Hola,
A raíz de la proliferación de entornos de teletrabajo, muchos administradores de sistemas con Directorio Activo, están encontrando situaciones que no les eran comunes hasta ahora.
La instalación de software o lanzado de scripts de Log-in no está funcionando vía GPO, dado que habitualmente, los equipos iniciados fuera de la Lan, no ven a los controladores de dominio, hasta que iniciamos sesión en Windows e iniciamos la conexión VPN.
Esto no sería así, si tuviésemos IPSEC, Direct Access o accesos VPN Always on, pero no es algo común de encontrar.
Habilitación de DirectAccess | Microsoft Docs
Comportamiento
Por definición, y aunque no está popularizado este conocimiento, las gpos se procesan cada 90 minutos con una diferencia aleatoria de 30 minutos. Por lo que podemos decir, que todas las gpos que no se han procesado al estar el equipo conectado a la red en el inicio, finalmente se procesan, si el equipo permanece conectado a la VPN. Esto viene a ser igual, en cuanto a las GPOS con opciones de usuario.
Tenéis información sobre procesamiento Síncrono y Asíncrono y sobre el proceso de refresco aquí:
RefreshPolicy function (userenv.h) - Win32 apps | Microsoft Docs
Initial Processing of Group Policy | Microsoft Docs
Logon Optimization | Microsoft Docs
Actualizar la directiva de grupo | Microsoft Docs
Excepciones
Instalación de software, Scripts de logon y redirección de carpetas.
Lo dicho anteriormente es cierto, aunque es bien cierto también, que no todas las opciones configuradas en las GPOS se aplican cada 90 minutos. "Folder Redirection" por ejemplo, o la aplicación de Scripts de logon e instalación de software vía GPO, en las opciones de GPO por equipo, no se aplicarán nunca si el equipo no alcanza a los controladores de dominio en el arranque del sistema operativo. En cuanto a estas opciones lanzadas por usuario, si no se alcanzan los DCs tras la introducción de las credenciales.
Conectividades lentas
Aun con todo lo comentado, todo equipo conectado por VPN tendrá una conexión considerada lenta si esta ofrece 500kbps. Esta consideración es la que encontramos por defecto, aunque permite ser cambiada.
La política en cuestión, la podéis encontrar en las opciones por equipo:
Policies\Adminsitrative Templates\System\Group Policy
Con nombre: Configure Group Policy slow link detection . Podréis variar la consideración entre 0 y 4.294.967.200 kbps. Si configuráis la cifra 0 desactivaréis la consideración de Slow Link.
La consideración lenta, también puede determinarse por otras situaciones a pesar de tener más de 500kbp, por ejemplo serían estas:
- Slow-link mode: Determinación de latencia según path. (“Configure slow-link mode” policy on Vista for Offline Files | Microsoft Docs)
- Tiempo de espera: Control Slow Network Connection 120 milisegundos (GPS: Control slow network connection timeout for user profiles (gpsearch.azurewebsites.net)
- PingBufferSize: Algoritmo por cierto que ha varia en Windows Server 2019 y versiones superiores a Windows 10 1809. (https://docs.microsoft.com/en-us/troubleshoot/windows-server/user-profiles-and-logon/manage-profile-service-slow-link-detection#how-slow-link-detection-works-in-current-operating-systems)
La consideración de conexión lenta según PingBufferSize, ha variado según versión de Windows:
- Windows Server 2019 and Windows 10 1809: KB 4601383, February 16, 2021-KB4601383 (OS Build 17763.1790) Preview
- Windows 10 1909: KB 4601380, February 16, 2021—KB4601380 (OS Build 18363.1411) Preview
- Windows 10 20H1/20H2: KB 4601382, February 24, 2021—KB4601382 (OS Builds 19041.844 and 19042.844) Preview
También, podéis cambiar el comportamiento de conexión lenta a través de las siguientes opciones en GPO:
GPS: Wait for remote user profile (gpsearch.azurewebsites.net)
GPS: Prompt user when a slow network connection is detected (gpsearch.azurewebsites.net)
Diagnóstico de conexiones lentas
A modo de diagnóstico. El evento que veréis cuando no podremos por ejemplo aplicar un Roaming profile es el siguiente:
Log Name: Application
Source: Microsoft-Windows-User Profiles Service
Event ID:1543
Y por ejemplo, el aviso que un usuario verán en perfiles móviles dirá lo siguiente:
Your roaming profile isn't synchronized with the server because a slow network connection is detected. You've been signed in with a local profile.
Más información la podéis encontrar aquí: https://docs.microsoft.com/en-us/troubleshoot/windows-server/user-profiles-and-logon/manage-profile-service-slow-link-detection#settings-that-control-slow-link-detection
Slow Link Mode - Archivos Offline
Event ID=1004
Description: Path \server\share$ transitioned to slow link with latency = 81 and bandwidth = 258888
“Configure slow-link mode” policy on Vista for Offline Files | Microsoft Docs
Las opciones de las directivas de grupo no aplicará en conexiones Slow Link son las siguientes:
COMPONENTE | FORZADO (Push) |
Deployed Printer Connections | No |
Disk Quotas | No |
Folder Redirection | No |
Scripts | No |
Software Installation | No |
No hay comentarios:
Publicar un comentario