none
Aplicacion directiva de grupo desde RODC RRS feed

  • Pregunta

  • Hola a todos, tengo un problema con un rodc y es el siguiente:

    Cuando aplico ciertas politicas de grupo "implementar impresoras" e "Instalacion Software" los equipos clientes se ponen en contacto obligatoriamente con los DC de escritura, y si no los encuentran dan error. Yo tengo entendido que con que vean el RODC es sufiente. ¿Qué hao mal?

    Un saludo y gracias a todos

    miércoles, 24 de noviembre de 2010 10:51

Respuestas

  • Hola de nuevo, después de 7 largos meses y mucha faena de recopilar información para enviar a microsoft, aquí tenemos los parches que han fabricado. Incluyo también la otra opción que nos fallaba que era la dde instalar un programa mediante GPO. Espero que os interese o sea de ayuda.

    2537549                Cannot deploy a printer by using a GPO if read-only domain controllers are exclusively used in the domain environment in Windows 7 or in Windows Server 2008 R2
    http://support.microsoft.com/default.aspx?scid=kb;en-US;2537549
     
     
    2537556                When you use a GPO for application deployment in Windows 7 or in Windows Server 2008 R2, the deployment fails
    http://support.microsoft.com/default.aspx?scid=kb;en-US;2537556

    un saludo.


    Jesús Mªª Alvarez
    • Marcado como respuesta Chesu Alvarez viernes, 8 de julio de 2011 6:40
    viernes, 8 de julio de 2011 6:38
  • Hola Jesús, he hecho la prueba porque estaba realmente intrigado por el comportamiento.

    Primero la aclaración que el enlace que pones (http://technet.microsoft.com/es-es/library/cc722179(WS.10).aspx) es para W2003/XP.
    En W2008 no hace falta el procedimiento con PushPrinterConnections.exe

    Y ahora al tema original. He hecho todo el procedimiento y efectivamente, si no hay conexión entre el cliente y un DC full, no instala las impresoras :-(

    Al tener que tener lugar la replicación *entre sitios* la replicación entre DCs suele ser lenta, pero dejé creo que el tiempo adecuado.
    De todas formas, dejo las máquinas funcionando y pruebo luego, pero no creo que dejando pasar más tiempo funcione

    A mi entender es un bug, ya que la replicación de la GPO se hace perfectamente al RODC.

     

     


    Guillermo Delprato - Buenos Aires, Argentina
    MVP-MCT-MCSE-MCSA MCITP: Enterprise/Server Administrator MCTS: Active Directory/Network/Applications Configuration
    Este mensaje se proporciona "como está" sin garantías de ninguna clase. Usted asume todos los riesgos.
    • Propuesto como respuesta Ismael Borche viernes, 3 de diciembre de 2010 14:46
    • Marcado como respuesta Pep lopezModerator sábado, 4 de diciembre de 2010 6:49
    miércoles, 1 de diciembre de 2010 13:08
    Moderador

Todas las respuestas

  • Hola,

    empieza ejecutando un gpresult /v  y verificando con el Conjunto resultante de directivas en el cliente, que se este aplicando correctamente la directiva que hayas asignado a la GPO donde se encuentre tus equipos ya que en un prinicipio no deberia haber problema en conseguir la GPO desde el RODC.

    Verifica tambien en el RODC que tenga compartido el NETLOGON y SYSVOL y que dentro tengas replicadas las GPOs que hayas configurado en tu DC de escritura ya que tambien puede ser que por problemas de sincronización entre DCs y que estas no esten llegando al RODC.

     

    Prueba y comentanos.

    Saludos!!

     


    MCITP: Server Administrator (Windows Server 2008)
    miércoles, 24 de noviembre de 2010 15:23
    Moderador
  • Hola Pep, la situacion es la siguiente: Si los DC, el RODC y obviamente el cliente esta encendido, las GPO se instalan sin problema. Y con el gpresult /r y con el conjunto resultante de directivas de la mmc se ve que las coge del RODC.

    Pero por no se que extraña razón, cuando pierden comunicación con el DC, tanto la gpo de asignación de impresoras como la de instalación de software dan un error. La de las impresoras dice que no encuentra el dominio o no se puede poner en contacto con él. El RODC es DNS y catálogo global. Es como si imperiosamente tuviese que ir a los DC grabables.

    Si anula estas dos GPO, se aplica el resto de directivas correctamente.

     

    Un saludo y gracias.


    Jesús Mªª Alvarez
    miércoles, 24 de noviembre de 2010 21:11
  • Hola,

    pregunta... esas dos GPOS acceden a algun recurso ubicado en el DC? lo digo porque si por ejemplo la de instalacion del software utiliza como repositorio para los .msi una carpeta compartida del DC o si por ejemplo instala impresoras que son gestionadas por el propio DC pues puede ser que si no hay buena conectividad con ese DC, estas GPOs den problemas.

    Por otro lado... deberias tratar de asegurar siempre la conectividad entre ambos DCs ... imagino que este tema ya lo estas revisando tambien..

     

    Saludos


    MCITP: Server Administrator (Windows Server 2008)
    jueves, 25 de noviembre de 2010 5:49
    Moderador
  • Hola, el DC y el RODC tienen plena comunicación. La impresora esta alojado en el propio RODC. He montado en total unas cuatro maquetas y en todas da el mismo error. SI la impresora la asigno por plantillas>preferencias>paneles de control>printers funciona perfecto.

    Voy a ejecutar el gpresult /v para ver si veo algo nuevo.

     

    Muchas gracias.


    Jesús Mªª Alvarez
    jueves, 25 de noviembre de 2010 8:21
  • Esto me da.

    C:\Users\Administrador>gpupdate /target:computer
    Actualizando directiva...

    La actualización de la directiva de equipo se completó correctamente.

    Se produjeron las siguientes advertencias al procesar la directiva de equipo:

    Windows no puede aplicar la configuración de Deployed Printer Connections. Es po
    sible que la configuración de Deployed Printer Connections tenga su propio archi
    vo de registro. Haga clic en el vínculo "Más información".

    Para más información, revise el registro de eventos o ejecute GPRESULT /H GPRepo
    rt.html desde la línea de comandos para obtener acceso a la información sobre lo
    s resultados de la directiva de grupo.

    C:\Users\Administrador>gpresult /v

    Herramienta de resultados para la Directiva de grupos del
    sistema operativo Microsoft (R) Windows (R) v2.0
    Copyright (C) Microsoft Corp. 1981-2001

    Creado en 25/11/2010 a 10:27:49


    RSOP datos para VIRTUALUR\Administrador en CHESU-PC : modo de inicio de sesión
    -------------------------------------------------------------------------------

    Configuración del sistema operativo: Estación de trabajo miembro
    Versión del sistema operativo:       6.1.7600
    Nombre de sitio:                   Default-First-Site-Name
    Perfil móvil:             n/a
    Perfil local:                        C:\Users\Administrador
    ¿Conectado a un vínculo de baja velocidad?: No


    CONFIGURACIÓN DE EQUIPO
    ------------------------
        CN=CHESU-PC,CN=Computers,DC=virtualur,DC=loc
        Última vez que se aplicó la Directiva de grupo: 25/11/2010 a las 10:26:43
        Directivas de grupo aplicadas desdeRODC.virtualur.loc
        Umbral del vínculo de baja velocidad de las Directivas de grupo:500 kbps
        Nombre de dominio:                   VIRTUALUR
        Tipo de dominio:                     Windows 2000

        Objetos de directiva de grupo aplicados
        ----------------------------------------
            Default Domain Policy
            Instalar impresora

        Los objetos GPO siguientes no se aplicaron porque fueron filtrados
        -------------------------------------------------------------------
            Directiva de grupo local
                Filtrar:  No aplicado (vacío)

        El equipo es miembro de los grupos de seguridad siguientes
        ----------------------------------------------------------
            Administradores
            Todos
            Usuarios
            NT AUTHORITY\NETWORK
            Usuarios autentificados
            Esta compañía
            CHESU-PC$
            Equipos del dominio
            Nivel obligatorio del sistema

        Conjunto resultante de directivas para el equipo
        -------------------------------------------------

            Instalaciones de software
            -------------------------
                n/a

            Scripts de inicio
            -----------------
                n/a

            Scripts de apagado
            ------------------
                n/a

            Directivas de cuenta
            --------------------
                GPO: Default Domain Policy
                    Directiva:            MaximumPasswordAge
                    Configuración de equipo:  42

                GPO: Default Domain Policy
                    Directiva:            MinimumPasswordAge
                    Configuración de equipo:  1

                GPO: Default Domain Policy
                    Directiva:            LockoutBadCount
                    Configuración de equipo:  n/a

                GPO: Default Domain Policy
                    Directiva:            PasswordHistorySize
                    Configuración de equipo:  24

                GPO: Default Domain Policy
                    Directiva:            MinimumPasswordLength
                    Configuración de equipo:  7

            Directiva de auditoría
            ----------------------
                n/a

            Derechos de usuario
            -------------------
                n/a

            Opciones de seguridad
            ---------------------
                GPO: Default Domain Policy
                    Directiva:            PasswordComplexity
                    Configuración de equipo:  Habilitada

                GPO: Default Domain Policy
                    Directiva:            ClearTextPassword
                    Configuración de equipo:  No habilitado

                GPO: Default Domain Policy
                    Directiva:            ForceLogoffWhenHourExpire
                    Configuración de equipo:  No habilitado

                GPO: Default Domain Policy
                    Directiva:            RequireLogonToChangePassword
                    Configuración de equipo:  No habilitado

                GPO: Default Domain Policy
                    Directiva:            LSAAnonymousNameLookup
                    Configuración de equipo:  No habilitado

                GPO: Default Domain Policy
                    Directiva:            @wsecedit.dll,-59058
                    Nombre del valor:         MACHINE\System\CurrentControlSet\Contr
    ol\Lsa\NoLMHash
                    Configuración de equipo:  1

            Configuración del registro de eventos
            -------------------------------------
                n/a

            Grupos restringidos
            -------------------
                n/a

            Servicios del sistema
            ---------------------
                n/a

            Configuración de Registro
            --------------------------
                n/a

            Configuración del sistema de archivos
            -------------------------------------
                n/a

            Directivas de clave pública
            ---------------------------
                n/a

            Plantillas administrativas
            --------------------------
                n/a


    CONFIGURACIÓN DE USUARIO
    -------------------------
        CN=Administrador,CN=Users,DC=virtualur,DC=loc
        Última vez que se aplicó la Directiva de grupo: 25/11/2010 a las 10:13:14
        Directivas de grupo aplicadas desdeDC.virtualur.loc
        Umbral del vínculo de baja velocidad de las Directivas de grupo:500 kbps
        Nombre de dominio:                   VIRTUALUR
        Tipo de dominio:                     Windows 2000

        Objetos de directiva de grupo aplicados
        ----------------------------------------
            n/a

        Los objetos GPO siguientes no se aplicaron porque fueron filtrados
        -------------------------------------------------------------------
            Directiva de grupo local
                Filtrar:  No aplicado (vacío)

            Instalar impresora
                Filtrar:  No aplicado (vacío)

            Default Domain Policy
                Filtrar:  No aplicado (vacío)

        El usuario es parte de los siguientes Grupos de seguridad
        ---------------------------------------------------------
            Usuarios del dominio
            Todos
            Usuarios
            Administradores
            NT AUTHORITY\INTERACTIVE
            INICIO DE SESIÓN EN LA CONSOLA
            Usuarios autentificados
            Esta compañía
            LOCAL
            Propietarios del creador de directivas de grupo
            Admins. del dominio
            Administradores de empresas
            Administradores de esquema
            Grupo de replicación de contraseña RODC denegada
            Nivel obligatorio alto

        El usuario tiene los siguientes privilegios de seguridad
        --------------------------------------------------------

            Omitir comprobación de recorrido
            Apagar el sistema
            Quitar equipo de la estación de acoplamiento
            Aumentar el espacio de trabajo de un proceso
            Cambiar la zona horaria
            Administrar registro de seguridad y auditoría
            Hacer copias de seguridad de archivos y directorios
            Restaurar archivos y directorios
            Cambiar la hora del sistema
            Forzar cierre desde un sistema remoto
            Tomar posesión de archivos y otros objetos
            Depurar programas
            Modificar valores de entorno firmware
            Analizar el rendimiento del sistema
            Analizar un solo proceso
            Aumentar prioridad de programación
            Cargar y descargar controladores de dispositivo
            Crear un archivo de paginación
            Ajustar las cuotas de la memoria para un proceso
            Realizar tareas de mantenimiento del volumen
            Suplantar a un cliente tras la autenticación
            Crear objetos globales
            Crear vínculos simbólicos

        Conjunto resultante de directivas para el usuario
        --------------------------------------------------

            Instalaciones de software
            -------------------------
                n/a

            Scripts de inicio de sesión
            ---------------------------
                n/a

            Scripts de cierre de sesión
            ---------------------------
                n/a

            Directivas de clave pública
            ---------------------------
                n/a

            Plantillas administrativas
            --------------------------
                n/a

            Redirección de carpetas
            -----------------------
                n/a

            Interfaz de usuario de la búsqueda de Internet Explorer
            -------------------------------------------------------
                n/a

            Conexión de Internet Explorer
            -----------------------------
                n/a

            Direcciones URL de Internet Explorer
            ------------------------------------
                n/a

            Seguridad de Internet Explorer
            ------------------------------
                n/a

            Programas de Internet Explorer
            ------------------------------
                n/a


    Jesús Mªª Alvarez
    jueves, 25 de noviembre de 2010 9:48
  • Hola Chesu, y permiso Pep, a ver si puedo dar una idea de por dónde puede provenir el problema.

    Recordemos que un RODC no se almacenan todas las contraseñas, sino sólo las específicamente permitidas.
    Aparentemente las GPOs que están fallando, están relacionadas justamente con conexiones a otros equipos.

    Yo creería que el problema puede venir por ese lado, la autenticación del usuario, y también la de la propia máquina *a la que se conecta* (recordemos que Kerberos hace autenticación mutua)

    Resumiendo haría la siguiente prueba: asegurarme que las contraseñas tanto de usuario y máquina de destino estén replicadas en el RODC.

     


    Guillermo Delprato - Buenos Aires, Argentina
    MVP-MCT-MCSE-MCSA MCITP: Enterprise/Server Administrator MCTS: Active Directory/Network/Applications Configuration
    Este mensaje se proporciona "como está" sin garantías de ninguna clase. Usted asume todos los riesgos.
    jueves, 25 de noviembre de 2010 11:57
    Moderador
  • Hola Guillermo, la contraseña del usuario no la caheo, la del ordenador si. Casualmente la directiva del usuario se aplica perfectamente, sin embargo la del ordenador da el problema. En el visor de eventos, si que he visto algún problema de certificado kerberos prainicio sesión de tarjeta inteligente. ¿Puede tener relación?

     

    Un saludo


    Jesús Mªª Alvarez
    jueves, 25 de noviembre de 2010 12:15
  • Hola de nuevo, me llama la atención que con gpresult /v no se obtiene nada sobre la directiva de grupo de añadir impresora, ni cuando se hace bien, ni cuando se hace mal.

    Lo único que veo es cuando ejecuto mmc > Conjunto resultante de directivas que si sale mal dice que no encuentra el dominio o no se puede poner en contacto con él, sin embargo, las validaciones de usuario, o el añadir un equipo al dominio mediante el comando djoin, lo hace perfecto.

    No se donde ver la luz.


    Jesús Mªª Alvarez
    jueves, 25 de noviembre de 2010 15:06
  • Los sistemas operativos que tengo son 2008 R2 y windows 7, yo lo que quiero es que los clientes hagan todo contra el RODC, y que para la validación sea el RODC el que hable con los DC grabables, de tal manera que los clientes no tengan que ponerse en contacto directamente con los DC.

    Espero haberme explicado bien.

    Un saludo y muchas gracias.


    Jesús Mªª Alvarez
    jueves, 25 de noviembre de 2010 16:21
  • Hola Chesu,

    te iva a apuntar por donde fue el compañero Guillermo pero como es obvio que ya esta verificado por tu parte te diria que hagas otra prueba.. o almenos es lo que yo haria.

    Crea una GPO nueva, solo rellena la parte de equipo, introduce la configuracion de impresoras y alguna mas, la que sea que no afecte a tu operativa y puedas testear rapidamente y asegurate de vincular esa GPO a la OU donde se encuentre el equipo de pruebas, si hace falta crea una OU nueva y mete temporalmente este equipo en ella para asegurarnos de que el problema no venga por una GPO superior que este sobreescribiendo la configuracion con una configuracion contraria a la que quieres.

    Luego verifica que esa GPO esta replicandose en el RODC , mira dentro de SYSVOL y localiza la nueva GPO.. es muy importante que llegue al RODC, luego repite el proceso, inicia sesion con la maquina o haz un gpupdate /force para forzar la aplicacion de nuevas GPOs, verifica si los settings se han aplicado, sobretodo ese setting "extra" que has configurado y revisa con gpresult /v y con el RSOP si se esta vez se ha aplicado correctamente.

    Prueba y comentanos..

    Saludos


    MCITP: Server Administrator (Windows Server 2008)
    jueves, 25 de noviembre de 2010 17:06
    Moderador
  • Chesu, además de lo que dice Pep

    La cuenta de máquina también debe estar "cacheada" en el RODC

    Y por otro lado, si tienes un RODC se supone que tienes sitios físicamente separados, así que revisa que estén creados los Sites, las Subnets asociadas a su correspondiente Site, y la configuración del SiteLink

     


    Guillermo Delprato - Buenos Aires, Argentina
    MVP-MCT-MCSE-MCSA MCITP: Enterprise/Server Administrator MCTS: Active Directory/Network/Applications Configuration
    Este mensaje se proporciona "como está" sin garantías de ninguna clase. Usted asume todos los riesgos.
    jueves, 25 de noviembre de 2010 19:06
    Moderador
  • Hola Guillermo, mañana puedo hacer la prueba que comentas, no obstante te cuento.

    Aplico 3 gpo, la default del dominio, uno que me asigna los sufijos del dns y la de las impresoras. Todas se aplican menos la de la impresora.

    La cuestión es, que al arrancar el equipo, siempre intenta conectarse a los dc grabables.

    Si hago un nslookup del nombre del dominio, solo me devuelven los dc grabables, nunca el RODC. sin embargo hago un nltest /dsgetdc:dominio me devuelve correctamente el nombre del RODC y el sitio donde esta asignado el cliente y el RODC que es el mismo.

    Habia pensado si podría ser algo del DC locator DNS SRV.

    Mañana hago la prueba y os comento.


    Jesús Mªª Alvarez
    jueves, 25 de noviembre de 2010 19:18
  • También habia pensado si hay que añadir algún registro SRV al DNS, ya que si lo DC se caen o no estan disponibles, si hago un ping al dominio desde la máquina cliente y aunque el RODC este arriba no hay comunicación.

    Por cierto, la máquina cachea la contraseña, quien no la cachea es el usuario.

    Un saludo y gracias.


    Jesús Mªª Alvarez
    jueves, 25 de noviembre de 2010 19:23
  • Hola,

    realiza las pruebas comentadas y verifica tambien que tu configuracion del directorio activo y la replicacion entre los DCs este funcionando bien con un dcdiag y un netdiag y tambien echale un ojo a monitor de replicacion.

    Saludos!

     


    MCITP: Server Administrator (Windows Server 2008)
    viernes, 26 de noviembre de 2010 5:09
    Moderador
  • Hola de nuevo. El dcdiag del RODC es este:


    Diagn¢stico del servidor de directorio


    Realizando instalaci¢n inicial:

       Intentando encontrar el servidor principal...

       Servidor principal = BACHIMALA

       * Se identific¢ el bosque de AD.
       Recopilaci¢n de informaci¢n inicial finalizada.


    Realizando pruebas requeridas iniciales

      
       Probando servidor: PersonalUR\BACHIMALA

          Iniciando prueba: Connectivity

             ......................... BACHIMALA super¢ la prueba Connectivity

     

    Realizando pruebas principales

      
       Probando servidor: PersonalUR\BACHIMALA

          Iniciando prueba: Advertising

             ......................... BACHIMALA super¢ la prueba Advertising

          Iniciando prueba: FrsEvent

             ......................... BACHIMALA super¢ la prueba FrsEvent

          Iniciando prueba: DFSREvent

             ......................... BACHIMALA super¢ la prueba DFSREvent

          Iniciando prueba: SysVolCheck

             ......................... BACHIMALA super¢ la prueba SysVolCheck

          Iniciando prueba: KccEvent

             ......................... BACHIMALA super¢ la prueba KccEvent

          Iniciando prueba: KnowsOfRoleHolders

             ......................... BACHIMALA super¢ la prueba

             KnowsOfRoleHolders

          Iniciando prueba: MachineAccount

             ......................... BACHIMALA super¢ la prueba MachineAccount

          Iniciando prueba: NCSecDesc

             ......................... BACHIMALA super¢ la prueba NCSecDesc

          Iniciando prueba: NetLogons

             ......................... BACHIMALA super¢ la prueba NetLogons

          Iniciando prueba: ObjectsReplicated

             ......................... BACHIMALA super¢ la prueba ObjectsReplicated

          Iniciando prueba: Replications

             ......................... BACHIMALA super¢ la prueba Replications

          Iniciando prueba: Services

             ......................... BACHIMALA super¢ la prueba Services

          Iniciando prueba: SystemLog

             Evento de advertencia. Id. de evento: 0x8000001D

                Hora de creaci¢n: 11/26/2010   08:50:13

                Cadena de eventos:

                El centro de distribuci¢n de claves (KDC) no encuentra un certificado adecuado para usarlo en inicios de sesi¢n de Tarjeta inteligente o no se pudo comprobar el certificado de KDC. Es posible que el inicio de sesi¢n de Tarjeta inteligente no funcione correctamente si no se soluciona este problema. Para corregir este problema, compruebe el certificado de KDC existente con certutil.exe o inscriba un nuevo certificado KDC.

             ......................... BACHIMALA super¢ la prueba SystemLog

          Iniciando prueba: VerifyReferences

             ......................... BACHIMALA super¢ la prueba VerifyReferences

      
      
       Ejecutando pruebas de partici¢n en: DomainDnsZones

          Iniciando prueba: CheckSDRefDom

             ......................... DomainDnsZones super¢ la prueba

             CheckSDRefDom

          Iniciando prueba: CrossRefValidation

             ......................... DomainDnsZones super¢ la prueba

             CrossRefValidation

      
       Ejecutando pruebas de partici¢n en: ForestDnsZones

          Iniciando prueba: CheckSDRefDom

             ......................... ForestDnsZones super¢ la prueba

             CheckSDRefDom

          Iniciando prueba: CrossRefValidation

             ......................... ForestDnsZones super¢ la prueba

             CrossRefValidation

      
       Ejecutando pruebas de partici¢n en: Schema

          Iniciando prueba: CheckSDRefDom

             ......................... Schema super¢ la prueba CheckSDRefDom

          Iniciando prueba: CrossRefValidation

             ......................... Schema super¢ la prueba CrossRefValidation

      
       Ejecutando pruebas de partici¢n en: Configuration

          Iniciando prueba: CheckSDRefDom

             ......................... Configuration super¢ la prueba CheckSDRefDom

          Iniciando prueba: CrossRefValidation

             ......................... Configuration super¢ la prueba

             CrossRefValidation

      
       Ejecutando pruebas de partici¢n en: unirioja

          Iniciando prueba: CheckSDRefDom

             ......................... unirioja super¢ la prueba CheckSDRefDom

          Iniciando prueba: CrossRefValidation

             ......................... unirioja super¢ la prueba CrossRefValidation

      
       Ejecutando pruebas de empresa en: unirioja.loc

          Iniciando prueba: LocatorCheck

             ......................... unirioja.loc super¢ la prueba LocatorCheck

          Iniciando prueba: Intersite

             ......................... unirioja.loc super¢ la prueba Intersite

    Si quito la GPO que me instala la impresora, el resto se aplican bien. No genera error.

    En netdiag en el 2008 R2 no lo implementa, no sé si se podrá instalar el de otra versión. Cuando creo una GPO nueva se replica correctamente en el sysvol de los DC y del RODC.

    No obstante, solo me genera error cuando intento instalar software o impresoras.

    http://technet.microsoft.com/es-es/library/cc722179(WS.10).aspx

    NO me falla al aplicar GPO distintas a las anteriores o si la impresora la instalo así:

    Configuración de usuario \ Policies \ Plantillas administrativas \ Panel de control \ Impresoras

    Un saludo.


    Jesús Mªª Alvarez
    viernes, 26 de noviembre de 2010 8:30
  • Otra cosa que he visto que no funciona si no hay conexión con los DC grabables es el Modo de Planeamiento del asistente para el conjunto resultante de directivas ejecutandolo en el cliente.

    Un saludo


    Jesús Mªª Alvarez
    viernes, 26 de noviembre de 2010 9:22
  • A esta altura me estoy inclinando a bug... :-)

    Revisa esto por las dudas:

    Description of the Windows Server 2008 read-only domain controller compatibility pack for Windows Server 2003 clients and for Windows XP clients and for Windows Vista:
    http://support.microsoft.com/kb/944043

    http://support.microsoft.com/search/default.aspx?mode=a&query=xp+%22read+only+domain+controller%22&spid=global&catalog=LCID%3D1033&1033comm=1&res=10

     


    Guillermo Delprato - Buenos Aires, Argentina
    MVP-MCT-MCSE-MCSA MCITP: Enterprise/Server Administrator MCTS: Active Directory/Network/Applications Configuration
    Este mensaje se proporciona "como está" sin garantías de ninguna clase. Usted asume todos los riesgos.
    sábado, 27 de noviembre de 2010 11:47
    Moderador
  • Hola Yo trabajo con windows 7 y 2008 R2, pero me temo que sea un bug. Vamos a abrir parte en microsoft para ver que pasa.

    Un saludo y seguiremos investigando.


    Jesús Mªª Alvarez
    sábado, 27 de noviembre de 2010 19:42
  • Creo que será lo mejor

     


    Guillermo Delprato - Buenos Aires, Argentina
    MVP-MCT-MCSE-MCSA MCITP: Enterprise/Server Administrator MCTS: Active Directory/Network/Applications Configuration
    Este mensaje se proporciona "como está" sin garantías de ninguna clase. Usted asume todos los riesgos.
    lunes, 29 de noviembre de 2010 10:59
    Moderador
  • Hola de nuevo, por si tiene algo que ver. Yo tengo dos sites, uno de ellos aloja los DC grabables, el otro tiene un RODC y todos los equipos del dominio. Mi pregunta es: ¿Es normal que los equipos vayan a buscar los dc grabables aunque no estan en su sitio y puedean acceder al RODC?

    Muchas gracias.


    Jesús Mªª Alvarez
    martes, 30 de noviembre de 2010 9:18
  • Sólo para estar seguros, verifica estos puntos:

    En el DNS del RODC que esté la zona "_msdcs.tudominio.sufijo"

    Dentro de la zona "_msdcs.tudominio.sufijo" que estén anotados los DCs en su correspondiente Site

    Que el RODC sea GC.

    Lo normal sobre que los equipos vayan a contactar a los "full DC" sólo si las contraseñas de máquina y usuario no están disponibles en el RODC

     


    Guillermo Delprato - Buenos Aires, Argentina
    MVP-MCT-MCSE-MCSA MCITP: Enterprise/Server Administrator MCTS: Active Directory/Network/Applications Configuration
    Este mensaje se proporciona "como está" sin garantías de ninguna clase. Usted asume todos los riesgos.
    martes, 30 de noviembre de 2010 10:22
    Moderador
  • Hola Guillermo, te voy contando:

    Existe la zona _msdcs.uni.loc, dentro de ella estan los tres registros NS de Servidor de nombre de los DC grabables, no el rodc y el alias CNAME de los tres DC grabables y el RODC.

    En la zona dc dentro de la zona _msdcs.uni.loc estan los dos sitios y cada uno tiene los registrops _ldap y _kerberos de los respectivos dc del sitio.

    El RODC es catalogo blobal y aparece en la gc dentro de _msdcs.uni.loc

    Cuando resuelvo mediante nslookup el nombre del domino uni.loc solo me devuelve las ips de los DC grabables, no del rodc.

    Veo trafico hacia los DC grabables nada más arrancar la máquina, aunque esta tenga la contraseña cacheada en el RODC.

     

    Un saludo

     


    Jesús Mªª Alvarez
    martes, 30 de noviembre de 2010 10:47
  • El tema se está poniendo interesante, y me estás creando dudas :-)

    Voy a ver si hoy me puedo hacer tiempo, y reproducir el ambiente para ver qué sucede realmente, y si puedo detectar el problema

    Entiendo que tienes una red diferente en cada Site ¿si?

    ¿Qué método estás usando para detectar el tráfico hacia los otros DCs?

    ¿Cuál es la configuración de la GPO para instalar la impresora?

     


    Guillermo Delprato - Buenos Aires, Argentina
    MVP-MCT-MCSE-MCSA MCITP: Enterprise/Server Administrator MCTS: Active Directory/Network/Applications Configuration
    Este mensaje se proporciona "como está" sin garantías de ninguna clase. Usted asume todos los riesgos.
    martes, 30 de noviembre de 2010 12:14
    Moderador
  • Hola Guillermo, a mi esto me esta quitando hasta horas de sueño. Te cuento como lo tengo.

    En una red protegida protegida por un firewall (no el de windows) tengo los tres DC grabables que se corresponde con el sitio por defecto. En otra red tengo el RODC y equipos clientes. Forman parte de otro sitio. Entre el rodc y los DC tengo abierto todos los puertos del mundo. Es decir, la comunicacion entre ellos es perfecta. Cuando arranco un equipo cliente, me valido y perfecto, pero en el logs del firewall ya veo que hay intentos de conexión a los dc grabables desde ese equipo, y en el visor de eventos veo un error NETLOGON id 5719. de que no ha podido establecer una sesión segura con con un DC del dominio uni.

    Este error, lo da a los 9 segundos del arranque. Cuan me sale la ventana de inicio de sesión puedo validarme sin ningún problema. Las GPO se aplican correctamente salvo la de añadir impresoras y la de instalar software.

    Para añadir impresora uso esto desde el servidor de impresión:

    http://technet.microsoft.com/es-es/library/cc722179(WS.10).aspx

    esto:

    Para instalar impresoras para grupos de usuarios o equipos con directivas de grupo

    1. Abra la carpeta Herramientas administrativas y, a continuación, haga doble clic en Administración de impresión.

    2. En el árbol de Administración de impresión, en el servidor de impresión adecuado, haga clic en Impresoras.

    3. En el panel de resultados, haga clic con el botón secundario en la impresora que desee implementar y, a continuación, haga clic en Implementar con directiva de grupo.

    4. En el cuadro de diálogo Implementar con directiva de grupo, haga clic en Examinar y, a continuación, seleccione un objeto de directiva de grupo.

    5. Haga clic en Aceptar.

    6. Para asignar la opción de conexión de impresora al GPO, realice una o las dos acciones siguientes:

      • Como opción por usuario, active la casilla Los usuarios a los que se aplica este GPO (por usuario).
      • Como opción por equipo, active la casilla Los equipos a los que se aplica este GPO (por equipo).
    7. Haga clic en Agregar.

    8. Repita los pasos del 3 al 6 para agregar la opción de conexión de impresora a otro GPO.

    9. Haga clic en Aceptar.

    SI yo me valido con mi usuario en el firewall de checkpoint, todo va perfecto.

    COmo el montaje es un poco especial, podría ser el caso de que yengo una oficina con el RODC, si este tiene las contraseñas del equipo y del usuario, y se han replicado las gpo ¿Porque no se instalan si no hay conexión con el DC que esta en la central?

    Un saludo y muchas gracias por el tiempo invertido.


    Jesús Mªª Alvarez
    martes, 30 de noviembre de 2010 13:01
  • Hola Jesús, te comento mi experiencia, viene largo :-)

    Armé con virtuales una simulación

    • 1 DC (W2k8R2)
    • 1 Router (W2k8R2, 2 interfases, ruteando, workgroup)
    • 1 RODC (W2k8R2)
    • 1 Cliente (W7)

     

    • Dos Sites:
    • Site Central, con DC
    • Site Sucursal, con RODC

     

    • Una OU llamada Sucursal
    • En esta OU cuentas de Usuario
    • En esta OU cuenta de máquina cliente
    • En esta OU, una GPO con configuraciones de máquina y usuario. Fáciles de verificar: mensaje previo inicio sesión para máquina, y prohibir Panel de Control para usuario
    • En esta OU creé un grupo, incluí en el mismo las cuentas de máquina y usuarios, y pre-populé las contraseñas al RODC

     

    Puse un sniffer (=analizador de protocolo, NetMon 3.4) en ambos DCs, e inicié sesión con usuario

    EFECTIVAMENTE el cliente hace tráfico no sólo con el DC local, sino que además envía tráfico al DC "full" del Site Central
    Habría que ponerse a analizar este tráfico... ahora no tengo demasiado tiempo, pero voy a tratar de averiguar (no prometo... ;-))

    La pregunta interesante es ¿es realmente necesario este tráfico?

    Vamos a probar... Creé un usurio nuevo en el DC de Central, forcé replicación para no esperar, y pre-populé su contraseña al RODC.
    Luego de esto, apagué el DC de Central

    Reincié el cliente para asegurame que no existiera ningún tipo de información "cacheada", e inicié sesión con este nuevo usuario (nunca lo había hecho anteriormente) y ... pudo iniciar sesión sin problemas, o sea sin contactar al DC full, sin credenciales "cacheadas", y aplicando la GPO correctamente (si, ya sé, no es de impresora)

    Luego, como conclusión: el tráfico entre el cliente y el DC full no es estrictamente necesario

    Además busqué el evento 5719 y había uno, pero no era del tiempo de la prueba con el usuario nuevo, y supongo que fue un momento en que inicié con un usuario que no tenía la contraseña localmente en el RODC

    Me está dando para pensar que el problema viene por el lado del Administrador de Impresión, habría que verificarlo.

    Bueno, que esto se está haciendo demasiado largo :-)

     


    Guillermo Delprato - Buenos Aires, Argentina
    MVP-MCT-MCSE-MCSA MCITP: Enterprise/Server Administrator MCTS: Active Directory/Network/Applications Configuration
    Este mensaje se proporciona "como está" sin garantías de ninguna clase. Usted asume todos los riesgos.
    martes, 30 de noviembre de 2010 18:11
    Moderador
  • Ante todo, agradecerte el tiempo dedicado. Muchisimas gracias.

    Y como no, pedirte una cosa, podrías probar si te falla a tí la aplicación de la impresora? Yo estoy haciendo la prueba añadiendo el rol de servidor de impresoras al rodc y publicandola como te dije.

     

    Lo dicho, muchisimas gracias y seguiremos con ello.


    Jesús Mªª Alvarez
    miércoles, 1 de diciembre de 2010 8:09
  • No sé si hoy tendré tiempo que viene duro el día :-) pero intentaré hacerlo en cuanto pueda.

     


    Guillermo Delprato - Buenos Aires, Argentina
    MVP-MCT-MCSE-MCSA MCITP: Enterprise/Server Administrator MCTS: Active Directory/Network/Applications Configuration
    Este mensaje se proporciona "como está" sin garantías de ninguna clase. Usted asume todos los riesgos.
    miércoles, 1 de diciembre de 2010 10:12
    Moderador
  • Lo primero es lo primero. Muchas gracias y espero ansioso tus noticias.
    Jesús Mªª Alvarez
    miércoles, 1 de diciembre de 2010 10:37
  • Hola Jesús, he hecho la prueba porque estaba realmente intrigado por el comportamiento.

    Primero la aclaración que el enlace que pones (http://technet.microsoft.com/es-es/library/cc722179(WS.10).aspx) es para W2003/XP.
    En W2008 no hace falta el procedimiento con PushPrinterConnections.exe

    Y ahora al tema original. He hecho todo el procedimiento y efectivamente, si no hay conexión entre el cliente y un DC full, no instala las impresoras :-(

    Al tener que tener lugar la replicación *entre sitios* la replicación entre DCs suele ser lenta, pero dejé creo que el tiempo adecuado.
    De todas formas, dejo las máquinas funcionando y pruebo luego, pero no creo que dejando pasar más tiempo funcione

    A mi entender es un bug, ya que la replicación de la GPO se hace perfectamente al RODC.

     

     


    Guillermo Delprato - Buenos Aires, Argentina
    MVP-MCT-MCSE-MCSA MCITP: Enterprise/Server Administrator MCTS: Active Directory/Network/Applications Configuration
    Este mensaje se proporciona "como está" sin garantías de ninguna clase. Usted asume todos los riesgos.
    • Propuesto como respuesta Ismael Borche viernes, 3 de diciembre de 2010 14:46
    • Marcado como respuesta Pep lopezModerator sábado, 4 de diciembre de 2010 6:49
    miércoles, 1 de diciembre de 2010 13:08
    Moderador
  • Hola Guillermo, muchas gracias por la rapidez y la dedicación. Me temo que tendré que esperar para ver que dice Microsoft. Mientras seguire cacharreando por si encuentro algún truco para solventar el problema.

    Seguimos en contacto.


    Jesús Mªª Alvarez
    miércoles, 1 de diciembre de 2010 15:51
  • Es algo raro lo que sucede, porque es "instalar por GPO" y se marca la GPO específica, aunque editando la misma no lo veo :-(

    O sea, no me queda claro dónde realmente queda esa configuración.

    Si solucionas, no te olvides de poner la solución :-)

     


    Guillermo Delprato - Buenos Aires, Argentina
    MVP-MCT-MCSE-MCSA MCITP: Enterprise/Server Administrator MCTS: Active Directory/Network/Applications Configuration
    Este mensaje se proporciona "como está" sin garantías de ninguna clase. Usted asume todos los riesgos.
    miércoles, 1 de diciembre de 2010 16:04
    Moderador
  • Hola de nuevo, después de 7 largos meses y mucha faena de recopilar información para enviar a microsoft, aquí tenemos los parches que han fabricado. Incluyo también la otra opción que nos fallaba que era la dde instalar un programa mediante GPO. Espero que os interese o sea de ayuda.

    2537549                Cannot deploy a printer by using a GPO if read-only domain controllers are exclusively used in the domain environment in Windows 7 or in Windows Server 2008 R2
    http://support.microsoft.com/default.aspx?scid=kb;en-US;2537549
     
     
    2537556                When you use a GPO for application deployment in Windows 7 or in Windows Server 2008 R2, the deployment fails
    http://support.microsoft.com/default.aspx?scid=kb;en-US;2537556

    un saludo.


    Jesús Mªª Alvarez
    • Marcado como respuesta Chesu Alvarez viernes, 8 de julio de 2011 6:40
    viernes, 8 de julio de 2011 6:38
  • Gracias Jesús!

     


    Guillermo Delprato - Buenos Aires, Argentina
    Visite Notas Windows Server
    MVP-MCT-MCSE-MCSA MCITP: Enterprise/Server Administrator MCTS: Active Directory/Network/Applications Configuration
    Este mensaje se proporciona "como está" sin garantías de ninguna clase. Usted asume todos los riesgos.
    viernes, 8 de julio de 2011 11:37
    Moderador