9.Problemas comunes. Resolucion.
Clientes que tardan mucho en validarse.
Suele deberse a una mala implementacion del DNS, bien en los servidores o en las estaciones de trabajo. Los DNS adecuados en un dominio son aquellos en los que el AD registra sus records necesarios para el correcto fucionamiento del mismo (SRV records). No es bueno poner a ningun DNS (el de un ISP) por ejemplo que no tenga estos SRV. Para DNS de zona integradas con AD esto debe ser así, para el resto de IP, usaremos reenviadores.
Politicas que no aplican ( o se aplican las politicas locales al no llegarles las de dominio)
Suele deberse tambien al mismo problema que en el punto anterior, por ello es critico el DNS y las zonas AD integradas, puede deberse a que el DC contra el que se loga el usuario no ha hecho el registro del SRV correcto. Si no se tratase de problemas con el DNS,con gporesult podemos ver un resumen de las politicas que le caen ( o bien en la gpmc.msc nos vamos al gpresult grafico). Una vez hecho esto si queremos forzarlas con gpupdate /force, y tambien es conveniente reiniciar el equipo para asegurarnos, shutdown -r.
Si seguimos teniendo problemas podemos provocar la reevaluacion de politicas cuando hay cambios en las GPO desde los DC ( incluyendo cambios en Sysvol) con
secdit /refreshpolicy user_policy /enforce, pudiendo sustituir user_policy por machine_policy si la politica que no llega es de computer.
Los DCs dejan de replicar o replican mal entre diferentes Sites para el mismo dominio.
Revisar con portqry el port 135 de TCP y que existe la resolucion DNS, así como que la sincronizacion horaria es correcta y revisar el EventViewer para averiguar algo mas si es necesario.
Revisar los Puertos bloqueados en Firewall del RPC : In a domain that consists of Windows Server® 2003–based domain controllers, the default dynamic port range is 1025 through 5000. Windows Server 2008 R2 and Windows Server 2008, in compliance with Internet Assigned Numbers Authority (IANA) recommendations, increased the dynamic port range for connections. The new default start port is 49152, and the new default end port is 65535. Therefore, you must increase the remote procedure call (RPC) port range in your firewalls. If you have a mixed domain environment that includes a Windows Server 2008 R2 and Windows Server 2008 server and Windows Server 2003, allow traffic through ports 1025 through 5000 and 49152 through 65535.
Los usuarios no inician sesion
Se necesita un DC que sea GC ¿? Desde 2003 no es estrictamente necesario, y más todavia si solo se tiene 1 dominio, pero entonces necesitas para ese DC que tenga habilitada la "Universal Membership Caching Group" y que haga logon a traves de dicho DC. Revisar el servicio de tiempo en el cliente y con la variable set observar contra que DC se logea.
Cae un DC que contiene un FSMO
No puedes levantar el DC, pero si puedes forzar el traspaso del rol (Seize). Eliminar tras ello toda referencia a dicho DC en el metadata cleanup desde ntdsutil (Ver entrada exclusiva de este procedimiento). Forzar replica de la nueva situacion con repadmin y verificar.
Comentarios
Publicar un comentario