4.Verificacion de politicas con GPO tool


 
Como sabemos la GPO se compone de la GPC y la GPT. No hay que olvidar que GPC replica con AD y GPT replica con FRS. Podremos comprobar aquí  las versiones de GPT y GPC y lo hacemos verificando el numero de version con los comandos abajo detallados. En función de los resultados podemos provocar la reevaluación con secedit y/o forzar la réplica si es necesario del FRS con ntfrsutl ( lo que en 2008 ha pasado a ser con DFSR, dfsrdiag) para la parte del gpt.



Si lanzamos la tool de verficiacion de políticas para todos los DC de nuestro dominio podremos verificar si todo está ok en ellas y si replican correctamente. En nuestro caso las políticas se están replicando por dos lados, por el AD se replica la parte de GPC (Group Policy Container) y por el NTFRS se replica la parte de GPT o Template (sysvol):



GPC está almacenada en el siguiente directorio del AD y se replica por "AD replication" a todos los DC: 


Midominio.com\System\Policies\{FGR32-2F244.....}
 

GPT está en el Sysvol : ( ojo con los permisos de ésta carpeta y sus hijas (checkacl en gpotool)). Esta se replica por el FRS (or DFS-R) y se replica también a todos los DC.


SYSVOL\midominio.com\SYSVOL\Policies\{FGR32-2F244.....}


Una política de grupo no aplicará a ningún equipo ni usuario si no se sincronizan ambas versiones


GPC almacena su numero de version en el atributo “Version Number” que encaja con el “Version Number” almacenado en el GPT.ini del GPT.


Por ejemplo GPC(23) and GPT(24) indica Version Mismatch ya que el gpt.ini no contiene el mismo número de versión que el “Version number” del GPC. Por ello debemos esperar a que sincronice o sino, forzarlo.


Con la GPOtool observamos si todos los elementos devuelven OK indicando que están sincronizados para cada política en cada DC de nuestro dominio.


gpotool /checkacl /verbose > c:\gporesults.txt



Por ultimo podría interesarnos en este punto forzar las réplicas de AD o de FRS:


#Forzamos replica AD

Repadmin /syncall /Aped


#Forzamos replica de FRS

ntfrsutl.exe forcerepl  DestinationDC /r "Domain System Volume (SYSVOL share)" /p  DCOrigen.midominio.com

Comentarios

Publicar un comentario

Entradas populares de este blog

10. Eliminacion de metadatos en Directorio Activo.

En un DC del AD y con el administrador del dominio, ejecutamos los siguientes comandos: ntdsutil metadata cleanup connections connect to DCx                #debemos conectar a otro DC distinto al que queremos eliminar    select operation target    list domains    select domain x                  #dominio del miembro que estoy quitando    list sites    select site x                        #site del miembro que estoy quitando    list servers in site    select server x                    #donde server es el dc que nos ha caido y queremos borrar todo rastro    quit  metada...
Leer más

5. Test con NetDiag a nivel de Red y conexiones.

Netdiag nos ofrece una batería de test de red, en la que testeamos la habilidad de los servidores para operar como por ejemplo el NIC binding ( el orden en el que Windows carga los NICs y cual pone como primario) así como las capacidades Lan/Wan. ¿Qué chequea NETDIAG? Básicamente estas 6 cosas.  Conexión entre servidores Tuneles VPN en la Wan Problemas DNS NIC Binding IPSEC Winsock   LDAP entre DCs. Netdiag /v > c:\netdiag.txt   # con ello lanzamos los test anteriormente descritos El comando arriba indicado lanza todos los test completos , pero se pueden lanzar por separado con  netdiag /test: X    #donde X seria cualquiera de los siguientes Ndis - Netcard queries Test IpConfig - IP config Test Member - Domain membership Test NetBTTransports - NetBT transports Test Autonet - Autonet address Test IpLoopBk - IP loopback ping Test DefGw - Default gateway Test NbtNm - NetBT name Test WINS - WIN...
Leer más

7.NTP Servers en dominios Microsoft. Chequeos con w32tm y Net Time.

Equipos cliente En la variable de registro siguiente tenemos el setting para el Time Service de nuestros clientes HKLM\SYSTEM\CurrentControlSet\Services\W32Time\Parameters . El valor Type, debe ser en cualquier máquina de nuestro dominio NT5DS y significa que nuestra maquina (sea cliente o servidor miembro, o incluso DC) está cogiendo el tiempo de nuestra jerarquía de dominio, entregado por el PDC Emulator. Si eso no ocurre, haremos lo siguiente, que es básicamente, resetear el Servicio de tiempo en esa máquina que tiene mal dicho servicio. Esto mismo que vamos a hacer es válido en otras situaciones, como por ejemplo, ante un fallo de kerberos el cual se apoya en él (event id 4 o 5) . net stop w32time w32tm /unregister w32tm /register net start w32time Con ello debe haber puesto el valor a NT5DS. Nota: Si encontramos NTPServer en este valor, puede ser porque aún no lo ha cambiado y antes de estar en el dominio lo tenía puesto. Con los comandos de arriba...
Leer más