Hi all,
I have a customer complains of slow login to domain issue for Windows 10 machines, this issue started 10 days ago, the machines, random clients working with OS Windows 10 suffer the slow logon from 2 or 3 minutes to 10 and some even more.
We did the below:
1. Disabled all non-Microsoft services, same issue
2. Removeddisabled all security controls in AD servers like Symantec, Fire Eye, Microsoft ATA gateway, splunk services, etc.. same issue
3. We build new DC and force client to authenticate against that DC, same issue.
4. We connected one DC to the same switch as the client and in same vlan, same issue
5. We checked all events, logs, netlogin, etc.. in AD, no errors…
We end up logging a case with MS, they collected the logs from a client suffers from the issue and currently investigating them.
However I found one interesting thing, which is if the client has direct internet access -no proxy in browser- login is fast, in 4-6 seconds only, but if the machine has the proxy, login takes long time. I did the below tests:
- Once we connected the laptop to direct internet access (without proxy), the client logged in to domain in 4-6 seconds only, we noticed that the client is trying to connect to Microsoft online services (OneDrive, Cortana, etc.…); we found that by running
command: netstat -ano and observing the results. - After we did the test in point 1 above, we did the following tests: Connect back the machine to use proxy with no direct internet access, user still login normally (4-6 seconds) to the machine. We removed internet access totally (no proxy, no direct internet
access) from the machine, user still login normally (4-6 seconds) to the machine.
So it seems the windows client is trying to connect to Microsoft online services during the login to domain at least one time, if it got successful, it will login normally, even after you remove the access to those online services IPs, the machine still
login normally, but long login time behavior comes back after a while.
Would you please let us know if this behavior is normal or not? I mean we need to know the root cause for why Windows 10 client is trying to connect to Microsoft Online Services (OneDrive, Cortana, etc.) during logging to domain.
Please note that our customer cannot allow direct internet access to the user machines in their proxy, thier proxy is ZScalar.
-
Changed type
Wednesday, March 20, 2019 8:54 AM
general discussion
Hi all,
I have a customer complains of slow login to domain issue for Windows 10 machines, this issue started 10 days ago, the machines, random clients working with OS Windows 10 suffer the slow logon from 2 or 3 minutes to 10 and some even more.
We did the below:
1. Disabled all non-Microsoft services, same issue
2. Removeddisabled all security controls in AD servers like Symantec, Fire Eye, Microsoft ATA gateway, splunk services, etc.. same issue
3. We build new DC and force client to authenticate against that DC, same issue.
4. We connected one DC to the same switch as the client and in same vlan, same issue
5. We checked all events, logs, netlogin, etc.. in AD, no errors…
We end up logging a case with MS, they collected the logs from a client suffers from the issue and currently investigating them.
However I found one interesting thing, which is if the client has direct internet access -no proxy in browser- login is fast, in 4-6 seconds only, but if the machine has the proxy, login takes long time. I did the below tests:
- Once we connected the laptop to direct internet access (without proxy), the client logged in to domain in 4-6 seconds only, we noticed that the client is trying to connect to Microsoft online services (OneDrive, Cortana, etc.…); we found that by running
command: netstat -ano and observing the results. - After we did the test in point 1 above, we did the following tests: Connect back the machine to use proxy with no direct internet access, user still login normally (4-6 seconds) to the machine. We removed internet access totally (no proxy, no direct internet
access) from the machine, user still login normally (4-6 seconds) to the machine.
So it seems the windows client is trying to connect to Microsoft online services during the login to domain at least one time, if it got successful, it will login normally, even after you remove the access to those online services IPs, the machine still
login normally, but long login time behavior comes back after a while.
Would you please let us know if this behavior is normal or not? I mean we need to know the root cause for why Windows 10 client is trying to connect to Microsoft Online Services (OneDrive, Cortana, etc.) during logging to domain.
Please note that our customer cannot allow direct internet access to the user machines in their proxy, thier proxy is ZScalar.
-
Changed type
Wednesday, March 20, 2019 8:54 AM
general discussion
Добрый день!
Просьба не кидаться камнями.
У нас в компании нет админа, посильным трудом пытаюсь разобраться что и к чему происходит.
Проблема такова, стоит Win Server 2012 Trial (уже давно истекла лицензия триала).
В локальной сети стоят машины с ОС Win XP SP3. Учётные записи грузятся по 15 мин. При этом, если отключить сервер, то учётки загружаются быстро. Также, стоит отметить, что учётки заведённые очень давно загружаются моментально.
Не исключаю вариант, что ограничения накладывает сам сервер, т. к. истекла лицензия.
Но nslookup <имя сервера>
Выдаёт не свой локальный адрес (192.168.x.x), а внешний IP нашего
роутера
внутреннего портала (сайта). Получается, что компьютеры в домене подключаются не локально, а через интернет, чтобы загрузить учётную запись?
Конфигурация сети такова: Роутер Mikrotik, за ним свич, к свичу все компьютеры и также сервер.
Знания у меня базовые, просьба не писать очень умных слов. Доступ к оборудованию у меня есть, если нужно что-то глянуть, то это я могу.
Добавлено через 13 минут
Соврал. При выполнении nslookup выдаётся адрес не роутера, а нашего внутреннего портала (сайта).
Ранее данный ресурс крутился на нашем локальном сервере, потом его перенесли в другой город. С этим, наверное, и связана проблема. Перенос был как раз в последний день действия лицензии и этому не придали значение.
Добавлено через 1 час 41 минуту
Прописал на сервере в качестве DNS-сервера самого себя (свой IP). Теперь при nslookup <имя сервера> выдается локальный адрес. На локальной машине прописал в качестве DNS IP сервера. Но это не решило проблему. Учётка грузится долго.
Добавлено через 21 минуту
И снова соврал.
Неверно указал IP сервера в разделе DNS.
Поправил и всё заработало.
Жаль только, что с альтернативным DNS уже перестаёт работать, на случай, если сервер залипнет.
В любом случае, это уже результат.
Тему можно удалить.
Спасибо!
__________________
Помощь в написании контрольных, курсовых и дипломных работ, диссертаций здесь
- Remove From My Forums
-
Вопрос
-
Всем добрый день.
Меня бомбит… Вот нарисовали весь этот новый интерфейс панели управления, а где функционал?!
Поставил свежую Windows 10 корпоративная, 10 минут лазил по менюшкам в поисках ввода компуктера в домен не используя старые оснастки панели управления — не нашел!
Это действительно так?
Ответы
-
Добрый день!
Ничего, привыкните.
Классическая панель управления:
Наверняка в интернете есть куча статей как ввести компьютер в домен, но скорее всего вы даже не пытались поискать.
-
Помечено в качестве ответа
17 апреля 2018 г. 17:15
-
Помечено в качестве ответа
-
Добрый день, здесь смотрели:
Start > Settings > System > About
Start > Settings > accounts > access work or school
Ничего похожего на ввод в домен не нашел
По первому пути максимум, что можно сделать — переименовать компуктер или ввести ключ активации, по второму — войти с учетной записью майкрософт
У вас точно Pro версия?
-
Помечено в качестве ответа
atulyakov
13 апреля 2018 г. 5:51
-
Помечено в качестве ответа
Обновлено 01.12.2018
Доброго времени суток! Уважаемые подписчики и гости, крупного IT блога Pyatilistnik.org. В прошлый раз мы с вами разобрали в десятке, новую версию утилиты Robocopy, которая помогает переносить данные в раз быстрее, чем через обычный проводник. В сегодняшней статье, я вам хочу показать, как ввести в домен Active Directory Windows 10. Так как многие с новым интерфейсом и его видоизменением от версии к версии, не могут это сделать. Ну что поехали.
Постановка задачи
У меня есть домен Active Directory, если вы не в курсе что это такое, то переходите по ссылке слева, там очень подробно описано, но если в двух словах, то это база данных всех устройств и пользователей в организации, которой централизованно управляет системный администратор.Устанавливая тестовую виртуальную машину с Windows 10 1803 (Если вы не знаете, где взять дистрибутив, то вот вам легальный метод, как скачать ISO образ Windows 10), я захотел ее ввести в домен, но не классическим методом, а новым, модным, через интерфейс аля метро 2.0. Какого же было мое удивление, что я минут 10 не мог его найти, я даже ради эксперимента спросил своих коллег со второй линии из технической поддержки, знают ли они, но они мне кроме классического метода не смогли ничего показать. Гугление так же оставляло больше вопросов, чем ответов, так как той кнопки, про которую все говорили уже не было в моем случае, но я все же ее нашел и решил написать небольшую заметку, мало ли кому-то пригодится.
Методы присоединения в домен Windows 10
Для того, чтобы присоединить Windows 10 к домену Active Directory, лично я знаю 4 метода, о которых мы подробно с вами поговорим:
- Ввод Windows 10 в домен, через новый интерфейс параметров Windows
- Классический, я его называю, так как он самый старый и всем хорошо известный, через свойства системы, в окне с переименовыванием компьютера
- Подключить вашу десятку к Active Directory можно с помощью командлетов PowerShell
- Оффлайн ввод в домен, через утилиту djoin, редкий случай, но знать его нужно
Практика подключения Windows 10 к домену
Ввод через новый интерфейс
Данный метод можно разделить на два, объясню почему. Текущая политика компании Microsoft, заключается в том, что она хочет привести внешний вид операционной системы Windows 10 к общему виду на всех устройствах, чтобы все действия, где бы их пользователь не совершал, выполнялись одинаково. С одной стороны это хорошо и наверное правильно, но с другой стороны, это влечет к постоянному и глобальному изменению интерфейса с каждым новым релизом и выпиливание классических оснасток, в виде панели управления.
В виду этого десятка у которой версия до 1511 имеет одно расположение кнопки, а вот уже релизы начиная с 1607 и заканчивая текущим 1809, уже этой кнопки не имеют, так как концепция изменилась и была переработана (Если вы не знаете, как узнать версию Windows 10, то перейдите по ссылке слева)
Подключаем к домену Windows 10 до 1511
Для десятки с релизом Threshold 1 и 2 (1507 и 1511) процедура добавления компьютера в Active Directory имеет такой алгоритм. Вы нажимаете сочетание клавиш Win и I одновременно (Это одна из многих горячих комбинаций в Windows), в результате у вас откроется меню «Параметры». В параметрах вы находите пункт
Далее вы находите раздел «О системе», тут вы увидите сводную информацию, видно, что в моем примере у меня Windows 10 1511, и обратите внимание, что есть две удобные кнопки:
- Присоединение к домену предприятия
- Присоединиться к Azure AD
для подключения к домену вам необходимо указать его полное имя, в моем случае это root.pyatilistnik.org и нажимаем далее.
Следующим шагом у вас будет форма авторизации, где вам предстоит представится от чьего имени вы будите производить подключение к домену Active Directory вашей Windows 10, обычно, это учетная запись администратора домена или пользователя, кому делегированы права.
Следующим шагов, вас спросят чтобы вы указали сведения, о учетной записи, которая будет использовать данный компьютер, я этот этап пропускаю.
и последним этапом нужно выполнить перезагрузку рабочей станции, после этого ввод в домен Windows 10, можно считать успешным.
Подключаем к домену Windows 10 выше 1607
С версией 1511 мы разобрались, на мой взгляд там были удобно расположены кнопки, не знаю что не понравилось разработчикам. Теперь я вам приведу пример присоединения в Active Directory Windows 10 1607 и выше, в моем примере, это будет версия 1803. Вы также открываете «Параметры Windows». Если вы зайдете в систему и «О системе», то не обнаружите там нужных кнопок для подключения к AD предприятия, туше. Как я и писал выше функционал перенесли.
В параметрах Windows найдите и перейдите в пункт «Учетные записи»
Находите пункт «Доступ к учетной записи места работы иди учебного заведения» и нажимаем кнопку «Подключиться»
Получите доступ к таким ресурсам, как электронная почта, приложения и сеть. Подключение подразумевает, что ваша компания или учебное заведение смогут управлять некоторыми функциями на этом устройстве, например, параметры, которые вы можете изменить. Для получения конкретных сведений об этом обратитесь в свою компанию или учебное заведение.
Про образовательные учреждения можно почитать на MS https://docs.microsoft.com/ru-ru/education/windows/change-to-pro-education
Про присоединение к Azure AD можно почитать вот это https://docs.microsoft.com/ru-ru/previous-versions//mt629472(v=vs.85)
У вас откроется окно «Настройка рабочей или учебной записи». В самом низу нас будет интересовать два пункта:
- Присоединить это устройство к Azure Active Directory
- Присоединить это устройство к локальному домену Active Directory, наш вариант
У вас откроется окно с вводом FQDN имени вашего домена Active Directory.
Далее вас попросят указать учетные данные для присоединения рабочей станции к AD.
Пропускаем шаг с добавлением учетной записи.
Когда все готово, то делаем обязательную перезагрузку, и ваша Windows 10, теперь является членом Active Directory.
После перезагрузки мы видим префикс домена.
Классический метод ввода в домен Windows 10
Модным способом мы с вами загнали десятку в домен, теперь я напомню, а для кого-то покажу, что из себя представляет классический метод.
Откройте окно выполнить и введите команду:
У вас откроется окно «Свойства системы», в него можно так же попасть если щелкнуть по значку «Этот компьютер» и перейти в его свойства, далее выбрать «Изменить параметры»
На вкладке имя компьютера, нажмите кнопку «Изменить». В открывшемся окне «Изменение имени компьютера или домена», поставьте переключатель на поле «Является членом домена» и введите его имя, у меня это root.pyatilistnik.org. Нажмите ок.
Если вашей рабочей станции удалось обратиться с запросом к контроллеру домена, то у вас появится форма авторизации, где для ввода Windows 10 в домен, вам нужно указать логин и пароль учетной записи у которой есть на это права.
Если проблем не возникло, то вы увидите окно «Добро пожаловать в домен root.pyatilistnik.org».
Далее вас уведомят, что необходимо произвести перезагрузку, «Чтобы изменения вступили в силу, нужно перезагрузить компьютер»
На выходе получаем присоединенную рабочую станцию с Windows 10 Pro к Active Directory.
Как подключить Windows 10 к домену с помощью PowerShell
Данный метод ввода в домен Active Directory, будет быстр и полезен, особенно для начинающих системных администраторов. Открываете оболочку PowerShell от имени администратора и пишите вот такую команду:
Add-Computer -DomainName root.pyatilistnik.org (где root.pyatilistnik.org, это имя вашего домена, у вас оно будет свое)
У вас появится окно авторизации, где вы должны указать учетные данные пользователя, у которого есть права на ввод в рабочей станции Windows 10 в домен.
Если учетные данные правильные, то у вас появится уведомление, что изменения вступят в силу после перезагрузки компьютера, это будет означать, что компьютер стал частью домена.
Если открыть оснастку ADUC на контроллере домена, то в контейнере Computers, вы обнаружите вашу рабочую станцию.
Как подключить Windows 10 к домену с помощью djoin
Утилита djoin, данный метод еще называют Offline ввод в домен, о нем подробнее по ссылке слева. Его смысл в том, что у вас есть некий компьютер, который по каким-либо причинам не может обратиться к контроллеру домена, для него готовится специальный BLOB-файл, в котором есть нужная информация для вступления в домен. Выполняется команда djoin с применением BLOB-файла и ваш Offline компьютер, стал частью Active Directory. На этом все с вами был Иван Семин, автор и создатель IT Блога Pyatilistnik.org.