Server 2012 R2: Domainjoin klappt nur halb

[Stibo 17]

Hallo zusammen,

 

ich habe hier ein Problem, bei dem ich nicht weiterkomme. Es geht um einen Domainjoin eines Server 2012 R2 in eine Domain (beide DCs sind ebenfalls 2012 R2).

Der Join wird bearbeitet bis folgende Meldung erscheint:

 

Changing the Primary Domain DNS name of this computer to "" failed.
The name will remain "domain.lan".
The error was:

The RPC server is unavailable.

 

Anschließend kommt die Meldung "Welcome to Domain blabla, bitte Reboot, danke". Nach dem Reboot funktioniert die Anmeldung mit einem Domainuser nicht, folgende Meldung taucht auf:

"The security database on the server does not have a computer account for this workstation."

 

Was ich bereits geprüft habe:

 

- Uhrzeit auf beiden Systemen ist synchron

- DNS Lookup funktioniert in beide Richtungen (Server <> DC) einwandfrei

- Test-ComputerSecureChannel -Verbose (auf dem Server): The secure channel between the local computer and the domain domain.lan is in good condition.

- Aufruf von \\domain.lan\ mittels Explorer funktioniert, nachdem ich Domainadmin-Credentials angebe.

 

Das AD-Computerobjekt wird angelegt, allerdings fehlen zwei Attribute, die ja folgende Inhalte haben sollten:

 

dNSHostName:
server.mydomainname.local

 

servicePrincipalName:
HOST/SERVER
HOST/server.mydomainname.local
RestrictedKrbHost/SERVER
RestrictedKrbHost/server.mydomainname.local
TERMSRV/SERVER
TERMSRV/server.mydomainname.local

 

Stattdessen sieht es so aus:

 

DNSHostName                          :

ServicePrincipalNames                : {}

 

Was ich noch gemacht habe ist ein Mitschnitt des Domainjoins auf beiden Seiten mittels Wireshark, den ich mir aber erst noch anschauen muss.

Hat einer von Euch noch eine Idee, woran das liegen könnte? Sollten Infos fehlen, reiche ich die selbstverständlich nach. :)

 

Danke und Gruß

Stibo

[zahni 582]

Poste mal ipconfig /all vom alten und neuen DC. Du hast da nicht etwas irgendwelche Internet-DNS-Server  eingetragen?

 

[Nobbyaushb 1.562]

Ergänzend - ich habe mir angewöhnt, 1. feste IP-Adressen zu verwenden und 2.tens als 1te IPden "schnelleren" DC / DNS anzugeben

 

 

PS: war nicht neulich ein ähnlicher Thread, aber ging es um DC - dcpromo...

[Stibo 17]

Hallo zahni,

 

ich habe mich wohl b***d ausgedrückt: es sind bislang zwei DCs sowie 10 Memberserver. Ich will nun einen weiteren Server als Domainmember mit aufnehmen.

 

DC1:

Windows IP Configuration

   Host Name . . . . . . . . . . . . : wvdomaindc01
   Primary Dns Suffix  . . . . . . . : domain.lan
   Node Type . . . . . . . . . . . . : Hybrid
   IP Routing Enabled. . . . . . . . : No
   WINS Proxy Enabled. . . . . . . . : No
   DNS Suffix Search List. . . . . . : domain.lan
                                       gruppe1.de
                                       gruppe1.local

Ethernet adapter Ethernet:

   Connection-specific DNS Suffix  . : domain.lan
   Description . . . . . . . . . . . : vmxnet3 Ethernet Adapter
   Physical Address. . . . . . . . . : 00-50-56-BB-06-CD
   DHCP Enabled. . . . . . . . . . . : No
   Autoconfiguration Enabled . . . . : Yes
   IPv4 Address. . . . . . . . . . . : 172.18.249.131(Preferred)
   Subnet Mask . . . . . . . . . . . : 255.255.255.240
   Default Gateway . . . . . . . . . : 172.18.249.129
   DNS Servers . . . . . . . . . . . : 172.18.249.132
                                       172.18.249.131
                                       172.18.249.1
                                       172.18.249.2
                                       127.0.0.1
   NetBIOS over Tcpip. . . . . . . . : Enabled

 

DC2:

Windows IP Configuration

   Host Name . . . . . . . . . . . . : wvdomaindc02
   Primary Dns Suffix  . . . . . . . : domain.lan
   Node Type . . . . . . . . . . . . : Hybrid
   IP Routing Enabled. . . . . . . . : No
   WINS Proxy Enabled. . . . . . . . : No
   DNS Suffix Search List. . . . . . : domain.lan
                                       gruppe1.de
                                       gruppe1.local

Ethernet adapter Ethernet:

   Connection-specific DNS Suffix  . : domain.lan
   Description . . . . . . . . . . . : vmxnet3 Ethernet Adapter
   Physical Address. . . . . . . . . : 00-50-56-BB-5A-FD
   DHCP Enabled. . . . . . . . . . . : No
   Autoconfiguration Enabled . . . . : Yes
   IPv4 Address. . . . . . . . . . . : 172.18.249.132(Preferred)
   Subnet Mask . . . . . . . . . . . : 255.255.255.240
   Default Gateway . . . . . . . . . : 172.18.249.129
   DNS Servers . . . . . . . . . . . : 172.18.249.131
                                       172.18.249.132
                                       172.18.249.1
                                       172.18.249.2
                                       127.0.0.1
   NetBIOS over Tcpip. . . . . . . . : Enabled

 

Memberserver:

Windows IP Configuration

   Host Name . . . . . . . . . . . . : wveaprxkp01
   Primary Dns Suffix  . . . . . . . : domain.lan
   Node Type . . . . . . . . . . . . : Hybrid
   IP Routing Enabled. . . . . . . . : No
   WINS Proxy Enabled. . . . . . . . : No
   DNS Suffix Search List. . . . . . : domain.lan
                                       gruppe1.de
                                       gruppe1.local

Ethernet adapter LAN-01:

   Connection-specific DNS Suffix  . :
   Description . . . . . . . . . . . : vmxnet3 Ethernet Adapter
   Physical Address. . . . . . . . . : 00-50-56-BB-68-27
   DHCP Enabled. . . . . . . . . . . : No
   Autoconfiguration Enabled . . . . : Yes
   IPv4 Address. . . . . . . . . . . : 172.18.251.1(Preferred)
   Subnet Mask . . . . . . . . . . . : 255.255.255.224
   Default Gateway . . . . . . . . . : 172.18.251.29
   DNS Servers . . . . . . . . . . . : 172.18.249.131
                                       172.18.249.132
                                       172.25.156.1
                                       172.25.156.2
                                       172.25.2.235
   NetBIOS over Tcpip. . . . . . . . : Enabled

[zahni 582]

Ich stolpere gerade  über  "domain.lan" und "mydomainname.local"? Ansonsten auf den vorhandenen DC1 mal ein gepflegtes DCDIAG ausführen. Ist auf den Maschinen die Windows Firewall aktiv? Richtig konfiguriert?

Synchronisieren alle DNS-Server miteinander? Sind das alles Windows-DNS-Server?

[testperson 1.809]

Hi,

 

wer und was sind denn

vor 7 Minuten schrieb Stibo:

...

172.18.249.1
172.18.249.2

...

172.25.156.1
172.25.156.2
172.25.2.235

...

?

 

Und die Firewalls dazwischen sind passend konfiguriert und blocken nichts?

 

Gruß

Jan

bearbeitet 18. November 2020 von testperson

[Stibo 17]

vor 18 Minuten schrieb zahni:

Ich stolpere gerade  über  "domain.lan" und "mydomainname.local"? Ansonsten auf den vorhandenen DC1 mal ein gepflegtes DCDIAG ausführen. Ist auf den Maschinen die Windows Firewall aktiv? Richtig konfiguriert?

Synchronisieren alle DNS-Server miteinander? Sind das alles Windows-DNS-Server?

 

domain.lan ist der anonymisierte Domainname unserer Domain; das mydomainname.local im ersten Beitrag war von einer Seite kopiert, bei der die Attribute samt Inhalt gelistet sind.

 

DCDIAG meldet "passed test" bei allen Tests. Die Windows Firewall ist an und die Standardeinträge für Active Directory sind konfiguriert (die, die nach der Installation systemseitig angelegt werden).

 

DNS ist ein wenig komplexer, es gibt die Mutterdomain (gruppe1.de) und eine weitere Domain (domain.lan). Leider ist hier kein Trust konfiguriert, sondern es werden nur bestimmte Gruppen/User/Attribute mittels einer Software von Novell synchronisiert. DNS ist in domain.lan so konfiguriert, dass domain.lan die Active Directory-integrierte Domain ist, gruppe1.de & gruppe1.local werden als Secondary nur synchronisiert, damit die Namensauflösung zu gruppe1.de/.local funktioniert. Ja, alle DNS-Server sind windowsbasiert.

 

@testperson: Das sind DNS-Server aus gruppe1.de, die in domain.lan hinterlegt sind ("allow zone transfer" z.B.).

 

 

Dier Firewalls zwischen den Netzen sind konfiguriert und erlauben folgende Ports:

 

tcp 135, 137, 138, 139, 445

 

Was mich halt so wundert ist die Tatsache, dass es bei anderen Servern funktioniert hat, die ebenfalls in anderen Subnetzen beheimatet sind.

bearbeitet 18. November 2020 von Stibo

[zahni 582]

Bitte konfiguriere nur "Deine" DNS-Server in den Netzwerkeinstellungen. Für die anderen DNS-Server musst Du ein Deinen DNS-Servern eine Weiterleitung einrichten.

 

PS: Und die zusätzlichen DNS-Suffixe dürften auf den DCs überflüssig sein. Die werden nur von der Servern und Clients benötigt, die tatsächlich eine Namesauflösung in diesen Domänen machen müssen.

 

bearbeitet 18. November 2020 von zahni

[testperson 1.809]

vor 16 Minuten schrieb Stibo:

Dier Firewalls zwischen den Netzen sind konfiguriert und erlauben folgende Ports:

 

tcp 135, 137, 138, 139, 445

Vergleich das doch mal mit diesem Dokument: https://docs.microsoft.com/en-us/troubleshoot/windows-server/identity/config-firewall-for-ad-domains-and-trusts

 

Zu den weiteren DNS Servern: Siehe @zahnis Antwort über mir. :)

[Stibo 17]

Habe Eure Anmerkungen bzgl. DNS umgesetzt und werde nochmal mit unseren Netzern sprechen und fragen, ob das tatsächlich nur diese Ports sind oder ob ich eine veraltete Info habe.

 

Danke für Eure Hilfe schonmal! :)

[NilsK 3.019]

Moin,

 

ich zitiere mal ein verdientes Boardmitglied: Es ist immer die Firewall.

 

Gruß, Nils

PS. und DNS natürlich.