none
Gestión de GPO´s con servidores de dos versiones distintas RRS feed

  • Pregunta

  • Hola,

    Escribo para realizar una consulta. Tengo un dominio en que hay un server 2012 y dos server 2003. Los server 2003 aún no los he migrado porque tenemos una aplicación que no es compatible con versiones más actuales y la están adaptando. De los tres servidores, quiero que el principal sea el que tiene 2012 server:

    Si ejecuto el comando: netdom query fsmo

    Maestro de esquema Server 2012

    Maestro nomencl. dominios Server 2012

    PDC Server 2012

    Administrador de grupos RID Server 2012

    Maestro de infraestructura Server 2012

    La función de catálogo global sólo está activada en el Server 2012

    Evidentemente, al haber dos DC´s con Server 2003, el nivel funcional del dominio no se puede subir y las nuevas directivas que se pueden aplicar en los Windows server 2012, los equipos clientes windows no las pillan. Lo que no acabo de entender, es que si hago un “gpresult /R” en algún equipo cliente, unas veces aparece como resultado “directivas aplicadas desde una de las dos máquinas con windows 2003” y otras veces “directivas aplicadas desde la máquina con Windows 2012 Server”.

    Con todo esto, ¿alguién me puede explicar por qué los equipos clientes unas veces pillan las directivas del servidor windows 2012 y otras veces no?. ¿Se puede hacer que los DC´s con windows 2003 sin despromocionarlos del dominio y sin ser catálogos globales, no le sirvan las GPO´s a los clientes, ya que el maestro de todo es el que tiene 2012 Server?.

    Gracias de antemano y un saludo.

    sábado, 17 de diciembre de 2016 10:16

Respuestas

  • Hola almolina, en primera instancia los "FSMO Roles" no tienen relación sobre de dónde el cliente toma las GPOs. La única relación, es que cuando editas una GPO, independientemente desde qué máquina lo hagas, por omisión, trata de conectarse y hacer el cambio en el "Emulador PDC"

    Por otra parte, los clientes toman las GPOs desde el Controlador de Dominio que los autenticó, y esta es una carga que se reparte automáticamente. Cuando el cliente inicia, pregunta al DNS por los DCs, el DNS responde con todos los registros disponibles que son DCs, el cliente hace un pedido de autenticación a cada uno, y se queda con el primero que responde. Esto no lo puedes modificar teniendo una única red

    Teniendo un único Dominio es aconsejable que todos los Conroladores de Dominio sean Catalogo Global, ni ocasiona mayor tráfico de red, ni influye de dónde toma las GPOs. Es coneveniente para tener tolerancia a fallas, y además para no sobre exigir a uno en particular ya que en algunos casos, esta es una tarea que consume recursos

    Lo que puedes hacer es tener siempre las plantillas administrativas actualizadas en el W2012, y editar las GPOs desde esta máquina. Aunque los otros DCs no tengan las plantillas administrativas correspondientes, la configuración se replica y los clientes la aplican, aunque lógicamente hay configuraciones que sirven sólo Windows X.y en adelante, y no para anteriores

    Resumiendo, lo que pides no se puede, pero de todas formas no afecta a los clientes

    [Edito] Agrego dos enlaces que quizás te sirvan

    Directivas de Grupo (“GPOs”) – Optimizar y Evitar Futuros Problemas | WindowServer:
    https://windowserver.wordpress.com/2016/05/17/directivas-de-grupo-gpos-optimizar-y-evitar-futuros-problemas/

    Windows Server 2012 R2: Administrar Directivas (GPOs) de Windows 10 | WindowServer:
    https://windowserver.wordpress.com/2015/11/10/windows-server-2012-r2-administrar-directivas-gpos-de-windows-10/

     


    Guillermo Delprato
    Buenos Aires, Argentina
    El Blog de los paso a paso

    MVP - MCSE - MCSA2012
    MCITP: Enterprise Administrator / Server Administrator
    MCTS: Active Directory/Network Configuration/Applications Configuration/Server Virtualization/Windows 7 Configuration/Windows 7 & Office 2010 Deployment/Vista Configuration

    Este mensaje se proporciona "como está" sin garantías de ninguna clase. Usted asume todos los riesgos.


    sábado, 17 de diciembre de 2016 13:44
    Moderador

Todas las respuestas

  • Hola almolina, en primera instancia los "FSMO Roles" no tienen relación sobre de dónde el cliente toma las GPOs. La única relación, es que cuando editas una GPO, independientemente desde qué máquina lo hagas, por omisión, trata de conectarse y hacer el cambio en el "Emulador PDC"

    Por otra parte, los clientes toman las GPOs desde el Controlador de Dominio que los autenticó, y esta es una carga que se reparte automáticamente. Cuando el cliente inicia, pregunta al DNS por los DCs, el DNS responde con todos los registros disponibles que son DCs, el cliente hace un pedido de autenticación a cada uno, y se queda con el primero que responde. Esto no lo puedes modificar teniendo una única red

    Teniendo un único Dominio es aconsejable que todos los Conroladores de Dominio sean Catalogo Global, ni ocasiona mayor tráfico de red, ni influye de dónde toma las GPOs. Es coneveniente para tener tolerancia a fallas, y además para no sobre exigir a uno en particular ya que en algunos casos, esta es una tarea que consume recursos

    Lo que puedes hacer es tener siempre las plantillas administrativas actualizadas en el W2012, y editar las GPOs desde esta máquina. Aunque los otros DCs no tengan las plantillas administrativas correspondientes, la configuración se replica y los clientes la aplican, aunque lógicamente hay configuraciones que sirven sólo Windows X.y en adelante, y no para anteriores

    Resumiendo, lo que pides no se puede, pero de todas formas no afecta a los clientes

    [Edito] Agrego dos enlaces que quizás te sirvan

    Directivas de Grupo (“GPOs”) – Optimizar y Evitar Futuros Problemas | WindowServer:
    https://windowserver.wordpress.com/2016/05/17/directivas-de-grupo-gpos-optimizar-y-evitar-futuros-problemas/

    Windows Server 2012 R2: Administrar Directivas (GPOs) de Windows 10 | WindowServer:
    https://windowserver.wordpress.com/2015/11/10/windows-server-2012-r2-administrar-directivas-gpos-de-windows-10/

     


    Guillermo Delprato
    Buenos Aires, Argentina
    El Blog de los paso a paso

    MVP - MCSE - MCSA2012
    MCITP: Enterprise Administrator / Server Administrator
    MCTS: Active Directory/Network Configuration/Applications Configuration/Server Virtualization/Windows 7 Configuration/Windows 7 & Office 2010 Deployment/Vista Configuration

    Este mensaje se proporciona "como está" sin garantías de ninguna clase. Usted asume todos los riesgos.


    sábado, 17 de diciembre de 2016 13:44
    Moderador
  • Hola Guillermo,

    Muchísimas gracias por la respuesta, me ha sido de gran ayuda.

    Saludos.

    lunes, 19 de diciembre de 2016 8:09