none
GPO no actualizan PCs en localidades remotas RRS feed

  • Pregunta

  • Estoy teneindo problemas con las GPOs que no estan actualizando las PCs en sitios remotos pero funcionan correctamente en la localidad principal.

    Mi dominio xx.domain.local es parte de un forest donde el DC server localizado en la oficina xx tiene los roles FSMO del dominio xx.  Las PCs en esa oficina no tienen problemas ejecutando las GPOs.  Favor tomar en cuenta que los roles Schema Master y Domain naming master estan localizados en un DC en el dominio domain.local que se encuentra en la oficina corporativa en otro pais.  La oficina xx tiene varias localidades remotas: algunas con DC server y otras sin DC servers.  El problema está con las GPOs que no estan corriendo en las PCs ni en los servers de las oficinas remotas del dominio xx.domain.local que estan directamente conectadas con enlaces de data WAN a la oficina xx.   Despues de mucho troubleshooting he decubierto que debido a una limitante con la configuración de los routers, no hay comunicación desde las oficinas remotas del dominio xx.domain.local hasta el DC con los roles master en la oficina corporativa del dominio domain.local.  Aunque todo el dominio funciona correctamente en terminos de compartición de recursos y administración de cuentas, me interesa que alguien me confirme si es necesario que haya comunición entre las PCs en las oficinas remotas (o en su defecto en cualquier oficina) con el DC con los roles master para que puedan ejecutarse las GPOs en esas oficinas? o si por el contrario hay alguna manera de habilitar los GPOs en esas oficinas manteniendo esta limitante de comunicación con la oficina corporativa.  OJO:  la comunicación entre la oficina xx y la corporativa funciona correctamente, por eso en la oficina xx no hay problemas con los GPOs.

    Entiendo que la solución fácil es arreglar el problema de comunicación pero el administrador de la red corporativa está dejando esto como última opción por un tema de seguridad. 

    Distribución de Roles del Dominio:

    domain.local

          Schema Master

          Domain naming master

    xx.domain.local

         Infrastructure Master

        Relative ID (RID) Master

        PDC Emulator

    viernes, 1 de junio de 2012 17:00

Respuestas

  • Con respecto al tema de contactar algún FSMO ten en cuenta lo siguiente: cuando se crea/edita una GPO, no importa desde dónde lo hagas se hace en el "Emulador PDC".
    Pero luego, y si todo anda bien, se replica al resto de los DCs, habría que revisar si la replicación está funcionando correctamente entre los DCs.

    Algún dato más, cuando un usuario al que no le aplica las GPOs inicia sesión, ejecuta el comando SET y controla el valor de "logonserver". Eso indica el DC que lo autenticó

    Algo más, desde el cliente con problemas puedes ver con GPRESULT un informe de las GPOs aplicadas y bastante más info

    Y todavía algo más, desde un DC con el Administrador de directivas de grupo, en modo "modeling" controlar que el cliente esté recibiendo las GPOs que corresponden y si hay eventos relacionados a errores en las mismas

     


    Guillermo Delprato - Buenos Aires, Argentina
    Visite Notas Windows Server
    MVP - MCT - MCSE - MCSA
    MCITP: Enterprise Administrator / Server Administrator
    MCTS: Active Directory/Network Configuration/Applications Configuration/Server Virtualization/Windows 7 Configuration/Windows 7 & Office 2010 Deployment/Vista Configuration
    Este mensaje se proporciona "como está" sin garantías de ninguna clase. Usted asume todos los riesgos.

    • Marcado como respuesta Uriel Almendra martes, 3 de septiembre de 2013 21:00
    miércoles, 6 de junio de 2012 19:09
    Moderador

Todas las respuestas

  • Hola Peter, te confirmo, para aplicar las GPOs no se necesita contactar a DCs que tengan los FSMO Roles

    El problema seguramente viene por otro lado, es que está detectando "red lenta" y por eso hay configuraciones que no aplica

    En una GPO que no aplique revisa Computer Configuration \ Policies (si es W2008) \ Administrative Templates \ System \ Group Policy \ Group Policy Slow Link Detection
    Es es lugar se establece "cuánto es red lenta" (valor por omisión 500kbps) que eventualmente puedes modificar

    Y luego en las extensiones, por ejemplo, "Scripts policy processing" tienes para marcar si procesará dicha extensión aún si la red es lenta

    Es preferible modicar lo segundo, y no lo primero (Slow Link Detection)

     


    Guillermo Delprato - Buenos Aires, Argentina
    Visite Notas Windows Server
    MVP - MCT - MCSE - MCSA
    MCITP: Enterprise Administrator / Server Administrator
    MCTS: Active Directory/Network Configuration/Applications Configuration/Server Virtualization/Windows 7 Configuration/Windows 7 & Office 2010 Deployment/Vista Configuration
    Este mensaje se proporciona "como está" sin garantías de ninguna clase. Usted asume todos los riesgos.

    viernes, 1 de junio de 2012 19:18
    Moderador
  • Hola Guillermo,

    Aparentemente hay algo mas por ahi que está faltando para la aplicación correcta de las GPOs en esas localidades remotas.  Hice los cambios que me indicaste para GPOs que estan para aplicarse en computadoras de varios sitios remotos y aun no se pueden actualizar.  Incluso le bajé el valor "Sollw Link Detection" a 0 y aun así no me funciona.

    Pude reproducir el problema en la oficina xx sacando de servicio la linea WAN que conecta con las oficinas corporativas del domain.local por lo que aun me queda la duda de si es necesario o no que haya comunicación con el server que tiene los roles master FSMO en los headquarters.

    Avisame si se te ocurre alguna idea.

    Gracias por tu ayuda.

    P.Caba


    Pedro Caba

    miércoles, 6 de junio de 2012 13:45
  • Con respecto al tema de contactar algún FSMO ten en cuenta lo siguiente: cuando se crea/edita una GPO, no importa desde dónde lo hagas se hace en el "Emulador PDC".
    Pero luego, y si todo anda bien, se replica al resto de los DCs, habría que revisar si la replicación está funcionando correctamente entre los DCs.

    Algún dato más, cuando un usuario al que no le aplica las GPOs inicia sesión, ejecuta el comando SET y controla el valor de "logonserver". Eso indica el DC que lo autenticó

    Algo más, desde el cliente con problemas puedes ver con GPRESULT un informe de las GPOs aplicadas y bastante más info

    Y todavía algo más, desde un DC con el Administrador de directivas de grupo, en modo "modeling" controlar que el cliente esté recibiendo las GPOs que corresponden y si hay eventos relacionados a errores en las mismas

     


    Guillermo Delprato - Buenos Aires, Argentina
    Visite Notas Windows Server
    MVP - MCT - MCSE - MCSA
    MCITP: Enterprise Administrator / Server Administrator
    MCTS: Active Directory/Network Configuration/Applications Configuration/Server Virtualization/Windows 7 Configuration/Windows 7 & Office 2010 Deployment/Vista Configuration
    Este mensaje se proporciona "como está" sin garantías de ninguna clase. Usted asume todos los riesgos.

    • Marcado como respuesta Uriel Almendra martes, 3 de septiembre de 2013 21:00
    miércoles, 6 de junio de 2012 19:09
    Moderador