none
Forzar Logon en un DC del Site RRS feed

  • Pregunta

  • Muy buenos dias:

     

    Para la creacion de un site central para el acceso desde varias oficinas he realizado los siguientes pasos:

     

    • He creado un site central
    • He creado una subnet con el rango de este servidor y lo he asociado al site
    • He asociado las subnets de las oficinas a las que tiene que dar servicio este DC central al Site correspondiente.
    • He instalado el DC y asociado al Site correspondiente.

    En principio y segun mis conociemientos esto deberia ser suficiente, pero me encuentro con que los equipos se conectan perfectamente pero el logon lo hace contra otro DC diferente y situado en otro site.

     

    Me gustaria saber si hay alguna forma de forzar que todos los equipos con un direccionamiento ip perteneciente a una Subnet que este asociada a un Site, hagan logon contra un DC en concreto o forzarle simplemente que haga logon contra un dc de su site.

     

    un Saludo y Gracias:

    miércoles, 4 de julio de 2007 12:25

Respuestas

  • Parece que el problema es general...

     

    Habran hilos separados, porque sinó es imposible contestar a cada uno con sus particularidades.

     

    Igual, voy al procedimiento general, detallando además algún paso que me parece que es donde puede estar la falla

     

    1. Al crear el primer controlador del dominio (a partir de ahora DC) del Bosque se crea la estructura de sitios genérica, que contiene sólo Nombre-predeterminado-primer-sitio. Este sitio, por omisión, contiene a todas las redes, y por lo tanto al DC recién creado.
      Además hay creado un enlace DEFAULTIPSITELINK que conecta todos los sitios
    2. Ahora es el momento de crear los Sitios. Se puede aprovechar y renombrar el Nombre-predeterminado-primer-sitio, y crear los que hagan falta. Cuando nos pida qué enlace lo conecta a los demás, le incluimos el DEFAULTIPSITELINK
    3. Vamos a Subnets, y creamos *cada una de las redes* de los sitios remotos. No usar las IPs de la VPNs (si existieran), y si tienen VLANs cada una es una red.
      Un sitio puede contener varias redes, pero una red no puede estar en más de un sitio
    4. Para finalizar, en Inter-Site Transports / IP, hay que definir los Links que conectan cada sitio con el resto de los sitios. Se deben crear los enlaces siguiendo específicamente de acuerdo a vuestra red, qué sitio está conectado con cuál. Luego el DEFAULTIPSITELINK se puede modificar y renombrar para que quede correctamente.
      A cada Link se le puede modificar la frecuencia (min 15') y horario de replicación, y si existieran camino redundantes, mediante el Costo de cada uno, elegir por cuáles se hará la replicación

    Aclaraciones de los anteriores posts

    • No olvidarse de crear la/s red/es del sitio central. Si son VLANs, hay que definirlas todas
    • Verificar que no existan filtros sobre tráfico entre los DCs, y los clientes contra los DCs
    • El PING dominio, es totalmente correcto lo que dice juankiarlos; eso no tiene nada que ver con cuál DC autenticó al usuarios. Lo pueden ver desde linea de comando usando SET y buscando la variable LOGONSERVER
    • Comodin (h), no uses "zona" que es otra cosa totalmente diferente

    Lo último pero *IMPORTANTE*, abran hilos separados porque tienen diferentes problemas

     

    viernes, 16 de enero de 2009 11:41
    Moderador
  • Muchas gracias!!

    encontre además este kb de microsoft que ayuda a entender el funcionamiento y que es cada cosa:

     

    http://www.microsoft.com/latam/technet/productos/windows/windowsserver2003/adsrv.mspx

     

     

    El Comodín
    viernes, 16 de enero de 2009 12:15

Todas las respuestas

  • A mi me pasa algo parecido y ya no se ni que hacer, os cuento mi configuracion:

    - Varios sites y cada uno con su dc (los sites estan definidos al igual que las redes)
    - En las delegaciones los usuarios se validan cada uno contra el dc de su site.
    - En la sede central hay 2 dc que son los q tienen FSMO, pero cuando hago un ping al dominio me responde cualquier dc a veces los del propio site y la mayoria son los dc de cualquier otra delegacion.
    - Creo que esto es lo q proboca que a la hora de iniciar sesion no aplique bien las GPO o directamente no las aplique en los pc de la central.
    - A cada cliente le responde un dc diferente, no sigue una pauta concreta ...

    Alguien que tenga mas claro el tema puede ayudarnos??

    Muchas gracias por adelantado.
    lunes, 3 de noviembre de 2008 13:07
  • Hola Alfonso,

     

    En principio los equipos hacen logon contra el DC de su site, por lo que en principio lo que has hecho debería ser suficiente. Una posible fuente de problemas es el filtrado de tráfico entre ambas sedes, has configurado algún tipo de filtrado??

     

    En cuanto a Pedro GN,

    que cada vez responda un servidor al ping es normal. Si te fijas en el DNS veras que en la zona de tu dominio tendras una serie de registros "same as parent folder" con las ips de los dc's del dominio, independiente del site donde se encuentren. Por defecto el DNS en Active Directory aplica el Round Robin, y para una misma entrada va rotando los resultados que devuelve.

    lunes, 3 de noviembre de 2008 16:03
  • Gracias Alonso por tu respuesta tan rapida, pero creo que no he expuesto bien mi pregunta..

    - En las delegaciones (cada una con su propio DC), a los clientes el ping les devuelve su propio dc pero en las vlan de la central les devuelve cualquier dc.
    - En la consola de Sites and Service estan configuradas todas las delegaciones con su dc y su subnet por separado y los 2 dc de la central estan el default. Probe a crear un site con su subnet pero aun asi les responde cualquiera.
    - El problema de que se vaya a cualquiera es q a la hora de hacer logon y ejecutar el script de inicio de sesion, le contesta un dc con una linea pobre, no ejecuta la politica o lo hace de malas maneras (no ejecuta todo bien).
    - Es por eso que quiero que a los clientes de central les devuelva siempre como dc los de la central, para que no ralentice el inicio y que si tiene q copiar ficheros al cliente (como es el caso) no lo haga por culpa de una linea pobre.

    No se si me he explicado bien ahora ....
    lunes, 3 de noviembre de 2008 17:49
  •  

    Aver no entiendo tu pregunta.

     

    1 paso instala un servidor y promocionalo a controlador de dominio

    2 sitios, es una caracteristica de directorio activo y no alreves como creo entender planteas

    3 Cuando los usuarios inician sesion, la inician en su controlador de dominio. Como bien has apreciado esta en otro sitio

    3 En directorio activo, en sitios y servicios se crean los sitios, las subnets, se configuran rangos de direccionamieno ip, intervalos de replicacion

     

    Yo instalaria en cada sitio, un controlador de dominio de reserva. Me aconsejan que lo instale, lo cree todo en una lan de pruebas, y una vez funcione todo, lleve cada servidor a su sitio

     

    Habra que configurar cada servidor para que los usuatios se logueen en su sitio

     

    Estonos dara - rapidez en el loguin de usuario

    - programar las transferencias de zona para actualizar ad.

    - transferencias realizadas en modo seguro. protegidas por ad.

    martes, 4 de noviembre de 2008 22:14
  • hola como les va??
    tengo quizas el mismo problema que pedro...es mas, para complicarla más. En una zona, tengo 2 DC, pero logueo aleatoriamene en cualquiera de cualquier zona. Hay varios DC en el dominio, cada uno perteneciente a una zona distina, con su DNS y DHCP, todos del mismo dominio.
    En la zona donde me interesa realizarlo, donde tengo 2 domain controller por un planeamiento de contingencia, son de la misma red, ambos son DNS también (primario y secundario).
    Necesitaría que los usuarios de la zona logueen en los servidores que pertenecen a ella.
    Alguien podría ayudarme?? Muchas gracias!!

    El comodín
    jueves, 15 de enero de 2009 19:10
  • Parece que el problema es general...

     

    Habran hilos separados, porque sinó es imposible contestar a cada uno con sus particularidades.

     

    Igual, voy al procedimiento general, detallando además algún paso que me parece que es donde puede estar la falla

     

    1. Al crear el primer controlador del dominio (a partir de ahora DC) del Bosque se crea la estructura de sitios genérica, que contiene sólo Nombre-predeterminado-primer-sitio. Este sitio, por omisión, contiene a todas las redes, y por lo tanto al DC recién creado.
      Además hay creado un enlace DEFAULTIPSITELINK que conecta todos los sitios
    2. Ahora es el momento de crear los Sitios. Se puede aprovechar y renombrar el Nombre-predeterminado-primer-sitio, y crear los que hagan falta. Cuando nos pida qué enlace lo conecta a los demás, le incluimos el DEFAULTIPSITELINK
    3. Vamos a Subnets, y creamos *cada una de las redes* de los sitios remotos. No usar las IPs de la VPNs (si existieran), y si tienen VLANs cada una es una red.
      Un sitio puede contener varias redes, pero una red no puede estar en más de un sitio
    4. Para finalizar, en Inter-Site Transports / IP, hay que definir los Links que conectan cada sitio con el resto de los sitios. Se deben crear los enlaces siguiendo específicamente de acuerdo a vuestra red, qué sitio está conectado con cuál. Luego el DEFAULTIPSITELINK se puede modificar y renombrar para que quede correctamente.
      A cada Link se le puede modificar la frecuencia (min 15') y horario de replicación, y si existieran camino redundantes, mediante el Costo de cada uno, elegir por cuáles se hará la replicación

    Aclaraciones de los anteriores posts

    • No olvidarse de crear la/s red/es del sitio central. Si son VLANs, hay que definirlas todas
    • Verificar que no existan filtros sobre tráfico entre los DCs, y los clientes contra los DCs
    • El PING dominio, es totalmente correcto lo que dice juankiarlos; eso no tiene nada que ver con cuál DC autenticó al usuarios. Lo pueden ver desde linea de comando usando SET y buscando la variable LOGONSERVER
    • Comodin (h), no uses "zona" que es otra cosa totalmente diferente

    Lo último pero *IMPORTANTE*, abran hilos separados porque tienen diferentes problemas

     

    viernes, 16 de enero de 2009 11:41
    Moderador
  • Muchas gracias!!

    encontre además este kb de microsoft que ayuda a entender el funcionamiento y que es cada cosa:

     

    http://www.microsoft.com/latam/technet/productos/windows/windowsserver2003/adsrv.mspx

     

     

    El Comodín
    viernes, 16 de enero de 2009 12:15