:
Туннельный адаптер Подключение по локальной сети* 2:
DCDIAG ошибок не выдает.
Изменил параметры реестра
После чего ошибка стала появляться только при перезагрузке ПК. При запуске выключенного ПК ошибок в логах нет.
Подскажите куда копать? Все явные решения я уже испробывал.
Компьютер не может установить безопасный сеанс связи с контроллером домена код 5719
Этот форум закрыт. Спасибо за участие!
Лучший отвечающий
Вопрос
Добрый день господа. В логах рабочих станций стали появляться записи
«Компьютер не может установить безопасный сеанс связи с контроллером домена VDK1 по следующей причине:
Отсутствуют серверы, которые могли бы обработать запрос на вход в сеть.
Это может затруднить проверку подлинности. Убедитесь, что компьютер подключен к сети. Если ошибка повторится, обратитесь к администратору домена.
Дополнительные сведения
Если данный компьютер является контроллером указанного домена, он устанавливает безопасный сеанс связи с эмулятором основного контроллера этого домена. В противном случае компьютер устанавливает безопасный сеанс связи с произвольным контроллером данного домена.»
И еще одна с кодом 135:
«NTP-клиенту не удалось задать настроенный вручную узел в качестве источника времени из-за ошибки дублирования на «dc01.vdk1.local,0x9». Тот же источник времени «dc01.vdk1.local» был задан как настроенный вручную узел на NTP-сервере или выбран как узел домена. NTP-клиент повторит попытку через 15 мин., а затем удвоит интервал между попытками. Ошибка: Элемент уже существует. (0x800706E0)»
Сетвые карты Wi-FI и обычные проводные.
Win 7 Prof SP1 с актуальными обновлениями.
Win 8.1 Prof с актуальными обновлениями.
DC01- 2008R2 SP1 с актуальными обновлениями.
DC02- 2008R2 SP1 с актуальными обновлениями.
Ошибок в логах нет, DNS работает корректно.
Ipconfig клиента win 8.1
Microsoft Windows [Version 6.3.9600]
(c) Корпорация Майкрософт (Microsoft Corporation), 2013. Все права защищены.
Настройка протокола IP для Windows
Адаптер беспроводной локальной сети Подключение по локальной сети* 3:
Адаптер беспроводной локальной сети Беспроводная сеть:
Ethernet adapter VMware Network Adapter VMnet1:
Ethernet adapter VMware Network Adapter VMnet8:
Настройка протокола IP для Windows
Ethernet adapter Подключение по локальной сети:
Туннельный адаптер Подключение по локальной сети* 2:
DCDIAG ошибок не выдает.
Изменил параметры реестра
После чего ошибка стала появляться только при перезагрузке ПК. При запуске выключенного ПК ошибок в логах нет.
Подскажите куда копать? Все явные решения я уже испробывал.
Компьютер не может установить безопасный сеанс связи с контроллером домена код 5719
Этот форум закрыт. Спасибо за участие!
Лучший отвечающий
Вопрос
Добрый день господа. В логах рабочих станций стали появляться записи
«Компьютер не может установить безопасный сеанс связи с контроллером домена VDK1 по следующей причине:
Отсутствуют серверы, которые могли бы обработать запрос на вход в сеть.
Это может затруднить проверку подлинности. Убедитесь, что компьютер подключен к сети. Если ошибка повторится, обратитесь к администратору домена.
Дополнительные сведения
Если данный компьютер является контроллером указанного домена, он устанавливает безопасный сеанс связи с эмулятором основного контроллера этого домена. В противном случае компьютер устанавливает безопасный сеанс связи с произвольным контроллером данного домена.»
И еще одна с кодом 135:
«NTP-клиенту не удалось задать настроенный вручную узел в качестве источника времени из-за ошибки дублирования на «dc01.vdk1.local,0x9». Тот же источник времени «dc01.vdk1.local» был задан как настроенный вручную узел на NTP-сервере или выбран как узел домена. NTP-клиент повторит попытку через 15 мин., а затем удвоит интервал между попытками. Ошибка: Элемент уже существует. (0x800706E0)»
Сетвые карты Wi-FI и обычные проводные.
Win 7 Prof SP1 с актуальными обновлениями.
Win 8.1 Prof с актуальными обновлениями.
DC01- 2008R2 SP1 с актуальными обновлениями.
DC02- 2008R2 SP1 с актуальными обновлениями.
Ошибок в логах нет, DNS работает корректно.
Ipconfig клиента win 8.1
Microsoft Windows [Version 6.3.9600]
(c) Корпорация Майкрософт (Microsoft Corporation), 2013. Все права защищены.
Настройка протокола IP для Windows
Адаптер беспроводной локальной сети Подключение по локальной сети* 3:
Адаптер беспроводной локальной сети Беспроводная сеть:
Ethernet adapter VMware Network Adapter VMnet1:
Ethernet adapter VMware Network Adapter VMnet8:
Настройка протокола IP для Windows
Ethernet adapter Подключение по локальной сети:
Туннельный адаптер Подключение по локальной сети* 2:
DCDIAG ошибок не выдает.
Изменил параметры реестра
После чего ошибка стала появляться только при перезагрузке ПК. При запуске выключенного ПК ошибок в логах нет.
Подскажите куда копать? Все явные решения я уже испробывал.
Netlogon event ID 5719 или событие групповой политики 1129 регистрируется при запуске участника домена
В этой статье решается ID события Netlogon 5719 или событие групповой политики 1129, которое регистрируется при запуске участника домена.
Применяется к: Windows 10 — все выпуски, Windows Server 2012 R2
Исходный номер КБ: 938449
Симптомы
Точно следуйте всем указаниям из этого раздела. Внесение неправильных изменений в реестр может привести к возникновению серьезных проблем. Прежде чем приступить к изменениям, создайте резервную копию реестра для восстановления на случай возникновения проблем.
Рассмотрим этот сценарий:
В этом сценарии при запуске компьютера в Windows 8.1 и более ранних версиях в журнале System регистрируется следующее событие. В Windows 10 и более поздних версиях событие 5719 больше не регистрируется в этой ситуации. Вместо этого в Netlogon.log записывают следующие строки:
После возникновения этой проблемы компьютеру назначен IP-адрес:
В Windows 10 и более поздних версиях вы увидите только события по компонентам в зависимости от подключения контроллера домена (например, групповой политики). В журнале отлагки групповой политики записывают следующие записи:
В первом разделе показан расчет времени, который необходимо использовать для подвоза сети. Он может быть основан на предыдущих быстрых запусках.
Во втором разделе показано, что осведомленность о расположении сети (NLA) не сообщает о рабочей сети в допустимом интервале ожидания, а обработка запуска групповой политики не удается. В третьем разделе показано, что двигатель групповой политики запускает фоновую процедуру, а затем ждет одну минуту после того, как сеть станет доступной.
Причина
Эта проблема может возникнуть по любой из этих причин:
Group Policy в Windows Vista и более поздних версиях написана для переговоров о сетевом состоянии с включенной поддержкой NLA. И она ждет сеть с подключением к DC. Однако групповая политика может начаться преждевременно из-за приложения политики. Это особенно актуально, когда задержка в поиске сети чередуется между стартапами.
При неправильном изменении реестра с использованием редактора реестра или другого способа могут случиться серьезные проблемы. Для решения этих проблем может потребоваться переустановка операционной системы. Компания Microsoft не может гарантировать, что эти проблемы могут быть решены. Вносите изменения в реестр на ваш страх и риск.
Разрешение 1
Чтобы устранить эту проблему, установите самый текущий драйвер для сетевого адаптера Gigabit. Или включить параметр PortFast в сетевых переключателях.
Разрешение 2
Чтобы устранить эту проблему, используйте реестр для изменения связанных параметров, влияющих на подключение к DC. Для этого используйте следующие методы.
Способ 1
Настройка параметров брандмауэра или политик IPSEC, которые изменены, чтобы разрешить подключение к dc. Эти изменения внесения, когда клиент получает IP-адрес, но требуется больше времени для доступа к контроллеру домена, например после успешной проверки через Cisco NAC или Microsoft NPS Services.
Способ 2
Настройте параметр реестра на значение, которое безопасно выходит за пределы требуемой времени, Netlogon позволяя подключаться к DC.
Это эффективно только в том случае, если на компьютере уже есть IP-адрес. Это относится к сценариям, когда решение NAP помещает машину в карантинную сеть. В качестве руководства используйте следующие параметры.
Подкайка реестра: HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Netlogon\Parameters
Имя значения: ExpectedDialupDelay
Тип данных: REG_DWORD
Значение данных в секундах (по умолчанию= 0)
Диапазон данных составляет от 0 до 600 секунд (10 минут)
Способ 3
Стек IP пытается проверить IP-адрес с помощью ARP-трансляции. Это задерживает время, которое требуется IP для того, чтобы выйти в интернет. Вы можете установить запись реестра ArpRetryCount до одной (1), поэтому ожидание уникальности сокращается. Для этого выполните следующие действия:
Откройте редактор реестра.
Найдите и выберите следующий подкай:
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\TcpIp\Parameters\
В меню Редактирование указать значение New, а затем выберите значение DWORD.
Щелкните правой кнопкой мыши ArpRetryCount запись реестра, а затем выберите Изменение.
В поле Значение данных введите 1, а затем выберите ОК.
Диапазон данных составляет от 0 до 3 (по умолчанию — 3).
Закройте редактор реестра.
Способ 4
Уменьшите период отрицательного кэша Netlogon, изменив запись реестра NegativeCachePeriod в следующем подкайке:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Netlogon\Parameters\NegativeCachePeriod
После этого изменения служба Netlogon не ведет себя так, как будто контроллеры домена отключены в течение 45 секунд. Событие 5719 по-прежнему регистрируется. Однако это событие не вызывает каких-либо других существенных проблем. Этот параметр позволяет участнику попробовать контроллеры домена раньше, если процесс не удалось ранее.
Предложение. Попробуйте установить низкое значение, например три секунды. В локальной среде можно использовать значение 0, чтобы отключить отрицательный кэш.
Дополнительные сведения об этом параметре см. в Параметры для минимизации периодического трафика WAN.
Метод 5
Настройте параметр реестра на значение, которое безопасно выходит за пределы требуемой времени, Kerberos позволяя подключаться к DC. В качестве руководства используйте следующие параметры.
Этот параметр применяется только к Windows XP и Windows Server 2003 или более ранних версий этих систем. Windows Vista и Windows Server 2008 и более поздние версии используют значение по умолчанию 0. Это значение отключит функции протокола пользовательских данных (UDP) для клиента Kerberos.
Подкайка реестра: HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Lsa\Kerberos\Parameters
Имя значения: MaxPacketSize
Тип данных: REG_DWORD
Данные значения: 1
По умолчанию: (зависит от системной версии)
Метод 6
Отключить значение мультимедиа для TCP/IP, добавив следующее значение в подкайку Tcpip реестра:
Подкайка реестра: HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Tcpip\Parameters
Имя значения: ОтключениеDHCPMediaSense
Тип данных: REG_DWORD
Данные значения: 1
Диапазон значений: Boolean ( 0 =False, 1 =True)
По умолчанию: 0 (False)
Дополнительные сведения см. в дополнительных сведениях о том, как отключить функцию зондирования мультимедиа для TCP/IP в Windows.
Метод 7
Group Policy имеет параметры политики для управления временем ожидания для обработки политики запуска:
Корпоративный LAN или WLAN:
Папка политик: «Конфигурация компьютера\Административные шаблоны\System\Group Policy»
Имя политики: «Укажите время ожидания обработки политики запуска»
Внешний LAN или WLAN:
Папка политик: «Конфигурация компьютера\Административные шаблоны\System\Group Policy»
Имя политики: «Укажите время ожидания подключения к рабочим местам для обработки политики»
Время, необходимое Netlogon для приобретения рабочего IP-адреса, может стать основой для настройки. Для сценариев прямого доступа можно измерить типичную задержку, которая имеется у базы пользователей до момента подключения.
Метод 8
Если параметр реестра на месте и имеет неправильное значение DisabledComponents 0xfffffff, удалите ключ или измените его на предназначенное значение 0xff.
Версия 6 протокола Интернета (IPv6) является обязательной частью Windows Vista и более поздних версий Windows. Мы не рекомендуем отключить IPv6 или его компоненты. Если это так, некоторые Windows могут не функционировать. Кроме того, запуск системы будет отложен на пять секунд, если неправильно отключен IPv6, установив параметр реестра на DisabledComponents значение 0xfffffff. Правильное значение — 0xff.
Метод 9
Поведение может быть вызвано состоянием рас между инициализацией сети, поиском контроллера домена и групповой политикой обработки. Если сеть недоступна, контроллер домена не будет расположен, а обработка групповой политики будет неудачной. После загрузки операционной системы и согласований и установленной сетевой связи обновление фонового фона групповой политики будет успешным.
Можно установить значение реестра, чтобы отложить применение групповой политики:
Откройте редактор реестра.
Найдите и выберите следующий подкай:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
В меню Редактирование указать значение New, а затем выберите значение DWORD.
Щелкните правой кнопкой мыши GpNetworkStartTimeoutPolicyValue запись реестра, а затем выберите Изменение.
В базовой статье выберите десятичной знак.
В поле Данных Значения введите 60 и выберите ОК.
Закройте редактор реестра и перезагрузите компьютер.
Если сценарий запуска групповой политики не работает, увеличите значение GpNetworkStartTimeoutPolicyValue записи реестра.
Дополнительные сведения
Если вы можете войти в домен без проблем, можно смело игнорировать ИД события 5719. Поскольку служба Netlogon может начаться до того, как сеть будет готова, компьютер может не найти контроллер домена logon. Поэтому регистрируется ИД события 5719. После того как сеть будет готова, компьютер снова попытается найти контроллер домена logon. В этой ситуации операция должна быть успешной.
В журнале Netogon.log записи, похожие на следующий пример, могут быть зарегистрированы:
Аналогичные ошибки могут быть допущены другими компонентами, которые требуют правильной работы контроллера домена. Например, групповая политика может не применяться при запуске системы. В этом случае сценарии запуска не запускают. Сбои групповой политики могут быть связаны с ошибкой Netlogon найти контроллер домена. Можно настроить групповую политику на более чувствительную реакцию на позднее подключение к сети.