Jump to content

Server 2012 R2: Domainjoin klappt nur halb


Stibo

Recommended Posts

Hallo zusammen,

 

ich habe hier ein Problem, bei dem ich nicht weiterkomme. Es geht um einen Domainjoin eines Server 2012 R2 in eine Domain (beide DCs sind ebenfalls 2012 R2).

Der Join wird bearbeitet bis folgende Meldung erscheint:

 

Changing the Primary Domain DNS name of this computer to "" failed.
The name will remain "domain.lan".
The error was:

The RPC server is unavailable.

 

Anschließend kommt die Meldung "Welcome to Domain blabla, bitte Reboot, danke". Nach dem Reboot funktioniert die Anmeldung mit einem Domainuser nicht, folgende Meldung taucht auf:

"The security database on the server does not have a computer account for this workstation."

 

Was ich bereits geprüft habe:

 

- Uhrzeit auf beiden Systemen ist synchron

- DNS Lookup funktioniert in beide Richtungen (Server <> DC) einwandfrei

- Test-ComputerSecureChannel -Verbose (auf dem Server): The secure channel between the local computer and the domain domain.lan is in good condition.

- Aufruf von \\domain.lan\ mittels Explorer funktioniert, nachdem ich Domainadmin-Credentials angebe.

 

Das AD-Computerobjekt wird angelegt, allerdings fehlen zwei Attribute, die ja folgende Inhalte haben sollten:

 

dNSHostName:
server.mydomainname.local

 

servicePrincipalName:
HOST/SERVER
HOST/server.mydomainname.local
RestrictedKrbHost/SERVER
RestrictedKrbHost/server.mydomainname.local
TERMSRV/SERVER
TERMSRV/server.mydomainname.local

 

Stattdessen sieht es so aus:

 

DNSHostName                          :

ServicePrincipalNames                : {}

 

Was ich noch gemacht habe ist ein Mitschnitt des Domainjoins auf beiden Seiten mittels Wireshark, den ich mir aber erst noch anschauen muss.

Hat einer von Euch noch eine Idee, woran das liegen könnte? Sollten Infos fehlen, reiche ich die selbstverständlich nach. :)

 

Danke und Gruß

Stibo

Link to post

Hallo zahni,

 

ich habe mich wohl b***d ausgedrückt: es sind bislang zwei DCs sowie 10 Memberserver. Ich will nun einen weiteren Server als Domainmember mit aufnehmen.

 

DC1:

Windows IP Configuration

   Host Name . . . . . . . . . . . . : wvdomaindc01
   Primary Dns Suffix  . . . . . . . : domain.lan
   Node Type . . . . . . . . . . . . : Hybrid
   IP Routing Enabled. . . . . . . . : No
   WINS Proxy Enabled. . . . . . . . : No
   DNS Suffix Search List. . . . . . : domain.lan
                                       gruppe1.de
                                       gruppe1.local

Ethernet adapter Ethernet:

   Connection-specific DNS Suffix  . : domain.lan
   Description . . . . . . . . . . . : vmxnet3 Ethernet Adapter
   Physical Address. . . . . . . . . : 00-50-56-BB-06-CD
   DHCP Enabled. . . . . . . . . . . : No
   Autoconfiguration Enabled . . . . : Yes
   IPv4 Address. . . . . . . . . . . : 172.18.249.131(Preferred)
   Subnet Mask . . . . . . . . . . . : 255.255.255.240
   Default Gateway . . . . . . . . . : 172.18.249.129
   DNS Servers . . . . . . . . . . . : 172.18.249.132
                                       172.18.249.131
                                       172.18.249.1
                                       172.18.249.2
                                       127.0.0.1
   NetBIOS over Tcpip. . . . . . . . : Enabled

 

DC2:

Windows IP Configuration

   Host Name . . . . . . . . . . . . : wvdomaindc02
   Primary Dns Suffix  . . . . . . . : domain.lan
   Node Type . . . . . . . . . . . . : Hybrid
   IP Routing Enabled. . . . . . . . : No
   WINS Proxy Enabled. . . . . . . . : No
   DNS Suffix Search List. . . . . . : domain.lan
                                       gruppe1.de
                                       gruppe1.local

Ethernet adapter Ethernet:

   Connection-specific DNS Suffix  . : domain.lan
   Description . . . . . . . . . . . : vmxnet3 Ethernet Adapter
   Physical Address. . . . . . . . . : 00-50-56-BB-5A-FD
   DHCP Enabled. . . . . . . . . . . : No
   Autoconfiguration Enabled . . . . : Yes
   IPv4 Address. . . . . . . . . . . : 172.18.249.132(Preferred)
   Subnet Mask . . . . . . . . . . . : 255.255.255.240
   Default Gateway . . . . . . . . . : 172.18.249.129
   DNS Servers . . . . . . . . . . . : 172.18.249.131
                                       172.18.249.132
                                       172.18.249.1
                                       172.18.249.2
                                       127.0.0.1
   NetBIOS over Tcpip. . . . . . . . : Enabled

 

Memberserver:

Windows IP Configuration

   Host Name . . . . . . . . . . . . : wveaprxkp01
   Primary Dns Suffix  . . . . . . . : domain.lan
   Node Type . . . . . . . . . . . . : Hybrid
   IP Routing Enabled. . . . . . . . : No
   WINS Proxy Enabled. . . . . . . . : No
   DNS Suffix Search List. . . . . . : domain.lan
                                       gruppe1.de
                                       gruppe1.local

Ethernet adapter LAN-01:

   Connection-specific DNS Suffix  . :
   Description . . . . . . . . . . . : vmxnet3 Ethernet Adapter
   Physical Address. . . . . . . . . : 00-50-56-BB-68-27
   DHCP Enabled. . . . . . . . . . . : No
   Autoconfiguration Enabled . . . . : Yes
   IPv4 Address. . . . . . . . . . . : 172.18.251.1(Preferred)
   Subnet Mask . . . . . . . . . . . : 255.255.255.224
   Default Gateway . . . . . . . . . : 172.18.251.29
   DNS Servers . . . . . . . . . . . : 172.18.249.131
                                       172.18.249.132
                                       172.25.156.1
                                       172.25.156.2
                                       172.25.2.235
   NetBIOS over Tcpip. . . . . . . . : Enabled

Link to post

Ich stolpere gerade  über  "domain.lan" und "mydomainname.local"? Ansonsten auf den vorhandenen DC1 mal ein gepflegtes DCDIAG ausführen. Ist auf den Maschinen die Windows Firewall aktiv? Richtig konfiguriert?

Synchronisieren alle DNS-Server miteinander? Sind das alles Windows-DNS-Server?

Link to post
vor 18 Minuten schrieb zahni:

Ich stolpere gerade  über  "domain.lan" und "mydomainname.local"? Ansonsten auf den vorhandenen DC1 mal ein gepflegtes DCDIAG ausführen. Ist auf den Maschinen die Windows Firewall aktiv? Richtig konfiguriert?

Synchronisieren alle DNS-Server miteinander? Sind das alles Windows-DNS-Server?

 

domain.lan ist der anonymisierte Domainname unserer Domain; das mydomainname.local im ersten Beitrag war von einer Seite kopiert, bei der die Attribute samt Inhalt gelistet sind.

 

DCDIAG meldet "passed test" bei allen Tests. Die Windows Firewall ist an und die Standardeinträge für Active Directory sind konfiguriert (die, die nach der Installation systemseitig angelegt werden).

 

DNS ist ein wenig komplexer, es gibt die Mutterdomain (gruppe1.de) und eine weitere Domain (domain.lan). Leider ist hier kein Trust konfiguriert, sondern es werden nur bestimmte Gruppen/User/Attribute mittels einer Software von Novell synchronisiert. DNS ist in domain.lan so konfiguriert, dass domain.lan die Active Directory-integrierte Domain ist, gruppe1.de & gruppe1.local werden als Secondary nur synchronisiert, damit die Namensauflösung zu gruppe1.de/.local funktioniert. Ja, alle DNS-Server sind windowsbasiert.

 

@testperson: Das sind DNS-Server aus gruppe1.de, die in domain.lan hinterlegt sind ("allow zone transfer" z.B.).

 

 

Dier Firewalls zwischen den Netzen sind konfiguriert und erlauben folgende Ports:

 

tcp 135, 137, 138, 139, 445

 

Was mich halt so wundert ist die Tatsache, dass es bei anderen Servern funktioniert hat, die ebenfalls in anderen Subnetzen beheimatet sind.

Edited by Stibo
Link to post

Bitte konfiguriere nur "Deine" DNS-Server in den Netzwerkeinstellungen. Für die anderen DNS-Server musst Du ein Deinen DNS-Servern eine Weiterleitung einrichten.

 

PS: Und die zusätzlichen DNS-Suffixe dürften auf den DCs überflüssig sein. Die werden nur von der Servern und Clients benötigt, die tatsächlich eine Namesauflösung in diesen Domänen machen müssen.

 

Edited by zahni
  • Thanks 1
Link to post
vor 16 Minuten schrieb Stibo:

Dier Firewalls zwischen den Netzen sind konfiguriert und erlauben folgende Ports:

 

tcp 135, 137, 138, 139, 445

Vergleich das doch mal mit diesem Dokument: https://docs.microsoft.com/en-us/troubleshoot/windows-server/identity/config-firewall-for-ad-domains-and-trusts

 

Zu den weiteren DNS Servern: Siehe @zahnis Antwort über mir. :)

Link to post

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

×
×
  • Create New...