none
Origen DC de aplicacion de politicas RRS feed

  • Pregunta

  • Buenas a todos!

    Tengo un dominio en 2003 con 4 DC y veo con WireShark que un equipo a veces se descarga las políticas de un DC (veo la ip del nombre del dominio de la ruta UNC  \\dominio.local\sysvol\... ) que no le pertoca, porque ENTIENDO que debería descargarlo de su domain controler configurado por su site, al igual que su LOGONSERVER, no?

    Estoy equivocado? las políticas se deben descargar de un DC que tenga configurado un site o funciona de forma diferente como cuando das de alta un equipo que lo da en el DC que responda mas rápido?

    Alguna información?

    Muchas gracias!

    miércoles, 4 de enero de 2017 0:00

Respuestas

  • Detalla qué Sitios haz creado (cambia si quieres el nombre que no hay problemas), qué redes haz asignado a cada uno, y cada "Site Links" qué Sitios conecta

    Hay toda una discusión sobre si un sitio geográfico que no tenga DC se debe crear el Sitio o no

    El tema de qué DC toma el cliente si no hay local, eso sí está basado en el "Costo" de Link, y además determina cómo replicarán los DCs

    No tengo tiempo ahora de leer todo el enlace que pones, pero cuidado que han dando vuelta desde el principio del tema (W2000) documentaciones erróneas. El costo es sólo una preferencia administrativa, no tiene relación con ancho de banda ni latencia, ni tipo de enlace físico

    Cambiar el "Priority" y "Weight" de los registros de los DCs no suele ser una solución

    Trata de poner la info que puse al principio a ver si encontramos el problema

     


    Guillermo Delprato
    Buenos Aires, Argentina
    El Blog de los paso a paso

    MVP - MCSE - MCSA2012
    MCITP: Enterprise Administrator / Server Administrator
    MCTS: Active Directory/Network Configuration/Applications Configuration/Server Virtualization/Windows 7 Configuration/Windows 7 & Office 2010 Deployment/Vista Configuration

    Este mensaje se proporciona "como está" sin garantías de ninguna clase. Usted asume todos los riesgos.

    • Propuesto como respuesta Moderador M miércoles, 4 de enero de 2017 16:11
    • Marcado como respuesta Moderador M miércoles, 11 de enero de 2017 18:00
    miércoles, 4 de enero de 2017 11:04
    Moderador

Todas las respuestas

  • Hola Marc MA, las GPOs se descargan desde el DC que hace la autenticación y con el cual el cliente arma un canal seguro de comunicación

    Por lo tanto debería ser el mismo DC que puedes ver en la variable %LOGONSERVER%

    Si tienes creada una infraestructura de Sitios, porque la red está distribuida entre diferente sitios geográficos, o con baja conectividad, entonces lo que hay que revisar si esto está correctamente definido

    Específicamente:
    - Si están creados todos los Sitios
    - Si están correctamente asignadas las Subredes a cada Sitio
    - Si los Enlaces de Sitios conectan a los correspondientes, y no tienen agregados otros que no correspondan

    Por si te sirve de ayuda, revisa el siguiente enlace:

    Configurando Sites (Sitios) en Active Directory | WindowServer:
    https://windowserver.wordpress.com/2013/02/08/configurando-sites-sitios-en-active-directory/

     


    Guillermo Delprato
    Buenos Aires, Argentina
    El Blog de los paso a paso

    MVP - MCSE - MCSA2012
    MCITP: Enterprise Administrator / Server Administrator
    MCTS: Active Directory/Network Configuration/Applications Configuration/Server Virtualization/Windows 7 Configuration/Windows 7 & Office 2010 Deployment/Vista Configuration

    Este mensaje se proporciona "como está" sin garantías de ninguna clase. Usted asume todos los riesgos.

    miércoles, 4 de enero de 2017 10:29
    Moderador
  • Buenas Guillermo!

    Conozco tu blog, grande!! ;)

    Mira, en teoria todo esta bien. He encontrado info que dice que se calcula el coste en base a unos algoritmos y que si es demasiado alto puede saltar a otro dc que no este es su site, igual me equivoco per he entendido esto aquí:

    https://technet.microsoft.com/en-us/library/cc978016.aspx

    Mi pregunta nueva(o suposicion) es la siguiente, igual la sabes, dado que para encontrar un PC cuando inicia sesion en un dominio utilitza el registro del DNS _LDAP._TCP.dc._msdcs.nombreDominio, si yo disminuyo la prioridad de ese registro en el DNS(por ejemplo le pongo 50 y los demas que esten a 0), seria el ultimo en resolver para descargar politicas no?

    miércoles, 4 de enero de 2017 10:44
  • Detalla qué Sitios haz creado (cambia si quieres el nombre que no hay problemas), qué redes haz asignado a cada uno, y cada "Site Links" qué Sitios conecta

    Hay toda una discusión sobre si un sitio geográfico que no tenga DC se debe crear el Sitio o no

    El tema de qué DC toma el cliente si no hay local, eso sí está basado en el "Costo" de Link, y además determina cómo replicarán los DCs

    No tengo tiempo ahora de leer todo el enlace que pones, pero cuidado que han dando vuelta desde el principio del tema (W2000) documentaciones erróneas. El costo es sólo una preferencia administrativa, no tiene relación con ancho de banda ni latencia, ni tipo de enlace físico

    Cambiar el "Priority" y "Weight" de los registros de los DCs no suele ser una solución

    Trata de poner la info que puse al principio a ver si encontramos el problema

     


    Guillermo Delprato
    Buenos Aires, Argentina
    El Blog de los paso a paso

    MVP - MCSE - MCSA2012
    MCITP: Enterprise Administrator / Server Administrator
    MCTS: Active Directory/Network Configuration/Applications Configuration/Server Virtualization/Windows 7 Configuration/Windows 7 & Office 2010 Deployment/Vista Configuration

    Este mensaje se proporciona "como está" sin garantías de ninguna clase. Usted asume todos los riesgos.

    • Propuesto como respuesta Moderador M miércoles, 4 de enero de 2017 16:11
    • Marcado como respuesta Moderador M miércoles, 11 de enero de 2017 18:00
    miércoles, 4 de enero de 2017 11:04
    Moderador