none
Proceso de autenticación lento RRS feed

  • Pregunta

  • Saludos:

    Tengo la siguiente situación en mi entorno de trabajo:

    Mi empresa tiene configurado tres "sites"

    1. El site local el cual contiene cinco controladores de dominio
    2. El site remoto de Azure que contiene dos controladores de dominio
    3. El site remoto el cual contiene dos controladores de dominio el que manejan la principal aplicación del hospital y esta aplicación es de tipo "hosted"

    • Todos los usuarios (el 99.5%) se encuentran físicamente en el site local.  
    • Se verificó que a través de los servidores de DHCP estuviesen repartiendo la información de los dns de los controladores de dominio locales
    • Se verificó también que las replicaciones estuviesen ocurriendo adecuadamente y dentro de los parámetros ya establecidos

    Pero por alguna razón, algunos usuarios están experimentando un proceso de autenticación lenta.  Se ha comprobado que cuando esta situación está ocurriendo y el proceso de autenticación culmina, verificamos a través del commando ping qué controlador de dominio nos está contestando:

    c:\username>ping dominio.com

    y el controlador de dominio que nos contesta es alguno de los sites remotos.

    A veces hay que aplicarle un "restart" a la computadora del usuario y en ocasiones se soluciona la situación pero en otras ocasiones no provocando que el uso de las aplicaciones principals de la empresa se convierta en uno bastante lento.

    Personal de soporte técnico de Microsoft ha verificado el asunto y me indican que "todo se vé normal" cuando inspeccionan el ambiente, pero yo pregunto:

    ¿Existe alguna forma de yo obligar or forzar a que las computadoras y/o usuarios se autentiquen o validen sus credenciales en los controladores de dominio que se encuentran localmente en nuestras instalaciones en vez de autenticarse o validar credenciales en los controladores de dominio encontrados en los sites remotos?

    ¿Algún script o algo que provoque que se validen obligatoriamente en los controladores de dominio locales?

    He buscado información y he puesto en práctica la que he encontrado y que me ha hecho sentido pero aún sigo experimentando la situación.

    Gracias de antemano por la ayuda que me puedan brindar.  Espero que me haya podido explicar bastante bién.


    miércoles, 3 de abril de 2019 23:46

Respuestas

  • Hola larturoriveraruiz, no es una infraestructura fácil, pero hago algunos comentarios que quizás te puedan ayudar a encontrar el problema

    En primera instancia no hay forma de obligar a usar los DCs locales, esto es así a propósito y justamente para que exista tolerancia a fallas; si no hay ninguno localmente que encuentre alguno "donde sea" con tal de poder seguir trabajando

    No es con el PING que encuentras que DC autenticó al usuario, se debe usar SET y ver la variable %logonserver%

    Lo primero a controlar es que esté correctamente configurada la estructura de sitios, enlaces y redes en "Active Directory Sites and Services". Por si te sirve de ayuda:

    Configurando Sites (Sitios) en Active Directory | WindowServer
    https://windowserver.wordpress.com/2013/02/08/configurando-sites-sitios-en-active-directory/

    Por omisión recuerda que DNS usa "Round Robin", o sea que rota cada vez el orden de las respuestas, aunque luego del primer inicio de la máquina, que en este caso no conoce en qué sitio está, el primero DC que la autentica le indica el "Site"

    Y a partir de esto, ya las consultas de la máquina son algo así como "cuáles son los DCs de mi Dominio en mi Site", hace el pedido de autenticación a todos los listados y se queda con el que responde primero

    Algo también importante a revisar es en los DNS, específicamente en la zona "_msdcs. ..." que deben estar creadas las "carpetas" correspondientes a cada "Site"

     


    Guillermo Delprato
    Buenos Aires, Argentina
    El Blog de los paso a paso

    MCSE - MCSA2012
    MCITP: Enterprise Administrator / Server Administrator
    MCTS: Active Directory/Network Configuration/Applications Configuration/Server Virtualization/Windows 7 Configuration/Windows 7 & Office 2010 Deployment/Vista Configuration

    Este mensaje se proporciona "como está" sin garantías de ninguna clase. Usted asume todos los riesgos.

    jueves, 4 de abril de 2019 11:49
    Moderador
  • Buen dia "larturoriveraruiz",

    + data

    /// Si lo ves necesario, puedes reactivar tu caso ///

    Ámbito de soporte técnico y capacidad de respuesta
    https://azure.microsoft.com/es-es/support/plans/response/

    Si realmente es la lentitud el logon, se me ocurre puedes probar creando un equipo en sitio local con IP estática con DNS del DC local e incluso usar un equipo que apunte al DC remoto y cambiar el DNS al local. Temporalmente !

    Saludos
    Ignacio.
    jueves, 4 de abril de 2019 12:25

Todas las respuestas

  • Hola larturoriveraruiz, no es una infraestructura fácil, pero hago algunos comentarios que quizás te puedan ayudar a encontrar el problema

    En primera instancia no hay forma de obligar a usar los DCs locales, esto es así a propósito y justamente para que exista tolerancia a fallas; si no hay ninguno localmente que encuentre alguno "donde sea" con tal de poder seguir trabajando

    No es con el PING que encuentras que DC autenticó al usuario, se debe usar SET y ver la variable %logonserver%

    Lo primero a controlar es que esté correctamente configurada la estructura de sitios, enlaces y redes en "Active Directory Sites and Services". Por si te sirve de ayuda:

    Configurando Sites (Sitios) en Active Directory | WindowServer
    https://windowserver.wordpress.com/2013/02/08/configurando-sites-sitios-en-active-directory/

    Por omisión recuerda que DNS usa "Round Robin", o sea que rota cada vez el orden de las respuestas, aunque luego del primer inicio de la máquina, que en este caso no conoce en qué sitio está, el primero DC que la autentica le indica el "Site"

    Y a partir de esto, ya las consultas de la máquina son algo así como "cuáles son los DCs de mi Dominio en mi Site", hace el pedido de autenticación a todos los listados y se queda con el que responde primero

    Algo también importante a revisar es en los DNS, específicamente en la zona "_msdcs. ..." que deben estar creadas las "carpetas" correspondientes a cada "Site"

     


    Guillermo Delprato
    Buenos Aires, Argentina
    El Blog de los paso a paso

    MCSE - MCSA2012
    MCITP: Enterprise Administrator / Server Administrator
    MCTS: Active Directory/Network Configuration/Applications Configuration/Server Virtualization/Windows 7 Configuration/Windows 7 & Office 2010 Deployment/Vista Configuration

    Este mensaje se proporciona "como está" sin garantías de ninguna clase. Usted asume todos los riesgos.

    jueves, 4 de abril de 2019 11:49
    Moderador
  • Buen dia "larturoriveraruiz",

    + data

    /// Si lo ves necesario, puedes reactivar tu caso ///

    Ámbito de soporte técnico y capacidad de respuesta
    https://azure.microsoft.com/es-es/support/plans/response/

    Si realmente es la lentitud el logon, se me ocurre puedes probar creando un equipo en sitio local con IP estática con DNS del DC local e incluso usar un equipo que apunte al DC remoto y cambiar el DNS al local. Temporalmente !

    Saludos
    Ignacio.
    jueves, 4 de abril de 2019 12:25