(cross) (fyi) Aplicacion de politicas en enlaces lentos...

Para su informacion... pido disculpas por el cross

Escenario :

Oficina principal, con controladores de dominio. (mas de uno)
Oficina Sucursal : Estaciones clientes (no hay controladores de dominio)

Las sucursales para poder llegar a la principal, pasan por un firewall. (Diseño de red de esta empresa).

Cuando usted registra maquinas en el dominio, no hay ningun problema. Pero inmediatamente reinician las maquinas al registrarlas al dominio, nunca reciben ninguna politica, ni siquiera las de por defecto, cuando detectan conexion lenta.

Que pasa en ese momento, la maquina trae una configuracion por defecto de 500 Kbps, para conexiones lentas tanto de usuario como de maquina, el cliente al tratar de revisar si esta bajo una conexion lenta, envia 3 pings para sacar un promedio, el firewall desecha estos pings y ninguna politica le aplica.

Solucion facil, permitir que se puedan hacer pings de al menos 2048 bytes entre las sucursales y donde estan los controladores de dominio de la sucursal. Aunque hay un documento que explica como cambiar el tamano de ping, se presenta el mismo problema del huevo y la gallina que mas adelante explicare, (Pueden buscar en el Technet documentacion de como se procesan las politicas en enlaces lentos)

http://search.microsoft.com/results...oup+policy

Aclaro algo para las personas que leen kb, sin probar las soluciones, la red los servidores domain controllers son 2003 con sp1 y todos los parches hasta al fecha, los clientes son 2000 y Xp con todos los parches aplicados. El envio del hotfix sigue en espera del servicio premier, pero segun los articulos esto fue solucionado en lo que esta configurado en el dominio.

Asi se podra por lo menos aplicar las politicas basicas y podremos bajar el valor por defecto de 500 al que creamos conveniente, o dejarlo en cero (0) para que no hagan deteccion de conexion lenta por lo menos al primcipio. Aqui el problema que sucede es el dilema del huevo y la gallina, quien sucede primero, porque si configuramos la opcion para que se pase por ejemplo a cero (0) para que no haga deteccion de enlace lento en una politica, cuando esta en el valor por defecto, nuca recibira la politica, debido a que siempre detecta una conexion lenta antes de recibir la politica, y por el caso del firewall, nunca aplica la politica.

La solucion dificil es cambiar la llave de registro a mano en las estaciones de la sucursal, dejandolas a 0 en las llaves del registro tanto a nivel de usuario como de maquina, asi nunca usa deteccion de conexion lenta, pero cuando son varias las estaciones el proceso se hace no practico.

Estas son las llaves de registro

Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\System]
"GroupPolicyMinTransferRate"=dword:00000000

Windows Registry Editor Version 5.00
[HKEY_CURRENT_USER\Software\Policies\Microsoft\Windows\System]
"GroupPolicyMinTransferRate"=dword:00000000

Con una herramienta de cambiar llaves remotamente o script de VBScript, el cambio de la llave a nivel de maquina no es dificil, el dilema es al cambiar la llave de registro en las cuentas de usuario, ya que se debe cambiar por cada usuario que use la estacion, en HKEY USERS...

Podrian usar una herramienta de modificacion de registro remoto como Multi Remote Registry Change (en un buscador encontraran su enlace)...

Publico esto para informacion de los lectores por si les llega a suceder algunas vez, o notan que algunas maquinas no reciben politicas,,,

­-
Rodolfo Parrado Gutiérrez
https://mvp.support.microsoft.com/p...9d07ff1244
Bogotá - Colombia
­-
MVP Windows Server Security
MCT, MCSE, MCSA, MCDST, MCP+I
­-
Este mensaje se proporciona "como está" sin garantías de ninguna índole, y no otorga ningún derecho.
­-