none
Problema con Administracion de Sitios AD RRS feed

  • Pregunta


  • Hola a todos, 

    tengo el siguiente escenario  estamos integrando los objetos de un dominio a otro completamente independientes, por lo que configure relaciones de confianza la directivas necesarias para poder hacer la migración de una sede a la sede central. la migración  ya se esta realizando y no hay ningún problema.

    Instale un controlador de dominio secundario  para poder usarlo   en una sucursal con una ubicación y red diferente

    la sucursal se conecta con un enlace de fibra, por lo que la configuración que tengo es la siguiente. 

    Servidor Principal 

    IP:               192.168.15.100

    mascara:     255.255.0.0

    gw:             192.168.15.103

    (en esta red hay tres servidores secundarios  de AD)


    El cuarto servidor secundario que agregue y que va a estar en una red diferente  tiene la siguiente configuración

    (dos interfaces de red)

    red de sucursal

    IP:               192.168.66.203

    mascara:     255.255.255.0

    gw:             192.168.66.201


    y  una interfaz que conecta a la red central directamente

    IP:               192.168.15.121

    mascara:     255.255.0.0

    con esta configuración  promoví este servidor  como secundario  de AD,   y es el que utilice para crear las relaciones y hacer el proceso de migración.

    los equipos y usuarios que eh migrado se autentican  sin ningún problema al dominio central.

    cree un sitio en el AD  para poder separar las subredes.   y movi de ubicación el 4 servidor secundario.


    La replicación se hace correctamente en los tiempos que defino, pero eh tenido problemas  con algunas directivas que no se aplican  a los clientes de la subred.

    cuando  hago ping al dominio empresacentral.com  con un cliente de la red de la sucursal  busca los servidores de la red 15.0  , pero no tiene respuesta xq no están dentro de esa red.

    necesito hacer alguna configuración o cambio para  que los clientes de la sucursal busquen el dominio y autenticación  por el servidor  (66.203)    para que al hacer un ping al dominio no busque los dns de la oficina central. si no el  interno.

    Considero que  hay alguna configuracion mala que no permite aplicar las directivas en los clientes.

    no se si estos  clientes que se han migrado al dominio principal se autentican por la relacion de confianza que esta definida o  si ya estan autenticando con el servidor de su subred.

    saludos..























    viernes, 6 de febrero de 2015 21:06

Todas las respuestas

  • Hola Marlon,

    • Antes de nada por refrescar conceptos en Active Directory no hay controladores de dominio primarios o secundarios, ese concepto desapareción con NT, ahora todos los DCs son "iguales" y la replicación es Multi master. 
    • Más conceptos, si despliegas DCs en sedes remotas, con una subnet distinta, y hay usuarios en esa sede, lo suyo es que en AD Sites and services, des de alta un SITE para esa sede remota, y dentro generes las subnets que hay dentro de ese site. Ten en cuenta que si lo haces de esa manera los usuarios de ese site, intentarán conectar contra el DC de ese site, y no intentarán conectar contra otros que están fuera de esa red. 
    • Otro tema interesante es que los DCs no funcionan bien con configuraciones multihomed, tu comentas que el 4º DC lo tienes con dos interfaces ... eso suele dar muchos problemas, y una recomendación es que los DCs no tengan más de una IP.
    • No me queda claro tu escenario ... 



    Daniel Graciá - Madrid / España

    MCSA 2012, MCSA 2008, MCITP Enterprise Admin
    MCTS SCOM 2007, Windows Vista Configuration
    MCSA 2003 + Security, MCSE 2003 + Security
    MCP ISA SERVER 2000,ITIL Foundation v3

    El Blog de Dani Gracia
    Dani Gracia en Twitter
    Dani Gracia en LinkedIn

    sábado, 7 de febrero de 2015 8:48
  • Gracias Daniel por la respuesta, y los conceptos de Active Directory

    resulta que  en la sucursal se administraba de forma independiente es decir con su propio controlador de dominio.  estamos migrando los equipos y las cuentas de usuario al dominio central. 

    la configuracion  si es esa con el 4to controlador de dominio, dos interfaces de red, una que conecta directamente a la oficina central y la otra para la subred de la sede.

    los equipos de la red en la sucursal que se han migrado  se logran autenticar al el dominio central pero me surgio la duda de que si se  autentican porque existe una relacion de confianza ( se tubo que crear con ambos dominios para el proceso de migración).   debido a que cuando hago ping al dominio  trata de buscar los de la oficina central.

    Ya configure los sitios , un sitio para la oficina central/ con la subred 15.0 /24  y el otro sitio de la sucursal con la subred  66.0)   y movi el 4to controlador de dominio a su respectivo sitio.

    cuando boy a un equipo en la sucursal y hago ping al dominio central todavia tratan de buscar los servidores de la oficina central. (15.0)  no se si este mal pero considero que me tendria que responder con la ip del servidor que esta en la misma red (66.0)

    lunes, 9 de febrero de 2015 5:38
  • Hola buenos días,

    He vuelto a leer el hilo completo, porque tenía dudas de si estabas trabajando en un único forest con varios dominios, pero al principio decias dominios totalmente independientes, así que esa parte me queda más clara.

    Por lo tanto tienes dominioA oficina central y dominioB sucursal.

    Cuando haces ping no tiene porque responderte el DC más cercano, unas veces te responderá uno y otras otro. Además seguramente tengas cacheado el registro de un DC ...

    Como te comenté antes no es buena idea tener un DC con dos IPs, y seguramente tengas dos registros SRV en l zona DNS, y unas veces responderá con una IP y otras con otra, yo te recomendaría que si ese DC va a estar en la sucursal se quede con IP de sucursal, y mediante comunicaciones por su Gateway tenga visibilidad de la otra oficina.



    Daniel Graciá - Madrid / España

    MCSA 2012, MCSA 2008, MCITP Enterprise Admin
    MCTS SCOM 2007, Windows Vista Configuration
    MCSA 2003 + Security, MCSE 2003 + Security
    MCP ISA SERVER 2000,ITIL Foundation v3

    El Blog de Dani Gracia
    Dani Gracia en Twitter
    Dani Gracia en LinkedIn

    lunes, 9 de febrero de 2015 8:13
  • Gracias Daniel,   voy  a realizar algunos ajustes para que la comunicación sea por gateway.  y separar  el DC de la red central. 

    Preguntaba también sobre  si este DC  (el de la sucursal) es quien responde al momento de hacer un ping debido a que me eh dado cuenta que no se aplican algunas políticas. cuando se autentican.

    Saludos.

    lunes, 9 de febrero de 2015 15:16
  • El ping no te sirve para evaluar si el DC que te contesta es el más cercano. En los clientes para saber que DC es el que te ha autenticado en el dominio desde línea de comandos ejecuta SET LOGON y de devolverá el valor de tu logon server, si estuviera todo ok en la sucursal te debería contestar el DC del dominio de la sucursal, que esté ubicado en la sucursal.

    Seguramente el asunto de tener el dc 4 con dos IPs te esté generando algunos problemas.



    Daniel Graciá - Madrid / España

    MCSA 2012, MCSA 2008, MCITP Enterprise Admin
    MCTS SCOM 2007, Windows Vista Configuration
    MCSA 2003 + Security, MCSE 2003 + Security
    MCP ISA SERVER 2000,ITIL Foundation v3

    El Blog de Dani Gracia
    Dani Gracia en Twitter
    Dani Gracia en LinkedIn

    lunes, 9 de febrero de 2015 15:32
  • Daniel Gracias,   ya Revise con el comando Set Logon y efectivamente  el servidor que me autentico fue este 4 servidor // Gracias
    lunes, 9 de febrero de 2015 16:19
  • el problema que sigo experimentando es que no me aplica algunas políticas, cuando le doy gpupdate/force me despliega

    La directiva de usuario no se puede actualizar correctamente debido a los siguie
    ntes errores:
     
    Error al procesar la directiva de grupo. Windows no pudo leer el archivo \\funda
    p.com.gt\SysVol\fundap.com.gt\Policies\{846CA65A-1D0B-4F82-B171-838F26A9907B}\gp
    t.ini desde un controlador de dominio. La configuración de la directiva de grupo
     no se podrá aplicar hasta que se solucione este evento. Debe tratarse de un err
    or temporal y puede deberse a alguna de la causas siguientes:
    a) Un problema con la resolución de nombres o con la conectividad de red al cont
    rolador de dominio actual.
    b) Latencia del servicio de replicación de archivos (una cuenta creada en otro c
    ontrolador de dominio no se replicó en el controlador de dominio actual).
    c) El cliente del Sistema de archivos distribuido (DFS) está deshabilitado.
    La directiva de equipo no se puede actualizar correctamente debido a los siguien
    tes errores:
     
    Error al procesar la directiva de grupo. Windows no pudo leer el archivo \\funda
    p.com.gt\SysVol\fundap.com.gt\Policies\{846CA65A-1D0B-4F82-B171-838F26A9907B}\gp
    t.ini desde un controlador de dominio. La configuración de la directiva de grupo
     no se podrá aplicar hasta que se solucione este evento. Debe tratarse de un err
    or temporal y puede deberse a alguna de la causas siguientes:
    a) Un problema con la resolución de nombres o con la conectividad de red al cont
    rolador de dominio actual.
    b) Latencia del servicio de replicación de archivos (una cuenta creada en otro c
    ontrolador de dominio no se replicó en el controlador de dominio actual).
    c) El cliente del Sistema de archivos distribuido (DFS) está deshabilitado.
     
    Para diagnosticar el error, revise el registro de eventos o ejecute GPRESULT /H
    GPReport.html para obtener acceso a la información sobre los resultados de la di
    rectiva de grupo.

    lunes, 9 de febrero de 2015 16:28
    • Revisa config DNS de los clientes (solo en uno para probar) que apunten a los DNS servers del dominio sucursal.
    • Tal y como te indica el mensaje investiga en el registro de eventos en el cliente.
    • EN los DCs de sucursal y supongo que es el dc 4º revisa bien los visores de eventos en busca de problemas que seguro vas a encontrar.
    • En el 4º DC que es DNS server revisa en su TCP/IP que tiene en DNS servers, y déjalo ok.
    • Eso te lleva a revisar si el 4º DC que supongo es DNS server está funcionando ok. Revisa eventos DNS y la configuración de DNS server, ya que si tuviste dos IPs en ese server quizás han quedado registros en las zonas DNS por lo que deberas hacer limpieza de cualquier resto que quede de la IP que le quitaste a este DC.
    • También debes revisar en las propiedades de tu server DNS, en la pestaña INTERFACES que solo escuche por la IP que tiene en la actualidad, te dejo un pantallazo

    Se que te estoy pidiendo que revises muchas cosas, pero casi siempre los problemas vienen por DNS.



    Daniel Graciá - Madrid / España

    MCSA 2012, MCSA 2008, MCITP Enterprise Admin
    MCTS SCOM 2007, Windows Vista Configuration
    MCSA 2003 + Security, MCSE 2003 + Security
    MCP ISA SERVER 2000,ITIL Foundation v3

    El Blog de Dani Gracia
    Dani Gracia en Twitter
    Dani Gracia en LinkedIn

    lunes, 9 de febrero de 2015 16:42
  • Gracias por las observaciones Dani,

    los equipos se autentican con el DC que corresponde a la ip de la sucursal,   todo bien.

    cuando le doy el gpupdate,  el mensaje ya no me muestra error sin embargo políticas como Asignación de unidades no las  aplica al usuario.

    Estuve haciendo algunos chequeos  en cuando al servidor de DNS y me llama la atención estos resultados

     --------------------------------------------
    Diagn¢stico del servidor de directorio Realizando instalaci¢n inicial:  
       Intentando encontrar el servidor principal...    Servidor principal = PEVIDM001    * Se identific¢ el bosque de AD.  
       Recopilaci¢n de informaci¢n inicial finalizada. Realizando pruebas requeridas iniciales    
       Probando servidor: FPEVI\PEVIDM001       Iniciando prueba: Connectivity          ......................... PEVIDM001 super¢ la prueba Connectivity Realizando pruebas principales   
       Probando servidor: FPEVI\PEVIDM001   
          Iniciando prueba: DNS         Las pruebas de DNS se est n ejecutando y responden. Espere unos          minutos...  
             ......................... PEVIDM001 super¢ la prueba DNS  
       Ejecutando pruebas de partici¢n en: ForestDnsZones    Ejecutando pruebas de partici¢n en: DomainDnsZones    Ejecutando pruebas de partici¢n en: Schema    Ejecutando pruebas de partici¢n en: Configuration    Ejecutando pruebas de partici¢n en: fundap    Ejecutando pruebas de empresa en: fundap.com.gt  
          Iniciando prueba: DNS  
             Resultados de pruebas para controladores de dominio:  
                 
                DC: PEVIDM001.fundap.com.gt  
                Dominio: fundap.com.gt  
                  
                       
                   TEST: Basic (Basc)
                      Advertencia: el adaptador  
                      [00000012] Conexi¢n de red Intel(R) PRO/1000 MT tiene un  
                      servidor DNS no v lido: 127.0.0.1 (PEVIDM001)  
                       
                   TEST: Records registration (RReg)
                      Adaptador de red [00000007] Red Hat VirtIO Ethernet Adapter:  
                         Error:  
                         Falta el registro SRV en el servidor DNS 192.168.66.203:
                         _ldap._tcp.FPEVI._sites.fundap.com.gt
                          
                         Error:  
                         Falta el registro SRV en el servidor DNS 192.168.66.203:
                         _kerberos._tcp.FPEVI._sites.dc._msdcs.fundap.com.gt
                          
                         Error:  
                         Falta el registro SRV en el servidor DNS 192.168.66.203:
                         _ldap._tcp.FPEVI._sites.dc._msdcs.fundap.com.gt
                          
                         Error:  
                         Falta el registro SRV en el servidor DNS 192.168.66.203:
                         _kerberos._tcp.FPEVI._sites.fundap.com.gt
                          
                         Advertencia:  
                         Falta el registro A en el servidor DNS 192.168.66.203:
                         gc._msdcs.fundap.com.gt
                          
                         Error:  
                         Falta el registro SRV en el servidor DNS 192.168.66.203:
                         _gc._tcp.FPEVI._sites.fundap.com.gt
                          
                         Error:  
                         Falta el registro SRV en el servidor DNS 192.168.66.203:
                         _ldap._tcp.FPEVI._sites.gc._msdcs.fundap.com.gt
                          
                      Adaptador de red  
                      [00000012] Conexi¢n de red Intel(R) PRO/1000 MT:  
                         Error:  
                         Falta el registro SRV en el servidor DNS 192.168.15.104:
                         _ldap._tcp.FPEVI._sites.fundap.com.gt
                          
                         Error:  
                         Falta el registro SRV en el servidor DNS 192.168.15.104:
                         _kerberos._tcp.FPEVI._sites.dc._msdcs.fundap.com.gt
                          
                         Error:  
                         Falta el registro SRV en el servidor DNS 192.168.15.104:
                         _ldap._tcp.FPEVI._sites.dc._msdcs.fundap.com.gt
                          
                         Error:  
                         Falta el registro SRV en el servidor DNS 192.168.15.104:
                         _kerberos._tcp.FPEVI._sites.fundap.com.gt
                          
                         Error:  
                         Falta el registro SRV en el servidor DNS 192.168.15.104:
                         _gc._tcp.FPEVI._sites.fundap.com.gt
                          
                         Error:  
                         Falta el registro SRV en el servidor DNS 192.168.15.104:
                         _ldap._tcp.FPEVI._sites.gc._msdcs.fundap.com.gt
                          
                         Error:  
                         Falta el registro SRV en el servidor DNS 192.168.15.111:
                         _ldap._tcp.FPEVI._sites.fundap.com.gt
                          
                         Error:  
                         Falta el registro SRV en el servidor DNS 192.168.15.111:
                         _kerberos._tcp.FPEVI._sites.dc._msdcs.fundap.com.gt
                          
                         Error:  
                         Falta el registro SRV en el servidor DNS 192.168.15.111:
                         _ldap._tcp.FPEVI._sites.dc._msdcs.fundap.com.gt
                          
                         Error:  
                         Falta el registro SRV en el servidor DNS 192.168.15.111:
                         _kerberos._tcp.FPEVI._sites.fundap.com.gt
                          
                         Error:  
                         Falta el registro SRV en el servidor DNS 192.168.15.111:
                         _gc._tcp.FPEVI._sites.fundap.com.gt
                          
                         Error:  
                         Falta el registro SRV en el servidor DNS 192.168.15.111:
                         _ldap._tcp.FPEVI._sites.gc._msdcs.fundap.com.gt

    obviamente hubo un problema en el registro de este servidor al DNS,   quizá la creación del sitio no fue la correcta..

    este DC de la sucursal ya  esta  promovido en el dominio principal

    luego de los problemas que vimos con las asignación de políticas  creamos el SITE  FPEVI y movimos el DC que iva a estar en el nuevo sitio. 

    es decir este DC ya estaba registrado en el dominio y solo lo moviomos al crear el site.

    en los registros de DNS  

    el site por defecto lo renombre a Fundap_Central y el site de la sucursal que debiera ser FPEVI no aparece registrado en los DNS .  habra sido la forma en que se creo y configuro el site?

    miércoles, 11 de febrero de 2015 16:29