none
Se pierde la comunicación entre las computadoras del dominio pasadas 10 horas de trabajo continuo. RRS feed

  • Pregunta

  •  

    Pérdida de Impresora de Red en DOMINIO después de 10 HORAS de tabajo continuo?

    La situación es que tengo una impresora de red HP P2014 Conectada por paralelo a una Computadora con XP SP2 que se conecta al DOMINIO. Otras 4 computadoras con XP SP2 conectadas igual en el DOMINIO que imprimen en esa impresora a las 5:00pm pierden la comunicación con la impresora y requieren reiniciarse para poder seguir imprimiendo, ese problema ocurre después de haber trabajado 10 horas continuas y esa pérdida de comunicación es diaria a la misma hora siempre, cabe resaltar que entramos a las empresa a las 7:00am, si se enciende la computadora más tarde entonces se pierde la comunicación pasadas 10 horas de trabajo continuo.

    La idea es que no tengan que reiniciarse, siento que el problema podría estar en las configuraciones de seguridad del dominio y del controlador del dominio o tal ves en alguna configuración del Active Directory. El servidor tiene Windows Server 2000 SP7.

    Otras impresoras en red dentro del mismo DOMINIO pierden la comunicación en momentos diferentes.

    Básicamente la pérdida de comunicación es entre computadoras aunque se nota especificamente en las impresoras en red debido a que no se tienen carpetas compartidas entre PCs.

    Ojala puedan ayudarme a sacar adelante este problema.
    Gracias de antemano.
    viernes, 13 de febrero de 2009 17:16

Respuestas

  • http://technet.microsoft.com/en-us/library/cc739765.aspx
    Dani Alonso - http://www.Win2k8.com Especializado en Seguridad Informática y Sistemas Operativos para Servidores
    • Marcado como respuesta Raúl Carrasco miércoles, 4 de marzo de 2009 13:19
    lunes, 16 de febrero de 2009 16:16
    Moderador
  • Gracias, en este momento aplico la solución y mañana les cuento....., si hoy mismo pasadas las 5:00pm empieza a funcionar igual y hoy mismo les cuento.
    Cabe resaltar que las configuraciones establecidas en kerberos para el dominio estan definidas en tiempo de caducidad 0, es decir, que el tiquet nunca deberá caducar, de cualquier forma lo he cambiado a 99,999 que es el valor máximo que permite, haber si de esta forma funciona. Luego les cuento.
    lunes, 16 de febrero de 2009 16:19
  • Es interesante para investigar el tema ;-)

    Es evidente que lo que está "molestando" es que el usuario no puede renovar el ticket de Keberos

    Vamos a tratar de ir ordenadamente, tengo en mente una solución pero lo interesante sería descubrir la causa :-)
    Para solucionarlo debería alcanzar con que a los tickets le des una vida de 12 o 14 horas y debería solucionarse

    Pero vamos a ver si podemos descubir la causa que genera el problema

    Primero que nada, el cambio hay que hacerlo en la Default Domain Policy, no te confundas con la Default Domain Contollers Policy

    Segundo, aunque no tengas en uso Smart Cards creo que el siguiente enlace da una pista, pues en determinadas condiciones se exige el ingreso de credenciales, lo cual explicaría el cierre e inicio de sesión
    User Token Expires When You Log on by Using a Smart Card for a Long Time:
    http://support.microsoft.com/kb/323931

    Tercero, no puedes poner cualquier valor, revisa el enlace siguiente que contiene valores mínimos, máximos y default para cada uno.
    Yo pondría los valores por omisión, salvo los tiempos de ambos tickets en 12 o 14 horas

    Y por último trataría de investigar en el log de Kerberos. Esto seguramente es un "dolor de cabeza" pero a lo mejor sacamos algo interesante
    How to enable Kerberos event logging:
    http://support.microsoft.com/kb/262177

    Guillermo Delprato - MVP-MCT-MCSE
    • Marcado como respuesta Raúl Carrasco miércoles, 4 de marzo de 2009 13:19
    viernes, 20 de febrero de 2009 17:16
    Moderador
  • Excelente, empiezo a seguir estos pasos y te informo, gracias...

    Como complemento de la información y aparentemente no ha sido claro es que sólo se pierde la comunicación entre los pc's, la comunicación de los pc's al servidor se mantiene todo el tiempo, pero entre los pc's es cuando se pierde la comunicación pasadas las 10 horas.

    Pregunta: ¿acaso deberé reiniciar el servidor para que los cambios se guarden y apliquen a los pc's del dominio?

    Les informo que ha quedado de la siguiente manera la solución:

    Directivas de Seguridad del Dominio:
    - Edad máxima de renovación de tiquets de usuario = 7 días
    - Forzar restricciones de inicio de sesión de usuario = HABILITADA
    - Tolerancia maxima para la sincronización de los relojes de los equipos = 5 minutos
    - Vigencia máxima del tiquet de servicio = 840 minutos (es decir 14 horas)
    - Vigencia máxima del tiquet de usuario = 14 horas.

    y las Directivas de Seguridad del controlador del Dominio quedaron así:
    - Edad máxima de renovación de tiquets de usuario = 0 días (nunca caduca)
    - Forzar restricciones de inicio de sesión de usuario = HABILITADA
    - Tolerancia maxima para la sincronización de los relojes de los equipos = 30 minutos
    - Vigencia máxima del tiquet de servicio = 0 minutos (nunca caduca)
    - Vigencia máxima del tiquet de usuario = 0 horas (nunca caduca)

    Pruebo el día de hoy y les informo.

    Pregunta: ¿sin haber reiniciado el servidor, los pcs deben reiniciar e ingresar nuevamente al dominio para poder reconocer los cambios realizados al kerberos para que se apliquen o simplemente los cambios se aplican en el servidor y son reconocidos instantaneamente por los pc's?
    • Marcado como respuesta Raúl Carrasco martes, 3 de marzo de 2009 23:47
    viernes, 20 de febrero de 2009 17:20
  • En las directivas de seguridad del controlador de dominio tiene que estár como No Definido

    El cambio en las directivas del dominio debe aplicarse a los controladores de dominio y a todas los clientes.
    Debería funcionar con un GPPDATE /FORCE en los DCs, pero hay que esperar que los clientes tomen los nuevos tickets de Kerberos con los nuevos tiempos, y esto lo harán recién luego de un reinicio y cuando necesiten acceder a un recurso de red sobre el que no tienen ticket.

    Yo trataría de hacer un reinicio de DCs y clientes para estar tranquilo. Cuando se van los usuarios reinicias el/los DCs y los clientes cuando arrancan mañana ya estarán...

    Guillermo Delprato - MVP-MCT-MCSE
    • Marcado como respuesta Raúl Carrasco miércoles, 4 de marzo de 2009 13:19
    viernes, 20 de febrero de 2009 20:20
    Moderador
  • ¿Y acortar el horario de trabajo? eso también solucionaría el problema
    :-DDDDDDDDDDD

    Ahora en serio, prueba y avisa
    Guillermo Delprato - MVP-MCT-MCSE
    martes, 24 de febrero de 2009 11:53
    Moderador

Todas las respuestas

  • Prova esto :

     Una actualización para desactivar las características SNP predeterminado está disponible para los equipos basado en Windows Server 2003 y Small Business Server 2003
    http://support.microsoft.com/kb/948496/es

    Saludos
    Enteprise Support LATAM
    domingo, 15 de febrero de 2009 14:00
  • Hola Raúl,

    Por casualidad no tendrás un antivirus que inicia automáticamente un análisis programado a las 17:00? Verificalo, porque tal vez este se ejecute en segundo plano!

    Un saludo

    Dani Alonso - http://www.Win2k8.com Especializado en Seguridad Informática y Sistemas Operativos para Servidores
    lunes, 16 de febrero de 2009 15:16
    Moderador
  • Gracias por la respuesta, el antivirus que usamos en la empresa es el Symantec Antivirus ver.10.2, se encuentra instalado en todas las máquinas pero no está configurado para iniciar ningún escaneo a ninguna hora, la protección de dicho antivirus es sólo al activarse algún virus. Además en caso de que las computadoras se enciendan una hora o más despues de las 7 de la mañana entonces pasan igual 10 horas para que pierdan comunicación, por ejemplo: si enciendo la computadora a las 9:00am entonces a las 7:00pm pierde la comunicación con la computadora que posee la impresora en red y ya no puede imprimir. Y por otro lado existe una computadora en particular que pierde la comunicación con otra computadora que tiene otra impresora en red dentro del dominio cada 3 o 4 horas.
    lunes, 16 de febrero de 2009 15:22
  • Gracias por la respuesta, por desgracia la actualización que mencionas no aplica a mi problema debido a que en la empresa usamos la versión Windows Server 2000.
    lunes, 16 de febrero de 2009 15:24
  • http://technet.microsoft.com/en-us/library/cc739765.aspx
    Dani Alonso - http://www.Win2k8.com Especializado en Seguridad Informática y Sistemas Operativos para Servidores
    • Marcado como respuesta Raúl Carrasco miércoles, 4 de marzo de 2009 13:19
    lunes, 16 de febrero de 2009 16:16
    Moderador
  • Gracias, en este momento aplico la solución y mañana les cuento....., si hoy mismo pasadas las 5:00pm empieza a funcionar igual y hoy mismo les cuento.
    Cabe resaltar que las configuraciones establecidas en kerberos para el dominio estan definidas en tiempo de caducidad 0, es decir, que el tiquet nunca deberá caducar, de cualquier forma lo he cambiado a 99,999 que es el valor máximo que permite, haber si de esta forma funciona. Luego les cuento.
    lunes, 16 de febrero de 2009 16:19
  • Si reduces el tiempo a 1h(por ejemplo), podrás realizar pruebas sin tener que esperar las 10h, pero eso es decisión tuya :)

    Un saludo!

    Dani Alonso - http://www.Win2k8.com Especializado en Seguridad Informática y Sistemas Operativos para Servidores
    lunes, 16 de febrero de 2009 16:27
    Moderador
  • Estimado Dani Alonso, son las 5:10 y hasta ese momento la conexión de las impresoras en red no se había perdido, a las 5:15 se perdió la conexión. Volveré a probar el día de mañana esperando que cargue la configuración con el inicio de sesión.
    Explico un poco lo que realicé:
    Me metí a las configuraciones de Directiva Kerberos desde: Directiva de seguridad del dominio, Directiva de Seguridad del controlador del dominio, y Directivas de Seguridad locales, y modifique todo a la par, quedando:
    - Edad máxima de renovación de tiquets de usuario = 0
    - Forzar restricciones de inicio de sesión de usuario = HABILITADA
    - Tolerancia maxima para la sincronización de los relojes de los equipos = 30 minutos
    - Vigencia máxima del tiquet de servicio = 99999 minutos
    - Vigencia máxima del tiquet de usuario = 99999 horas.
    lunes, 16 de febrero de 2009 23:17
  • Señores, les informo que el error persiste, las pruebas y cambios referentes al kerberos no han funcionado.
    Alguna otra idea?
    miércoles, 18 de febrero de 2009 17:44
  • Es interesante para investigar el tema ;-)

    Es evidente que lo que está "molestando" es que el usuario no puede renovar el ticket de Keberos

    Vamos a tratar de ir ordenadamente, tengo en mente una solución pero lo interesante sería descubrir la causa :-)
    Para solucionarlo debería alcanzar con que a los tickets le des una vida de 12 o 14 horas y debería solucionarse

    Pero vamos a ver si podemos descubir la causa que genera el problema

    Primero que nada, el cambio hay que hacerlo en la Default Domain Policy, no te confundas con la Default Domain Contollers Policy

    Segundo, aunque no tengas en uso Smart Cards creo que el siguiente enlace da una pista, pues en determinadas condiciones se exige el ingreso de credenciales, lo cual explicaría el cierre e inicio de sesión
    User Token Expires When You Log on by Using a Smart Card for a Long Time:
    http://support.microsoft.com/kb/323931

    Tercero, no puedes poner cualquier valor, revisa el enlace siguiente que contiene valores mínimos, máximos y default para cada uno.
    Yo pondría los valores por omisión, salvo los tiempos de ambos tickets en 12 o 14 horas

    Y por último trataría de investigar en el log de Kerberos. Esto seguramente es un "dolor de cabeza" pero a lo mejor sacamos algo interesante
    How to enable Kerberos event logging:
    http://support.microsoft.com/kb/262177

    Guillermo Delprato - MVP-MCT-MCSE
    • Marcado como respuesta Raúl Carrasco miércoles, 4 de marzo de 2009 13:19
    viernes, 20 de febrero de 2009 17:16
    Moderador
  • Excelente, empiezo a seguir estos pasos y te informo, gracias...

    Como complemento de la información y aparentemente no ha sido claro es que sólo se pierde la comunicación entre los pc's, la comunicación de los pc's al servidor se mantiene todo el tiempo, pero entre los pc's es cuando se pierde la comunicación pasadas las 10 horas.

    Pregunta: ¿acaso deberé reiniciar el servidor para que los cambios se guarden y apliquen a los pc's del dominio?

    Les informo que ha quedado de la siguiente manera la solución:

    Directivas de Seguridad del Dominio:
    - Edad máxima de renovación de tiquets de usuario = 7 días
    - Forzar restricciones de inicio de sesión de usuario = HABILITADA
    - Tolerancia maxima para la sincronización de los relojes de los equipos = 5 minutos
    - Vigencia máxima del tiquet de servicio = 840 minutos (es decir 14 horas)
    - Vigencia máxima del tiquet de usuario = 14 horas.

    y las Directivas de Seguridad del controlador del Dominio quedaron así:
    - Edad máxima de renovación de tiquets de usuario = 0 días (nunca caduca)
    - Forzar restricciones de inicio de sesión de usuario = HABILITADA
    - Tolerancia maxima para la sincronización de los relojes de los equipos = 30 minutos
    - Vigencia máxima del tiquet de servicio = 0 minutos (nunca caduca)
    - Vigencia máxima del tiquet de usuario = 0 horas (nunca caduca)

    Pruebo el día de hoy y les informo.

    Pregunta: ¿sin haber reiniciado el servidor, los pcs deben reiniciar e ingresar nuevamente al dominio para poder reconocer los cambios realizados al kerberos para que se apliquen o simplemente los cambios se aplican en el servidor y son reconocidos instantaneamente por los pc's?
    • Marcado como respuesta Raúl Carrasco martes, 3 de marzo de 2009 23:47
    viernes, 20 de febrero de 2009 17:20
  • En las directivas de seguridad del controlador de dominio tiene que estár como No Definido

    El cambio en las directivas del dominio debe aplicarse a los controladores de dominio y a todas los clientes.
    Debería funcionar con un GPPDATE /FORCE en los DCs, pero hay que esperar que los clientes tomen los nuevos tickets de Kerberos con los nuevos tiempos, y esto lo harán recién luego de un reinicio y cuando necesiten acceder a un recurso de red sobre el que no tienen ticket.

    Yo trataría de hacer un reinicio de DCs y clientes para estar tranquilo. Cuando se van los usuarios reinicias el/los DCs y los clientes cuando arrancan mañana ya estarán...

    Guillermo Delprato - MVP-MCT-MCSE
    • Marcado como respuesta Raúl Carrasco miércoles, 4 de marzo de 2009 13:19
    viernes, 20 de febrero de 2009 20:20
    Moderador
  • De acuerdo Guillermo Delprato, entonces reinicio el servidor y los clientes.
    Gracias por tu información, esperemos ya poder darle solución a éste raro problema.
    En cuanto tenga resultados se los haré saber.
    viernes, 20 de febrero de 2009 20:43
  • Bueno, pues les informo, hoy lunes tras hacer pruebas, son las 5:22 pm y no ha ocurrido el llamado error de las 5:00pm, mañana se realizará otra prueba y si nuevamente se ha eliminado dicho error daré por concluído el tema. Muchas gracias y los tendré al tanto...
    lunes, 23 de febrero de 2009 23:26
  • ¿Y acortar el horario de trabajo? eso también solucionaría el problema
    :-DDDDDDDDDDD

    Ahora en serio, prueba y avisa
    Guillermo Delprato - MVP-MCT-MCSE
    martes, 24 de febrero de 2009 11:53
    Moderador
  • jajajajaja :)
    Acepto la solución y la empezaré a aplicar.
    jajajajjajaa.
    Me van a correr.......
    Bueno, en serio, muchas gracias por su gran ayuda y los tengo al tanto en cuanto empiece la hora crítica...

    martes, 24 de febrero de 2009 13:26
  • Propongo como respuesta el último mensaje de Guillermo! jajajaja

    Ya verás como al final la solución está en lo que te planteé anteriormente con la url http://technet.microsoft.com/en-us/library/cc739765.aspx :)




    Dani Alonso - http://www.Win2k8.com Especializado en Seguridad Informática y Sistemas Operativos para Servidores
    lunes, 2 de marzo de 2009 14:34
    Moderador
  • Muchas Gracias a todos señores, doy por concluido éste tema.
    Aunque en ocasiones se llega a perder alguna conexión al momento de enviar una impresión realmente el problema se ha disminuido en casi un 90 % de los días.
    Dani Alonso muchas gracias por tu ayuda, ya que desde tus primeras respuestas estabamos por buen camino, sólo era cuestión de ir configurando más detalladamente las opciones.
    Guillermo Delprato tus consejos fueron perfectamente detallados hasta llegar a la solución que actualmente tenemos.
    Es muy raro el tipo de problema suscitado ya que se intentó en todo momento que no tuviera tiempo de vigencia pero bueno, se dió una vigencia máxima según las necesidades de la empresa y fueron suficientes para resolver esta situación.
    En hora buena señores, me despido agradeciendoles sus infinitas atenciones. G R A C I A S ! ! !
    martes, 3 de marzo de 2009 23:47
  • Me alegro de que lo hayas logrado! Aunque desde mi punto de vista la mejor opción era acortar el horario de trabajo, jajajaja.


    - Por favor, no olvides marcar como RESPUESTA los mensajes que te ofrecieron soluciones a tu problema!



    Un saludo!

    Dani Alonso - http://www.Win2k8.com Especializado en Seguridad Informática y Sistemas Operativos para Servidores
    miércoles, 4 de marzo de 2009 12:29
    Moderador