bluelight 0 Geschrieben 16. Mai 2021 Melden Teilen Geschrieben 16. Mai 2021 Moin zusammen! Vorweg: Ich bin mir der Risiken bewusst, die es birgt, einen DC nicht im lokalen Netz laufen zu lassen. Es handelt sich hierbei um mehr oder weniger Testzwecke. Zu meinem Problem: Ich habe auf einem externen vServer AD installiert und konfiguriert. Sobald ich einen Client in die Domäne holen möchte, schmeißt er mir einen Fehler raus - siehe Logs. Ich habe viel gegoogelt und alle möglichen Lösungsansätze ausprobiert. IPv6 ist deaktiviert, so dass es sich nicht um ein IPv6 DNS Problem handeln kann. Die IPv4 Adresse des DC habe ich beim Client als DNS Server gesetzt. Pingen des Controllers ohne Problem möglich, nslookup passt auch. Jetzt der Teil, der mir komplett den Verstand raubt: Ich habe gedacht, dass es damit zusammenhängen könnte, dass ich quasi ein internes Netzwerk brauche, damit das funktioniert. So habe ich mir aus Spaß Hamachi auf Server und Client installiert und beim Client die Hamachi IP-Adresse als DNS Server hinterlegt - und siehe da - es funktioniert. net view Ergebis: Bei öffentlich IPv4 als DNS: Systemfehler 53 aufgetreten. Der Netzwerkpfad wurde nicht gefunden. Bei Hamachi IPv4 als DNS: Zugriff verweigert. Also findet er dann wenigstens das AD. Was mache ich falsch oder wo ist mein Denkfehler? Bin mit Windows-Servern nicht so gut bewandert. OS: Windows Server 2019 - alle aktuellen Updates installiert. Inhalt der NetSetup: 05/16/2021 12:47:17:000 ----------------------------------------------------------------- 05/16/2021 12:47:17:000 NetpValidateName: checking to see if 'example.int' is valid as type 3 name 05/16/2021 12:47:17:114 NetpCheckDomainNameIsValid [ Exists ] for 'example.int' returned 0x0 05/16/2021 12:47:17:114 NetpValidateName: name 'example.int' is valid for type 3 05/16/2021 12:47:22:873 ----------------------------------------------------------------- 05/16/2021 12:47:22:873 NetpDoDomainJoin 05/16/2021 12:47:22:874 NetpDoDomainJoin: using new computer names 05/16/2021 12:47:22:874 NetpDoDomainJoin: NetpGetNewMachineName returned 0x0 05/16/2021 12:47:22:874 NetpDoDomainJoin: NetpGetNewHostName returned 0x0 05/16/2021 12:47:22:874 NetpMachineValidToJoin: 'DESKTOP-UA169NB' 05/16/2021 12:47:22:878 NetpMachineValidToJoin: status: 0x0 05/16/2021 12:47:22:878 NetpJoinDomain 05/16/2021 12:47:22:878 HostName: DESKTOP-UA169NB 05/16/2021 12:47:22:878 NetbiosName: DESKTOP-UA169NB 05/16/2021 12:47:22:878 Domain: example.int 05/16/2021 12:47:22:878 MachineAccountOU: (NULL) 05/16/2021 12:47:22:878 Account: example.int\Administrator 05/16/2021 12:47:22:878 Options: 0x403 05/16/2021 12:47:22:880 NetpValidateName: checking to see if 'example.int' is valid as type 3 name 05/16/2021 12:47:22:967 NetpCheckDomainNameIsValid [ Exists ] for 'example.int' returned 0x0 05/16/2021 12:47:22:967 NetpValidateName: name 'example.int' is valid for type 3 05/16/2021 12:47:22:967 NetpDsGetDcName: trying to find DC in domain 'example.int', flags: 0x40001010 05/16/2021 12:47:23:053 NetpDsGetDcName: status of verifying DNS A record name resolution for 'dc01.example.int': 0x0 05/16/2021 12:47:23:053 NetpDsGetDcName: found DC '\\dc01.example.int' in the specified domain 05/16/2021 12:47:23:053 NetpJoinDomainOnDs: NetpDsGetDcName returned: 0x0 05/16/2021 12:47:23:053 NetpDisableIDNEncoding: using FQDN example.int from dcinfo 05/16/2021 12:47:23:065 NetpDisableIDNEncoding: DnsDisableIdnEncoding(UNTILREBOOT) on 'example.int' succeeded 05/16/2021 12:47:23:065 NetpJoinDomainOnDs: NetpDisableIDNEncoding returned: 0x0 05/16/2021 12:47:45:278 NetUseAdd to \\dc01.example.int\IPC$ returned 53 05/16/2021 12:47:45:278 NetpJoinDomainOnDs: status of connecting to dc '\\dc01.example.int': 0x35 05/16/2021 12:47:45:278 NetpJoinDomainOnDs: Function exits with status of: 0x35 05/16/2021 12:47:45:284 NetpResetIDNEncoding: DnsDisableIdnEncoding(RESETALL) on 'example.int' returned 0x0 05/16/2021 12:47:45:284 NetpJoinDomainOnDs: NetpResetIDNEncoding on 'example.int': 0x0 05/16/2021 12:47:45:284 NetpDoDomainJoin: status: 0x35 Zitieren Link zu diesem Kommentar
cj_berlin 1.315 Geschrieben 16. Mai 2021 Melden Teilen Geschrieben 16. Mai 2021 (bearbeitet) Moin, bitte auf Cross-Posts hinweisen: https://social.technet.microsoft.com/Forums/de-DE/7a7ad148-2d0b-41f8-a4b4-ba4fca77d1ef/beitreten-der-domne-nicht-mglich?forum=active_directoryde bearbeitet 16. Mai 2021 von cj_berlin 1 Zitieren Link zu diesem Kommentar
bluelight 0 Geschrieben 16. Mai 2021 Autor Melden Teilen Geschrieben 16. Mai 2021 Gerade eben schrieb cj_berlin: Moin, bitte auf Cross-Posts verweisen: https://social.technet.microsoft.com/Forums/de-DE/7a7ad148-2d0b-41f8-a4b4-ba4fca77d1ef/beitreten-der-domne-nicht-mglich?forum=active_directoryde Gerade erst dort erstellt. So schnell bin ich nun auch wieder nicht. Zitieren Link zu diesem Kommentar
mba 133 Geschrieben 16. Mai 2021 Melden Teilen Geschrieben 16. Mai 2021 Die Firewall ist Dein Ansprechpartner Auch wenn die Idee nicht gut ist, weißt ja selbst Zitieren Link zu diesem Kommentar
bluelight 0 Geschrieben 16. Mai 2021 Autor Melden Teilen Geschrieben 16. Mai 2021 vor 3 Minuten schrieb mba: Die Firewall ist Dein Ansprechpartner Auch wenn die Idee nicht gut ist, weißt ja selbst Die Firewall ist KOMPLETT deaktiviert. Also kann diese aktuell nicht mein Ansprechpartner sein. Habe ja auch gedacht, dass die NetBIOS Ports geblockt wären. Zitieren Link zu diesem Kommentar
mba 133 Geschrieben 16. Mai 2021 Melden Teilen Geschrieben 16. Mai 2021 (bearbeitet) Ein V-server hat meist 2 Firewalls Wer Firewalls komplett deaktiviert sollte keine Vserver im Inet betreiben bearbeitet 16. Mai 2021 von mba 2 1 Zitieren Link zu diesem Kommentar
bluelight 0 Geschrieben 16. Mai 2021 Autor Melden Teilen Geschrieben 16. Mai 2021 Aber warum sollte die denn Dicht machen? Dann könnte ja niemand dort ein AD Hosten. Ich weiß aber, dass es dort welche tun. Über ein VPN würde sich das ja realisieren lassen - ich weiß nur nicht wie. Zitieren Link zu diesem Kommentar
mba 133 Geschrieben 16. Mai 2021 Melden Teilen Geschrieben 16. Mai 2021 vor 1 Minute schrieb bluelight: Ich weiß aber, dass es dort welche tun Dann wisst Ihr wohl beide dass sie es tun, aber nur die anderen was sie tun. Gibt es einen sinnvollen Grund für Deine "Idee"? Einen V-server kann man auch im LAN betreiben 3 Zitieren Link zu diesem Kommentar
NorbertFe 2.034 Geschrieben 16. Mai 2021 Melden Teilen Geschrieben 16. Mai 2021 (bearbeitet) vor 30 Minuten schrieb bluelight: Über ein VPN würde sich das ja realisieren lassen - ich weiß nur nicht wie. Wäre dann aber sinnvoller sich mit vpn zu befassen, als die Firewalls abzuschalten. ;) vor einer Stunde schrieb bluelight: So habe ich mir aus Spaß Hamachi auf Server und Client installiert und beim Client die Hamachi IP-Adresse als DNS Server hinterlegt - und siehe da - es funktioniert. Womit die VPN Lösung dann ja wohl sinnvoller erscheint, wenn du das sogar selbst schon festgestellt hast. Ob man dazu hamachi verwenden sollte… keine Ahnung. Klingt alles sehr „spielerisch“. bearbeitet 16. Mai 2021 von NorbertFe 1 Zitieren Link zu diesem Kommentar
daabm 1.354 Geschrieben 16. Mai 2021 Melden Teilen Geschrieben 16. Mai 2021 vor einer Stunde schrieb bluelight: Die Firewall ist KOMPLETT deaktiviert. Welche Firewall? Eine Fritte blockiert z.B. SMB von Haus aus... PortQry bzw. Test-NetConnection wären Deine Freunde. 1 Zitieren Link zu diesem Kommentar
NilsK 2.934 Geschrieben 16. Mai 2021 Melden Teilen Geschrieben 16. Mai 2021 Moin, Wenn das oben in den Logs der Name eurer Firma ist, solltest du das noch mal anonymisieren. Sonst setzt du hier mit deiner Sorglosigkeit vielleicht doch etwas viel aufs Spiel. Gruß, Nils 1 Zitieren Link zu diesem Kommentar
Dukel 454 Geschrieben 16. Mai 2021 Melden Teilen Geschrieben 16. Mai 2021 vor 3 Stunden schrieb bluelight: Aber warum sollte die denn Dicht machen? Dann könnte ja niemand dort ein AD Hosten. Ich weiß aber, dass es dort welche tun. Über ein VPN würde sich das ja realisieren lassen - ich weiß nur nicht wie. Es macht es nicht besser, wenn andere es auch tun. Azure AD ist etwas anderes, das ist darauf angelegt aus dem Internet erreichbar zu sein. Ein OnPrem AD gehört ins eigene Netz. Wenn man dies via VPN auf einen Provider erweitert ist ok, aber nicht ungesichert ins Internet. Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.