Saltar a contenido

9. AWS: Troubleshooting de GPO en EC2

Objetivo

Diagnosticar y resolver problemas de aplicación de GPO en instancias EC2 unidas a dominio, siguiendo el checklist del 4.6.

Prerrequisitos

  • EC2 Windows Server/Client unido a dominio y un DC accesible.
  • RDP al equipo afectado y permisos para ejecutar herramientas (GPMC/RSAT donde aplique).
  • Puertos/seguridad AWS adecuados (DNS/LDAP/Kerberos/SMB).

Checklist rápido

1) gpupdate /force (según alcance: /target:computer|user). 2) gpresult /r y gpresult /h c:\temp\gpo.html para ver GPO aplicadas/denegadas y motivo. 3) rsop.msc para el conjunto resultante y CSE que fallan. 4) Visor de eventos → Microsoft → Windows → GroupPolicy/Operational (IDs y CSE). 5) GPMC en el DC: vínculo, orden, Enforced/Block Inheritance, Security Filtering, filtros WMI. 6) DNS/hora/conectividad con DC (NTP, nltest, ping, nslookup). 7) Replicación AD/SYSVOL (dcdiag, repadmin /replsummary).

Procedimiento guiado

  1. Ver alcance correcto
  2. ¿La config es de Equipo o de Usuario? ¿Se aplica donde corresponde? ¿Loopback activo? (Equipo → Sistema → Group Policy → Modo Loopback).
  3. Revisar herencia (LSDOU)
  4. GPMC → OU de destino → Linked GPOs: orden, si alguna está Enforced. Evitar vínculos a dominio salvo necesidad.
  5. Security Filtering y permisos
  6. La GPO requiere "Read" + "Apply group policy" para el objeto o su grupo. Ajustar en Delegation/Scope.
  7. Filtros WMI
  8. Validar consulta y que el equipo/usuario cumpla. Simplificar si causa exclusiones inesperadas.
  9. Eventos de CSE
  10. Drive Maps, Printers, AppLocker, Software Installation… leer eventos específicos y dependencias (UNC, permisos, AppIDSvc).
  11. DNS, hora y conectividad
  12. w32tm /query /status, zona DNS correcta, nltest /dsgetdc:DOMINIO, puertos abiertos en SG/NACL.
  13. Replicación y SYSVOL
  14. Esperar latencias o forzar; comprobar DFS-R en DCs.

Comandos útiles

gpupdate /force
gpresult /r
gpresult /h C:\temp\gpo.html
rsop.msc
w32tm /query /status
nltest /dsgetdc:contoso.local
repadmin /replsummary
dcdiag

Verificación

  • Tras ajustes: repetir gpupdate y revisar gpresult/rsop.msc.
  • Confirmar eventos sin errores en GroupPolicy/Operational.
  • Validar en varias EC2 (y distintas OUs) para descartar problemas de alcance.

Ver también