Jump to content

Server 2012 R2: Domainjoin klappt nur halb


Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Empfohlene Beiträge

Hallo zusammen,

 

ich habe hier ein Problem, bei dem ich nicht weiterkomme. Es geht um einen Domainjoin eines Server 2012 R2 in eine Domain (beide DCs sind ebenfalls 2012 R2).

Der Join wird bearbeitet bis folgende Meldung erscheint:

 

Changing the Primary Domain DNS name of this computer to "" failed.
The name will remain "domain.lan".
The error was:

The RPC server is unavailable.

 

Anschließend kommt die Meldung "Welcome to Domain blabla, bitte Reboot, danke". Nach dem Reboot funktioniert die Anmeldung mit einem Domainuser nicht, folgende Meldung taucht auf:

"The security database on the server does not have a computer account for this workstation."

 

Was ich bereits geprüft habe:

 

- Uhrzeit auf beiden Systemen ist synchron

- DNS Lookup funktioniert in beide Richtungen (Server <> DC) einwandfrei

- Test-ComputerSecureChannel -Verbose (auf dem Server): The secure channel between the local computer and the domain domain.lan is in good condition.

- Aufruf von \\domain.lan\ mittels Explorer funktioniert, nachdem ich Domainadmin-Credentials angebe.

 

Das AD-Computerobjekt wird angelegt, allerdings fehlen zwei Attribute, die ja folgende Inhalte haben sollten:

 

dNSHostName:
server.mydomainname.local

 

servicePrincipalName:
HOST/SERVER
HOST/server.mydomainname.local
RestrictedKrbHost/SERVER
RestrictedKrbHost/server.mydomainname.local
TERMSRV/SERVER
TERMSRV/server.mydomainname.local

 

Stattdessen sieht es so aus:

 

DNSHostName                          :

ServicePrincipalNames                : {}

 

Was ich noch gemacht habe ist ein Mitschnitt des Domainjoins auf beiden Seiten mittels Wireshark, den ich mir aber erst noch anschauen muss.

Hat einer von Euch noch eine Idee, woran das liegen könnte? Sollten Infos fehlen, reiche ich die selbstverständlich nach. :)

 

Danke und Gruß

Stibo

Link zu diesem Kommentar

Hallo zahni,

 

ich habe mich wohl b***d ausgedrückt: es sind bislang zwei DCs sowie 10 Memberserver. Ich will nun einen weiteren Server als Domainmember mit aufnehmen.

 

DC1:

Windows IP Configuration

   Host Name . . . . . . . . . . . . : wvdomaindc01
   Primary Dns Suffix  . . . . . . . : domain.lan
   Node Type . . . . . . . . . . . . : Hybrid
   IP Routing Enabled. . . . . . . . : No
   WINS Proxy Enabled. . . . . . . . : No
   DNS Suffix Search List. . . . . . : domain.lan
                                       gruppe1.de
                                       gruppe1.local

Ethernet adapter Ethernet:

   Connection-specific DNS Suffix  . : domain.lan
   Description . . . . . . . . . . . : vmxnet3 Ethernet Adapter
   Physical Address. . . . . . . . . : 00-50-56-BB-06-CD
   DHCP Enabled. . . . . . . . . . . : No
   Autoconfiguration Enabled . . . . : Yes
   IPv4 Address. . . . . . . . . . . : 172.18.249.131(Preferred)
   Subnet Mask . . . . . . . . . . . : 255.255.255.240
   Default Gateway . . . . . . . . . : 172.18.249.129
   DNS Servers . . . . . . . . . . . : 172.18.249.132
                                       172.18.249.131
                                       172.18.249.1
                                       172.18.249.2
                                       127.0.0.1
   NetBIOS over Tcpip. . . . . . . . : Enabled

 

DC2:

Windows IP Configuration

   Host Name . . . . . . . . . . . . : wvdomaindc02
   Primary Dns Suffix  . . . . . . . : domain.lan
   Node Type . . . . . . . . . . . . : Hybrid
   IP Routing Enabled. . . . . . . . : No
   WINS Proxy Enabled. . . . . . . . : No
   DNS Suffix Search List. . . . . . : domain.lan
                                       gruppe1.de
                                       gruppe1.local

Ethernet adapter Ethernet:

   Connection-specific DNS Suffix  . : domain.lan
   Description . . . . . . . . . . . : vmxnet3 Ethernet Adapter
   Physical Address. . . . . . . . . : 00-50-56-BB-5A-FD
   DHCP Enabled. . . . . . . . . . . : No
   Autoconfiguration Enabled . . . . : Yes
   IPv4 Address. . . . . . . . . . . : 172.18.249.132(Preferred)
   Subnet Mask . . . . . . . . . . . : 255.255.255.240
   Default Gateway . . . . . . . . . : 172.18.249.129
   DNS Servers . . . . . . . . . . . : 172.18.249.131
                                       172.18.249.132
                                       172.18.249.1
                                       172.18.249.2
                                       127.0.0.1
   NetBIOS over Tcpip. . . . . . . . : Enabled

 

Memberserver:

Windows IP Configuration

   Host Name . . . . . . . . . . . . : wveaprxkp01
   Primary Dns Suffix  . . . . . . . : domain.lan
   Node Type . . . . . . . . . . . . : Hybrid
   IP Routing Enabled. . . . . . . . : No
   WINS Proxy Enabled. . . . . . . . : No
   DNS Suffix Search List. . . . . . : domain.lan
                                       gruppe1.de
                                       gruppe1.local

Ethernet adapter LAN-01:

   Connection-specific DNS Suffix  . :
   Description . . . . . . . . . . . : vmxnet3 Ethernet Adapter
   Physical Address. . . . . . . . . : 00-50-56-BB-68-27
   DHCP Enabled. . . . . . . . . . . : No
   Autoconfiguration Enabled . . . . : Yes
   IPv4 Address. . . . . . . . . . . : 172.18.251.1(Preferred)
   Subnet Mask . . . . . . . . . . . : 255.255.255.224
   Default Gateway . . . . . . . . . : 172.18.251.29
   DNS Servers . . . . . . . . . . . : 172.18.249.131
                                       172.18.249.132
                                       172.25.156.1
                                       172.25.156.2
                                       172.25.2.235
   NetBIOS over Tcpip. . . . . . . . : Enabled

Link zu diesem Kommentar
vor 18 Minuten schrieb zahni:

Ich stolpere gerade  über  "domain.lan" und "mydomainname.local"? Ansonsten auf den vorhandenen DC1 mal ein gepflegtes DCDIAG ausführen. Ist auf den Maschinen die Windows Firewall aktiv? Richtig konfiguriert?

Synchronisieren alle DNS-Server miteinander? Sind das alles Windows-DNS-Server?

 

domain.lan ist der anonymisierte Domainname unserer Domain; das mydomainname.local im ersten Beitrag war von einer Seite kopiert, bei der die Attribute samt Inhalt gelistet sind.

 

DCDIAG meldet "passed test" bei allen Tests. Die Windows Firewall ist an und die Standardeinträge für Active Directory sind konfiguriert (die, die nach der Installation systemseitig angelegt werden).

 

DNS ist ein wenig komplexer, es gibt die Mutterdomain (gruppe1.de) und eine weitere Domain (domain.lan). Leider ist hier kein Trust konfiguriert, sondern es werden nur bestimmte Gruppen/User/Attribute mittels einer Software von Novell synchronisiert. DNS ist in domain.lan so konfiguriert, dass domain.lan die Active Directory-integrierte Domain ist, gruppe1.de & gruppe1.local werden als Secondary nur synchronisiert, damit die Namensauflösung zu gruppe1.de/.local funktioniert. Ja, alle DNS-Server sind windowsbasiert.

 

@testperson: Das sind DNS-Server aus gruppe1.de, die in domain.lan hinterlegt sind ("allow zone transfer" z.B.).

 

 

Dier Firewalls zwischen den Netzen sind konfiguriert und erlauben folgende Ports:

 

tcp 135, 137, 138, 139, 445

 

Was mich halt so wundert ist die Tatsache, dass es bei anderen Servern funktioniert hat, die ebenfalls in anderen Subnetzen beheimatet sind.

bearbeitet von Stibo
Link zu diesem Kommentar

Bitte konfiguriere nur "Deine" DNS-Server in den Netzwerkeinstellungen. Für die anderen DNS-Server musst Du ein Deinen DNS-Servern eine Weiterleitung einrichten.

 

PS: Und die zusätzlichen DNS-Suffixe dürften auf den DCs überflüssig sein. Die werden nur von der Servern und Clients benötigt, die tatsächlich eine Namesauflösung in diesen Domänen machen müssen.

 

bearbeitet von zahni
Link zu diesem Kommentar
vor 16 Minuten schrieb Stibo:

Dier Firewalls zwischen den Netzen sind konfiguriert und erlauben folgende Ports:

 

tcp 135, 137, 138, 139, 445

Vergleich das doch mal mit diesem Dokument: https://docs.microsoft.com/en-us/troubleshoot/windows-server/identity/config-firewall-for-ad-domains-and-trusts

 

Zu den weiteren DNS Servern: Siehe @zahnis Antwort über mir. :)

Link zu diesem Kommentar
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Schreibe einen Kommentar

Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.

Gast
Auf dieses Thema antworten...

×   Du hast formatierten Text eingefügt.   Formatierung jetzt entfernen

  Only 75 emoji are allowed.

×   Dein Link wurde automatisch eingebettet.   Einbetten rückgängig machen und als Link darstellen

×   Dein vorheriger Inhalt wurde wiederhergestellt.   Editor-Fenster leeren

×   Du kannst Bilder nicht direkt einfügen. Lade Bilder hoch oder lade sie von einer URL.

×
×
  • Neu erstellen...