Analizar Logon Delay con el Visor de eventos en Citrix

Raul Unzue Pulido 16 enero, 2019 Citrix, Windows Deja un comentario 4,517 Vistas

Analizar Logon Delay con el Visor de eventos en Citrix

El visor de eventos de Microsoft suele reflejar toda la secuencia de logon, aunque normalmente está en diferentes logs, según lo que queremos controlar. Una parte del log que sirve especialmente para cualquier Sysadmin, es la que registra las políticas de directorio activo, ya que el comportamiento y los tiempos se pueden visualizar fácilmente.

Aunque voy a intentar explicaros ciertas IDs del visor de eventos que os servirán ante diversos problemas de logon.

La idea es dar una guía para poder analizar un logon en Citrix, tanto si ejecutáis Aplicaciones o Desktops.

ANALISIS LOGON EN CITRIX DESKTOP

Prácticamente comparten los servidores de XenApp y XenDesktop las mismas ramas. Os lo muestro. Podéis encontrar los eventos en la siguiente rama:

Visor de eventos – Registro de aplicaciones y servicios – Microsoft – Windows – Group Policy – Operations

ID 4126: Comienzo de procesamiento de GPOs para un usuario concreto
ID 4257: Descarga de GPOs
ID 5257: Completada descarga de GPOs
ID 5126: Se obtuvieron de directivas correctamente (aún no se han aplicado, sólo las han traído de los controladores de dominio)
ID 6338: Los Ids anteriores se repiten hasta completar el procesamiento. Éste evento marca el final del procesamiento y se vuelve a Winlogon
ID 5351: Inicio nuevamente de Winlogon

ID 5324: Te muestra el session ID, que será importante si usas por ejemplo ControlUp

ID 4016: Inicio procesamiento de cada GPO
ID 5016: Podemos ver el procesamiento de cada GPO. Por ejemplo, Group Policy Shortcuts que me pinta los iconos en el escritorio por ejemplo tarda más de 4 segundos

ID 8001: Directiva de Inicio de sesión

ID 4017: Este evento nos dice desde donde va a aplicar las GPOs. Sabremos a qué controlador de dominio va el usuario
ID 5017: Nos avisa el fin del evento 4017, que es la conexión al DC. Si existe un problema de red o con los controladores puede ser una pista. Porque la conexión buena debe ser casi en el mismo milisegundos.

ID 5308: Si queremos más detalles del controlador de dominio que nos proporciona el servicio. Hay veces que un DC tiene problemas y repercute en el logon.

ID 4326 y ID 5326: El tiempo que hemos tardado en detectar el controlador de dominio, que nos dará pistas de problemas con directorio activo

ID 5312: Nos da el listado completo de GPOs que se van a aplicar al usuario

ID 5313: Si existen objetos denegados al usuario en las directivas lo veremos en este ID.

ID 6339: Termina el procesamiento de las GPOs

Otros eventos donde podremos sacar información:

Visor de eventos – Registro de aplicaciones y servicios – Microsoft – Windows – TerminalServices-LocalSessionManager – Operational
ID 41 y 42: Inicio del logon e ID asignado al usuario
ID 21 y 22: Sesión arrancada y procesadas settings por completo

Visor de eventos – Registro de aplicaciones y servicios – Microsoft – Windows – Folder Redirection – Operativo

ID 1000: Inicio de Folder Redirection
ID 1006: Carpeta a redirigir, un evento diferente para Documentos, Desktop,…
ID 1005: Si la carpeta ya fue redirigida antes y no hay cambios no la procesa
ID 1001: Fin de Folder Redirection

Registros de Windows – Aplicación

ID 1027: Nos saca los datos de Citrix Desktop Service y el UID de la sesión dentro de Citrix del escritorio

ID 1000, 2000 y 2001: Eventos Citrix Profile Management, como cuando la sesión está disponible para usarse para el usuario

ID 8 y 9: Políticas de Citrix

Unos eventos que me han mostrado un problema de Logon Delay han sido (en una sesión normal no aparecen):

ID 6005: Nos muestra un Warning en Winlogon
ID 6006: Nos da la cantidad de segundos que ha tardado

Error “El suscriptor a notificaciones de winlogon está tardando demasiado tiempo en administrar el evento de notificaciones (Logon)”

Yo lo que había encontrado apuntaban a :

Corrupción del perfil móvil
Problemas con GPOs
Problemas con Impresoras
Falta de un KB3159398

Mi problema se ha debido a la gestión del perfil con FSLogix. C:\Program Files\FSLogix\Apps\frxsvc.exe nos da una pista del error.

Y se ve como los segundos se disparan:

ANALISIS LOGON CITRIX XENAPP

Como hemos dicho las ramas del visor de eventos son muy parecidas:

Visor de eventos – Registro de aplicaciones y servicios – Microsoft – Windows – Group Policy – Operations

Podremos encontrar el ID de HDX para el script de Control Up
Podemos hacer filtro por ID de Evento, para saber por qué se nos va el tiempo en cierto evento
Tendremos los tiempos de carga de cada GPO (algo que es importantísimo)
Sabremos sobre qué DC está logueándose un usuario en su sesión