Windows Problemas con AD y deployar GPOs

K3rnelpanic · 18 Febrero 2020

Señores y señoras, buen día.

Tengo el siguiente problema, a ver si alguien me ilumina :zippy

Digamos que empresa X tiene un dominio corriendo en un server 2008 R2. El dominio está corriendo en modo "Windows 2003". Tengo una OU con algunos computadores que varían entre W2000 (la weá vieja), W2003 y W2008. Hay una GPO base que está deployada por default y en la raíz del dominio por lo que es la GPO por defecto que los gobierna a todos.

Ahora, yo quiero aplicar otrao GPO en una OU en particular. La GPO la aplico mediante un grupo de seguridad que existe en la misma OU y al que pertenecen los computers específicos a los que les quiero aplicar la GPO. Esta se aplica sin problemas en los W2008 (con gpresult veo que está aplicada al computer), sin embargo, no logro hacer que los p*tos W2003 reconozcan esta GPO.

Ahora, ¿a alguno de ustedes les ha pasado?, tienen algún tip?

Zuljin · 18 Febrero 2020

Mi colega me dice lo siguiente (textual):

Por la versión del AD deben subir la compatibilidad del AD y forest a Windows 2003 o 2008 R2 y luego probar el nivel funcional. Aún está en 2000 y la compatibilidad es muy vieja, quizás por ahí pasa el tema de que las gpo no se apliquen.

K3rnelpanic · 18 Febrero 2020

Zuljin dijo:
Mi colega me dice lo siguiente (textual):

Por la versión del AD deben subir la compatibilidad del AD y forest a Windows 2003 o 2008 R2 y luego probar el nivel funcional. Aún está en 2000 y la compatibilidad es muy vieja, quizás por ahí pasa el tema de que las gpo no se apliquen.

Pensaba lo mismo, pero estoy buscando algo que tirarles a los del área de "riesgo" para que dejen de mirarse el ombligo y hacerle el quite a subirle la compatibilidad al dominio.

K3rnelpanic · 18 Febrero 2020

Zuljin dijo:
Mi colega me dice lo siguiente (textual):

Por la versión del AD deben subir la compatibilidad del AD y forest a Windows 2003 o 2008 R2 y luego probar el nivel funcional. Aún está en 2000 y la compatibilidad es muy vieja, quizás por ahí pasa el tema de que las gpo no se apliquen.

-------------------- Update ---------------------

La funcionalidad del dominio efectivamente es 2003, debería funcionar pero no funciona.

Cosme · 18 Febrero 2020

Y que dice el log de las estaciones que no aplican el gpo?

si, el visor a veces sirve

silgarth · 18 Febrero 2020

la por defecto se aplica en todos sin problemas? a lo mejor está pisando lo que quieres hacer en la OU especifica? :dalomismo

K3rnelpanic · 18 Febrero 2020

silgarth dijo:
la por defecto se aplica en todos sin problemas? a lo mejor está pisando lo que quieres hacer en la OU especifica?

Si, la por defecto se aplica sin problemas. Probé incluso subiendo de prioridad mi GPO en la OU respectiva pero la porfiada no se aplica en los W2003. El server W2008 la recibe sin problemas

K3rnelpanic · 18 Febrero 2020

Update!

Por si les pasa, resulta que por políticas de redes se boqueó todo el ICMP hace millones de años atrás. Los servidores previos a Windows Server 2008 utilizaban paquetes ICMP para evaluar la conectividad hacia el controlador de dominio según este artículo de microsoft.
En el mismo artículo dice:

The Group Policy infrastructure performs a series of paired ICMP pings from the Group Policy client to the domain controller. The first ping contains a zero byte payload while the second ping contains a payload size of 2048 bytes. The results from both pings are computed and voila, we have the bandwidth estimation.However, using ICMP has some limitations.

Al romper la comunicación vía ICMP el equipo deja de confiar en la estabilidad de la red y no descarga ninguna política a pesar de tener sincronizada la hora, resolución de nombre, acceso a puertos LDAP. El log de eventos dice:

Windows cannot obtain the domain controller name for your computer network. (An unexpected network error ocurred). Group Policy processing aborted

No dejando nada de indicios de por qué no se sincroniza.

Ahora, por qué funcionaba en 2008 y no en 2003?, el mismo documento de microsoft indica que desde Windows Server 2008 en adelante cambiaron el método que usaba ICMP a otro distinto que ya no usa ese protocolo.

Ahora a esperar a que el área de redes me apruebe el filtro :risas

Gracias a @Cosme ,@Zuljin y @silgarth que se dieron el tiempo de leer esta molestia.

silgarth · 18 Febrero 2020

Al menos cachaste el pato xD a mi una vez me pasó algo parecido pero era 2012 r2 y era porque la default estaba pisando a la que quise implementar

Zuljin · 18 Febrero 2020

Puta madre que enredado.

K3rnelpanic · 18 Febrero 2020

Zuljin dijo:
Puta madre que enredado.

Horrible de enredado :zippy

Windows Problemas con AD y deployar GPOs

K3rnelpanic

non serviam

Zuljin

Fundador

K3rnelpanic

non serviam

K3rnelpanic

non serviam

Cosme

Gold Member

silgarth

Miembro Regular

K3rnelpanic

non serviam

K3rnelpanic

non serviam

silgarth

Miembro Regular

Zuljin

Fundador

K3rnelpanic

non serviam