Windows – Servicio NetLogon – Solucionando problemas


Hola Blogueros! Tras nuestro interesante viaje por la nube volvemos a la tierra para continuar con un poco de troubleshooting, no vaya a ser que se nos olvide con tanta cloud.. jeje .. Hoy dedicamos el post al servicio NetLogon y a los problemas generados del mismo. Además hace poco tuve uno así que os puedo detallar con mucha información lo que me pasó y como lo pude solucionar.

Lo primero de todo es saber que hace y por qué existe este servicio. Como función principal tiene la de mantener el canal seguro con el Controlador de Dominio (DC), si este servicio se detiene o falla, no seremos capaces de autenticarnos con nuestra cuenta de dominio. En el mejor de los casos podremos usar la cuenta local para acceder al servidor con problemas y realizar las investigaciones pertinentes para llegar a la solución del problema. En el peor de los casos el servidor se reiniciará aleatoriamente. Este servicio tiene asociado el proceso C:\Windows\system32\lsass.exe.
Como recordatorio o sino como recomendación, existe el comando NlTest donde podréis – entre muchísimas opciones – comprobar el estado del canal seguro con la opción /SC_Query: o resetear el mismo contra otro DC con la opción /SC_Reset.

Primer encuentro.

Una pista fundamental, además de no poder acceder con tu cuenta de dominio en algunos casos como ya hemos comentado, es que se registra el evento 5719 en el visor de eventos del servidor, concretamente en el de sistema.

Así se registra:

Event Type: Error
Event Source: NETLOGON
Event Category: None
Event ID: 5719
Date: Date
Time: Time
User: N/A
Computer: Server
Description:
No Domain Controller is available for domain due to the following: There are currently no logon servers available to service the logon request. Make sure that the computer is connected to the network and try again. If the problem persists, please contact your domain administrator.

Sin embargo este evento tiene más caras de las que a priori parece. Si somos afortunados y nos aparece el evento indicado arriba, además de hacer troubleshooting con el comando NlTest y descartar problemas con vuestros DNS, os recomiendo que actualicéis los drivers de la tarjeta de red a la última versión. La razón es que hay un problema conocido con el tipo de tarjetas Gigabit, ya que cuando se usan, el servicio NetLogon se inicia antes que el sistema arranque la red.

Segundo encuentro.

Supongamos que ya hemos realizado la primera corrección sin éxito. Fijaros bien de nuevo en el evento 5719 de vuestro sistema:

Event Type: Error
Event Source: NETLOGON
Event Category: None
Event ID: 5719
Date: Date
Time: Time
User: N/A
Computer: Server
Description:
This computer was not able to set up a secure session with a domain controller in domain due to the following: Not enough storage is available to process this command. This may lead to authentication problems. Make sure that this computer is connected to the network. If the problem persists, please contact your domain administrator.

Si os fijáis son muy parecidos.. pero no son iguales. en esta ocasión nos indica un problema de espacio. Pero no se está refiriendo a espacio en disco. Uno de los problemas que apunta puede ser el tamaño del token de kerberos.
Para ello deberemos añadir la clave MaxTokenSize con el valor FFFF (tamaño máximo) dentro de la clave de registro HKLM\SYSTEM\CurrentControlSet\Control\Lsa\Kerberos\Parameters y reiniciar el servidor. Si aún asi seguimos con los problemas podemos pensar en la aplicación que nuestro servidor lleva. Si Ésta requiere muchas conexiones TCP, podemos pensar que es posible que las conexiones no se cierren apropiadamente y por ello debemos de, además de aumentar en número de conexiones por defecto, hacer que se cierren los puertos que superen un periodo de inactividad de 30 segundos. Para ello crear las siguientes claves:

TcpTimedWaitDelay (DWORD) con el valor 0000001e
MaxUserPort (DWORD) con un valor no superior a 65000

Por supuesto reiniciar tras los cambios.

Tercer encuentro.

Si tras haberlo intentado todo nuestro servidor sigue dando la misma guerra (Probablemente no con tanta asiduidad, os lo puedo asegurar) y además seguimos con el problema del storage será necesario habilitar el log del servicio NetLogon que por defecto no está habilitado para hacer investigaciones a un nivel superior. Para ello podremos hacerlo de dos maneras diferentes:

– A través del registro:
1.- Creamos el valor DBFlag con valor REG_DWORD 2080FFFF en hexadecimal en HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Netlogon\Parameters
2.- Paramos el servicio NetLogon y lo volvemos a arrancar.

– A través de comando:
1.- ejecutando nltest /dbflag:0x2080ffff

Para deshabilitar el log deberemos hacer cualquiera de los pasos anteriormente comentados pero con el valor 0x0. El tamaño del log viene definido también a nivel de registro y lo podréis cambiar si realmente es necesario. Si necesitáis esa información no dudéis en preguntar.Watch movie online The Transporter Refueled (2015)

Gracias a este fichero podremos analizar la causa que dependerá de la información guardada en el log. Pero esa es otra historia :-)

Hasta la semana que viene!

Artículos relacionados

Acerca del autor

2 Comentarios

  1. Jamonk
    5 febrero, 2014
  2. Warning
    10 febrero, 2014

Deja tu comentario

Mostrar
Ocultar