Windows 7 e Connessione di rete assente all’avvio

Scenario: Un Notebook Fujitsu ESPRIMO Mobile V6555 con Windows 7 SP1 a 64 Bit membro di Active Directory e scheda di rete Ethernet NVIDIA nForce 10/100/1000 presenta la problematica che le Group Policy non vengono applicate all’avvio, nel registro eventi sono registrati diversi Errori e Warning riconducibili al fatto che che nella fase di startup la connessione di rete è attiva e che si presentavano problemi durante la sincronizzazione dell’ora.

Di seguito alcuni degli errori e warning registrati:

Nome registro: System
Origine:       Microsoft-Windows-GroupPolicy

ID evento:     1055
Categoria attività:Nessuna
Livello:       Errore

Descrizione:
Elaborazione dei Criteri di gruppo non riuscita. Impossibile risolvere il nome del computer. Il problema potrebbe essere dovuto a una o più delle cause seguenti:
a) Errore di risoluzione dei nomi nel controller di dominio corrente.
b) Latenza di replica di Active Directory (un account creato in un altro controller di dominio non è stato replicato nel controller di dominio corrente).

Nome registro: System
Origine:       Microsoft-Windows-GroupPolicy

ID evento:     1129
Categoria attività:Nessuna
Livello:       Errore

Descrizione:
Elaborazione dei Criteri di gruppo non riuscita a causa di problemi di connettività con un controller di dominio. Il problema potrebbe essere transitorio. Se il computer si connette al controller di dominio e i Criteri di gruppo vengono elaborati correttamente, verrà generato un messaggio di operazione riuscita. Se dopo alcune ore tale messaggio non viene visualizzato, contattare l’amministratore.

Nome registro: System
Origine:       NETLOGON
ID evento:     5719
Categoria attività:Nessuna
Livello:       Errore
Descrizione:
Impossibile stabilire una sessione sicura con un controller di dominio nel dominio ***** per la causa seguente:
Nessun server di accesso è attualmente disponibile per soddisfare la richiesta di accesso.
Ciò può provocare problemi di autenticazione. Verificare che il computer sia connesso alla rete. Se il problema persiste, rivolgersi all’amministratore del dominio.
INFORMAZIONI AGGIUNTIVE
Se il computer è un controller di dominio per il dominio specificato, stabilirà la sessione sicura con l’emulatore del controller di dominio primario nel dominio specificato. In caso contrario, il computer stabilisce la sessione sicura con un controller di dominio qualsiasi nel dominio specificato.

Nome registro: System
Origine:       Microsoft-Windows-Time-Service

ID evento:     129
Categoria attività:Nessuna
Livello:       Avviso

Descrizione:
NtpClient: impossibile impostare un peer di dominio da utilizzare come origine ora a causa di un errore di individuazione. Verrà eseguito un nuovo tentativo tra 3473457 minuti, quindi l’intervallo tra i nuovi tentativi verrà raddoppiato. Errore: Impossibile trovare la voce. (0x800706E1)

Nome registro: System
Origine:       Microsoft-Windows-Time-Service
ID evento:     131
Categoria attività:Nessuna
Livello:       Avviso
Descrizione:
NtpClient: impossibile impostare un peer di dominio da utilizzare come origine ora a causa di un errore di risoluzione DNS su ”. Verrà eseguito un nuovo tentativo tra 3473457 minuti, quindi l’intervallo tra i nuovi tentativi verrà raddoppiato. Errore: Il nome richiesto è valido, non sono stati trovati dati del tipo richiesto. (0x80072AFC).

Il problema del mancato aggiornamento delle group policy e della mancata esecuzione degli script di avvio computer evidenziati dagli errori Microsoft-Windows-GroupPolicy 1055, Microsoft-Windows-GroupPolicy 1129 e NETLOGON 5719 per sistemi con Windows 7 è molto discusso in Internet con varie possibili soluzioni a seconda della causa specifica.

Nel mio caso il problema è riconducibile al fatto che la connessione di rete risulta completamente operativa nel momento in cui il servizio che si occupa di aggiornare le group policy entra in funzione, in particolare pare non sia possibile eseguire risoluzioni DNS. Uno scenario molto simile a quello che ho analizzato era descritto in questa discussione sui forum di Intel 82657LM-3 – Windows 7 x64 NETLOGON, DNS, DFS Issues.

Per risolvere il problema ho utilizzato il workaround descritto nella KB2421599 Windows 7 Clients intermittently fail to apply group policy at startup che suggerisce di ritardare l’applicazione delle Group Policy.

Nel mio caso ho impostato la creato la chiave di registro

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon  di tipo DWORD impostandola a 120 (ovvero 2 minuti).

Volendo è anche possibile gestire questa impostazione tramite la group policy Computer Configuration > Policies > Admin Templates > System > Group Policy > Startup policy processing wait time

Per la scelta del valore da assegnare conviene procedere per tentativi aumentandolo di 30 secondi ogni volta e riavviando il sistema sino a che le GPO non vengono applicate e i messaggi di errore non vengono più registrati. Inoltre si tengano anche presente le note della KB2421599:

“The value specified should be sufficiently long enough to ensure that the connection is made. During the timeout period, Windows will check the connection status every two seconds and will continue with system startup as soon as the connection is confirmed. Therefore, erring on the high side is recommended. But be advised, if the system is legitimately disconnected (i.e., disconnected network cable, off-line server, etc), Windows will stall for the entire timeout period.”

“Since there is no time out period defined, the system now uses its own algorithm to calculate and arrive at an Average time out period and this value is stored in the above registry location. This could vary system to system and depends on various factors like previous login attempts.
(Note: The Group Policy description for “Startup Policy processing wait time” is not verbose and doesn’t cover all scenarios. Just because we don’t have the policy configured currently doesn’t mean that we are going to use a default time out value of 30 seconds.)”

Per quanto riguarda invece gli errori legati alla sincronizzazione temporale Microsoft-Windows-Time-Service 131 e Microsoft-Windows-Time-Service 129 ho risolto forzando una rediscover e una risincronizzazone con il seguente comando comando eseguito da un prompt dei comando amministrativo:

w32tm /resync /rediscover

Ho poi verificato che la sincronizzazione fosse andata a buon fine controllando che venissero registrati gli eventi Time-Service 37 e Time-Service 35 nel registro eventi di sistema ed eseguendo il comando:

w32tm /query /status

La causa di questi problemi è probabilmente un malfunzionamento del driver della scheda Ethernet nel contesto dell’infrastruttura di rete aziendale (switch e servizi di rete) che ha bloccato l’accesso alle risorse del dominio nella fase di avvio del sistema e , ma va detto che su oltre cento computer si è presentato solo su questo notebook probabilmente in seguito a malfunzionamenti del driver di rete verificatisi in seguito ad aggiornamenti di sistema.

Come ho scritto all’inizio del post per questo tipo di scenario vi sono varie possibilità per approcciare la soluzione, di seguito riporto i vari tentativi che ho eseguito e ce però non hanno risolto il problema del mio scenario, ma potrebbero essere risolutivi in altri scenari:

• Aggiornamento dei driver delle schede di rete del sistema
• Aggiornamento del BIOS e firmware del sistema
• Aumento del timeout di attesa della risposta del servizio Net Logon da parte di un Domain Controller impostando la chiave di registro HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Netlogon\Parameters\ExpectedDialupDelay al massimo consentito ovvero 600 (10 minuti) come indicato nella KB 938449 Event ID 5719 is logged when you start a Domain Member (Resolution 3 – Method 2). Eventualmente valutare se le atre soluzioni proposte nella KB938449 sono applicabili e risolutive.
• Installazione dell’hotfix indicata nella KB2459530 Event ID 5719 and event ID 1129 may be logged when a non-Microsoft DHCP Relay Agent is used
• Installazione dell’hotfix indicata nella KB2577795 Kernel sockets leak on a multiprocessor computer that is running Windows Server 2008 R2 or Windows 7
• Reset delle stack TCP/IP, a riguardo si vedano le indicazioni contenute nella KB 299357 How to reset TCP/IP by using the NetShell utility

Per ulteriori approfondimenti si veda anche il post Netlogon 5719 and the Disappearing Domain [Controller]

[Update 01]

L’errore NETLOGON 5719 in certi caso può essere dovuto ad una incompatibilità tra scheda di rete e switch come riportato nel post Netlogon 5719 and the Disappearing Domain [Controller]:

“Most of the time this is caused by network issues or name resolution (DNS/WINS) issues.  Network devices (Switches/Routers/Firewalls) on the way are also on the list of prime suspects behind Netlogon 5719 events.  That includes the NIC drivers on both the client logging the event and DC’s it is trying to reach.”

In questi caso può essere risolutivo disabilitare sulla scheda di rete del client che registra il problema l’auto negoziazione della velocità impostando una velocità fissa.