Principales respuestas
Aplicacion directiva de grupo desde RODC

Pregunta
-
Hola a todos, tengo un problema con un rodc y es el siguiente:
Cuando aplico ciertas politicas de grupo "implementar impresoras" e "Instalacion Software" los equipos clientes se ponen en contacto obligatoriamente con los DC de escritura, y si no los encuentran dan error. Yo tengo entendido que con que vean el RODC es sufiente. ¿Qué hao mal?
Un saludo y gracias a todos
Respuestas
-
Hola de nuevo, después de 7 largos meses y mucha faena de recopilar información para enviar a microsoft, aquí tenemos los parches que han fabricado. Incluyo también la otra opción que nos fallaba que era la dde instalar un programa mediante GPO. Espero que os interese o sea de ayuda.
2537549 Cannot deploy a printer by using a GPO if read-only domain controllers are exclusively used in the domain environment in Windows 7 or in Windows Server 2008 R2
http://support.microsoft.com/default.aspx?scid=kb;en-US;2537549
2537556 When you use a GPO for application deployment in Windows 7 or in Windows Server 2008 R2, the deployment fails
http://support.microsoft.com/default.aspx?scid=kb;en-US;2537556un saludo.
Jesús Mªª Alvarez- Marcado como respuesta Chesu Alvarez viernes, 8 de julio de 2011 6:40
-
Hola Jesús, he hecho la prueba porque estaba realmente intrigado por el comportamiento.
Primero la aclaración que el enlace que pones (http://technet.microsoft.com/es-es/library/cc722179(WS.10).aspx) es para W2003/XP.
En W2008 no hace falta el procedimiento con PushPrinterConnections.exeY ahora al tema original. He hecho todo el procedimiento y efectivamente, si no hay conexión entre el cliente y un DC full, no instala las impresoras :-(
Al tener que tener lugar la replicación *entre sitios* la replicación entre DCs suele ser lenta, pero dejé creo que el tiempo adecuado.
De todas formas, dejo las máquinas funcionando y pruebo luego, pero no creo que dejando pasar más tiempo funcioneA mi entender es un bug, ya que la replicación de la GPO se hace perfectamente al RODC.
Guillermo Delprato - Buenos Aires, Argentina
MVP-MCT-MCSE-MCSA MCITP: Enterprise/Server Administrator MCTS: Active Directory/Network/Applications Configuration
Este mensaje se proporciona "como está" sin garantías de ninguna clase. Usted asume todos los riesgos.- Propuesto como respuesta Ismael Borche viernes, 3 de diciembre de 2010 14:46
- Marcado como respuesta Pep lopezModerator sábado, 4 de diciembre de 2010 6:49
Todas las respuestas
-
Hola,
empieza ejecutando un gpresult /v y verificando con el Conjunto resultante de directivas en el cliente, que se este aplicando correctamente la directiva que hayas asignado a la GPO donde se encuentre tus equipos ya que en un prinicipio no deberia haber problema en conseguir la GPO desde el RODC.
Verifica tambien en el RODC que tenga compartido el NETLOGON y SYSVOL y que dentro tengas replicadas las GPOs que hayas configurado en tu DC de escritura ya que tambien puede ser que por problemas de sincronización entre DCs y que estas no esten llegando al RODC.
Prueba y comentanos.
Saludos!!
MCITP: Server Administrator (Windows Server 2008) -
Hola Pep, la situacion es la siguiente: Si los DC, el RODC y obviamente el cliente esta encendido, las GPO se instalan sin problema. Y con el gpresult /r y con el conjunto resultante de directivas de la mmc se ve que las coge del RODC.
Pero por no se que extraña razón, cuando pierden comunicación con el DC, tanto la gpo de asignación de impresoras como la de instalación de software dan un error. La de las impresoras dice que no encuentra el dominio o no se puede poner en contacto con él. El RODC es DNS y catálogo global. Es como si imperiosamente tuviese que ir a los DC grabables.
Si anula estas dos GPO, se aplica el resto de directivas correctamente.
Un saludo y gracias.
Jesús Mªª Alvarez -
Hola,
pregunta... esas dos GPOS acceden a algun recurso ubicado en el DC? lo digo porque si por ejemplo la de instalacion del software utiliza como repositorio para los .msi una carpeta compartida del DC o si por ejemplo instala impresoras que son gestionadas por el propio DC pues puede ser que si no hay buena conectividad con ese DC, estas GPOs den problemas.
Por otro lado... deberias tratar de asegurar siempre la conectividad entre ambos DCs ... imagino que este tema ya lo estas revisando tambien..
Saludos
MCITP: Server Administrator (Windows Server 2008) -
Hola, el DC y el RODC tienen plena comunicación. La impresora esta alojado en el propio RODC. He montado en total unas cuatro maquetas y en todas da el mismo error. SI la impresora la asigno por plantillas>preferencias>paneles de control>printers funciona perfecto.
Voy a ejecutar el gpresult /v para ver si veo algo nuevo.
Muchas gracias.
Jesús Mªª Alvarez -
Esto me da.
C:\Users\Administrador>gpupdate /target:computer
Actualizando directiva...La actualización de la directiva de equipo se completó correctamente.
Se produjeron las siguientes advertencias al procesar la directiva de equipo:
Windows no puede aplicar la configuración de Deployed Printer Connections. Es po
sible que la configuración de Deployed Printer Connections tenga su propio archi
vo de registro. Haga clic en el vínculo "Más información".Para más información, revise el registro de eventos o ejecute GPRESULT /H GPRepo
rt.html desde la línea de comandos para obtener acceso a la información sobre lo
s resultados de la directiva de grupo.C:\Users\Administrador>gpresult /v
Herramienta de resultados para la Directiva de grupos del
sistema operativo Microsoft (R) Windows (R) v2.0
Copyright (C) Microsoft Corp. 1981-2001Creado en 25/11/2010 a 10:27:49
RSOP datos para VIRTUALUR\Administrador en CHESU-PC : modo de inicio de sesión
-------------------------------------------------------------------------------Configuración del sistema operativo: Estación de trabajo miembro
Versión del sistema operativo: 6.1.7600
Nombre de sitio: Default-First-Site-Name
Perfil móvil: n/a
Perfil local: C:\Users\Administrador
¿Conectado a un vínculo de baja velocidad?: No
CONFIGURACIÓN DE EQUIPO
------------------------
CN=CHESU-PC,CN=Computers,DC=virtualur,DC=loc
Última vez que se aplicó la Directiva de grupo: 25/11/2010 a las 10:26:43
Directivas de grupo aplicadas desdeRODC.virtualur.loc
Umbral del vínculo de baja velocidad de las Directivas de grupo:500 kbps
Nombre de dominio: VIRTUALUR
Tipo de dominio: Windows 2000Objetos de directiva de grupo aplicados
----------------------------------------
Default Domain Policy
Instalar impresoraLos objetos GPO siguientes no se aplicaron porque fueron filtrados
-------------------------------------------------------------------
Directiva de grupo local
Filtrar: No aplicado (vacío)El equipo es miembro de los grupos de seguridad siguientes
----------------------------------------------------------
Administradores
Todos
Usuarios
NT AUTHORITY\NETWORK
Usuarios autentificados
Esta compañía
CHESU-PC$
Equipos del dominio
Nivel obligatorio del sistemaConjunto resultante de directivas para el equipo
-------------------------------------------------Instalaciones de software
-------------------------
n/aScripts de inicio
-----------------
n/aScripts de apagado
------------------
n/aDirectivas de cuenta
--------------------
GPO: Default Domain Policy
Directiva: MaximumPasswordAge
Configuración de equipo: 42GPO: Default Domain Policy
Directiva: MinimumPasswordAge
Configuración de equipo: 1GPO: Default Domain Policy
Directiva: LockoutBadCount
Configuración de equipo: n/aGPO: Default Domain Policy
Directiva: PasswordHistorySize
Configuración de equipo: 24GPO: Default Domain Policy
Directiva: MinimumPasswordLength
Configuración de equipo: 7Directiva de auditoría
----------------------
n/aDerechos de usuario
-------------------
n/aOpciones de seguridad
---------------------
GPO: Default Domain Policy
Directiva: PasswordComplexity
Configuración de equipo: HabilitadaGPO: Default Domain Policy
Directiva: ClearTextPassword
Configuración de equipo: No habilitadoGPO: Default Domain Policy
Directiva: ForceLogoffWhenHourExpire
Configuración de equipo: No habilitadoGPO: Default Domain Policy
Directiva: RequireLogonToChangePassword
Configuración de equipo: No habilitadoGPO: Default Domain Policy
Directiva: LSAAnonymousNameLookup
Configuración de equipo: No habilitadoGPO: Default Domain Policy
Directiva: @wsecedit.dll,-59058
Nombre del valor: MACHINE\System\CurrentControlSet\Contr
ol\Lsa\NoLMHash
Configuración de equipo: 1Configuración del registro de eventos
-------------------------------------
n/aGrupos restringidos
-------------------
n/aServicios del sistema
---------------------
n/aConfiguración de Registro
--------------------------
n/aConfiguración del sistema de archivos
-------------------------------------
n/aDirectivas de clave pública
---------------------------
n/aPlantillas administrativas
--------------------------
n/a
CONFIGURACIÓN DE USUARIO
-------------------------
CN=Administrador,CN=Users,DC=virtualur,DC=loc
Última vez que se aplicó la Directiva de grupo: 25/11/2010 a las 10:13:14
Directivas de grupo aplicadas desdeDC.virtualur.loc
Umbral del vínculo de baja velocidad de las Directivas de grupo:500 kbps
Nombre de dominio: VIRTUALUR
Tipo de dominio: Windows 2000Objetos de directiva de grupo aplicados
----------------------------------------
n/aLos objetos GPO siguientes no se aplicaron porque fueron filtrados
-------------------------------------------------------------------
Directiva de grupo local
Filtrar: No aplicado (vacío)Instalar impresora
Filtrar: No aplicado (vacío)Default Domain Policy
Filtrar: No aplicado (vacío)El usuario es parte de los siguientes Grupos de seguridad
---------------------------------------------------------
Usuarios del dominio
Todos
Usuarios
Administradores
NT AUTHORITY\INTERACTIVE
INICIO DE SESIÓN EN LA CONSOLA
Usuarios autentificados
Esta compañía
LOCAL
Propietarios del creador de directivas de grupo
Admins. del dominio
Administradores de empresas
Administradores de esquema
Grupo de replicación de contraseña RODC denegada
Nivel obligatorio altoEl usuario tiene los siguientes privilegios de seguridad
--------------------------------------------------------Omitir comprobación de recorrido
Apagar el sistema
Quitar equipo de la estación de acoplamiento
Aumentar el espacio de trabajo de un proceso
Cambiar la zona horaria
Administrar registro de seguridad y auditoría
Hacer copias de seguridad de archivos y directorios
Restaurar archivos y directorios
Cambiar la hora del sistema
Forzar cierre desde un sistema remoto
Tomar posesión de archivos y otros objetos
Depurar programas
Modificar valores de entorno firmware
Analizar el rendimiento del sistema
Analizar un solo proceso
Aumentar prioridad de programación
Cargar y descargar controladores de dispositivo
Crear un archivo de paginación
Ajustar las cuotas de la memoria para un proceso
Realizar tareas de mantenimiento del volumen
Suplantar a un cliente tras la autenticación
Crear objetos globales
Crear vínculos simbólicosConjunto resultante de directivas para el usuario
--------------------------------------------------Instalaciones de software
-------------------------
n/aScripts de inicio de sesión
---------------------------
n/aScripts de cierre de sesión
---------------------------
n/aDirectivas de clave pública
---------------------------
n/aPlantillas administrativas
--------------------------
n/aRedirección de carpetas
-----------------------
n/aInterfaz de usuario de la búsqueda de Internet Explorer
-------------------------------------------------------
n/aConexión de Internet Explorer
-----------------------------
n/aDirecciones URL de Internet Explorer
------------------------------------
n/aSeguridad de Internet Explorer
------------------------------
n/aProgramas de Internet Explorer
------------------------------
n/a
Jesús Mªª Alvarez -
Hola Chesu, y permiso Pep, a ver si puedo dar una idea de por dónde puede provenir el problema.
Recordemos que un RODC no se almacenan todas las contraseñas, sino sólo las específicamente permitidas.
Aparentemente las GPOs que están fallando, están relacionadas justamente con conexiones a otros equipos.Yo creería que el problema puede venir por ese lado, la autenticación del usuario, y también la de la propia máquina *a la que se conecta* (recordemos que Kerberos hace autenticación mutua)
Resumiendo haría la siguiente prueba: asegurarme que las contraseñas tanto de usuario y máquina de destino estén replicadas en el RODC.
Guillermo Delprato - Buenos Aires, Argentina
MVP-MCT-MCSE-MCSA MCITP: Enterprise/Server Administrator MCTS: Active Directory/Network/Applications Configuration
Este mensaje se proporciona "como está" sin garantías de ninguna clase. Usted asume todos los riesgos. -
Hola Guillermo, la contraseña del usuario no la caheo, la del ordenador si. Casualmente la directiva del usuario se aplica perfectamente, sin embargo la del ordenador da el problema. En el visor de eventos, si que he visto algún problema de certificado kerberos prainicio sesión de tarjeta inteligente. ¿Puede tener relación?
Un saludo
Jesús Mªª Alvarez -
Hola de nuevo, me llama la atención que con gpresult /v no se obtiene nada sobre la directiva de grupo de añadir impresora, ni cuando se hace bien, ni cuando se hace mal.
Lo único que veo es cuando ejecuto mmc > Conjunto resultante de directivas que si sale mal dice que no encuentra el dominio o no se puede poner en contacto con él, sin embargo, las validaciones de usuario, o el añadir un equipo al dominio mediante el comando djoin, lo hace perfecto.
No se donde ver la luz.
Jesús Mªª Alvarez -
Los sistemas operativos que tengo son 2008 R2 y windows 7, yo lo que quiero es que los clientes hagan todo contra el RODC, y que para la validación sea el RODC el que hable con los DC grabables, de tal manera que los clientes no tengan que ponerse en contacto directamente con los DC.
Espero haberme explicado bien.
Un saludo y muchas gracias.
Jesús Mªª Alvarez -
Hola Chesu,
te iva a apuntar por donde fue el compañero Guillermo pero como es obvio que ya esta verificado por tu parte te diria que hagas otra prueba.. o almenos es lo que yo haria.
Crea una GPO nueva, solo rellena la parte de equipo, introduce la configuracion de impresoras y alguna mas, la que sea que no afecte a tu operativa y puedas testear rapidamente y asegurate de vincular esa GPO a la OU donde se encuentre el equipo de pruebas, si hace falta crea una OU nueva y mete temporalmente este equipo en ella para asegurarnos de que el problema no venga por una GPO superior que este sobreescribiendo la configuracion con una configuracion contraria a la que quieres.
Luego verifica que esa GPO esta replicandose en el RODC , mira dentro de SYSVOL y localiza la nueva GPO.. es muy importante que llegue al RODC, luego repite el proceso, inicia sesion con la maquina o haz un gpupdate /force para forzar la aplicacion de nuevas GPOs, verifica si los settings se han aplicado, sobretodo ese setting "extra" que has configurado y revisa con gpresult /v y con el RSOP si se esta vez se ha aplicado correctamente.
Prueba y comentanos..
Saludos
MCITP: Server Administrator (Windows Server 2008) -
Chesu, además de lo que dice Pep
La cuenta de máquina también debe estar "cacheada" en el RODC
Y por otro lado, si tienes un RODC se supone que tienes sitios físicamente separados, así que revisa que estén creados los Sites, las Subnets asociadas a su correspondiente Site, y la configuración del SiteLink
Guillermo Delprato - Buenos Aires, Argentina
MVP-MCT-MCSE-MCSA MCITP: Enterprise/Server Administrator MCTS: Active Directory/Network/Applications Configuration
Este mensaje se proporciona "como está" sin garantías de ninguna clase. Usted asume todos los riesgos.- Propuesto como respuesta osvaldo rogelio santagada jueves, 24 de abril de 2014 9:32
-
Hola Guillermo, mañana puedo hacer la prueba que comentas, no obstante te cuento.
Aplico 3 gpo, la default del dominio, uno que me asigna los sufijos del dns y la de las impresoras. Todas se aplican menos la de la impresora.
La cuestión es, que al arrancar el equipo, siempre intenta conectarse a los dc grabables.
Si hago un nslookup del nombre del dominio, solo me devuelven los dc grabables, nunca el RODC. sin embargo hago un nltest /dsgetdc:dominio me devuelve correctamente el nombre del RODC y el sitio donde esta asignado el cliente y el RODC que es el mismo.
Habia pensado si podría ser algo del DC locator DNS SRV.
Mañana hago la prueba y os comento.
Jesús Mªª Alvarez -
También habia pensado si hay que añadir algún registro SRV al DNS, ya que si lo DC se caen o no estan disponibles, si hago un ping al dominio desde la máquina cliente y aunque el RODC este arriba no hay comunicación.
Por cierto, la máquina cachea la contraseña, quien no la cachea es el usuario.
Un saludo y gracias.
Jesús Mªª Alvarez -
Hola,
realiza las pruebas comentadas y verifica tambien que tu configuracion del directorio activo y la replicacion entre los DCs este funcionando bien con un dcdiag y un netdiag y tambien echale un ojo a monitor de replicacion.
Saludos!
MCITP: Server Administrator (Windows Server 2008) -
Hola de nuevo. El dcdiag del RODC es este:
Diagn¢stico del servidor de directorio
Realizando instalaci¢n inicial:Intentando encontrar el servidor principal...
Servidor principal = BACHIMALA
* Se identific¢ el bosque de AD.
Recopilaci¢n de informaci¢n inicial finalizada.
Realizando pruebas requeridas iniciales
Probando servidor: PersonalUR\BACHIMALAIniciando prueba: Connectivity
......................... BACHIMALA super¢ la prueba Connectivity
Realizando pruebas principales
Probando servidor: PersonalUR\BACHIMALAIniciando prueba: Advertising
......................... BACHIMALA super¢ la prueba Advertising
Iniciando prueba: FrsEvent
......................... BACHIMALA super¢ la prueba FrsEvent
Iniciando prueba: DFSREvent
......................... BACHIMALA super¢ la prueba DFSREvent
Iniciando prueba: SysVolCheck
......................... BACHIMALA super¢ la prueba SysVolCheck
Iniciando prueba: KccEvent
......................... BACHIMALA super¢ la prueba KccEvent
Iniciando prueba: KnowsOfRoleHolders
......................... BACHIMALA super¢ la prueba
KnowsOfRoleHolders
Iniciando prueba: MachineAccount
......................... BACHIMALA super¢ la prueba MachineAccount
Iniciando prueba: NCSecDesc
......................... BACHIMALA super¢ la prueba NCSecDesc
Iniciando prueba: NetLogons
......................... BACHIMALA super¢ la prueba NetLogons
Iniciando prueba: ObjectsReplicated
......................... BACHIMALA super¢ la prueba ObjectsReplicated
Iniciando prueba: Replications
......................... BACHIMALA super¢ la prueba Replications
Iniciando prueba: Services
......................... BACHIMALA super¢ la prueba Services
Iniciando prueba: SystemLog
Evento de advertencia. Id. de evento: 0x8000001D
Hora de creaci¢n: 11/26/2010 08:50:13
Cadena de eventos:
El centro de distribuci¢n de claves (KDC) no encuentra un certificado adecuado para usarlo en inicios de sesi¢n de Tarjeta inteligente o no se pudo comprobar el certificado de KDC. Es posible que el inicio de sesi¢n de Tarjeta inteligente no funcione correctamente si no se soluciona este problema. Para corregir este problema, compruebe el certificado de KDC existente con certutil.exe o inscriba un nuevo certificado KDC.
......................... BACHIMALA super¢ la prueba SystemLog
Iniciando prueba: VerifyReferences
......................... BACHIMALA super¢ la prueba VerifyReferences
Ejecutando pruebas de partici¢n en: DomainDnsZonesIniciando prueba: CheckSDRefDom
......................... DomainDnsZones super¢ la prueba
CheckSDRefDom
Iniciando prueba: CrossRefValidation
......................... DomainDnsZones super¢ la prueba
CrossRefValidation
Ejecutando pruebas de partici¢n en: ForestDnsZonesIniciando prueba: CheckSDRefDom
......................... ForestDnsZones super¢ la prueba
CheckSDRefDom
Iniciando prueba: CrossRefValidation
......................... ForestDnsZones super¢ la prueba
CrossRefValidation
Ejecutando pruebas de partici¢n en: SchemaIniciando prueba: CheckSDRefDom
......................... Schema super¢ la prueba CheckSDRefDom
Iniciando prueba: CrossRefValidation
......................... Schema super¢ la prueba CrossRefValidation
Ejecutando pruebas de partici¢n en: ConfigurationIniciando prueba: CheckSDRefDom
......................... Configuration super¢ la prueba CheckSDRefDom
Iniciando prueba: CrossRefValidation
......................... Configuration super¢ la prueba
CrossRefValidation
Ejecutando pruebas de partici¢n en: uniriojaIniciando prueba: CheckSDRefDom
......................... unirioja super¢ la prueba CheckSDRefDom
Iniciando prueba: CrossRefValidation
......................... unirioja super¢ la prueba CrossRefValidation
Ejecutando pruebas de empresa en: unirioja.locIniciando prueba: LocatorCheck
......................... unirioja.loc super¢ la prueba LocatorCheck
Iniciando prueba: Intersite
......................... unirioja.loc super¢ la prueba Intersite
Si quito la GPO que me instala la impresora, el resto se aplican bien. No genera error.
En netdiag en el 2008 R2 no lo implementa, no sé si se podrá instalar el de otra versión. Cuando creo una GPO nueva se replica correctamente en el sysvol de los DC y del RODC.
No obstante, solo me genera error cuando intento instalar software o impresoras.
http://technet.microsoft.com/es-es/library/cc722179(WS.10).aspx
NO me falla al aplicar GPO distintas a las anteriores o si la impresora la instalo así:
Configuración de usuario \ Policies \ Plantillas administrativas \ Panel de control \ Impresoras
Un saludo.
Jesús Mªª Alvarez -
-
A esta altura me estoy inclinando a bug... :-)
Revisa esto por las dudas:
Description of the Windows Server 2008 read-only domain controller compatibility pack for Windows Server 2003 clients and for Windows XP clients and for Windows Vista:
http://support.microsoft.com/kb/944043
Guillermo Delprato - Buenos Aires, Argentina
MVP-MCT-MCSE-MCSA MCITP: Enterprise/Server Administrator MCTS: Active Directory/Network/Applications Configuration
Este mensaje se proporciona "como está" sin garantías de ninguna clase. Usted asume todos los riesgos. -
-
Creo que será lo mejor
Guillermo Delprato - Buenos Aires, Argentina
MVP-MCT-MCSE-MCSA MCITP: Enterprise/Server Administrator MCTS: Active Directory/Network/Applications Configuration
Este mensaje se proporciona "como está" sin garantías de ninguna clase. Usted asume todos los riesgos. -
Hola de nuevo, por si tiene algo que ver. Yo tengo dos sites, uno de ellos aloja los DC grabables, el otro tiene un RODC y todos los equipos del dominio. Mi pregunta es: ¿Es normal que los equipos vayan a buscar los dc grabables aunque no estan en su sitio y puedean acceder al RODC?
Muchas gracias.
Jesús Mªª Alvarez -
Sólo para estar seguros, verifica estos puntos:
En el DNS del RODC que esté la zona "_msdcs.tudominio.sufijo"
Dentro de la zona "_msdcs.tudominio.sufijo" que estén anotados los DCs en su correspondiente Site
Que el RODC sea GC.
Lo normal sobre que los equipos vayan a contactar a los "full DC" sólo si las contraseñas de máquina y usuario no están disponibles en el RODC
Guillermo Delprato - Buenos Aires, Argentina
MVP-MCT-MCSE-MCSA MCITP: Enterprise/Server Administrator MCTS: Active Directory/Network/Applications Configuration
Este mensaje se proporciona "como está" sin garantías de ninguna clase. Usted asume todos los riesgos. -
Hola Guillermo, te voy contando:
Existe la zona _msdcs.uni.loc, dentro de ella estan los tres registros NS de Servidor de nombre de los DC grabables, no el rodc y el alias CNAME de los tres DC grabables y el RODC.
En la zona dc dentro de la zona _msdcs.uni.loc estan los dos sitios y cada uno tiene los registrops _ldap y _kerberos de los respectivos dc del sitio.
El RODC es catalogo blobal y aparece en la gc dentro de _msdcs.uni.loc
Cuando resuelvo mediante nslookup el nombre del domino uni.loc solo me devuelve las ips de los DC grabables, no del rodc.
Veo trafico hacia los DC grabables nada más arrancar la máquina, aunque esta tenga la contraseña cacheada en el RODC.
Un saludo
Jesús Mªª Alvarez -
El tema se está poniendo interesante, y me estás creando dudas :-)
Voy a ver si hoy me puedo hacer tiempo, y reproducir el ambiente para ver qué sucede realmente, y si puedo detectar el problema
Entiendo que tienes una red diferente en cada Site ¿si?
¿Qué método estás usando para detectar el tráfico hacia los otros DCs?
¿Cuál es la configuración de la GPO para instalar la impresora?
Guillermo Delprato - Buenos Aires, Argentina
MVP-MCT-MCSE-MCSA MCITP: Enterprise/Server Administrator MCTS: Active Directory/Network/Applications Configuration
Este mensaje se proporciona "como está" sin garantías de ninguna clase. Usted asume todos los riesgos. -
Hola Guillermo, a mi esto me esta quitando hasta horas de sueño. Te cuento como lo tengo.
En una red protegida protegida por un firewall (no el de windows) tengo los tres DC grabables que se corresponde con el sitio por defecto. En otra red tengo el RODC y equipos clientes. Forman parte de otro sitio. Entre el rodc y los DC tengo abierto todos los puertos del mundo. Es decir, la comunicacion entre ellos es perfecta. Cuando arranco un equipo cliente, me valido y perfecto, pero en el logs del firewall ya veo que hay intentos de conexión a los dc grabables desde ese equipo, y en el visor de eventos veo un error NETLOGON id 5719. de que no ha podido establecer una sesión segura con con un DC del dominio uni.
Este error, lo da a los 9 segundos del arranque. Cuan me sale la ventana de inicio de sesión puedo validarme sin ningún problema. Las GPO se aplican correctamente salvo la de añadir impresoras y la de instalar software.
Para añadir impresora uso esto desde el servidor de impresión:
http://technet.microsoft.com/es-es/library/cc722179(WS.10).aspx
esto:
Para instalar impresoras para grupos de usuarios o equipos con directivas de grupo
-
Abra la carpeta Herramientas administrativas y, a continuación, haga doble clic en Administración de impresión.
-
En el árbol de Administración de impresión, en el servidor de impresión adecuado, haga clic en Impresoras.
-
En el panel de resultados, haga clic con el botón secundario en la impresora que desee implementar y, a continuación, haga clic en Implementar con directiva de grupo.
-
En el cuadro de diálogo Implementar con directiva de grupo, haga clic en Examinar y, a continuación, seleccione un objeto de directiva de grupo.
-
Haga clic en Aceptar.
-
Para asignar la opción de conexión de impresora al GPO, realice una o las dos acciones siguientes:
- Como opción por usuario, active la casilla Los usuarios a los que se aplica este GPO (por usuario).
- Como opción por equipo, active la casilla Los equipos a los que se aplica este GPO (por equipo).
- Como opción por usuario, active la casilla Los usuarios a los que se aplica este GPO (por usuario).
-
Haga clic en Agregar.
-
Repita los pasos del 3 al 6 para agregar la opción de conexión de impresora a otro GPO.
-
Haga clic en Aceptar.
SI yo me valido con mi usuario en el firewall de checkpoint, todo va perfecto.
COmo el montaje es un poco especial, podría ser el caso de que yengo una oficina con el RODC, si este tiene las contraseñas del equipo y del usuario, y se han replicado las gpo ¿Porque no se instalan si no hay conexión con el DC que esta en la central?
Un saludo y muchas gracias por el tiempo invertido.
Jesús Mªª Alvarez -
-
Hola Jesús, te comento mi experiencia, viene largo :-)
Armé con virtuales una simulación
- 1 DC (W2k8R2)
- 1 Router (W2k8R2, 2 interfases, ruteando, workgroup)
- 1 RODC (W2k8R2)
- 1 Cliente (W7)
- Dos Sites:
- Site Central, con DC
- Site Sucursal, con RODC
- Una OU llamada Sucursal
- En esta OU cuentas de Usuario
- En esta OU cuenta de máquina cliente
- En esta OU, una GPO con configuraciones de máquina y usuario. Fáciles de verificar: mensaje previo inicio sesión para máquina, y prohibir Panel de Control para usuario
- En esta OU creé un grupo, incluí en el mismo las cuentas de máquina y usuarios, y pre-populé las contraseñas al RODC
Puse un sniffer (=analizador de protocolo, NetMon 3.4) en ambos DCs, e inicié sesión con usuario
EFECTIVAMENTE el cliente hace tráfico no sólo con el DC local, sino que además envía tráfico al DC "full" del Site Central
Habría que ponerse a analizar este tráfico... ahora no tengo demasiado tiempo, pero voy a tratar de averiguar (no prometo... ;-))La pregunta interesante es ¿es realmente necesario este tráfico?
Vamos a probar... Creé un usurio nuevo en el DC de Central, forcé replicación para no esperar, y pre-populé su contraseña al RODC.
Luego de esto, apagué el DC de CentralReincié el cliente para asegurame que no existiera ningún tipo de información "cacheada", e inicié sesión con este nuevo usuario (nunca lo había hecho anteriormente) y ... pudo iniciar sesión sin problemas, o sea sin contactar al DC full, sin credenciales "cacheadas", y aplicando la GPO correctamente (si, ya sé, no es de impresora)
Luego, como conclusión: el tráfico entre el cliente y el DC full no es estrictamente necesario
Además busqué el evento 5719 y había uno, pero no era del tiempo de la prueba con el usuario nuevo, y supongo que fue un momento en que inicié con un usuario que no tenía la contraseña localmente en el RODC
Me está dando para pensar que el problema viene por el lado del Administrador de Impresión, habría que verificarlo.
Bueno, que esto se está haciendo demasiado largo :-)
Guillermo Delprato - Buenos Aires, Argentina
MVP-MCT-MCSE-MCSA MCITP: Enterprise/Server Administrator MCTS: Active Directory/Network/Applications Configuration
Este mensaje se proporciona "como está" sin garantías de ninguna clase. Usted asume todos los riesgos. -
Ante todo, agradecerte el tiempo dedicado. Muchisimas gracias.
Y como no, pedirte una cosa, podrías probar si te falla a tí la aplicación de la impresora? Yo estoy haciendo la prueba añadiendo el rol de servidor de impresoras al rodc y publicandola como te dije.
Lo dicho, muchisimas gracias y seguiremos con ello.
Jesús Mªª Alvarez -
No sé si hoy tendré tiempo que viene duro el día :-) pero intentaré hacerlo en cuanto pueda.
Guillermo Delprato - Buenos Aires, Argentina
MVP-MCT-MCSE-MCSA MCITP: Enterprise/Server Administrator MCTS: Active Directory/Network/Applications Configuration
Este mensaje se proporciona "como está" sin garantías de ninguna clase. Usted asume todos los riesgos. -
-
Hola Jesús, he hecho la prueba porque estaba realmente intrigado por el comportamiento.
Primero la aclaración que el enlace que pones (http://technet.microsoft.com/es-es/library/cc722179(WS.10).aspx) es para W2003/XP.
En W2008 no hace falta el procedimiento con PushPrinterConnections.exeY ahora al tema original. He hecho todo el procedimiento y efectivamente, si no hay conexión entre el cliente y un DC full, no instala las impresoras :-(
Al tener que tener lugar la replicación *entre sitios* la replicación entre DCs suele ser lenta, pero dejé creo que el tiempo adecuado.
De todas formas, dejo las máquinas funcionando y pruebo luego, pero no creo que dejando pasar más tiempo funcioneA mi entender es un bug, ya que la replicación de la GPO se hace perfectamente al RODC.
Guillermo Delprato - Buenos Aires, Argentina
MVP-MCT-MCSE-MCSA MCITP: Enterprise/Server Administrator MCTS: Active Directory/Network/Applications Configuration
Este mensaje se proporciona "como está" sin garantías de ninguna clase. Usted asume todos los riesgos.- Propuesto como respuesta Ismael Borche viernes, 3 de diciembre de 2010 14:46
- Marcado como respuesta Pep lopezModerator sábado, 4 de diciembre de 2010 6:49
-
Hola Guillermo, muchas gracias por la rapidez y la dedicación. Me temo que tendré que esperar para ver que dice Microsoft. Mientras seguire cacharreando por si encuentro algún truco para solventar el problema.
Seguimos en contacto.
Jesús Mªª Alvarez -
Es algo raro lo que sucede, porque es "instalar por GPO" y se marca la GPO específica, aunque editando la misma no lo veo :-(
O sea, no me queda claro dónde realmente queda esa configuración.
Si solucionas, no te olvides de poner la solución :-)
Guillermo Delprato - Buenos Aires, Argentina
MVP-MCT-MCSE-MCSA MCITP: Enterprise/Server Administrator MCTS: Active Directory/Network/Applications Configuration
Este mensaje se proporciona "como está" sin garantías de ninguna clase. Usted asume todos los riesgos. -
Hola de nuevo, después de 7 largos meses y mucha faena de recopilar información para enviar a microsoft, aquí tenemos los parches que han fabricado. Incluyo también la otra opción que nos fallaba que era la dde instalar un programa mediante GPO. Espero que os interese o sea de ayuda.
2537549 Cannot deploy a printer by using a GPO if read-only domain controllers are exclusively used in the domain environment in Windows 7 or in Windows Server 2008 R2
http://support.microsoft.com/default.aspx?scid=kb;en-US;2537549
2537556 When you use a GPO for application deployment in Windows 7 or in Windows Server 2008 R2, the deployment fails
http://support.microsoft.com/default.aspx?scid=kb;en-US;2537556un saludo.
Jesús Mªª Alvarez- Marcado como respuesta Chesu Alvarez viernes, 8 de julio de 2011 6:40
-
Gracias Jesús!
Guillermo Delprato - Buenos Aires, Argentina
Visite Notas Windows Server
MVP-MCT-MCSE-MCSA MCITP: Enterprise/Server Administrator MCTS: Active Directory/Network/Applications Configuration
Este mensaje se proporciona "como está" sin garantías de ninguna clase. Usted asume todos los riesgos.