Stibo 13 Posted November 18, 2020 Report Share Posted November 18, 2020 Hallo zusammen, ich habe hier ein Problem, bei dem ich nicht weiterkomme. Es geht um einen Domainjoin eines Server 2012 R2 in eine Domain (beide DCs sind ebenfalls 2012 R2). Der Join wird bearbeitet bis folgende Meldung erscheint: Changing the Primary Domain DNS name of this computer to "" failed. The name will remain "domain.lan". The error was: The RPC server is unavailable. Anschließend kommt die Meldung "Welcome to Domain blabla, bitte Reboot, danke". Nach dem Reboot funktioniert die Anmeldung mit einem Domainuser nicht, folgende Meldung taucht auf: "The security database on the server does not have a computer account for this workstation." Was ich bereits geprüft habe: - Uhrzeit auf beiden Systemen ist synchron - DNS Lookup funktioniert in beide Richtungen (Server <> DC) einwandfrei - Test-ComputerSecureChannel -Verbose (auf dem Server): The secure channel between the local computer and the domain domain.lan is in good condition. - Aufruf von \\domain.lan\ mittels Explorer funktioniert, nachdem ich Domainadmin-Credentials angebe. Das AD-Computerobjekt wird angelegt, allerdings fehlen zwei Attribute, die ja folgende Inhalte haben sollten: dNSHostName: server.mydomainname.local servicePrincipalName: HOST/SERVER HOST/server.mydomainname.local RestrictedKrbHost/SERVER RestrictedKrbHost/server.mydomainname.local TERMSRV/SERVER TERMSRV/server.mydomainname.local Stattdessen sieht es so aus: DNSHostName : ServicePrincipalNames : {} Was ich noch gemacht habe ist ein Mitschnitt des Domainjoins auf beiden Seiten mittels Wireshark, den ich mir aber erst noch anschauen muss. Hat einer von Euch noch eine Idee, woran das liegen könnte? Sollten Infos fehlen, reiche ich die selbstverständlich nach. :) Danke und Gruß Stibo Quote Link to post
zahni 286 Posted November 18, 2020 Report Share Posted November 18, 2020 Poste mal ipconfig /all vom alten und neuen DC. Du hast da nicht etwas irgendwelche Internet-DNS-Server eingetragen? Quote Link to post
Nobbyaushb 633 Posted November 18, 2020 Report Share Posted November 18, 2020 Ergänzend - ich habe mir angewöhnt, 1. feste IP-Adressen zu verwenden und 2.tens als 1te IPden "schnelleren" DC / DNS anzugeben PS: war nicht neulich ein ähnlicher Thread, aber ging es um DC - dcpromo... Quote Link to post
Stibo 13 Posted November 18, 2020 Author Report Share Posted November 18, 2020 Hallo zahni, ich habe mich wohl b***d ausgedrückt: es sind bislang zwei DCs sowie 10 Memberserver. Ich will nun einen weiteren Server als Domainmember mit aufnehmen. DC1: Windows IP Configuration Host Name . . . . . . . . . . . . : wvdomaindc01 Primary Dns Suffix . . . . . . . : domain.lan Node Type . . . . . . . . . . . . : Hybrid IP Routing Enabled. . . . . . . . : No WINS Proxy Enabled. . . . . . . . : No DNS Suffix Search List. . . . . . : domain.lan gruppe1.de gruppe1.local Ethernet adapter Ethernet: Connection-specific DNS Suffix . : domain.lan Description . . . . . . . . . . . : vmxnet3 Ethernet Adapter Physical Address. . . . . . . . . : 00-50-56-BB-06-CD DHCP Enabled. . . . . . . . . . . : No Autoconfiguration Enabled . . . . : Yes IPv4 Address. . . . . . . . . . . : 172.18.249.131(Preferred) Subnet Mask . . . . . . . . . . . : 255.255.255.240 Default Gateway . . . . . . . . . : 172.18.249.129 DNS Servers . . . . . . . . . . . : 172.18.249.132 172.18.249.131 172.18.249.1 172.18.249.2 127.0.0.1 NetBIOS over Tcpip. . . . . . . . : Enabled DC2: Windows IP Configuration Host Name . . . . . . . . . . . . : wvdomaindc02 Primary Dns Suffix . . . . . . . : domain.lan Node Type . . . . . . . . . . . . : Hybrid IP Routing Enabled. . . . . . . . : No WINS Proxy Enabled. . . . . . . . : No DNS Suffix Search List. . . . . . : domain.lan gruppe1.de gruppe1.local Ethernet adapter Ethernet: Connection-specific DNS Suffix . : domain.lan Description . . . . . . . . . . . : vmxnet3 Ethernet Adapter Physical Address. . . . . . . . . : 00-50-56-BB-5A-FD DHCP Enabled. . . . . . . . . . . : No Autoconfiguration Enabled . . . . : Yes IPv4 Address. . . . . . . . . . . : 172.18.249.132(Preferred) Subnet Mask . . . . . . . . . . . : 255.255.255.240 Default Gateway . . . . . . . . . : 172.18.249.129 DNS Servers . . . . . . . . . . . : 172.18.249.131 172.18.249.132 172.18.249.1 172.18.249.2 127.0.0.1 NetBIOS over Tcpip. . . . . . . . : Enabled Memberserver: Windows IP Configuration Host Name . . . . . . . . . . . . : wveaprxkp01 Primary Dns Suffix . . . . . . . : domain.lan Node Type . . . . . . . . . . . . : Hybrid IP Routing Enabled. . . . . . . . : No WINS Proxy Enabled. . . . . . . . : No DNS Suffix Search List. . . . . . : domain.lan gruppe1.de gruppe1.local Ethernet adapter LAN-01: Connection-specific DNS Suffix . : Description . . . . . . . . . . . : vmxnet3 Ethernet Adapter Physical Address. . . . . . . . . : 00-50-56-BB-68-27 DHCP Enabled. . . . . . . . . . . : No Autoconfiguration Enabled . . . . : Yes IPv4 Address. . . . . . . . . . . : 172.18.251.1(Preferred) Subnet Mask . . . . . . . . . . . : 255.255.255.224 Default Gateway . . . . . . . . . : 172.18.251.29 DNS Servers . . . . . . . . . . . : 172.18.249.131 172.18.249.132 172.25.156.1 172.25.156.2 172.25.2.235 NetBIOS over Tcpip. . . . . . . . : Enabled Quote Link to post
zahni 286 Posted November 18, 2020 Report Share Posted November 18, 2020 Ich stolpere gerade über "domain.lan" und "mydomainname.local"? Ansonsten auf den vorhandenen DC1 mal ein gepflegtes DCDIAG ausführen. Ist auf den Maschinen die Windows Firewall aktiv? Richtig konfiguriert? Synchronisieren alle DNS-Server miteinander? Sind das alles Windows-DNS-Server? Quote Link to post
testperson 670 Posted November 18, 2020 Report Share Posted November 18, 2020 (edited) Hi, wer und was sind denn vor 7 Minuten schrieb Stibo: ... 172.18.249.1 172.18.249.2 ... 172.25.156.1 172.25.156.2 172.25.2.235 ... ? Und die Firewalls dazwischen sind passend konfiguriert und blocken nichts? Gruß Jan Edited November 18, 2020 by testperson Quote Link to post
Stibo 13 Posted November 18, 2020 Author Report Share Posted November 18, 2020 (edited) vor 18 Minuten schrieb zahni: Ich stolpere gerade über "domain.lan" und "mydomainname.local"? Ansonsten auf den vorhandenen DC1 mal ein gepflegtes DCDIAG ausführen. Ist auf den Maschinen die Windows Firewall aktiv? Richtig konfiguriert? Synchronisieren alle DNS-Server miteinander? Sind das alles Windows-DNS-Server? domain.lan ist der anonymisierte Domainname unserer Domain; das mydomainname.local im ersten Beitrag war von einer Seite kopiert, bei der die Attribute samt Inhalt gelistet sind. DCDIAG meldet "passed test" bei allen Tests. Die Windows Firewall ist an und die Standardeinträge für Active Directory sind konfiguriert (die, die nach der Installation systemseitig angelegt werden). DNS ist ein wenig komplexer, es gibt die Mutterdomain (gruppe1.de) und eine weitere Domain (domain.lan). Leider ist hier kein Trust konfiguriert, sondern es werden nur bestimmte Gruppen/User/Attribute mittels einer Software von Novell synchronisiert. DNS ist in domain.lan so konfiguriert, dass domain.lan die Active Directory-integrierte Domain ist, gruppe1.de & gruppe1.local werden als Secondary nur synchronisiert, damit die Namensauflösung zu gruppe1.de/.local funktioniert. Ja, alle DNS-Server sind windowsbasiert. @testperson: Das sind DNS-Server aus gruppe1.de, die in domain.lan hinterlegt sind ("allow zone transfer" z.B.). Dier Firewalls zwischen den Netzen sind konfiguriert und erlauben folgende Ports: tcp 135, 137, 138, 139, 445 Was mich halt so wundert ist die Tatsache, dass es bei anderen Servern funktioniert hat, die ebenfalls in anderen Subnetzen beheimatet sind. Edited November 18, 2020 by Stibo Quote Link to post
zahni 286 Posted November 18, 2020 Report Share Posted November 18, 2020 (edited) Bitte konfiguriere nur "Deine" DNS-Server in den Netzwerkeinstellungen. Für die anderen DNS-Server musst Du ein Deinen DNS-Servern eine Weiterleitung einrichten. PS: Und die zusätzlichen DNS-Suffixe dürften auf den DCs überflüssig sein. Die werden nur von der Servern und Clients benötigt, die tatsächlich eine Namesauflösung in diesen Domänen machen müssen. Edited November 18, 2020 by zahni 1 Quote Link to post
testperson 670 Posted November 18, 2020 Report Share Posted November 18, 2020 vor 16 Minuten schrieb Stibo: Dier Firewalls zwischen den Netzen sind konfiguriert und erlauben folgende Ports: tcp 135, 137, 138, 139, 445 Vergleich das doch mal mit diesem Dokument: https://docs.microsoft.com/en-us/troubleshoot/windows-server/identity/config-firewall-for-ad-domains-and-trusts Zu den weiteren DNS Servern: Siehe @zahnis Antwort über mir. :) Quote Link to post
Stibo 13 Posted November 18, 2020 Author Report Share Posted November 18, 2020 Habe Eure Anmerkungen bzgl. DNS umgesetzt und werde nochmal mit unseren Netzern sprechen und fragen, ob das tatsächlich nur diese Ports sind oder ob ich eine veraltete Info habe. Danke für Eure Hilfe schonmal! :) Quote Link to post
NilsK 1,217 Posted November 18, 2020 Report Share Posted November 18, 2020 Moin, ich zitiere mal ein verdientes Boardmitglied: Es ist immer die Firewall. Gruß, Nils PS. und DNS natürlich. 2 Quote Link to post
Recommended Posts
Join the conversation
You can post now and register later. If you have an account, sign in now to post with your account.