Principales respuestas
Gestión de GPO´s con servidores de dos versiones distintas

Pregunta
-
Hola,
Escribo para realizar una consulta. Tengo un dominio en que hay un server 2012 y dos server 2003. Los server 2003 aún no los he migrado porque tenemos una aplicación que no es compatible con versiones más actuales y la están adaptando. De los tres servidores, quiero que el principal sea el que tiene 2012 server:
Si ejecuto el comando: netdom query fsmo
Maestro de esquema Server 2012
Maestro nomencl. dominios Server 2012
PDC Server 2012
Administrador de grupos RID Server 2012
Maestro de infraestructura Server 2012
La función de catálogo global sólo está activada en el Server 2012
Evidentemente, al haber dos DC´s con Server 2003, el nivel funcional del dominio no se puede subir y las nuevas directivas que se pueden aplicar en los Windows server 2012, los equipos clientes windows no las pillan. Lo que no acabo de entender, es que si hago un “gpresult /R” en algún equipo cliente, unas veces aparece como resultado “directivas aplicadas desde una de las dos máquinas con windows 2003” y otras veces “directivas aplicadas desde la máquina con Windows 2012 Server”.
Con todo esto, ¿alguién me puede explicar por qué los equipos clientes unas veces pillan las directivas del servidor windows 2012 y otras veces no?. ¿Se puede hacer que los DC´s con windows 2003 sin despromocionarlos del dominio y sin ser catálogos globales, no le sirvan las GPO´s a los clientes, ya que el maestro de todo es el que tiene 2012 Server?.
Gracias de antemano y un saludo.
Respuestas
-
Hola almolina, en primera instancia los "FSMO Roles" no tienen relación sobre de dónde el cliente toma las GPOs. La única relación, es que cuando editas una GPO, independientemente desde qué máquina lo hagas, por omisión, trata de conectarse y hacer el cambio en el "Emulador PDC"
Por otra parte, los clientes toman las GPOs desde el Controlador de Dominio que los autenticó, y esta es una carga que se reparte automáticamente. Cuando el cliente inicia, pregunta al DNS por los DCs, el DNS responde con todos los registros disponibles que son DCs, el cliente hace un pedido de autenticación a cada uno, y se queda con el primero que responde. Esto no lo puedes modificar teniendo una única red
Teniendo un único Dominio es aconsejable que todos los Conroladores de Dominio sean Catalogo Global, ni ocasiona mayor tráfico de red, ni influye de dónde toma las GPOs. Es coneveniente para tener tolerancia a fallas, y además para no sobre exigir a uno en particular ya que en algunos casos, esta es una tarea que consume recursos
Lo que puedes hacer es tener siempre las plantillas administrativas actualizadas en el W2012, y editar las GPOs desde esta máquina. Aunque los otros DCs no tengan las plantillas administrativas correspondientes, la configuración se replica y los clientes la aplican, aunque lógicamente hay configuraciones que sirven sólo Windows X.y en adelante, y no para anteriores
Resumiendo, lo que pides no se puede, pero de todas formas no afecta a los clientes
[Edito] Agrego dos enlaces que quizás te sirvan
Directivas de Grupo (“GPOs”) – Optimizar y Evitar Futuros Problemas | WindowServer:
https://windowserver.wordpress.com/2016/05/17/directivas-de-grupo-gpos-optimizar-y-evitar-futuros-problemas/Windows Server 2012 R2: Administrar Directivas (GPOs) de Windows 10 | WindowServer:
https://windowserver.wordpress.com/2015/11/10/windows-server-2012-r2-administrar-directivas-gpos-de-windows-10/
Guillermo Delprato
MVP - MCSE - MCSA2012
Buenos Aires, Argentina
El Blog de los paso a paso
MCITP: Enterprise Administrator / Server Administrator
MCTS: Active Directory/Network Configuration/Applications Configuration/Server Virtualization/Windows 7 Configuration/Windows 7 & Office 2010 Deployment/Vista Configuration
Este mensaje se proporciona "como está" sin garantías de ninguna clase. Usted asume todos los riesgos.
- Editado Guillermo Delprato []Moderator sábado, 17 de diciembre de 2016 13:50
- Marcado como respuesta almolina lunes, 19 de diciembre de 2016 8:09
Todas las respuestas
-
Hola almolina, en primera instancia los "FSMO Roles" no tienen relación sobre de dónde el cliente toma las GPOs. La única relación, es que cuando editas una GPO, independientemente desde qué máquina lo hagas, por omisión, trata de conectarse y hacer el cambio en el "Emulador PDC"
Por otra parte, los clientes toman las GPOs desde el Controlador de Dominio que los autenticó, y esta es una carga que se reparte automáticamente. Cuando el cliente inicia, pregunta al DNS por los DCs, el DNS responde con todos los registros disponibles que son DCs, el cliente hace un pedido de autenticación a cada uno, y se queda con el primero que responde. Esto no lo puedes modificar teniendo una única red
Teniendo un único Dominio es aconsejable que todos los Conroladores de Dominio sean Catalogo Global, ni ocasiona mayor tráfico de red, ni influye de dónde toma las GPOs. Es coneveniente para tener tolerancia a fallas, y además para no sobre exigir a uno en particular ya que en algunos casos, esta es una tarea que consume recursos
Lo que puedes hacer es tener siempre las plantillas administrativas actualizadas en el W2012, y editar las GPOs desde esta máquina. Aunque los otros DCs no tengan las plantillas administrativas correspondientes, la configuración se replica y los clientes la aplican, aunque lógicamente hay configuraciones que sirven sólo Windows X.y en adelante, y no para anteriores
Resumiendo, lo que pides no se puede, pero de todas formas no afecta a los clientes
[Edito] Agrego dos enlaces que quizás te sirvan
Directivas de Grupo (“GPOs”) – Optimizar y Evitar Futuros Problemas | WindowServer:
https://windowserver.wordpress.com/2016/05/17/directivas-de-grupo-gpos-optimizar-y-evitar-futuros-problemas/Windows Server 2012 R2: Administrar Directivas (GPOs) de Windows 10 | WindowServer:
https://windowserver.wordpress.com/2015/11/10/windows-server-2012-r2-administrar-directivas-gpos-de-windows-10/
Guillermo Delprato
MVP - MCSE - MCSA2012
Buenos Aires, Argentina
El Blog de los paso a paso
MCITP: Enterprise Administrator / Server Administrator
MCTS: Active Directory/Network Configuration/Applications Configuration/Server Virtualization/Windows 7 Configuration/Windows 7 & Office 2010 Deployment/Vista Configuration
Este mensaje se proporciona "como está" sin garantías de ninguna clase. Usted asume todos los riesgos.
- Editado Guillermo Delprato []Moderator sábado, 17 de diciembre de 2016 13:50
- Marcado como respuesta almolina lunes, 19 de diciembre de 2016 8:09
-