Cuando te pones a activar el smartdefense en un firewall nuevo siempre aparecen «daños colaterales», en este caso algunas maquinas dejaron de aplicar las politicas de grupo (en nuestro caso son importantes, porque son las que se encargan de «capar» los equipos), por lo menos esta vez el log que dejaban las maquinas era, al menos, descriptivo y fue facil dar con el «culpable» y solucionarlo.
El error en cuestión es:
«Windows cannot obtain the domain controller name for your computer network. (An unexpected network error occurred. ). Group Policy processing aborted. «
Al hacer un gpforce /update (que no daba ningún error) este se ejecutaba sin decir nada,y si hacias un gpresult te decia que la pólitica había sido actualizada cambiando la fecha, sin embargo llegaba a aplicarla. Con nuestros usuarios es facil verlo, si carga la politica no ve nada salvo sus aplicaciones (ni siquiera su unidad local), sino las carga, lo ven todo como un usuario normal de xp.
Resulta que, para que los XP’s puedan actualizar la politica de grupo contra su correspondiente controlador de dominio lo primero que hace el cachondo para medir la velocidad de la red es empezar a tirar pings subiendo el tamaño del paquete.
Hay 2 reglas (del smartdefense) que joden la marrana:
Max ping Size Settings : Si lo tienes activado, al llegar la tamaño máximo (por defecto 548 bytes) lo empieza a denegar. No recuerdo exactamente hasta cuanto lo subí yo, al final opte por dejarlo en monitorización porque siempre me acababa tirando los paquetes, aunque, tal y como estan las cosas lo mismo hay que volver a activarlo si o si…
Block Null Payload ICMP Settings tambien bloquea ese tipo de paquetes asi que… monitorización al canto y solucionado.