[Petya V4sechkin]

foxbat,
http://oszone.net/3644/#11

Примените твик реестра:

Код:

Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"UserEnvDebugLevel"=dword:00030002

После перезагрузки выложите файл \WINDOWS\Debug\UserMode\userenv.log

[foxbat]

Вот этот файл...

[Petya V4sechkin]

foxbat, задержки:

Код:

USERENV(37c.18c) 08:53:53:078 IsSyncForegroundPolicyRefresh: Synchronous, Reason: NonCachedCredentials
USERENV(3ac.444) 08:55:21:264 LoadUserProfile: Yes, we can impersonate the user. Running as self

Причина непонятна (ошибки нет).

Далее, при обработке User Group Policy:

Код:

USERENV(37c.18c) 08:55:36:276 PingComputer:  First send 0x287a8c0 failed with 11010
USERENV(37c.18c) 08:55:41:763 PingComputer:  First send 0x287a8c0 failed with 11010
USERENV(37c.18c) 08:55:47:250 PingComputer:  First send 0x287a8c0 failed with 11010
USERENV(37c.18c) 08:55:47:250 PingComputer:  No data available
USERENV(37c.18c) 08:55:47:359 PingComputer: Adapter speed 100000000 bps
USERENV(37c.18c) 08:55:52:737 PingComputer:  First send 0x288a8c0 failed with 11010
USERENV(37c.18c) 08:55:58:224 PingComputer:  First send 0x288a8c0 failed with 11010
USERENV(37c.18c) 08:56:03:711 PingComputer:  First send 0x288a8c0 failed with 11010
USERENV(37c.18c) 08:56:03:711 PingComputer:  No data available
USERENV(37c.18c) 08:56:03:711 ProcessGPOs: DSGetDCName failed with 59.
USERENV(37c.18c) 08:56:03:711 ProcessGPOs: No WMI logging done in this policy cycle.
USERENV(37c.18c) 08:56:03:711 ProcessGPOs: Processing failed with error 59.

Это странно, учитывая, что ранее (на этапе Computer Group Policy) процесс PingComputer отработал нормально. DSGetDCName failed with 59 - тоже непорядок. Такое впечатление, что включился файрвол, который рубит все (в том числе ICMP). Код 59 означает "Непредвиденная сетевая ошибка" (не слишком информативно). Попробуйте в командной строке выполнить (для проверки доступности):

Код:

nltest /DSGETDC:ИмяДомена

Еще совет из статьи KB910206 (насчет параметра GroupPolicyMinTransferRate).

И здесь 40 секунд:

Код:

USERENV(758.1d4) 08:56:15:791 LibMain: Process Name:  C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 7.0\avp.exe
USERENV(600.6f0) 08:56:16:430 LibMain: Process Name:  C:\Program Files\Mail.Ru\Agent\MAgent.exe
USERENV(d88.d8c) 08:56:41:122 LibMain: Process Name:  C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 7.0\avp.exe
USERENV(29c.340) 08:56:56:819 LibMain: Process Name:  C:\Program Files\Internet Explorer\IEXPLORE.EXE

Для эксперимента удалите Каспера и Майл.ру агента.

Цитата foxbat:

В событиях ничего подозрительного вроде не нашёл

Совсем ничего?

Проверьте в службах (Пуск -> Выполнить -> services.msc), чтобы тип запуска каждой службы соответствовал значению по умолчанию (Авто / Вручную / Отключено).

[foxbat]

В событиях system было "Служба "Kaspersky Internet Security 7.0" зависла при запуске.", но я не придал этому значения потому что по логу userenv.log всё нормально загружалось да и работал он всегда, но ради экспериметна удалил его. Смутило то что без сети, данный тормоз наблюдается как описано по ссылке выше (зависание при згрузке рабочего стола около 2 ух минут, т.е. мгновенно проходят применение личных параметров и параметров компютера , а дальше я смотрю на обои рабочего стола и жду пока значки появятся). При работе с сетью это подвисание происходит под вуалью "применение параметров компьютреа". Время загрузки (от пароля до рабочего стола ускорилось, до 20 секунд). Уже лучше. В принципе жить можно . Хотя очень странно чтодо этого у меня стоял точно тако же каспер на прошлой винде и такого не было. По поводу общего времени загрузки: если убрать сеть с моего компа то ОС грузится от пароля до десктопа за 5-6 секунд. Вот выдержки из лога где остались задержки (при сетевом подключении), я конечно не знаю, может они тут чем то обоснованы. Посмотрите пож-та:

USERENV(288.28c) 09:24:01:843 ReleaseInterface: Releasing rpc binding handle
USERENV(288.28c) 09:24:01:843 LoadUserProfile: Returning TRUE. hProfile = <0x368>
USERENV(288.28c) 09:24:01:843 GetUserDNSDomainName: Domain name is NT Authority. No DNS domain name available. почему жалуется на недоступность имени ДНС ?
USERENV(404.408) 09:24:02:343 LibMain: Process Name: C:\WINDOWS\system32\svchost.exe
USERENV(258.25c) 09:24:02:406 IsSyncForegroundPolicyRefresh: Asynchronous, Reason: NoNeedForSync
USERENV(258.448) 09:24:02:484 IsSyncForegroundPolicyRefresh: Asynchronous, Reason: NoNeedForSync
USERENV(4b8.4c0) 09:24:03:171 LibMain: Process Name: C:\WINDOWS\system32\spoolsv.exe
USERENV(258.4fc) 09:24:09:765 SetFgRefreshInfo: Next User Fg policy Synchronous, Reason: NonCachedCredentials.
USERENV(5ec.5f0) 09:24:09:843 LibMain: Process Name: C:\WINDOWS\system32\mpnotify.exe
USERENV(258.448) 09:24:10:093 ApplyGroupPolicy: Entering. Flags = f
USERENV(258.448) 09:24:10:093 ProcessGPOs:
USERENV(258.448) 09:24:10:093 ProcessGPOs:
USERENV(258.448) 09:24:10:093 ProcessGPOs: Starting computer Group Policy (Async forground) processing...



USERENV(258.448) 09:24:15:015 ReadExtStatus: Reading Previous Status for extension {e437bc1c-aa7d-11d2-a382-00c04f991e27}
USERENV(258.448) 09:24:15:015 ProcessGPOs: Calling GetGPOInfo for normal policy mode
USERENV(258.448) 09:24:15:015 GetGPOInfo: ********************************
USERENV(258.448) 09:24:15:015 GetGPOInfo: Entering...
USERENV(258.448) 09:24:15:250 GetGPOInfo: Server connection established.
USERENV(258.448) 09:24:18:937 GetGPOInfo: Bound successfully.




USERENV(258.448) 09:24:20:312 MachinePolicyCallback: Extension requested status UI when status UI is not available.
USERENV(258.448) 09:24:20:843 MachinePolicyCallback: Setting status UI to Настройка политика безопасности для компьютера.
USERENV(258.448) 09:24:20:843 MachinePolicyCallback: Extension requested status UI when status UI is not available.
USERENV(258.448) 09:24:23:984 MachinePolicyCallback: Setting status UI to Применение параметров компьютера...
USERENV(258.448) 09:24:23:984 MachinePolicyCallback: Extension requested status UI when status UI is not available.
USERENV(258.448) 09:24:23:984 ProcessGPOList: Extension Security returned 0x5.


USERENV(258.674) 09:24:25:187 GetGPOInfo: ********************************
USERENV(258.674) 09:24:25:187 GetGPOInfo: Entering...
USERENV(258.674) 09:24:25:187 GetGPOInfo: Server connection established.
USERENV(258.674) 09:24:28:453 GetGPOInfo: Bound successfully.
USERENV(258.674) 09:24:28:484 SearchDSObject: Searching <.....>
USERENV(258.674) 09:24:28:484 SearchDSObject: Found GPO(s): < >


USERENV(1b4.1c0) 09:24:33:147 GetProfileType: ProfileFlags is 0
USERENV(770.7f4) 09:24:58:578 LibMain: Process Name: C:\WINDOWS\system32\wuauclt.exe


В событиях приложение появляется событие" Клиентское расширение групповой политики Security не может выполняться. Проверьте ранее выдававшиеся сообщения об ошибках этого расширения."

[Petya V4sechkin]

Цитата foxbat:

В событиях system было "Служба "Kaspersky Internet Security 7.0" зависла при запуске.", но я не придал этому значения

Зависшая служба при запуске - тормоз на 2 минуты.
Чему еще не придали значения? ) Ошибки и предупреждения из журнала событий в соответствии с этими инструкциями.

Проблема с Каспером может означать, что у вас завелся вирус. Поэтому советую провериться в разделе форума Лечение систем от вредоносных программ, выполнив эти требования.

Цитата foxbat:

GetUserDNSDomainName: Domain name is NT Authority. No DNS domain name available. почему жалуется на недоступность имени ДНС ?

Не обращайте внимания (у меня так же). На что действительно стоит обратить внимание, описано в статье:
Interpreting Userenv log files

Как насчет ошибки "ProcessGPOs: DSGetDCName failed with 59", осталась? Результаты выполнения команды nltest /DSGETDC:ИмяДомена

Цитата foxbat:

В событиях приложение появляется событие" Клиентское расширение групповой политики Security не может выполняться. Проверьте ранее выдававшиеся сообщения об ошибках этого расширения."

Да, это проблема.
Наверное, и предупреждение 1202 от источника SceCli имеется?
Попробуйте Пуск -> Выполнить ->

Код:

esentutl /p %windir%\security\database\secedit.sdb

Выполните инструкции статьи KB324383 (конкретно раздел 0x5: Отказано в доступе, читайте внимательно) и выложите файл \WINDOWS\security\logs\winlogon.log

[foxbat]

Журнал событий. Лишнее убрал для удобства чтения. Если всё таки так не удобно читать, переделаю в соответсвии синструкциями

Приложение:

11:56:42 ESENT Уведомление Общие 101 Н/Д Worksation_1 wuauclt (476) Ядро базы данных остановлено.
11:56:42 ESENT Уведомление Общие 103 Н/Д Worksation_1 wuaueng.dll (476) SUS20ClientDataStore: Ядро базы данных остановило работу экземпляра (0).
11:52:28 Userenv Ошибка Отсутствует 1085 NT AUTHORITY\SYSTEM Worksation_1 Клиентское расширение групповой политики Security не может выполняться. Проверьте ранее выдававшиеся сообщения об ошибках этого расширения.
11:52:28 SceCli Предупреждение Отсутствует 1202 Н/Д Worksation_1 "Выполнено распространение политики безопасности с предупреждением. 0x5 : Отказано в доступе.
11:51:39 ESENT Уведомление Общие 102 Н/Д Worksation_1 wuaueng.dll (476) SUS20ClientDataStore: Ядро базы данных запустило новый экземпляр (0).
11:51:39 ESENT Уведомление Общие 100 Н/Д Worksation_1 wuauclt (476) Ядро базы данных 5.01.2600.2180 запущено.
11:50:54 SecurityCenter Уведомление Отсутствует 1807 Н/Д Worksation_1 Служба центра обеспечения безопасности остановлена. Остановка произведена групповой политикой.
11:50:54 r_server Уведомление (1515) 1 Н/Д Worksation_1 Не найдено описание для события с кодом ( 1 ) в источнике ( r_server ). Возможно, на локальном компьютере нет нужных данных в реестре или файлов DLL сообщений для отображения сообщений удаленного компьютера. Попробуйте использовать ключ /AUXSOURCE= для получения этого описания, - дополнительные сведения об этом содержатся в справке. В записи события содержится следующая информация:
2008.04.24 11:50 Remote Administrator server is started.


Безопасность

Тип события: Аудит успехов
Источник события: Security
Категория события: Вход/выход
Код события: 540
Дата: 24.04.2008
Время: 11:50:50
Пользователь: NT AUTHORITY\АНОНИМНЫЙ ВХОД
Компьютер: Workstation_1
Описание:
Успешный сетевой вход в систему:
Пользователь:
Домен:
Код входа: (0x0,0xF74B)
Тип входа: 3
Процесс входа: NtLmSsp
Пакет проверки: NTLM
Рабочая станция: Код GUID: {00000000-0000-0000-0000-000000000000}%



Система

11:56:12 Service Control Manager Ошибка Отсутствует 7023 Н/Д Workstation_1 "Служба ""Обозреватель компьютеров"" завершена из-за ошибки
Возврат из операции произошел из-за превышения времени ожидания. "
11:56:12 Service Control Manager Уведомление Отсутствует 7036 Н/Д Workstation_1 "Служба ""Обозреватель компьютеров"" перешла в состояние Остановлена."
11:53:19 Service Control Manager Уведомление Отсутствует 7036 Н/Д Workstation_1 "Служба ""Служба COM записи компакт-дисков IMAPI"" перешла в состояние Остановлена."
11:53:13 Service Control Manager Уведомление Отсутствует 7036 Н/Д Workstation_1 "Служба ""Служба обнаружения SSDP"" перешла в состояние Работает."
11:53:13 Service Control Manager Уведомление Отсутствует 7035 NT AUTHORITY\SYSTEM Workstation_1 "Служба ""Служба обнаружения SSDP"" успешно отправила управляющий элемент ""запустить""."
11:53:13 Service Control Manager Уведомление Отсутствует 7036 Н/Д Workstation_1 "Служба ""Сетевые подключения"" перешла в состояние Работает."
11:53:12 Service Control Manager Уведомление Отсутствует 7036 Н/Д Workstation_1 "Служба ""Служба COM записи компакт-дисков IMAPI"" перешла в состояние Работает."
11:53:12 Service Control Manager Уведомление Отсутствует 7035 NT AUTHORITY\SYSTEM Workstation_1 "Служба ""Сетевые подключения"" успешно отправила управляющий элемент ""запустить""."
11:53:12 Service Control Manager Уведомление Отсутствует 7035 NT AUTHORITY\SYSTEM Workstation_1 "Служба ""Служба COM записи компакт-дисков IMAPI"" успешно отправила управляющий элемент ""запустить""."
11:52:29 Service Control Manager Уведомление Отсутствует 7036 Н/Д Workstation_1 "Служба ""Kaspersky Internet Security 7.0"" перешла в состояние Работает."
11:52:29 Service Control Manager Уведомление Отсутствует 7036 Н/Д Workstation_1 "Служба ""Диспетчер подключений удаленного доступа"" перешла в состояние Работает."
11:52:29 Service Control Manager Уведомление Отсутствует 7035 NT AUTHORITY\LOCAL SERVICE Workstation_1 "Служба ""Диспетчер подключений удаленного доступа"" успешно отправила управляющий элемент ""запустить""."
11:52:29 Service Control Manager Уведомление Отсутствует 7036 Н/Д Workstation_1 "Служба ""Телефония"" перешла в состояние Работает."
11:52:29 Service Control Manager Уведомление Отсутствует 7036 Н/Д Workstation_1 "Служба ""Службы терминалов"" перешла в состояние Работает."
11:52:29 Service Control Manager Уведомление Отсутствует 7035 NT AUTHORITY\SYSTEM Workstation_1 "Служба ""Службы терминалов"" успешно отправила управляющий элемент ""запустить""."
11:52:29 Service Control Manager Уведомление Отсутствует 7036 Н/Д Workstation_1 "Служба ""Служба сетевого расположения (NLA)"" перешла в состояние Работает."
11:52:29 Service Control Manager Уведомление Отсутствует 7035 NT AUTHORITY\SYSTEM Workstation_1 "Служба ""Служба сетевого расположения (NLA)"" успешно отправила управляющий элемент ""запустить""."
11:52:29 Service Control Manager Ошибка Отсутствует 7022 Н/Д Workstation_1 "Служба ""Kaspersky Internet Security 7.0"" зависла при запуске."
11:50:43 EventLog Уведомление Отсутствует 6005 Н/Д Workstation_1 Запущена служба журнала событий.
11:50:43 EventLog Уведомление Отсутствует 6009 Н/Д Workstation_1 Microsoft (R) Windows 2000 (R) 5.01. 2600 Service Pack 2 Uniprocessor Free.
11:49:47 EventLog Уведомление Отсутствует 6006 Н/Д Workstation_1 Служба журнала событий остановлена.

++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++
Проверил диск С полностью обновленным каспером, с настройками по максимуму.. ничего не нашёл (кроме бэкдора в РАдмине). Потом проверю ещё рекомендованными средствами.

++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++
Ошибка ProcessGPOs: DSGetDCName failed with 59, на этот раз не появлялась.
Результат команды nltest

X:\>nltest /DSGETDC:domainname
DC: \\DMNStation
Address: \\192.168.XXX.XXX
Dom Guid: XXXXXXXXXXXXXXX
Dom Name: domainname
Forest Name: domainname.domainname.ru
Dc Site Name: Default-First-Site-Name
Our Site Name: Default-First-Site-Name
Flags: PDC GC DS LDAP KDC TIMESERV WRITABLE DNS_FOREST CLOSE_SITE
The command completed successfully

++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++ +++
Результат выполнения команды

X:\>esentutl /p %windir%\security\database\secedit.sdb

Microsoft(R) Windows(TM) Database Utilities
Version 5.1
Copyright (C) Microsoft Corporation. All Rights Reserved.

Initiating REPAIR mode...
Database: C:\WINDOWS\security\database\secedit.sdb
Temp. Database: TEMPREPAIR2572.EDB

Checking database integrity.

Scanning Status (% complete)

0 10 20 30 40 50 60 70 80 90 100
|----|----|----|----|----|----|----|----|----|----|
...................................................


Integrity check successful.

Note:
It is recommended that you immediately perform a full backup
of this database. If you restore a backup made before the
repair, the database will be rolled back to the state
it was in at the time of that backup.

Operation completed successfully in 6.359 seconds.

++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++ +++++
Часть файла winlogon.log

Обработать шаблон gpt00000.dom групповой политики.
-------------------------------------------
24 апреля 2008 г. 13:49:31
Вход пользователя с правами администратора.
Синтаксический разбор шаблона C:\WINDOWS\security\templates\policies\gpt00000.dom.
Копирование восстановленных значений в объединенную политику.
----Модуль конфигурации инициализирован успешно.----

----Чтение данных шаблона конфигурации...
Параметры аудита событий отключены.


----Настройка прав пользователя...
Значение отмены для параметра групповой политики <SeSecurityPrivilege> уже существует.
Значение отмены для параметра групповой политики <SeEnableDelegationPrivilege> уже существует.
Настройка S-1-1-0.

Настройка прав пользователя выполнена успешно.


----Настройка разделов реестра...
Настройка users\.default\software.
Настройка machine\software\microsoft\mslicensing.

Настройка разделов реестра выполнена успешно.


----Настройка параметров общей службы...
Настройка Messenger.
Предупреждение 5: Отказано в доступе.
Ошибка при открытии Messenger.
Предупреждение 5: Отказано в доступе.
Ошибка при открытии Messenger.

Ошибка при настройке общей службы.


----Настройка доступных модулей дополнений...

Настройка модулей дополнений выполнена успешно.


----Настройка политики безопасности...
Запуск обработки значений отмены для параметров 7.
Значение отмены для параметра групповой политики <MinimumPasswordLength> уже существует.
Значение отмены для параметра групповой политики <PasswordHistorySize> уже существует.
Значение отмены для параметра групповой политики <MaximumPasswordAge> уже существует.
Значение отмены для параметра групповой политики <MinimumPasswordAge> уже существует.
Значение отмены для параметра групповой политики <PasswordComplexity> уже существует.
Значение отмены для параметра групповой политики <RequireLogonToChangePassword> уже существует.
Значение отмены для параметра групповой политики <ClearTextPassword> уже существует.
Настройка параметров паролей.
Запуск обработки значений отмены для параметров 3.
Значение отмены для параметра групповой политики <LockoutBadCount> уже существует.
Значение отмены для параметра групповой политики <ResetLockoutCount> уже существует.
Значение отмены для параметра групповой политики <LockoutDuration> уже существует.
Значение отмены для параметра групповой политики <ForceLogoffWhenHourExpire> уже существует.
Настройка принудительного выхода из системы для учетных записей.

Настройка системного доступа выполнена успешно.

Настройка аудита/протоколирования выполнена успешно.
Настройка machine\software\microsoft\windows nt\currentversion\winlogon\passwordexpirywarning.
Значение отмены для параметра групповой политики <machine\software\microsoft\windows nt\currentversion\winlogon\passwordexpirywarning> уже существует.
Настройка machine\software\microsoft\windows\currentversion\policies\system\disablecad.
Значение отмены для параметра групповой политики <machine\software\microsoft\windows\currentversion\policies\system\disablecad> уже существует.

Настройка значений разделов реестра выполнена успешно.


----Настройка доступных модулей дополнений...

Настройка модулей дополнений выполнена успешно.
Параметры аудита событий восстановлены.


----Деинициализация модуля настройки...

это последний GPO.

++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++ ++++++++++++++++
Объясните пожалуйста что значит событие в разделе "Безопасность " ?

[Petya V4sechkin]

foxbat, в общем, насколько я понял, проблема с долгой загрузкой решена удалением Каспера. Можете попробовать его переустановить, отключить фаервольный модуль и проактивную защиту.


Ошибка SceCli 1202 у вас из-за этого:

Цитата:

----Настройка параметров общей службы... Настройка Messenger. Предупреждение 5: Отказано в доступе. Ошибка при открытии Messenger.

Находите политику, которая пытается настроить эту службу, и исправляете. Метод описан в вышеупомянутой статье KB324383.

[foxbat]

Объясните пож-та. я это уже до этого пробЫвал и политику я нашёл , это default domain policy. Я в политике домена установил на эту системную службу параметр автоматически, и разрешения поставил: для админов - полный доступ, для пользователей только чтение. Сам захожу под админом. На учётках под пользователями тоже самое сообщение... В чём тут конфликт не понимаю.

[Petya V4sechkin]

Цитата foxbat:

для админов - полный доступ, для пользователей только чтение. Сам захожу под админом. На учётках под пользователями тоже самое сообщение... В чём тут конфликт не понимаю.

Цитата KB324383:

предоставьте системной учетной записи право полного доступа к данной службе.