Remove From My Forums

Problema con Administracion de Sitios AD

Pregunta
0

Inicie sesión para votar

Hola a todos,

tengo el siguiente escenario estamos integrando los objetos de un dominio a otro completamente independientes, por lo que configure relaciones de confianza la directivas necesarias para poder hacer la migración de una sede a la sede central. la migración ya se esta realizando y no hay ningún problema.

Instale un controlador de dominio secundario para poder usarlo en una sucursal con una ubicación y red diferente

la sucursal se conecta con un enlace de fibra, por lo que la configuración que tengo es la siguiente.

Servidor Principal

IP:               192.168.15.100

mascara:     255.255.0.0

gw:             192.168.15.103

(en esta red hay tres servidores secundarios de AD)

El cuarto servidor secundario que agregue y que va a estar en una red diferente tiene la siguiente configuración

(dos interfaces de red)

red de sucursal

IP:               192.168.66.203

mascara:     255.255.255.0

gw:             192.168.66.201

y una interfaz que conecta a la red central directamente

IP:               192.168.15.121

mascara:     255.255.0.0

con esta configuración promoví este servidor como secundario de AD,   y es el que utilice para crear las relaciones y hacer el proceso de migración.

los equipos y usuarios que eh migrado se autentican sin ningún problema al dominio central.

cree un sitio en el AD para poder separar las subredes.   y movi de ubicación el 4 servidor secundario.

La replicación se hace correctamente en los tiempos que defino, pero eh tenido problemas con algunas directivas que no se aplican a los clientes de la subred.

cuando hago ping al dominio empresacentral.com con un cliente de la red de la sucursal busca los servidores de la red 15.0 , pero no tiene respuesta xq no están dentro de esa red.

necesito hacer alguna configuración o cambio para que los clientes de la sucursal busquen el dominio y autenticación por el servidor (66.203)    para que al hacer un ping al dominio no busque los dns de la oficina central. si no el interno.

Considero que hay alguna configuracion mala que no permite aplicar las directivas en los clientes.

no se si estos clientes que se han migrado al dominio principal se autentican por la relacion de confianza que esta definida o si ya estan autenticando con el servidor de su subred.

saludos..

viernes, 6 de febrero de 2015 21:06

Responder

|

Citar

Todas las respuestas

0

Inicie sesión para votar
Hola Marlon,

Antes de nada por refrescar conceptos en Active Directory no hay controladores de dominio primarios o secundarios, ese concepto desapareción con NT, ahora todos los DCs son "iguales" y la replicación es Multi master.
Más conceptos, si despliegas DCs en sedes remotas, con una subnet distinta, y hay usuarios en esa sede, lo suyo es que en AD Sites and services, des de alta un SITE para esa sede remota, y dentro generes las subnets que hay dentro de ese site. Ten en cuenta que si lo haces de esa manera los usuarios de ese site, intentarán conectar contra el DC de ese site, y no intentarán conectar contra otros que están fuera de esa red.
Otro tema interesante es que los DCs no funcionan bien con configuraciones multihomed, tu comentas que el 4º DC lo tienes con dos interfaces ... eso suele dar muchos problemas, y una recomendación es que los DCs no tengan más de una IP.
No me queda claro tu escenario ...

Daniel Graciá - Madrid / España
MCSA 2012, MCSA 2008, MCITP Enterprise Admin
MCTS SCOM 2007, Windows Vista Configuration
MCSA 2003 + Security, MCSE 2003 + Security
MCP ISA SERVER 2000,ITIL Foundation v3

El Blog de Dani Gracia
Dani Gracia en Twitter
Dani Gracia en LinkedIn
sábado, 7 de febrero de 2015 8:48

Responder

|

Citar
0

Inicie sesión para votar

Gracias Daniel por la respuesta, y los conceptos de Active Directory

resulta que en la sucursal se administraba de forma independiente es decir con su propio controlador de dominio. estamos migrando los equipos y las cuentas de usuario al dominio central.

la configuracion si es esa con el 4to controlador de dominio, dos interfaces de red, una que conecta directamente a la oficina central y la otra para la subred de la sede.

los equipos de la red en la sucursal que se han migrado se logran autenticar al el dominio central pero me surgio la duda de que si se autentican porque existe una relacion de confianza ( se tubo que crear con ambos dominios para el proceso de migración). debido a que cuando hago ping al dominio trata de buscar los de la oficina central.

Ya configure los sitios , un sitio para la oficina central/ con la subred 15.0 /24 y el otro sitio de la sucursal con la subred 66.0) y movi el 4to controlador de dominio a su respectivo sitio.

cuando boy a un equipo en la sucursal y hago ping al dominio central todavia tratan de buscar los servidores de la oficina central. (15.0) no se si este mal pero considero que me tendria que responder con la ip del servidor que esta en la misma red (66.0)

lunes, 9 de febrero de 2015 5:38

Responder

|

Citar
0

Inicie sesión para votar

Hola buenos días,

He vuelto a leer el hilo completo, porque tenía dudas de si estabas trabajando en un único forest con varios dominios, pero al principio decias dominios totalmente independientes, así que esa parte me queda más clara.

Por lo tanto tienes dominioA oficina central y dominioB sucursal.

Cuando haces ping no tiene porque responderte el DC más cercano, unas veces te responderá uno y otras otro. Además seguramente tengas cacheado el registro de un DC ...

Como te comenté antes no es buena idea tener un DC con dos IPs, y seguramente tengas dos registros SRV en l zona DNS, y unas veces responderá con una IP y otras con otra, yo te recomendaría que si ese DC va a estar en la sucursal se quede con IP de sucursal, y mediante comunicaciones por su Gateway tenga visibilidad de la otra oficina.

Daniel Graciá - Madrid / España
MCSA 2012, MCSA 2008, MCITP Enterprise Admin
MCTS SCOM 2007, Windows Vista Configuration
MCSA 2003 + Security, MCSE 2003 + Security
MCP ISA SERVER 2000,ITIL Foundation v3

El Blog de Dani Gracia
Dani Gracia en Twitter
Dani Gracia en LinkedIn

lunes, 9 de febrero de 2015 8:13

Responder

|

Citar
0

Inicie sesión para votar

Gracias Daniel, voy a realizar algunos ajustes para que la comunicación sea por gateway. y separar el DC de la red central.

Preguntaba también sobre si este DC (el de la sucursal) es quien responde al momento de hacer un ping debido a que me eh dado cuenta que no se aplican algunas políticas. cuando se autentican.

Saludos.

lunes, 9 de febrero de 2015 15:16

Responder

|

Citar
0

Inicie sesión para votar

El ping no te sirve para evaluar si el DC que te contesta es el más cercano. En los clientes para saber que DC es el que te ha autenticado en el dominio desde línea de comandos ejecuta SET LOGON y de devolverá el valor de tu logon server, si estuviera todo ok en la sucursal te debería contestar el DC del dominio de la sucursal, que esté ubicado en la sucursal.

Seguramente el asunto de tener el dc 4 con dos IPs te esté generando algunos problemas.

Daniel Graciá - Madrid / España
MCSA 2012, MCSA 2008, MCITP Enterprise Admin
MCTS SCOM 2007, Windows Vista Configuration
MCSA 2003 + Security, MCSE 2003 + Security
MCP ISA SERVER 2000,ITIL Foundation v3

El Blog de Dani Gracia
Dani Gracia en Twitter
Dani Gracia en LinkedIn

lunes, 9 de febrero de 2015 15:32

Responder

|

Citar
0

Inicie sesión para votar

Daniel Gracias, ya Revise con el comando Set Logon y efectivamente el servidor que me autentico fue este 4 servidor // Gracias

lunes, 9 de febrero de 2015 16:19

Responder

|

Citar
0

Inicie sesión para votar

el problema que sigo experimentando es que no me aplica algunas políticas, cuando le doy gpupdate/force me despliega

La directiva de usuario no se puede actualizar correctamente debido a los siguie
ntes errores:

Error al procesar la directiva de grupo. Windows no pudo leer el archivo \\funda
p.com.gt\SysVol\fundap.com.gt\Policies\{846CA65A-1D0B-4F82-B171-838F26A9907B}\gp
t.ini desde un controlador de dominio. La configuración de la directiva de grupo
no se podrá aplicar hasta que se solucione este evento. Debe tratarse de un err
or temporal y puede deberse a alguna de la causas siguientes:
a) Un problema con la resolución de nombres o con la conectividad de red al cont
rolador de dominio actual.
b) Latencia del servicio de replicación de archivos (una cuenta creada en otro c
ontrolador de dominio no se replicó en el controlador de dominio actual).
c) El cliente del Sistema de archivos distribuido (DFS) está deshabilitado.
La directiva de equipo no se puede actualizar correctamente debido a los siguien
tes errores:

Error al procesar la directiva de grupo. Windows no pudo leer el archivo \\funda
p.com.gt\SysVol\fundap.com.gt\Policies\{846CA65A-1D0B-4F82-B171-838F26A9907B}\gp
t.ini desde un controlador de dominio. La configuración de la directiva de grupo
no se podrá aplicar hasta que se solucione este evento. Debe tratarse de un err
or temporal y puede deberse a alguna de la causas siguientes:
a) Un problema con la resolución de nombres o con la conectividad de red al cont
rolador de dominio actual.
b) Latencia del servicio de replicación de archivos (una cuenta creada en otro c
ontrolador de dominio no se replicó en el controlador de dominio actual).
c) El cliente del Sistema de archivos distribuido (DFS) está deshabilitado.

Para diagnosticar el error, revise el registro de eventos o ejecute GPRESULT /H
GPReport.html para obtener acceso a la información sobre los resultados de la di
rectiva de grupo.

lunes, 9 de febrero de 2015 16:28

Responder

|

Citar
0

Inicie sesión para votar
Revisa config DNS de los clientes (solo en uno para probar) que apunten a los DNS servers del dominio sucursal.
Tal y como te indica el mensaje investiga en el registro de eventos en el cliente.
EN los DCs de sucursal y supongo que es el dc 4º revisa bien los visores de eventos en busca de problemas que seguro vas a encontrar.
En el 4º DC que es DNS server revisa en su TCP/IP que tiene en DNS servers, y déjalo ok.
Eso te lleva a revisar si el 4º DC que supongo es DNS server está funcionando ok. Revisa eventos DNS y la configuración de DNS server, ya que si tuviste dos IPs en ese server quizás han quedado registros en las zonas DNS por lo que deberas hacer limpieza de cualquier resto que quede de la IP que le quitaste a este DC.
También debes revisar en las propiedades de tu server DNS, en la pestaña INTERFACES que solo escuche por la IP que tiene en la actualidad, te dejo un pantallazo

Se que te estoy pidiendo que revises muchas cosas, pero casi siempre los problemas vienen por DNS.

Daniel Graciá - Madrid / España
MCSA 2012, MCSA 2008, MCITP Enterprise Admin
MCTS SCOM 2007, Windows Vista Configuration
MCSA 2003 + Security, MCSE 2003 + Security
MCP ISA SERVER 2000,ITIL Foundation v3

El Blog de Dani Gracia
Dani Gracia en Twitter
Dani Gracia en LinkedIn
lunes, 9 de febrero de 2015 16:42

Responder

|

Citar
0

Inicie sesión para votar

Gracias por las observaciones Dani,

los equipos se autentican con el DC que corresponde a la ip de la sucursal,   todo bien.

cuando le doy el gpupdate, el mensaje ya no me muestra error sin embargo políticas como Asignación de unidades no las aplica al usuario.

Estuve haciendo algunos chequeos en cuando al servidor de DNS y me llama la atención estos resultados

--------------------------------------------
Diagn¢stico del servidor de directorio Realizando instalaci¢n inicial:
   Intentando encontrar el servidor principal...    Servidor principal = PEVIDM001    * Se identific¢ el bosque de AD.
   Recopilaci¢n de informaci¢n inicial finalizada. Realizando pruebas requeridas iniciales
   Probando servidor: FPEVI\PEVIDM001       Iniciando prueba: Connectivity          ......................... PEVIDM001 super¢ la prueba Connectivity Realizando pruebas principales
   Probando servidor: FPEVI\PEVIDM001
      Iniciando prueba: DNS        Las pruebas de DNS se est n ejecutando y responden. Espere unos          minutos...
         ......................... PEVIDM001 super¢ la prueba DNS
   Ejecutando pruebas de partici¢n en: ForestDnsZones    Ejecutando pruebas de partici¢n en: DomainDnsZones    Ejecutando pruebas de partici¢n en: Schema    Ejecutando pruebas de partici¢n en: Configuration    Ejecutando pruebas de partici¢n en: fundap    Ejecutando pruebas de empresa en: fundap.com.gt
      Iniciando prueba: DNS
         Resultados de pruebas para controladores de dominio:

            DC: PEVIDM001.fundap.com.gt
            Dominio: fundap.com.gt


               TEST: Basic (Basc)
                  Advertencia: el adaptador
                  [00000012] Conexi¢n de red Intel(R) PRO/1000 MT tiene un
                  servidor DNS no v lido: 127.0.0.1 (PEVIDM001)

               TEST: Records registration (RReg)
                  Adaptador de red [00000007] Red Hat VirtIO Ethernet Adapter:
                     Error:
                     Falta el registro SRV en el servidor DNS 192.168.66.203:
                     _ldap._tcp.FPEVI._sites.fundap.com.gt

                     Error:
                     Falta el registro SRV en el servidor DNS 192.168.66.203:
                     _kerberos._tcp.FPEVI._sites.dc._msdcs.fundap.com.gt

                     Error:
                     Falta el registro SRV en el servidor DNS 192.168.66.203:
                     _ldap._tcp.FPEVI._sites.dc._msdcs.fundap.com.gt

                     Error:
                     Falta el registro SRV en el servidor DNS 192.168.66.203:
                     _kerberos._tcp.FPEVI._sites.fundap.com.gt

                     Advertencia:
                     Falta el registro A en el servidor DNS 192.168.66.203:
                     gc._msdcs.fundap.com.gt

                     Error:
                     Falta el registro SRV en el servidor DNS 192.168.66.203:
                     _gc._tcp.FPEVI._sites.fundap.com.gt

                     Error:
                     Falta el registro SRV en el servidor DNS 192.168.66.203:
                     _ldap._tcp.FPEVI._sites.gc._msdcs.fundap.com.gt

                  Adaptador de red
                  [00000012] Conexi¢n de red Intel(R) PRO/1000 MT:
                     Error:
                     Falta el registro SRV en el servidor DNS 192.168.15.104:
                     _ldap._tcp.FPEVI._sites.fundap.com.gt

                     Error:
                     Falta el registro SRV en el servidor DNS 192.168.15.104:
                     _kerberos._tcp.FPEVI._sites.dc._msdcs.fundap.com.gt

                     Error:
                     Falta el registro SRV en el servidor DNS 192.168.15.104:
                     _ldap._tcp.FPEVI._sites.dc._msdcs.fundap.com.gt

                     Error:
                     Falta el registro SRV en el servidor DNS 192.168.15.104:
                     _kerberos._tcp.FPEVI._sites.fundap.com.gt

                     Error:
                     Falta el registro SRV en el servidor DNS 192.168.15.104:
                     _gc._tcp.FPEVI._sites.fundap.com.gt

                     Error:
                     Falta el registro SRV en el servidor DNS 192.168.15.104:
                     _ldap._tcp.FPEVI._sites.gc._msdcs.fundap.com.gt

                     Error:
                     Falta el registro SRV en el servidor DNS 192.168.15.111:
                     _ldap._tcp.FPEVI._sites.fundap.com.gt

                     Error:
                     Falta el registro SRV en el servidor DNS 192.168.15.111:
                     _kerberos._tcp.FPEVI._sites.dc._msdcs.fundap.com.gt

                     Error:
                     Falta el registro SRV en el servidor DNS 192.168.15.111:
                     _ldap._tcp.FPEVI._sites.dc._msdcs.fundap.com.gt

                     Error:
                     Falta el registro SRV en el servidor DNS 192.168.15.111:
                     _kerberos._tcp.FPEVI._sites.fundap.com.gt

                     Error:
                     Falta el registro SRV en el servidor DNS 192.168.15.111:
                     _gc._tcp.FPEVI._sites.fundap.com.gt

                     Error:
                     Falta el registro SRV en el servidor DNS 192.168.15.111:
                     _ldap._tcp.FPEVI._sites.gc._msdcs.fundap.com.gt

obviamente hubo un problema en el registro de este servidor al DNS,   quizá la creación del sitio no fue la correcta..

este DC de la sucursal ya esta promovido en el dominio principal

luego de los problemas que vimos con las asignación de políticas creamos el SITE FPEVI y movimos el DC que iva a estar en el nuevo sitio.

es decir este DC ya estaba registrado en el dominio y solo lo moviomos al crear el site.

en los registros de DNS

el site por defecto lo renombre a Fundap_Central y el site de la sucursal que debiera ser FPEVI no aparece registrado en los DNS . habra sido la forma en que se creo y configuro el site?

miércoles, 11 de febrero de 2015 16:29

Responder

|

Citar