Remove From My Forums

Aplicacion directiva de grupo desde RODC

Pregunta
0

Inicie sesión para votar

Hola a todos, tengo un problema con un rodc y es el siguiente:

Cuando aplico ciertas politicas de grupo "implementar impresoras" e "Instalacion Software" los equipos clientes se ponen en contacto obligatoriamente con los DC de escritura, y si no los encuentran dan error. Yo tengo entendido que con que vean el RODC es sufiente. ¿Qué hao mal?

Un saludo y gracias a todos

miércoles, 24 de noviembre de 2010 10:51

Responder

|

Citar

Respuestas

2

Inicie sesión para votar
Hola de nuevo, después de 7 largos meses y mucha faena de recopilar información para enviar a microsoft, aquí tenemos los parches que han fabricado. Incluyo también la otra opción que nos fallaba que era la dde instalar un programa mediante GPO. Espero que os interese o sea de ayuda.

2537549 Cannot deploy a printer by using a GPO if read-only domain controllers are exclusively used in the domain environment in Windows 7 or in Windows Server 2008 R2
http://support.microsoft.com/default.aspx?scid=kb;en-US;2537549

2537556 When you use a GPO for application deployment in Windows 7 or in Windows Server 2008 R2, the deployment fails
http://support.microsoft.com/default.aspx?scid=kb;en-US;2537556

un saludo.
Jesús Mªª Alvarez
- Marcado como respuesta Chesu Alvarez viernes, 8 de julio de 2011 6:40
viernes, 8 de julio de 2011 6:38

Responder

|

Citar
0

Inicie sesión para votar
Hola Jesús, he hecho la prueba porque estaba realmente intrigado por el comportamiento.

Primero la aclaración que el enlace que pones (http://technet.microsoft.com/es-es/library/cc722179(WS.10).aspx) es para W2003/XP.
En W2008 no hace falta el procedimiento con PushPrinterConnections.exe

Y ahora al tema original. He hecho todo el procedimiento y efectivamente, si no hay conexión entre el cliente y un DC full, no instala las impresoras :-(

Al tener que tener lugar la replicación *entre sitios* la replicación entre DCs suele ser lenta, pero dejé creo que el tiempo adecuado.
De todas formas, dejo las máquinas funcionando y pruebo luego, pero no creo que dejando pasar más tiempo funcione

A mi entender es un bug, ya que la replicación de la GPO se hace perfectamente al RODC.

Guillermo Delprato - Buenos Aires, Argentina
MVP-MCT-MCSE-MCSA MCITP: Enterprise/Server Administrator MCTS: Active Directory/Network/Applications Configuration
Este mensaje se proporciona "como está" sin garantías de ninguna clase. Usted asume todos los riesgos.
- Propuesto como respuesta Ismael Borche viernes, 3 de diciembre de 2010 14:46
- Marcado como respuesta Pep lopezModerator sábado, 4 de diciembre de 2010 6:49
miércoles, 1 de diciembre de 2010 13:08

Responder

|

Citar

Moderador

Todas las respuestas

0

Inicie sesión para votar

Hola,

empieza ejecutando un gpresult /v y verificando con el Conjunto resultante de directivas en el cliente, que se este aplicando correctamente la directiva que hayas asignado a la GPO donde se encuentre tus equipos ya que en un prinicipio no deberia haber problema en conseguir la GPO desde el RODC.

Verifica tambien en el RODC que tenga compartido el NETLOGON y SYSVOL y que dentro tengas replicadas las GPOs que hayas configurado en tu DC de escritura ya que tambien puede ser que por problemas de sincronización entre DCs y que estas no esten llegando al RODC.

Prueba y comentanos.

Saludos!!

MCITP: Server Administrator (Windows Server 2008)

miércoles, 24 de noviembre de 2010 15:23

Responder

|

Citar

Moderador
0

Inicie sesión para votar

Hola Pep, la situacion es la siguiente: Si los DC, el RODC y obviamente el cliente esta encendido, las GPO se instalan sin problema. Y con el gpresult /r y con el conjunto resultante de directivas de la mmc se ve que las coge del RODC.

Pero por no se que extraña razón, cuando pierden comunicación con el DC, tanto la gpo de asignación de impresoras como la de instalación de software dan un error. La de las impresoras dice que no encuentra el dominio o no se puede poner en contacto con él. El RODC es DNS y catálogo global. Es como si imperiosamente tuviese que ir a los DC grabables.

Si anula estas dos GPO, se aplica el resto de directivas correctamente.

Un saludo y gracias.
Jesús Mªª Alvarez

miércoles, 24 de noviembre de 2010 21:11

Responder

|

Citar
0

Inicie sesión para votar

Hola,

pregunta... esas dos GPOS acceden a algun recurso ubicado en el DC? lo digo porque si por ejemplo la de instalacion del software utiliza como repositorio para los .msi una carpeta compartida del DC o si por ejemplo instala impresoras que son gestionadas por el propio DC pues puede ser que si no hay buena conectividad con ese DC, estas GPOs den problemas.

Por otro lado... deberias tratar de asegurar siempre la conectividad entre ambos DCs ... imagino que este tema ya lo estas revisando tambien..

Saludos
MCITP: Server Administrator (Windows Server 2008)

jueves, 25 de noviembre de 2010 5:49

Responder

|

Citar

Moderador
0

Inicie sesión para votar

Hola, el DC y el RODC tienen plena comunicación. La impresora esta alojado en el propio RODC. He montado en total unas cuatro maquetas y en todas da el mismo error. SI la impresora la asigno por plantillas>preferencias>paneles de control>printers funciona perfecto.

Voy a ejecutar el gpresult /v para ver si veo algo nuevo.

Muchas gracias.
Jesús Mªª Alvarez

jueves, 25 de noviembre de 2010 8:21

Responder

|

Citar
1

Inicie sesión para votar

Esto me da.

C:\Users\Administrador>gpupdate /target:computer
Actualizando directiva...

La actualización de la directiva de equipo se completó correctamente.

Se produjeron las siguientes advertencias al procesar la directiva de equipo:

Windows no puede aplicar la configuración de Deployed Printer Connections. Es po
sible que la configuración de Deployed Printer Connections tenga su propio archi
vo de registro. Haga clic en el vínculo "Más información".

Para más información, revise el registro de eventos o ejecute GPRESULT /H GPRepo
rt.html desde la línea de comandos para obtener acceso a la información sobre lo
s resultados de la directiva de grupo.

C:\Users\Administrador>gpresult /v

Herramienta de resultados para la Directiva de grupos del
sistema operativo Microsoft (R) Windows (R) v2.0
Copyright (C) Microsoft Corp. 1981-2001

Creado en 25/11/2010 a 10:27:49

RSOP datos para VIRTUALUR\Administrador en CHESU-PC : modo de inicio de sesión
-------------------------------------------------------------------------------

Configuración del sistema operativo: Estación de trabajo miembro
Versión del sistema operativo:       6.1.7600
Nombre de sitio:                   Default-First-Site-Name
Perfil móvil:             n/a
Perfil local:                        C:\Users\Administrador
¿Conectado a un vínculo de baja velocidad?: No

CONFIGURACIÓN DE EQUIPO
------------------------
    CN=CHESU-PC,CN=Computers,DC=virtualur,DC=loc
    Última vez que se aplicó la Directiva de grupo: 25/11/2010 a las 10:26:43
    Directivas de grupo aplicadas desdeRODC.virtualur.loc
    Umbral del vínculo de baja velocidad de las Directivas de grupo:500 kbps
    Nombre de dominio:                   VIRTUALUR
    Tipo de dominio:                     Windows 2000

    Objetos de directiva de grupo aplicados
    ----------------------------------------
        Default Domain Policy
        Instalar impresora

    Los objetos GPO siguientes no se aplicaron porque fueron filtrados
    -------------------------------------------------------------------
        Directiva de grupo local
            Filtrar: No aplicado (vacío)

    El equipo es miembro de los grupos de seguridad siguientes
    ----------------------------------------------------------
        Administradores
        Todos
        Usuarios
        NT AUTHORITY\NETWORK
        Usuarios autentificados
        Esta compañía
        CHESU-PC$
        Equipos del dominio
        Nivel obligatorio del sistema

    Conjunto resultante de directivas para el equipo
    -------------------------------------------------

        Instalaciones de software
        -------------------------
            n/a

        Scripts de inicio
        -----------------
            n/a

        Scripts de apagado
        ------------------
            n/a

        Directivas de cuenta
        --------------------
            GPO: Default Domain Policy
                Directiva:            MaximumPasswordAge
                Configuración de equipo: 42

            GPO: Default Domain Policy
                Directiva:            MinimumPasswordAge
                Configuración de equipo: 1

            GPO: Default Domain Policy
                Directiva:            LockoutBadCount
                Configuración de equipo: n/a

            GPO: Default Domain Policy
                Directiva:            PasswordHistorySize
                Configuración de equipo: 24

            GPO: Default Domain Policy
                Directiva:            MinimumPasswordLength
                Configuración de equipo: 7

        Directiva de auditoría
        ----------------------
            n/a

        Derechos de usuario
        -------------------
            n/a

        Opciones de seguridad
        ---------------------
            GPO: Default Domain Policy
                Directiva:            PasswordComplexity
                Configuración de equipo: Habilitada

            GPO: Default Domain Policy
                Directiva:            ClearTextPassword
                Configuración de equipo: No habilitado

            GPO: Default Domain Policy
                Directiva:            ForceLogoffWhenHourExpire
                Configuración de equipo: No habilitado

            GPO: Default Domain Policy
                Directiva:            RequireLogonToChangePassword
                Configuración de equipo: No habilitado

            GPO: Default Domain Policy
                Directiva:            LSAAnonymousNameLookup
                Configuración de equipo: No habilitado

            GPO: Default Domain Policy
                Directiva:            @wsecedit.dll,-59058
                Nombre del valor:         MACHINE\System\CurrentControlSet\Contr
ol\Lsa\NoLMHash
                Configuración de equipo: 1

        Configuración del registro de eventos
        -------------------------------------
            n/a

        Grupos restringidos
        -------------------
            n/a

        Servicios del sistema
        ---------------------
            n/a

        Configuración de Registro
        --------------------------
            n/a

        Configuración del sistema de archivos
        -------------------------------------
            n/a

        Directivas de clave pública
        ---------------------------
            n/a

        Plantillas administrativas
        --------------------------
            n/a

CONFIGURACIÓN DE USUARIO
-------------------------
    CN=Administrador,CN=Users,DC=virtualur,DC=loc
    Última vez que se aplicó la Directiva de grupo: 25/11/2010 a las 10:13:14
    Directivas de grupo aplicadas desdeDC.virtualur.loc
    Umbral del vínculo de baja velocidad de las Directivas de grupo:500 kbps
    Nombre de dominio:                   VIRTUALUR
    Tipo de dominio:                     Windows 2000

    Objetos de directiva de grupo aplicados
    ----------------------------------------
        n/a

    Los objetos GPO siguientes no se aplicaron porque fueron filtrados
    -------------------------------------------------------------------
        Directiva de grupo local
            Filtrar: No aplicado (vacío)

        Instalar impresora
            Filtrar: No aplicado (vacío)

        Default Domain Policy
            Filtrar: No aplicado (vacío)

    El usuario es parte de los siguientes Grupos de seguridad
    ---------------------------------------------------------
        Usuarios del dominio
        Todos
        Usuarios
        Administradores
        NT AUTHORITY\INTERACTIVE
        INICIO DE SESIÓN EN LA CONSOLA
        Usuarios autentificados
        Esta compañía
        LOCAL
        Propietarios del creador de directivas de grupo
        Admins. del dominio
        Administradores de empresas
        Administradores de esquema
        Grupo de replicación de contraseña RODC denegada
        Nivel obligatorio alto

    El usuario tiene los siguientes privilegios de seguridad
    --------------------------------------------------------

        Omitir comprobación de recorrido
        Apagar el sistema
        Quitar equipo de la estación de acoplamiento
        Aumentar el espacio de trabajo de un proceso
        Cambiar la zona horaria
        Administrar registro de seguridad y auditoría
        Hacer copias de seguridad de archivos y directorios
        Restaurar archivos y directorios
        Cambiar la hora del sistema
        Forzar cierre desde un sistema remoto
        Tomar posesión de archivos y otros objetos
        Depurar programas
        Modificar valores de entorno firmware
        Analizar el rendimiento del sistema
        Analizar un solo proceso
        Aumentar prioridad de programación
        Cargar y descargar controladores de dispositivo
        Crear un archivo de paginación
        Ajustar las cuotas de la memoria para un proceso
        Realizar tareas de mantenimiento del volumen
        Suplantar a un cliente tras la autenticación
        Crear objetos globales
        Crear vínculos simbólicos

    Conjunto resultante de directivas para el usuario
    --------------------------------------------------

        Instalaciones de software
        -------------------------
            n/a

        Scripts de inicio de sesión
        ---------------------------
            n/a

        Scripts de cierre de sesión
        ---------------------------
            n/a

        Directivas de clave pública
        ---------------------------
            n/a

        Plantillas administrativas
        --------------------------
            n/a

        Redirección de carpetas
        -----------------------
            n/a

        Interfaz de usuario de la búsqueda de Internet Explorer
        -------------------------------------------------------
            n/a

        Conexión de Internet Explorer
        -----------------------------
            n/a

        Direcciones URL de Internet Explorer
        ------------------------------------
            n/a

        Seguridad de Internet Explorer
        ------------------------------
            n/a

        Programas de Internet Explorer
        ------------------------------
            n/a
Jesús Mªª Alvarez

jueves, 25 de noviembre de 2010 9:48

Responder

|

Citar
0

Inicie sesión para votar

Hola Chesu, y permiso Pep, a ver si puedo dar una idea de por dónde puede provenir el problema.

Recordemos que un RODC no se almacenan todas las contraseñas, sino sólo las específicamente permitidas.
Aparentemente las GPOs que están fallando, están relacionadas justamente con conexiones a otros equipos.

Yo creería que el problema puede venir por ese lado, la autenticación del usuario, y también la de la propia máquina *a la que se conecta* (recordemos que Kerberos hace autenticación mutua)

Resumiendo haría la siguiente prueba: asegurarme que las contraseñas tanto de usuario y máquina de destino estén replicadas en el RODC.

Guillermo Delprato - Buenos Aires, Argentina
MVP-MCT-MCSE-MCSA MCITP: Enterprise/Server Administrator MCTS: Active Directory/Network/Applications Configuration
Este mensaje se proporciona "como está" sin garantías de ninguna clase. Usted asume todos los riesgos.

jueves, 25 de noviembre de 2010 11:57

Responder

|

Citar

Moderador
0

Inicie sesión para votar

Hola Guillermo, la contraseña del usuario no la caheo, la del ordenador si. Casualmente la directiva del usuario se aplica perfectamente, sin embargo la del ordenador da el problema. En el visor de eventos, si que he visto algún problema de certificado kerberos prainicio sesión de tarjeta inteligente. ¿Puede tener relación?

Un saludo
Jesús Mªª Alvarez

jueves, 25 de noviembre de 2010 12:15

Responder

|

Citar
0

Inicie sesión para votar

Hola de nuevo, me llama la atención que con gpresult /v no se obtiene nada sobre la directiva de grupo de añadir impresora, ni cuando se hace bien, ni cuando se hace mal.

Lo único que veo es cuando ejecuto mmc > Conjunto resultante de directivas que si sale mal dice que no encuentra el dominio o no se puede poner en contacto con él, sin embargo, las validaciones de usuario, o el añadir un equipo al dominio mediante el comando djoin, lo hace perfecto.

No se donde ver la luz.
Jesús Mªª Alvarez

jueves, 25 de noviembre de 2010 15:06

Responder

|

Citar
0

Inicie sesión para votar

Los sistemas operativos que tengo son 2008 R2 y windows 7, yo lo que quiero es que los clientes hagan todo contra el RODC, y que para la validación sea el RODC el que hable con los DC grabables, de tal manera que los clientes no tengan que ponerse en contacto directamente con los DC.

Espero haberme explicado bien.

Un saludo y muchas gracias.
Jesús Mªª Alvarez

jueves, 25 de noviembre de 2010 16:21

Responder

|

Citar
0

Inicie sesión para votar

Hola Chesu,

te iva a apuntar por donde fue el compañero Guillermo pero como es obvio que ya esta verificado por tu parte te diria que hagas otra prueba.. o almenos es lo que yo haria.

Crea una GPO nueva, solo rellena la parte de equipo, introduce la configuracion de impresoras y alguna mas, la que sea que no afecte a tu operativa y puedas testear rapidamente y asegurate de vincular esa GPO a la OU donde se encuentre el equipo de pruebas, si hace falta crea una OU nueva y mete temporalmente este equipo en ella para asegurarnos de que el problema no venga por una GPO superior que este sobreescribiendo la configuracion con una configuracion contraria a la que quieres.

Luego verifica que esa GPO esta replicandose en el RODC , mira dentro de SYSVOL y localiza la nueva GPO.. es muy importante que llegue al RODC, luego repite el proceso, inicia sesion con la maquina o haz un gpupdate /force para forzar la aplicacion de nuevas GPOs, verifica si los settings se han aplicado, sobretodo ese setting "extra" que has configurado y revisa con gpresult /v y con el RSOP si se esta vez se ha aplicado correctamente.

Prueba y comentanos..

Saludos
MCITP: Server Administrator (Windows Server 2008)

jueves, 25 de noviembre de 2010 17:06

Responder

|

Citar

Moderador
0

Inicie sesión para votar
Chesu, además de lo que dice Pep

La cuenta de máquina también debe estar "cacheada" en el RODC

Y por otro lado, si tienes un RODC se supone que tienes sitios físicamente separados, así que revisa que estén creados los Sites, las Subnets asociadas a su correspondiente Site, y la configuración del SiteLink

Guillermo Delprato - Buenos Aires, Argentina
MVP-MCT-MCSE-MCSA MCITP: Enterprise/Server Administrator MCTS: Active Directory/Network/Applications Configuration
Este mensaje se proporciona "como está" sin garantías de ninguna clase. Usted asume todos los riesgos.
- Propuesto como respuesta osvaldo rogelio santagada jueves, 24 de abril de 2014 9:32
jueves, 25 de noviembre de 2010 19:06

Responder

|

Citar

Moderador
0

Inicie sesión para votar

Hola Guillermo, mañana puedo hacer la prueba que comentas, no obstante te cuento.

Aplico 3 gpo, la default del dominio, uno que me asigna los sufijos del dns y la de las impresoras. Todas se aplican menos la de la impresora.

La cuestión es, que al arrancar el equipo, siempre intenta conectarse a los dc grabables.

Si hago un nslookup del nombre del dominio, solo me devuelven los dc grabables, nunca el RODC. sin embargo hago un nltest /dsgetdc:dominio me devuelve correctamente el nombre del RODC y el sitio donde esta asignado el cliente y el RODC que es el mismo.

Habia pensado si podría ser algo del DC locator DNS SRV.

Mañana hago la prueba y os comento.
Jesús Mªª Alvarez

jueves, 25 de noviembre de 2010 19:18

Responder

|

Citar
0

Inicie sesión para votar

También habia pensado si hay que añadir algún registro SRV al DNS, ya que si lo DC se caen o no estan disponibles, si hago un ping al dominio desde la máquina cliente y aunque el RODC este arriba no hay comunicación.

Por cierto, la máquina cachea la contraseña, quien no la cachea es el usuario.

Un saludo y gracias.

Jesús Mªª Alvarez

jueves, 25 de noviembre de 2010 19:23

Responder

|

Citar
0

Inicie sesión para votar

Hola,

realiza las pruebas comentadas y verifica tambien que tu configuracion del directorio activo y la replicacion entre los DCs este funcionando bien con un dcdiag y un netdiag y tambien echale un ojo a monitor de replicacion.

Saludos!

MCITP: Server Administrator (Windows Server 2008)

viernes, 26 de noviembre de 2010 5:09

Responder

|

Citar

Moderador
0

Inicie sesión para votar

Hola de nuevo. El dcdiag del RODC es este:

Diagn¢stico del servidor de directorio

Realizando instalaci¢n inicial:

   Intentando encontrar el servidor principal...

   Servidor principal = BACHIMALA

   * Se identific¢ el bosque de AD.
   Recopilaci¢n de informaci¢n inicial finalizada.

Realizando pruebas requeridas iniciales


   Probando servidor: PersonalUR\BACHIMALA

      Iniciando prueba: Connectivity

         ......................... BACHIMALA super¢ la prueba Connectivity

Realizando pruebas principales


   Probando servidor: PersonalUR\BACHIMALA

      Iniciando prueba: Advertising

         ......................... BACHIMALA super¢ la prueba Advertising

      Iniciando prueba: FrsEvent

         ......................... BACHIMALA super¢ la prueba FrsEvent

      Iniciando prueba: DFSREvent

         ......................... BACHIMALA super¢ la prueba DFSREvent

      Iniciando prueba: SysVolCheck

         ......................... BACHIMALA super¢ la prueba SysVolCheck

      Iniciando prueba: KccEvent

         ......................... BACHIMALA super¢ la prueba KccEvent

      Iniciando prueba: KnowsOfRoleHolders

         ......................... BACHIMALA super¢ la prueba

         KnowsOfRoleHolders

      Iniciando prueba: MachineAccount

         ......................... BACHIMALA super¢ la prueba MachineAccount

      Iniciando prueba: NCSecDesc

         ......................... BACHIMALA super¢ la prueba NCSecDesc

      Iniciando prueba: NetLogons

         ......................... BACHIMALA super¢ la prueba NetLogons

      Iniciando prueba: ObjectsReplicated

         ......................... BACHIMALA super¢ la prueba ObjectsReplicated

      Iniciando prueba: Replications

         ......................... BACHIMALA super¢ la prueba Replications

      Iniciando prueba: Services

         ......................... BACHIMALA super¢ la prueba Services

      Iniciando prueba: SystemLog

         Evento de advertencia. Id. de evento: 0x8000001D

            Hora de creaci¢n: 11/26/2010   08:50:13

            Cadena de eventos:

            El centro de distribuci¢n de claves (KDC) no encuentra un certificado adecuado para usarlo en inicios de sesi¢n de Tarjeta inteligente o no se pudo comprobar el certificado de KDC. Es posible que el inicio de sesi¢n de Tarjeta inteligente no funcione correctamente si no se soluciona este problema. Para corregir este problema, compruebe el certificado de KDC existente con certutil.exe o inscriba un nuevo certificado KDC.

         ......................... BACHIMALA super¢ la prueba SystemLog

      Iniciando prueba: VerifyReferences

         ......................... BACHIMALA super¢ la prueba VerifyReferences



   Ejecutando pruebas de partici¢n en: DomainDnsZones

      Iniciando prueba: CheckSDRefDom

         ......................... DomainDnsZones super¢ la prueba

         CheckSDRefDom

      Iniciando prueba: CrossRefValidation

         ......................... DomainDnsZones super¢ la prueba

         CrossRefValidation


   Ejecutando pruebas de partici¢n en: ForestDnsZones

      Iniciando prueba: CheckSDRefDom

         ......................... ForestDnsZones super¢ la prueba

         CheckSDRefDom

      Iniciando prueba: CrossRefValidation

         ......................... ForestDnsZones super¢ la prueba

         CrossRefValidation


   Ejecutando pruebas de partici¢n en: Schema

      Iniciando prueba: CheckSDRefDom

         ......................... Schema super¢ la prueba CheckSDRefDom

      Iniciando prueba: CrossRefValidation

         ......................... Schema super¢ la prueba CrossRefValidation


   Ejecutando pruebas de partici¢n en: Configuration

      Iniciando prueba: CheckSDRefDom

         ......................... Configuration super¢ la prueba CheckSDRefDom

      Iniciando prueba: CrossRefValidation

         ......................... Configuration super¢ la prueba

         CrossRefValidation


   Ejecutando pruebas de partici¢n en: unirioja

      Iniciando prueba: CheckSDRefDom

         ......................... unirioja super¢ la prueba CheckSDRefDom

      Iniciando prueba: CrossRefValidation

         ......................... unirioja super¢ la prueba CrossRefValidation


   Ejecutando pruebas de empresa en: unirioja.loc

      Iniciando prueba: LocatorCheck

         ......................... unirioja.loc super¢ la prueba LocatorCheck

      Iniciando prueba: Intersite

         ......................... unirioja.loc super¢ la prueba Intersite

Si quito la GPO que me instala la impresora, el resto se aplican bien. No genera error.

En netdiag en el 2008 R2 no lo implementa, no sé si se podrá instalar el de otra versión. Cuando creo una GPO nueva se replica correctamente en el sysvol de los DC y del RODC.

No obstante, solo me genera error cuando intento instalar software o impresoras.

http://technet.microsoft.com/es-es/library/cc722179(WS.10).aspx

NO me falla al aplicar GPO distintas a las anteriores o si la impresora la instalo así:

Configuración de usuario \ Policies \ Plantillas administrativas \ Panel de control \ Impresoras

Un saludo.
Jesús Mªª Alvarez

viernes, 26 de noviembre de 2010 8:30

Responder

|

Citar
0

Inicie sesión para votar

Otra cosa que he visto que no funciona si no hay conexión con los DC grabables es el Modo de Planeamiento del asistente para el conjunto resultante de directivas ejecutandolo en el cliente.

Un saludo
Jesús Mªª Alvarez

viernes, 26 de noviembre de 2010 9:22

Responder

|

Citar
0

Inicie sesión para votar

A esta altura me estoy inclinando a bug... :-)

Revisa esto por las dudas:

Description of the Windows Server 2008 read-only domain controller compatibility pack for Windows Server 2003 clients and for Windows XP clients and for Windows Vista:
http://support.microsoft.com/kb/944043

http://support.microsoft.com/search/default.aspx?mode=a&query=xp+%22read+only+domain+controller%22&spid=global&catalog=LCID%3D1033&1033comm=1&res=10

Guillermo Delprato - Buenos Aires, Argentina
MVP-MCT-MCSE-MCSA MCITP: Enterprise/Server Administrator MCTS: Active Directory/Network/Applications Configuration
Este mensaje se proporciona "como está" sin garantías de ninguna clase. Usted asume todos los riesgos.

sábado, 27 de noviembre de 2010 11:47

Responder

|

Citar

Moderador
0

Inicie sesión para votar

Hola Yo trabajo con windows 7 y 2008 R2, pero me temo que sea un bug. Vamos a abrir parte en microsoft para ver que pasa.

Un saludo y seguiremos investigando.
Jesús Mªª Alvarez

sábado, 27 de noviembre de 2010 19:42

Responder

|

Citar
0

Inicie sesión para votar

Creo que será lo mejor

Guillermo Delprato - Buenos Aires, Argentina
MVP-MCT-MCSE-MCSA MCITP: Enterprise/Server Administrator MCTS: Active Directory/Network/Applications Configuration
Este mensaje se proporciona "como está" sin garantías de ninguna clase. Usted asume todos los riesgos.

lunes, 29 de noviembre de 2010 10:59

Responder

|

Citar

Moderador
0

Inicie sesión para votar

Hola de nuevo, por si tiene algo que ver. Yo tengo dos sites, uno de ellos aloja los DC grabables, el otro tiene un RODC y todos los equipos del dominio. Mi pregunta es: ¿Es normal que los equipos vayan a buscar los dc grabables aunque no estan en su sitio y puedean acceder al RODC?

Muchas gracias.
Jesús Mªª Alvarez

martes, 30 de noviembre de 2010 9:18

Responder

|

Citar
0

Inicie sesión para votar

Sólo para estar seguros, verifica estos puntos:

En el DNS del RODC que esté la zona "_msdcs.tudominio.sufijo"

Dentro de la zona "_msdcs.tudominio.sufijo" que estén anotados los DCs en su correspondiente Site

Que el RODC sea GC.

Lo normal sobre que los equipos vayan a contactar a los "full DC" sólo si las contraseñas de máquina y usuario no están disponibles en el RODC

Guillermo Delprato - Buenos Aires, Argentina
MVP-MCT-MCSE-MCSA MCITP: Enterprise/Server Administrator MCTS: Active Directory/Network/Applications Configuration
Este mensaje se proporciona "como está" sin garantías de ninguna clase. Usted asume todos los riesgos.

martes, 30 de noviembre de 2010 10:22

Responder

|

Citar

Moderador
0

Inicie sesión para votar

Hola Guillermo, te voy contando:

Existe la zona _msdcs.uni.loc, dentro de ella estan los tres registros NS de Servidor de nombre de los DC grabables, no el rodc y el alias CNAME de los tres DC grabables y el RODC.

En la zona dc dentro de la zona _msdcs.uni.loc estan los dos sitios y cada uno tiene los registrops _ldap y _kerberos de los respectivos dc del sitio.

El RODC es catalogo blobal y aparece en la gc dentro de _msdcs.uni.loc

Cuando resuelvo mediante nslookup el nombre del domino uni.loc solo me devuelve las ips de los DC grabables, no del rodc.

Veo trafico hacia los DC grabables nada más arrancar la máquina, aunque esta tenga la contraseña cacheada en el RODC.

Un saludo

Jesús Mªª Alvarez

martes, 30 de noviembre de 2010 10:47

Responder

|

Citar
0

Inicie sesión para votar

El tema se está poniendo interesante, y me estás creando dudas :-)

Voy a ver si hoy me puedo hacer tiempo, y reproducir el ambiente para ver qué sucede realmente, y si puedo detectar el problema

Entiendo que tienes una red diferente en cada Site ¿si?

¿Qué método estás usando para detectar el tráfico hacia los otros DCs?

¿Cuál es la configuración de la GPO para instalar la impresora?

Guillermo Delprato - Buenos Aires, Argentina
MVP-MCT-MCSE-MCSA MCITP: Enterprise/Server Administrator MCTS: Active Directory/Network/Applications Configuration
Este mensaje se proporciona "como está" sin garantías de ninguna clase. Usted asume todos los riesgos.

martes, 30 de noviembre de 2010 12:14

Responder

|

Citar

Moderador
0

Inicie sesión para votar
Hola Guillermo, a mi esto me esta quitando hasta horas de sueño. Te cuento como lo tengo.

En una red protegida protegida por un firewall (no el de windows) tengo los tres DC grabables que se corresponde con el sitio por defecto. En otra red tengo el RODC y equipos clientes. Forman parte de otro sitio. Entre el rodc y los DC tengo abierto todos los puertos del mundo. Es decir, la comunicacion entre ellos es perfecta. Cuando arranco un equipo cliente, me valido y perfecto, pero en el logs del firewall ya veo que hay intentos de conexión a los dc grabables desde ese equipo, y en el visor de eventos veo un error NETLOGON id 5719. de que no ha podido establecer una sesión segura con con un DC del dominio uni.

Este error, lo da a los 9 segundos del arranque. Cuan me sale la ventana de inicio de sesión puedo validarme sin ningún problema. Las GPO se aplican correctamente salvo la de añadir impresoras y la de instalar software.

Para añadir impresora uso esto desde el servidor de impresión:

http://technet.microsoft.com/es-es/library/cc722179(WS.10).aspx

esto:

Para instalar impresoras para grupos de usuarios o equipos con directivas de grupo

Abra la carpeta Herramientas administrativas y, a continuación, haga doble clic en Administración de impresión.

En el árbol de Administración de impresión, en el servidor de impresión adecuado, haga clic en Impresoras.

En el panel de resultados, haga clic con el botón secundario en la impresora que desee implementar y, a continuación, haga clic en Implementar con directiva de grupo.

En el cuadro de diálogo Implementar con directiva de grupo, haga clic en Examinar y, a continuación, seleccione un objeto de directiva de grupo.

Haga clic en Aceptar.

Para asignar la opción de conexión de impresora al GPO, realice una o las dos acciones siguientes:

Como opción por usuario, active la casilla Los usuarios a los que se aplica este GPO (por usuario).

Como opción por equipo, active la casilla Los equipos a los que se aplica este GPO (por equipo).

Haga clic en Agregar.

Repita los pasos del 3 al 6 para agregar la opción de conexión de impresora a otro GPO.

Haga clic en Aceptar.

SI yo me valido con mi usuario en el firewall de checkpoint, todo va perfecto.

COmo el montaje es un poco especial, podría ser el caso de que yengo una oficina con el RODC, si este tiene las contraseñas del equipo y del usuario, y se han replicado las gpo ¿Porque no se instalan si no hay conexión con el DC que esta en la central?

Un saludo y muchas gracias por el tiempo invertido.
Jesús Mªª Alvarez
martes, 30 de noviembre de 2010 13:01

Responder

|

Citar
0

Inicie sesión para votar
Hola Jesús, te comento mi experiencia, viene largo :-)

Armé con virtuales una simulación

1 DC (W2k8R2)
1 Router (W2k8R2, 2 interfases, ruteando, workgroup)
1 RODC (W2k8R2)
1 Cliente (W7)

Dos Sites:
Site Central, con DC
Site Sucursal, con RODC

Una OU llamada Sucursal
En esta OU cuentas de Usuario
En esta OU cuenta de máquina cliente
En esta OU, una GPO con configuraciones de máquina y usuario. Fáciles de verificar: mensaje previo inicio sesión para máquina, y prohibir Panel de Control para usuario
En esta OU creé un grupo, incluí en el mismo las cuentas de máquina y usuarios, y pre-populé las contraseñas al RODC

Puse un sniffer (=analizador de protocolo, NetMon 3.4) en ambos DCs, e inicié sesión con usuario

EFECTIVAMENTE el cliente hace tráfico no sólo con el DC local, sino que además envía tráfico al DC "full" del Site Central
Habría que ponerse a analizar este tráfico... ahora no tengo demasiado tiempo, pero voy a tratar de averiguar (no prometo... ;-))

La pregunta interesante es ¿es realmente necesario este tráfico?

Vamos a probar... Creé un usurio nuevo en el DC de Central, forcé replicación para no esperar, y pre-populé su contraseña al RODC.
Luego de esto, apagué el DC de Central

Reincié el cliente para asegurame que no existiera ningún tipo de información "cacheada", e inicié sesión con este nuevo usuario (nunca lo había hecho anteriormente) y ... pudo iniciar sesión sin problemas, o sea sin contactar al DC full, sin credenciales "cacheadas", y aplicando la GPO correctamente (si, ya sé, no es de impresora)

Luego, como conclusión: el tráfico entre el cliente y el DC full no es estrictamente necesario

Además busqué el evento 5719 y había uno, pero no era del tiempo de la prueba con el usuario nuevo, y supongo que fue un momento en que inicié con un usuario que no tenía la contraseña localmente en el RODC

Me está dando para pensar que el problema viene por el lado del Administrador de Impresión, habría que verificarlo.

Bueno, que esto se está haciendo demasiado largo :-)

Guillermo Delprato - Buenos Aires, Argentina
MVP-MCT-MCSE-MCSA MCITP: Enterprise/Server Administrator MCTS: Active Directory/Network/Applications Configuration
Este mensaje se proporciona "como está" sin garantías de ninguna clase. Usted asume todos los riesgos.
martes, 30 de noviembre de 2010 18:11

Responder

|

Citar

Moderador
0

Inicie sesión para votar

Ante todo, agradecerte el tiempo dedicado. Muchisimas gracias.

Y como no, pedirte una cosa, podrías probar si te falla a tí la aplicación de la impresora? Yo estoy haciendo la prueba añadiendo el rol de servidor de impresoras al rodc y publicandola como te dije.

Lo dicho, muchisimas gracias y seguiremos con ello.
Jesús Mªª Alvarez

miércoles, 1 de diciembre de 2010 8:09

Responder

|

Citar
0

Inicie sesión para votar

No sé si hoy tendré tiempo que viene duro el día :-) pero intentaré hacerlo en cuanto pueda.

Guillermo Delprato - Buenos Aires, Argentina
MVP-MCT-MCSE-MCSA MCITP: Enterprise/Server Administrator MCTS: Active Directory/Network/Applications Configuration
Este mensaje se proporciona "como está" sin garantías de ninguna clase. Usted asume todos los riesgos.

miércoles, 1 de diciembre de 2010 10:12

Responder

|

Citar

Moderador
0

Inicie sesión para votar

Lo primero es lo primero. Muchas gracias y espero ansioso tus noticias.
Jesús Mªª Alvarez

miércoles, 1 de diciembre de 2010 10:37

Responder

|

Citar
0

Inicie sesión para votar
Hola Jesús, he hecho la prueba porque estaba realmente intrigado por el comportamiento.

Primero la aclaración que el enlace que pones (http://technet.microsoft.com/es-es/library/cc722179(WS.10).aspx) es para W2003/XP.
En W2008 no hace falta el procedimiento con PushPrinterConnections.exe

Y ahora al tema original. He hecho todo el procedimiento y efectivamente, si no hay conexión entre el cliente y un DC full, no instala las impresoras :-(

Al tener que tener lugar la replicación *entre sitios* la replicación entre DCs suele ser lenta, pero dejé creo que el tiempo adecuado.
De todas formas, dejo las máquinas funcionando y pruebo luego, pero no creo que dejando pasar más tiempo funcione

A mi entender es un bug, ya que la replicación de la GPO se hace perfectamente al RODC.

Guillermo Delprato - Buenos Aires, Argentina
MVP-MCT-MCSE-MCSA MCITP: Enterprise/Server Administrator MCTS: Active Directory/Network/Applications Configuration
Este mensaje se proporciona "como está" sin garantías de ninguna clase. Usted asume todos los riesgos.
- Propuesto como respuesta Ismael Borche viernes, 3 de diciembre de 2010 14:46
- Marcado como respuesta Pep lopezModerator sábado, 4 de diciembre de 2010 6:49
miércoles, 1 de diciembre de 2010 13:08

Responder

|

Citar

Moderador
0

Inicie sesión para votar

Hola Guillermo, muchas gracias por la rapidez y la dedicación. Me temo que tendré que esperar para ver que dice Microsoft. Mientras seguire cacharreando por si encuentro algún truco para solventar el problema.

Seguimos en contacto.
Jesús Mªª Alvarez

miércoles, 1 de diciembre de 2010 15:51

Responder

|

Citar
0

Inicie sesión para votar

Es algo raro lo que sucede, porque es "instalar por GPO" y se marca la GPO específica, aunque editando la misma no lo veo :-(

O sea, no me queda claro dónde realmente queda esa configuración.

Si solucionas, no te olvides de poner la solución :-)

Guillermo Delprato - Buenos Aires, Argentina
MVP-MCT-MCSE-MCSA MCITP: Enterprise/Server Administrator MCTS: Active Directory/Network/Applications Configuration
Este mensaje se proporciona "como está" sin garantías de ninguna clase. Usted asume todos los riesgos.

miércoles, 1 de diciembre de 2010 16:04

Responder

|

Citar

Moderador
2

Inicie sesión para votar
Hola de nuevo, después de 7 largos meses y mucha faena de recopilar información para enviar a microsoft, aquí tenemos los parches que han fabricado. Incluyo también la otra opción que nos fallaba que era la dde instalar un programa mediante GPO. Espero que os interese o sea de ayuda.

2537549 Cannot deploy a printer by using a GPO if read-only domain controllers are exclusively used in the domain environment in Windows 7 or in Windows Server 2008 R2
http://support.microsoft.com/default.aspx?scid=kb;en-US;2537549

2537556 When you use a GPO for application deployment in Windows 7 or in Windows Server 2008 R2, the deployment fails
http://support.microsoft.com/default.aspx?scid=kb;en-US;2537556

un saludo.
Jesús Mªª Alvarez
- Marcado como respuesta Chesu Alvarez viernes, 8 de julio de 2011 6:40
viernes, 8 de julio de 2011 6:38

Responder

|

Citar
0

Inicie sesión para votar

Gracias Jesús!

Guillermo Delprato - Buenos Aires, Argentina
Visite Notas Windows Server
MVP-MCT-MCSE-MCSA MCITP: Enterprise/Server Administrator MCTS: Active Directory/Network/Applications Configuration
Este mensaje se proporciona "como está" sin garantías de ninguna clase. Usted asume todos los riesgos.

viernes, 8 de julio de 2011 11:37

Responder

|

Citar

Moderador

Productos

Resources

Solutions

Actualizaciones

Pruebas

Sitios relacionados

Aprendizaje

Certificaciones

Otros recursos

Por producto

Otros vínculos

¿No es experto en TI?

Principales respuestas

Aplicacion directiva de grupo desde RODC

Pregunta

Respuestas

Todas las respuestas