Stibo 17 Geschrieben 18. November 2020 Melden Teilen Geschrieben 18. November 2020 Hallo zusammen, ich habe hier ein Problem, bei dem ich nicht weiterkomme. Es geht um einen Domainjoin eines Server 2012 R2 in eine Domain (beide DCs sind ebenfalls 2012 R2). Der Join wird bearbeitet bis folgende Meldung erscheint: Changing the Primary Domain DNS name of this computer to "" failed. The name will remain "domain.lan". The error was: The RPC server is unavailable. Anschließend kommt die Meldung "Welcome to Domain blabla, bitte Reboot, danke". Nach dem Reboot funktioniert die Anmeldung mit einem Domainuser nicht, folgende Meldung taucht auf: "The security database on the server does not have a computer account for this workstation." Was ich bereits geprüft habe: - Uhrzeit auf beiden Systemen ist synchron - DNS Lookup funktioniert in beide Richtungen (Server <> DC) einwandfrei - Test-ComputerSecureChannel -Verbose (auf dem Server): The secure channel between the local computer and the domain domain.lan is in good condition. - Aufruf von \\domain.lan\ mittels Explorer funktioniert, nachdem ich Domainadmin-Credentials angebe. Das AD-Computerobjekt wird angelegt, allerdings fehlen zwei Attribute, die ja folgende Inhalte haben sollten: dNSHostName: server.mydomainname.local servicePrincipalName: HOST/SERVER HOST/server.mydomainname.local RestrictedKrbHost/SERVER RestrictedKrbHost/server.mydomainname.local TERMSRV/SERVER TERMSRV/server.mydomainname.local Stattdessen sieht es so aus: DNSHostName : ServicePrincipalNames : {} Was ich noch gemacht habe ist ein Mitschnitt des Domainjoins auf beiden Seiten mittels Wireshark, den ich mir aber erst noch anschauen muss. Hat einer von Euch noch eine Idee, woran das liegen könnte? Sollten Infos fehlen, reiche ich die selbstverständlich nach. :) Danke und Gruß Stibo Zitieren Link zu diesem Kommentar
zahni 558 Geschrieben 18. November 2020 Melden Teilen Geschrieben 18. November 2020 Poste mal ipconfig /all vom alten und neuen DC. Du hast da nicht etwas irgendwelche Internet-DNS-Server eingetragen? Zitieren Link zu diesem Kommentar
Nobbyaushb 1.484 Geschrieben 18. November 2020 Melden Teilen Geschrieben 18. November 2020 Ergänzend - ich habe mir angewöhnt, 1. feste IP-Adressen zu verwenden und 2.tens als 1te IPden "schnelleren" DC / DNS anzugeben PS: war nicht neulich ein ähnlicher Thread, aber ging es um DC - dcpromo... Zitieren Link zu diesem Kommentar
Stibo 17 Geschrieben 18. November 2020 Autor Melden Teilen Geschrieben 18. November 2020 Hallo zahni, ich habe mich wohl b***d ausgedrückt: es sind bislang zwei DCs sowie 10 Memberserver. Ich will nun einen weiteren Server als Domainmember mit aufnehmen. DC1: Windows IP Configuration Host Name . . . . . . . . . . . . : wvdomaindc01 Primary Dns Suffix . . . . . . . : domain.lan Node Type . . . . . . . . . . . . : Hybrid IP Routing Enabled. . . . . . . . : No WINS Proxy Enabled. . . . . . . . : No DNS Suffix Search List. . . . . . : domain.lan gruppe1.de gruppe1.local Ethernet adapter Ethernet: Connection-specific DNS Suffix . : domain.lan Description . . . . . . . . . . . : vmxnet3 Ethernet Adapter Physical Address. . . . . . . . . : 00-50-56-BB-06-CD DHCP Enabled. . . . . . . . . . . : No Autoconfiguration Enabled . . . . : Yes IPv4 Address. . . . . . . . . . . : 172.18.249.131(Preferred) Subnet Mask . . . . . . . . . . . : 255.255.255.240 Default Gateway . . . . . . . . . : 172.18.249.129 DNS Servers . . . . . . . . . . . : 172.18.249.132 172.18.249.131 172.18.249.1 172.18.249.2 127.0.0.1 NetBIOS over Tcpip. . . . . . . . : Enabled DC2: Windows IP Configuration Host Name . . . . . . . . . . . . : wvdomaindc02 Primary Dns Suffix . . . . . . . : domain.lan Node Type . . . . . . . . . . . . : Hybrid IP Routing Enabled. . . . . . . . : No WINS Proxy Enabled. . . . . . . . : No DNS Suffix Search List. . . . . . : domain.lan gruppe1.de gruppe1.local Ethernet adapter Ethernet: Connection-specific DNS Suffix . : domain.lan Description . . . . . . . . . . . : vmxnet3 Ethernet Adapter Physical Address. . . . . . . . . : 00-50-56-BB-5A-FD DHCP Enabled. . . . . . . . . . . : No Autoconfiguration Enabled . . . . : Yes IPv4 Address. . . . . . . . . . . : 172.18.249.132(Preferred) Subnet Mask . . . . . . . . . . . : 255.255.255.240 Default Gateway . . . . . . . . . : 172.18.249.129 DNS Servers . . . . . . . . . . . : 172.18.249.131 172.18.249.132 172.18.249.1 172.18.249.2 127.0.0.1 NetBIOS over Tcpip. . . . . . . . : Enabled Memberserver: Windows IP Configuration Host Name . . . . . . . . . . . . : wveaprxkp01 Primary Dns Suffix . . . . . . . : domain.lan Node Type . . . . . . . . . . . . : Hybrid IP Routing Enabled. . . . . . . . : No WINS Proxy Enabled. . . . . . . . : No DNS Suffix Search List. . . . . . : domain.lan gruppe1.de gruppe1.local Ethernet adapter LAN-01: Connection-specific DNS Suffix . : Description . . . . . . . . . . . : vmxnet3 Ethernet Adapter Physical Address. . . . . . . . . : 00-50-56-BB-68-27 DHCP Enabled. . . . . . . . . . . : No Autoconfiguration Enabled . . . . : Yes IPv4 Address. . . . . . . . . . . : 172.18.251.1(Preferred) Subnet Mask . . . . . . . . . . . : 255.255.255.224 Default Gateway . . . . . . . . . : 172.18.251.29 DNS Servers . . . . . . . . . . . : 172.18.249.131 172.18.249.132 172.25.156.1 172.25.156.2 172.25.2.235 NetBIOS over Tcpip. . . . . . . . : Enabled Zitieren Link zu diesem Kommentar
zahni 558 Geschrieben 18. November 2020 Melden Teilen Geschrieben 18. November 2020 Ich stolpere gerade über "domain.lan" und "mydomainname.local"? Ansonsten auf den vorhandenen DC1 mal ein gepflegtes DCDIAG ausführen. Ist auf den Maschinen die Windows Firewall aktiv? Richtig konfiguriert? Synchronisieren alle DNS-Server miteinander? Sind das alles Windows-DNS-Server? Zitieren Link zu diesem Kommentar
testperson 1.728 Geschrieben 18. November 2020 Melden Teilen Geschrieben 18. November 2020 (bearbeitet) Hi, wer und was sind denn vor 7 Minuten schrieb Stibo: ... 172.18.249.1 172.18.249.2 ... 172.25.156.1 172.25.156.2 172.25.2.235 ... ? Und die Firewalls dazwischen sind passend konfiguriert und blocken nichts? Gruß Jan bearbeitet 18. November 2020 von testperson Zitieren Link zu diesem Kommentar
Stibo 17 Geschrieben 18. November 2020 Autor Melden Teilen Geschrieben 18. November 2020 (bearbeitet) vor 18 Minuten schrieb zahni: Ich stolpere gerade über "domain.lan" und "mydomainname.local"? Ansonsten auf den vorhandenen DC1 mal ein gepflegtes DCDIAG ausführen. Ist auf den Maschinen die Windows Firewall aktiv? Richtig konfiguriert? Synchronisieren alle DNS-Server miteinander? Sind das alles Windows-DNS-Server? domain.lan ist der anonymisierte Domainname unserer Domain; das mydomainname.local im ersten Beitrag war von einer Seite kopiert, bei der die Attribute samt Inhalt gelistet sind. DCDIAG meldet "passed test" bei allen Tests. Die Windows Firewall ist an und die Standardeinträge für Active Directory sind konfiguriert (die, die nach der Installation systemseitig angelegt werden). DNS ist ein wenig komplexer, es gibt die Mutterdomain (gruppe1.de) und eine weitere Domain (domain.lan). Leider ist hier kein Trust konfiguriert, sondern es werden nur bestimmte Gruppen/User/Attribute mittels einer Software von Novell synchronisiert. DNS ist in domain.lan so konfiguriert, dass domain.lan die Active Directory-integrierte Domain ist, gruppe1.de & gruppe1.local werden als Secondary nur synchronisiert, damit die Namensauflösung zu gruppe1.de/.local funktioniert. Ja, alle DNS-Server sind windowsbasiert. @testperson: Das sind DNS-Server aus gruppe1.de, die in domain.lan hinterlegt sind ("allow zone transfer" z.B.). Dier Firewalls zwischen den Netzen sind konfiguriert und erlauben folgende Ports: tcp 135, 137, 138, 139, 445 Was mich halt so wundert ist die Tatsache, dass es bei anderen Servern funktioniert hat, die ebenfalls in anderen Subnetzen beheimatet sind. bearbeitet 18. November 2020 von Stibo Zitieren Link zu diesem Kommentar
zahni 558 Geschrieben 18. November 2020 Melden Teilen Geschrieben 18. November 2020 (bearbeitet) Bitte konfiguriere nur "Deine" DNS-Server in den Netzwerkeinstellungen. Für die anderen DNS-Server musst Du ein Deinen DNS-Servern eine Weiterleitung einrichten. PS: Und die zusätzlichen DNS-Suffixe dürften auf den DCs überflüssig sein. Die werden nur von der Servern und Clients benötigt, die tatsächlich eine Namesauflösung in diesen Domänen machen müssen. bearbeitet 18. November 2020 von zahni 1 Zitieren Link zu diesem Kommentar
testperson 1.728 Geschrieben 18. November 2020 Melden Teilen Geschrieben 18. November 2020 vor 16 Minuten schrieb Stibo: Dier Firewalls zwischen den Netzen sind konfiguriert und erlauben folgende Ports: tcp 135, 137, 138, 139, 445 Vergleich das doch mal mit diesem Dokument: https://docs.microsoft.com/en-us/troubleshoot/windows-server/identity/config-firewall-for-ad-domains-and-trusts Zu den weiteren DNS Servern: Siehe @zahnis Antwort über mir. :) Zitieren Link zu diesem Kommentar
Stibo 17 Geschrieben 18. November 2020 Autor Melden Teilen Geschrieben 18. November 2020 Habe Eure Anmerkungen bzgl. DNS umgesetzt und werde nochmal mit unseren Netzern sprechen und fragen, ob das tatsächlich nur diese Ports sind oder ob ich eine veraltete Info habe. Danke für Eure Hilfe schonmal! :) Zitieren Link zu diesem Kommentar
NilsK 2.968 Geschrieben 18. November 2020 Melden Teilen Geschrieben 18. November 2020 Moin, ich zitiere mal ein verdientes Boardmitglied: Es ist immer die Firewall. Gruß, Nils PS. und DNS natürlich. 2 Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.