Question

Buenos días, mi problema es el siguiente:

Actualmente ingresé a una empresa donde tiene una sede principal y 3 sedes secundarias conectadas a la principal por medio de VPN SITE TO SITE. Dentro de la sede principal se encuentra el controlador de dominio y allí todas las características relacionadas a el funciona correctamente incluyendo la aplicación de las directivas de grupo.

El lío radica en las sedes, allí se puede sacar un equipo del dominio y volverlo a ingresar, cambiar contraseñas, hay comunicación por ICMP y FQDN con el servidor, sin embargo las politicas GPO no se aplican. Ejemplo creo y configuro la politica para cambiar el wallpaper de todos los equipos y solo se aplica en la sede principal, y cuando intento forzar la GPO con gpupdate /force en los equipos de las sedes todos me arrojan lo siguiente:

EventID 1129 GroupPolicy : No se puede procesar la directiva de grupo debido a que no se puede conectar a un controlador de dominio a través de la red. Esta condición puede ser temporal. Se podría generar un mensaje  de operación correcta una vez que el equipo se conecte al controlador de dominio y la directiva de grupo se procese correctamente. Póngase en contacto con el administrador si no ve un mensaje de operación correcta en algún par de horas.

Event ID 40960 El sistema de seguridad detectó un error de autenticación del servidor ldap/svrmed002.electroferias.local. El codifo de error del protocolo de autenticación kerberos era "No es posible ponerse en contacto con ninguna autoridad para autenticación".

(0x80080311).

desde los clientes el servidor controlador de dominio responde bien tanto por FQDN e IP, NSLOOKUP tanto en clientes como servidor resuelven correctamente. 

No sé si el inconveniente es del controlador del dominio o de la VPN los equipos que utilizamos son Mikrotik. Acudo a ustedes porqué ya no se que hacer, no sé si la distribución de las GPO consumen mucho ancho de banda y se está quedando corto el canal, o talvez sea un tema de firewall en los mikrotik, no sabría que más puertos habilitar.

Agradezco toda la ayuda que me puedan brindar, quedo atento.

 

Comments

Una pregunta Michel, en la sucursal tienes controladores de dominio locales?

---

Gracias por responder.

No, las sedes son puntos de venta con máximo 7 equipos los cuales hacen las peticiones al controlador del dominio atraves del mikrotik que a su vez está enlazado con VPN site to site a la sede principal.

---

Gracias por responder.

No, las sedes son puntos de venta con máximo 7 equipos los cuales hacen las peticiones al controlador del dominio atraves del mikrotik que a su vez está enlazado con VPN site to site a la sede principa

Answer 1

Para poder aplicar las políticas, las máquinas de los usuarios deben poder resolver correctamente los registros del dominio mediante DNS. Ya que en las sucursales no tienes controladores de dominio local, las máquinas de los usuarios deben tener como DNS la dirección IP del controlador de dominio de la sucursal remota.

Para verificar que las máquinas puedan resolver correctamente, ejecuta desde el CMD en un cliente el comando nslookup y verifica que se conecte correctamente al controlador de dominio remoto mediante DNS.

Si esto está bien y la máquina está unida al dominio, intenta cargar una carpeta de manera remota para verificar que exista comunicación por medio de SMB.

Ejecuta desde el cliente \\NombreControladorDeDominio\

Esto te debe abrir la carpeta desde el cliente sin ningún problema.

Si todo esto funciona bien, verifica que la ruta a la que apunta la imagen en la política la puedas abrir correctamente desde el cliente.

Si alguno de los pasos no funciona, verifica entonces las reglas de tráfico de las VPN en el Mikrotik.

Nos comentas cuál era el problema.

Comments

Todo eso ya se hizo y todo cumple, lo unico que no sucede es la aplicación de las politicas como lo describe inicialmente.

Hoy hice un proceso para deshabilitar el Group Policy slow link detection, pero no he podido realizar pruebas más profundas.