Компьютер не добавлен в домен

Обновлено: 28.06.2024

Active Directory (AD) – это технология с многолетней историей, которую ежедневно используют тысячи организаций. Чтобы воспользоваться преимуществами AD, вы должны присоединить компьютеры к домену AD. Вы можете не осознавать, что есть много разных способов сделать это, некоторые лучше, чем другие. Читайте дальше, чтобы узнать, как это сделать.

Есть ли у вас скомпрометированные пароли в Active Directory? Узнайте это с помощью Specops Password Auditor Free.

В этом руководстве вы узнаете, как добавить компьютер в домен с помощью графического интерфейса Windows и командной строки с помощью утилиты netdom и PowerShell.

Оглавление

Предпосылки

Если вы хотите выполнить все шаги этого руководства, убедитесь, что у вас есть следующее:

Домен Active Directory. В этом руководстве будет использоваться домен с именем homelab.local.
Компьютер с Windows 10 Pro, Enterprise или Education в рабочей группе, который может получить доступ к контроллеру домена AD. Не все версии Windows 10 можно присоединить к домену. В этом руководстве будет использоваться компьютер с именем Win10Demo.
Учетная запись пользователя AD с разрешениями на добавление компьютера в домен. Дополнительную информацию о том, как узнать, какие разрешения необходимы, можно найти здесь.
Доступ к пользователям и компьютерам Active Directory (ADUC) на контроллере домена (для подтверждения присоединения к домену).
Пакет средств удаленного администрирования сервера (RSAT) для использования командной строки

Добавление компьютера в домен через графический интерфейс

Один из наиболее распространенных способов добавить компьютер в домен AD – это графический интерфейс. Этот подход хорош, когда вам нужно просто добавить один или несколько компьютеров одновременно. Этот метод не подходит для одновременного добавления нескольких компьютеров. Это будет позже.

Предполагая, что вы находитесь на компьютере рабочей группы Windows 10, который может получить доступ к существующему контроллеру домена:

<р>1. Запустите команду sysdm.cpl. Эта команда откроет апплет панели управления «Свойства системы».

Диалоговое окно «Свойства системы»

<р>2. На экране «Свойства системы» нажмите кнопку «Изменить». Эта кнопка вызовет диалоговое окно «Изменение имени компьютера/домена».

Изменить параметр в диалоговом окне "Свойства системы"

<р>3. Вы можете видеть ниже, что этот компьютер находится в рабочей группе под названием WORKGROUP. В диалоговом окне «Изменение имени компьютера/домена» выберите переключатель «Домен», чтобы ввести домен, в который нужно добавить этот компьютер.

Диалоговое окно «Изменение имени компьютера/доменного имени»

<р>4. Введите имя домена, в который нужно добавить компьютер, в поле «Домен» и нажмите «ОК». Затем компьютер попытается связаться с контроллером домена и добавить себя в домен.

Диалоговое окно «Изменение имени компьютера/доменного имени»

Если ваш компьютер не может связаться с доменным именем, которое вы ввели сразу, он выдает следующую ошибку: Если компьютер не может связаться с контроллером домена, убедитесь, что DNS-сервер компьютера указывает на контроллер домена. Компьютер должен иметь возможность найти запись DNS SRV, чтобы найти контроллер домена.

<р>5. Если компьютер может связаться с контроллером домена, он запросит у вас имя пользователя и пароль, как показано ниже. Введите учетную запись пользователя с разрешениями на добавление этого компьютера в домен и нажмите OK.

Диалоговое окно «Учетные данные для присоединения к домену»

<р>6. Если все пойдет хорошо, вы получите сообщение, приветствующее вас в домене, как показано ниже. В это время компьютер создает объект компьютера AD. Нажмите "ОК".

Успешно добавлено в уведомление о домене

<р>7. Нажмите OK еще раз, чтобы подтвердить необходимость перезагрузки компьютера.

Уведомление о перезагрузке компьютера

<р>8. Затем вы будете перенаправлены обратно в диалоговое окно «Свойства системы», но теперь вы увидите предупреждение (изменения вступят в силу после перезагрузки этого компьютера). Нажмите «Закрыть».

Диалоговое окно «Свойства системы» после присоединения к домену

<р>9. После того, как вы нажмете «Закрыть», Windows предложит перезагрузить компьютер сейчас. Нажмите «Перезагрузить сейчас», чтобы немедленно перезагрузить компьютер.

Запрос на перезагрузку локального компьютера

Добавление локального компьютера в домен через приложение «Настройки»

Шаги, описанные ниже, доступны только в версии Windows10 20H2. Эти шаги могут измениться в будущих версиях Windows10.

<р>1. Щелкните правой кнопкой мыши меню «Пуск» и выберите «Настройки».

Параметры в меню "Пуск"

<р>2. В настройках нажмите на учетные записи

Параметр "Аккаунты" в приложении "Настройки"

<р>3. На следующей странице нажмите «Доступ к работе или учебе» и выберите вариант подключения справа.

Доступ к рабочим или учебным параметрам в настройках

<р>4. Поскольку мы собираемся присоединить этот компьютер к локальному домену Active Directory, в диалоговом окне учетной записи Microsoft выберите параметр «Присоединить это устройство к локальному домену Active Directory» и нажмите «Далее».

Присоединить это устройство к локальному домену Active Directory

<р>5. На следующей странице введите имя своего домена и нажмите Далее.

Диалоговое окно "Имя домена"

<р>6. Если компьютер может связаться с контроллером домена, он запросит у вас имя пользователя и пароль, как показано ниже. Введите учетную запись пользователя с разрешениями на добавление этого компьютера в домен и нажмите OK.

Диалоговое окно учетных данных

<р>7. На следующей странице выберите тип учетной записи, которая будет использовать этот компьютер.

Если вы выберете администратора, идентификатор пользователя, который вы использовали для добавления этой машины в домен, будет добавлен в группу локальных администраторов на этой машине.
Если вы выберете стандартного пользователя, идентификатор пользователя не будет добавлен в группу локальных администраторов. Вы также можете пропустить его и перейти к следующей странице. Для этой демонстрации давайте выберем обычного пользователя и нажмем «Далее».

Подсказка о типе аккаунта

<р>8. Нажмите «Перезагрузить сейчас», чтобы немедленно перезагрузить компьютер.

Запрос на перезагрузку

<р>9. После перезапуска вы можете войти в систему с идентификатором пользователя домена.

Добавление локального компьютера в домен через Netdom

До сих пор вы видели, как добавить компьютер с Windows 10 в домен через графический интерфейс, но вам не обязательно использовать графический интерфейс. Вместо этого вы можете использовать командную строку с помощью утилиты netdom. Netdom – это инструмент командной строки, входящий в состав пакета RSAT.

<р>1. Откройте cmd.exe от имени администратора.

<р>2. Запустите соединение netdom, указав следующие параметры.

Netdom требует имя компьютера сразу после параметра соединения.Если вы используете эту команду на других компьютерах, замените значение переменной %computername%, чтобы всегда представлять локальный компьютер.

Вывод команды Netdom

<р>3. Теперь перезагрузите компьютер, и компьютер будет присоединен к домену.

Добавление локального компьютера в домен с помощью PowerShell

Если у вас есть много компьютеров, которые нужно добавить в домен, у вас есть процесс автоматизации регистрации или вы предпочитаете командную строку, вы можете использовать PowerShell для добавления компьютера в домен.

<р>1. Откройте Windows PowerShell и запустите его от имени администратора.

В консоли PowerShell запустите командлет Add-Computer. Этот командлет выполняет то же действие, что и добавление компьютера в домен через графический интерфейс. Укажите доменное имя, в которое нужно добавить компьютер, с помощью параметра DomainName и при необходимости укажите параметр Restart для автоматического перезапуска компьютера после завершения.

Вы также можете указать параметр Credential, чтобы указать имя пользователя и пароль раньше. Дополнительную информацию см. в этой статье. Если вы хотите добавить компьютер в другую OU при создании, укажите параметр OUPath. Чтобы получить дополнительные параметры, запустите Get-Help Add-Computer -Full .

Запрос учетных данных командлета Add-Computer

Добавить локальный компьютер в домен через WMI

Чтобы убедиться, что это руководство охватывает все способы добавления компьютера в домен, давайте продолжим рассмотрение менее известного метода использования инструментария управления Windows (WMI). WMI — это вездесущая часть Windows, которая содержит массу информации о ПК и может выполнять на нем действия.

Чтобы добавить локальный компьютер в домен с помощью WMI, необходимо вызвать метод WMI. Этот метод выполняет ту же задачу, что и при использовании netdom или командлета PowerShell Add-Computer.

Вы можете вызывать методы WMI разными способами. В этом руководстве мы сосредоточимся на двух способах использования утилиты командной строки *wmic* и PowerShell.

Использование WMIC

Чтобы добавить компьютер в домен с WMIC:

<р>1. Откройте командную строку (cmd.exe) от имени администратора.

<р>2. Запустите приведенную ниже команду. Эта команда:

Указывает локальный компьютер с помощью запроса where ( where name="%computername%" )
Вызовите метод WMI joindomainorworkgroup ( call joindomainorworkgroup ), который является частью WMI-класса Win32_ComputerSystem ( computersystem )
Указывает соответствующие побитовые операторы для присоединения к домену ( параметры fjoin 3 )
Добавляет компьютер в домен homelab.local ( homelab.local ), выполняя аутентификацию с помощью учетной записи пользователя labadmin ( username="homelab\labadmin Password="secret" )

Вывод команды WMIC

<р>3. По завершении перезагрузите компьютер.

Использование командлета PowerShell Get-WmiObject

Можно также вызвать метод WMI JoinDomainOrWorkgroup с помощью PowerShell. Для этого:

<р>1. Откройте PowerShell от имени администратора.

<р>2. Выполните следующую команду. Эта команда выполняет ту же задачу, что и wmic, используя те же аргументы.

Вывод команды Get-WMIObject

<р>3. По завершении перезагрузите компьютер.

Удаленное добавление компьютеров в домен

Из этого руководства вы узнали, как добавить компьютер в домен, сидя перед этим компьютером. Но что происходит, когда вы не можете сидеть перед этим компьютером или вам нужно добавить много компьютеров? В этом случае PowerShell — ваш лучший друг.

Чтобы удаленно добавить компьютеры в домен, вы можете использовать метод WMI в PowerShell, как описано выше, но использовать параметр ComputerName в командлете Get-WmiObject или использовать PSRemoting.

Чтобы удаленно подключить удаленные компьютеры к домену, вызовите командлет PowerShell Add-Computer. Но на этот раз используйте параметр ComputerName.

Для удаленного запуска командлета Add-Computer необходимо убедиться, что PSRemoting включен на всех удаленных компьютерах.

<р>1. На локальной рабочей станции (не на том компьютере, который нужно добавить в домен) откройте PowerShell от имени администратора.

<р>2. Запустите приведенную ниже команду. Эта команда:

Добавляет удаленный компьютер с именем win10demo ( -ComputerName win10demo ) в домен homelab.local ( -DomainName homelab.local ).
Использует локального пользователя user01 на win10demo для аутентификации на удаленном компьютере ( -LocalCredential win10demo\user01 )
Использует учетную запись домена labadmin для аутентификации в домене для добавления учетной записи компьютера ( -Credential homelab\labadmin ).
Автоматически перезагрузит компьютер после завершения ( -Restart )

После вызова командлет Add-Computer запросит у вас пароли для учетных записей user01 и labadmin. По завершении PowerShell автоматически перезагрузит удаленный компьютер.

По умолчанию командлет Add-Computer не перезагружает удаленный компьютер, если пользователь вошел в систему. Чтобы переопределить это, укажите для параметра Force switch значение always, чтобы перезапускать удаленный компьютер.

Подтверждение создания учетной записи компьютера AD

Когда компьютер добавляется в домен, он создает объект компьютера. Чтобы убедиться, что компьютер создал объект компьютера должным образом, давайте откроем Active Directory Users and Computers (ADUC) для подтверждения.

<р>1. RDP к контроллеру домена и откройте Active Directory Users and Computers (ADUC) или откройте ADUC на локальном компьютере, если у вас установлен пакет средств удаленного администрирования сервера (RSAT).

<р>2. В ADUC разверните узел доменного имени (в данном случае homelab.local) и щелкните контейнер Компьютеры. Вы должны увидеть объект компьютера, добавленный в предыдущем разделе.

По умолчанию все компьютеры, добавляемые в домен, добавляются в контейнер "Компьютеры".

Оснастка «Пользователи и компьютеры Active Directory»

<р>3. Вернитесь на компьютер с Windows 10 и войдите в систему с любой учетной записью пользователя AD, нажав «Другой пользователь» на экране входа в систему.

Войти как другой пользователь после присоединения к домену

Теперь вы можете увидеть свое доменное имя под полем для пароля, как показано ниже.

Доменное имя при входе

Есть ли у вас скомпрометированные пароли в Active Directory? Узнайте это с помощью Specops Password Auditor Free.

Заключение

В этой статье вы видели несколько способов добавления компьютеров в домен AD. У каждого метода есть свои преимущества и недостатки, но теперь у вас должны быть перед глазами все варианты.

Теперь, когда вы знаете все способы добавления компьютера в домен, как вы добавите в домен свой следующий компьютер?

Ненавидите рекламу? Хотите поддержать писателя? Получите многие из наших руководств в виде руководства по ATA.

Ещё от ATA Learning & Partners

Резервное копирование Office 365 для чайников

Лучшее руководство по защите данных Microsoft Office 365. Изучите готовые функции безопасности.

Руководства ATA

ATA известна своими высококачественными письменными учебными пособиями в виде сообщений в блогах. Поддержите ATA с помощью электронных книг ATA Guidebook PDF, доступных в автономном режиме и без рекламы!

В этой статье описывается несколько распространенных сообщений об ошибках, которые могут появиться при присоединении клиентских компьютеров под управлением Windows к домену. В этой статье также приводятся рекомендации по устранению этих ошибок.

Применимо к: Windows Server 2016, Windows Server 2012 R2
Исходный номер базы знаний: 4341920

Где найти файл Netsetup.log

Клиенты Windows регистрируют сведения об операциях присоединения к домену в файле %windir%\debug\Netsetup.log.

Сообщения об сетевых ошибках и решения

Ошибка 1

Не удалось разрешить DNS-имя контроллера домена в присоединяемом домене. Убедитесь, что этот клиент настроен на доступ к DNS-серверу, который может разрешать DNS-имена в целевом домене.

Разрешение

При вводе имени домена убедитесь, что вы вводите имя системы доменных имен (DNS), а не имя сетевой базовой системы ввода-вывода (NetBIOS). Например, если DNS-имя целевого домена — contoso.com , убедитесь, что вы вводите contoso.com вместо имени домена NetBIOS «contoso».

Кроме того, убедитесь, что компьютер может подключиться к DNS-серверу, на котором размещена зона DNS целевого домена, или может разрешать DNS-имена в этом домене. Убедитесь, что правильный DNS-сервер настроен на этом клиенте в качестве предпочтительного DNS и что клиент имеет возможность подключения к этому серверу. Чтобы убедиться в этом, вы можете запустить одну из следующих команд:

Ошибка 2

Не удалось разрешить DNS-имя контроллера домена в присоединяемом домене. Убедитесь, что этот клиент настроен на доступ к DNS-серверу, который может разрешать DNS-имена в целевом домене.

Разрешение

При вводе имени домена убедитесь, что вы вводите имя DNS, а не имя NetBIOS.

Ошибка 3

Попытка выполнения операции с несуществующим сетевым подключением.

Разрешение

При вводе имени домена убедитесь, что вы вводите имя DNS, а не имя NetBIOS. Кроме того, перезагрузите компьютер, прежде чем пытаться присоединить его к домену.

Ошибка 4

Не допускается многократное подключение к серверу или общему ресурсу одним и тем же пользователем с использованием более одного имени пользователя. Отключите все предыдущие подключения к серверу или общему ресурсу и повторите попытку.

Разрешение

Перезагрузите компьютер, который вы пытаетесь присоединить к домену, чтобы убедиться в отсутствии скрытых подключений ни к одному из серверов домена.

При вводе имени домена убедитесь, что вы вводите имя DNS, а не имя NetBIOS.

Ошибка 5

Разрешение

Убедитесь, что компьютер может связаться с DNS-сервером, на котором размещена зона DNS целевого домена, или может разрешать DNS-имена в этом домене. Убедитесь, что правильный DNS-сервер был настроен на этом клиенте в качестве предпочтительного DNS, и что клиент имеет возможность подключения к этому серверу. Чтобы убедиться в этом, вы можете запустить одну из следующих команд:

При вводе имени домена убедитесь, что вы вводите имя DNS, а не имя NetBIOS.

Кроме того, вы можете обновить драйвер сетевого адаптера.

Ошибка 6

В настоящее время к этому удаленному компьютеру больше нельзя установить никаких подключений, потому что уже есть столько подключений, сколько компьютер может принять.

Разрешение

Прежде чем присоединять компьютер к домену, убедитесь, что вы удалили все сопоставленные подключения к любым дискам.

При вводе имени домена убедитесь, что вы вводите имя DNS, а не имя NetBIOS.

Ошибка может быть временной. Попробуйте позже. Если проблема не устранена, проверьте состояние контроллера домена, к которому подключается клиент (активные подключения, сетевое подключение и т. д.). Вы можете перезапустить контроллер домена, если проблема не устранена.

Ошибка 7

Недопустимый формат указанного имени сети.

Разрешение

При вводе имени домена убедитесь, что вы вводите имя DNS, а не имя NetBIOS. Убедитесь, что у вас установлены самые последние версии драйверов для сетевого адаптера клиентского компьютера. Проверьте подключение между подключаемым клиентом и целевым контроллером домена через требуемые порты и протоколы. Отключите функцию разгрузки TCP Chimney и разгрузку IP.

Ошибка 8

Служба каталогов исчерпала пул относительных идентификаторов.

Разрешение

Убедитесь, что контроллер домена, на котором размещен мастер операций с относительным идентификатором (RID), находится в сети и работает. Дополнительные сведения см. в разделе Событие с кодом 16650: не удалось инициализировать распределитель идентификаторов учетных записей в Windows Server.

Вы можете использовать команду netdom query fsmo, чтобы определить, какой контроллер домена имеет роль хозяина RID.

Убедитесь, что Active Directory реплицируется между всеми контроллерами домена. Вы можете использовать следующую команду для обнаружения ошибок:

Ошибка 9

Вызов удаленной процедуры завершился неудачно и не был выполнен.

Разрешение

Убедитесь, что для сетевого адаптера клиентского компьютера установлены самые последние версии драйверов. Проверьте подключение между подключаемым клиентом и целевым контроллером домена через требуемые порты и протоколы. Отключите функцию разгрузки TCP Chimney и разгрузку IP.

Эта проблема также может быть вызвана одним из следующих условий:

Сетевое устройство (маршрутизатор, брандмауэр или VPN-устройство) блокирует подключение через порты и протоколы, используемые протоколом MSRPC.
Сетевое устройство (маршрутизатор, брандмауэр или VPN-устройство) отклоняет сетевые пакеты между подключаемым клиентом и контроллером домена.

Ошибка 10

Не удалось изменить DNS-имя основного домена этого компьютера на "". Имя останется ".". Указанный сервер не может выполнить операцию.

Разрешение

Эта ошибка возникает при использовании пользовательского интерфейса присоединения к домену для присоединения компьютера рабочей группы Windows 7 или Windows Server 2008 R2 к домену Active Directory путем указания целевого домена DNS. Чтобы исправить эту ошибку, см. 2018583. При присоединении к домену Windows 7 или Windows Server 2008 R2 отображается ошибка «Не удалось изменить DNS-имя основного домена этого компьютера на «».

Сообщения об ошибках аутентификации и решения

Ошибка 1

Вы превысили максимальное количество учетных записей компьютеров, которые вам разрешено создавать в этом домене.

Разрешение

Убедитесь, что у вас есть разрешения на добавление компьютеров в домен и что вы не превысили квоту, установленную вашим администратором домена.

Чтобы присоединить компьютер к домену, учетной записи пользователя должны быть предоставлены разрешения на создание объектов компьютеров в Active Directory.

По умолчанию пользователь без прав администратора может присоединять к домену Active Directory не более 10 компьютеров.

Ошибка 2

Разрешение

Убедитесь, что контроллеры домена (DC) зарегистрированы с использованием правильных IP-адресов на DNS-сервере, а их имена участников-служб (SPN) правильно зарегистрированы в их учетных записях Active Directory.

Ошибка 3

Разрешение

Убедитесь, что у вас есть права на добавление компьютеров в домен. Чтобы присоединить компьютер к домену, учетной записи пользователя должно быть предоставлено разрешение на создание объекта компьютера в Active Directory.

Кроме того, убедитесь, что указанной учетной записи пользователя разрешен локальный вход на клиентский компьютер. Для этого настройте параметр Разрешить локальный вход в групповую политику в разделе Конфигурация компьютера > Параметры Windows > Параметры безопасности > Локальные политики > Назначение прав пользователя.

Ошибка 4

Разрешение

Убедитесь, что вы используете правильную комбинацию имени пользователя и пароля существующей учетной записи пользователя Active Directory, когда вам будет предложено ввести учетные данные для добавления компьютера в домен.

Ошибка 5

Сопоставление имен учетных записей и идентификаторов безопасности не выполнялось.

Разрешение

Эта ошибка, скорее всего, является временной ошибкой, которая регистрируется, когда присоединение к домену выполняет поиск в целевом домене, чтобы определить, была ли уже создана соответствующая учетная запись компьютера или операция присоединения должна динамически создавать учетную запись компьютера в целевом домене.

Ошибка 6

Недостаточно памяти для выполнения этой операции.

Разрешение

Эта ошибка может возникнуть, если размер токена Kerberos превышает максимальный размер по умолчанию. В этой ситуации необходимо увеличить размер токена Kerberos компьютера, который вы пытаетесь присоединить к домену. Дополнительные сведения см. в следующих статьях базы знаний:
935744 Сообщение об ошибке «Недостаточно памяти для выполнения этой операции» при использовании контроллера домена для присоединения компьютера к домену
327825 Проблемы с Kerberos аутентификация, когда пользователь принадлежит ко многим группам

Ошибка 7

Учетная запись не авторизована для входа с этой станции.

Разрешение

Эта проблема связана с несоответствием параметров подписи SMB между клиентским компьютером и контроллером домена, с которым связываются для операции присоединения к домену. Просмотрите следующую документацию для дальнейшего изучения текущих и рекомендуемых значений в вашей среде:
281648 Сообщение об ошибке: учетная запись не авторизована для входа с этой станции 823659 Проблемы с клиентом, службой и программой могут возникнуть, если вы измените настройки безопасности и назначение прав пользователя

Ошибка 8

Учетная запись, указанная для этой службы, отличается от учетной записи, указанной для других служб, работающих в том же процессе.

Разрешение

Убедитесь, что на контроллере домена, через который вы пытаетесь присоединиться к домену, запущена служба времени Windows.

Это один из самых частых вопросов, которые я получаю от новичков, студентов и администраторов, которые следят за моим блогом. Они говорят, что следуйте моим пошаговым инструкциям по установке контроллера домена в рабочей или демонстрационной установке, и в конце они не могут подключить компьютеры к домену. Я уверен, что если вы уже работаете с инфраструктурой домена, вы также иногда сталкиваетесь с подобным опытом в своей работе.

Поэтому я решил поделиться некоторыми советами по устранению неполадок и подключению вашего компьютера к домену.

Прочитайте ошибку.

Это самый лучший помощник при первоначальном устранении неполадок. Внимательно прочитайте ошибку. Это даст вам некоторые подсказки, с чего начать. Это может быть простая опечатка, поэтому сначала прочитайте ошибку дважды или больше, пока не получите четкое представление о том, что она говорит.

Подключение

Чтобы обеспечить успешную связь между контроллером домена и компьютером, он должен иметь надежное соединение. Есть много способов прервать его.

1) Локальный хост
Для начала сначала попробуйте выполнить эхо-запрос на IP-адрес локального хоста с компьютера ( ping 127.0.0.1 ). Если он прошел успешно, это означает, что локальный компьютер работает с правильными протоколами и необходимыми компонентами. Если нет, начните с него в первую очередь.

2) Ipconfig /all
Попробуйте это как на сервере, так и на компьютере и убедитесь, что клиентский компьютер получил действительный IP-адрес. Убедитесь, что он находится в том же диапазоне IP-адресов, что и сервер, чтобы они могли общаться друг с другом.

Время

Это также очень распространенная проблема, с которой я сталкивался. Убедитесь, что системное время и даты вашего контроллера домена и компьютера совпадают. Даже если вы используете общие серверы времени, время от времени может возникать несоответствие из-за синхронизации.

Виртуализация

Если вы используете программное обеспечение для виртуализации для создания домашнего круга или даже производственной среды, вам следует проверить несколько вещей. На этих платформах виртуализации вы можете настроить виртуальные сети в соответствии с вашими требованиями. Таким образом, иногда даже DC и ПК находятся в одном сетевом диапазоне, они могут быть не в одной виртуальной сети. Убедитесь, что интерфейсы правильно назначены для соответствующей виртуальной сети.

Осторожно!! В большинстве случаев, если мы создаем тестовую лабораторию с несколькими виртуальными машинами, мы используем их для клонирования. Даже в производственных условиях инженеры этим занимаются. Не так давно мне пришлось столкнуться с проблемой присоединения виртуальных машин к домену. Он использовал одно из известных программ виртуализации. Таким образом, инженер, который устанавливал систему, использовал их для связывания-клонирования (все виртуальные машины запускают один и тот же исходный образ). Но когда вы добавляете эти компьютеры в домен, только 1 виртуальная машина может добавиться в домен, и только одна виртуальная машина может войти в DC. В настройках было запущено 10 виртуальных машин. Так в чем вы думаете проблема? С клоном ссылки он также копировал всю сетевую информацию. Итак, если посмотреть на каждый компьютер, каждый из них использовал один и тот же IP-адрес и один и тот же MAC-адрес. Интересно, что даже все они включены, ни один из них не выдавал ошибку дублирования IP. Поэтому, если вы использовали опцию «клонирования» для создания виртуальной машины, убедитесь, что она имеет уникальный IP-адрес и MAC-адрес.
Я считаю, что приведенный выше совет поможет вам устранить проблемы с подключением к постоянному току.

Это сработало для меня, просто пришлось перезагрузить машину после внесения изменений в реестр.

Спасибо за помощь.

Ни одна из этих функций не работала ни у кого, использующего Samba3.
Мне кажется, Microsoft отказалась от Samba3.

Пуск, Выполнить, написать regedit, ВВОД. Найдите этот подраздел:

Редактировать, Создать,DWORD.
Напишите AllowSingleLabelDnsDomain в качестве имени ключа и нажмите ENTER.

Надеюсь, это будет полезно.

Хорошо, я думаю, что у меня есть постоянное решение этой проблемы. Идентификатор проблемы вызван тем, что технологии развиваются, и здесь это произошло на двух фронтах.

IPv6 теперь используется в большей степени, чем IPv4. Сервер 2003 не поддерживает IPv6, поэтому может быть несоответствие IP-протокола между новыми клиентами Windows, говорящими на V6 и говорящими «Привет!», и древним сервером 2003, держащим трубку и кричащим « Скажи что. "
- Решение. Отключите IPV6 на клиентском компьютере, который вы пытаетесь присоединить к домену.
Протокол SMBv1 является плохим и неприятным, и для текущих сборок Windows он был прекращен. Это была серия зияющих дыр в протоколе SMBv1, которые были использованы во время недавней вспышки Wannacry Cryptovirus. Мир перешел на более совершенные и безопасные версии SMB. К сожалению, ваш бедный старый сервер все еще застрял в темных веках и сидит там, говоря: «Я могу позволить тебе присоединиться к домену, сынок, только если ты принесешь мне старый добрый SMBv1, который делала моя мама, и пока ты этим занимаешься. , я хочу патефон и немного Brylcream."
- Решение. Установите SMBv1 в этом районе и перезагрузите компьютер.

Надеюсь, это кому-нибудь поможет.

IPv6 теперь используется в большей степени, чем IPv4.Сервер 2003 не поддерживает IPv6, поэтому может быть несоответствие IP-протокола между новыми клиентами Windows, говорящими на V6 и говорящими «Привет!», и древним сервером 2003, держащим трубку и кричащим « Скажи что. "
- Решение. Отключите IPV6 на клиентском компьютере, который вы пытаетесь присоединить к домену.
Протокол SMBv1 является плохим и неприятным, и для текущих сборок Windows он был прекращен. Это была серия зияющих дыр в протоколе SMBv1, которые были использованы во время недавней вспышки Wannacry Cryptovirus. Мир перешел на более совершенные и безопасные версии SMB. К сожалению, ваш бедный старый сервер все еще застрял в темных веках и сидит там, говоря: «Я могу позволить тебе присоединиться к домену, сынок, только если ты принесешь мне старый добрый SMBv1, который делала моя мама, и пока ты этим занимаешься. , я хочу патефон и немного Brylcream."
- Решение. Установите SMBv1 в этом районе и перезагрузите компьютер.

Извините, но это не работает для меня. Я по-прежнему получаю то же сообщение о невозможности связаться с AD DC в сети.

Возможно, на Microsoft Windows Server, который является 64-разрядной операционной системой, установлены 32-разрядные (x86) или 32-разрядные (x86) приложения, когда почти всегда есть что-то, чего нет. работает правильно.

В Microsoft Windows Server (64-разрядная версия), когда на нем установлены 32-разрядные (x86) драйверы или 32-разрядные (x86) приложения, позже обычно возникают некоторые проблемы, и возникает одна из этих проблем. в автоматических загрузках Центра обновления Windows.

Чтобы решить эту проблему, вы должны в разделе "Панель управления", "Программы и компоненты" удалить все 32-разрядные (x86) драйверы, загрузить и установить 64-разрядную (x64) версию этих драйверов и, наконец, перезагрузить сервер.< /p>

То же самое в Windows 7 (64-разрядная версия, то же самое в Windows 8.1 (64-разрядная версия) и то же самое в Windows 10 (64-разрядная версия).

И в конфигурации сетевой карты, в TCP/IP версии 4, в пункте основной IP-адрес (не может быть в автоматическом, IP-адрес должен быть фиксированным адресом), а шлюз - это IP-адрес маршрутизатора.

Если компьютер/сервер совместно использует папки с другими пользователями в сети, IP-адрес этого компьютера/сервера также должен быть фиксированным IP-адресом.

Здесь у меня есть компьютеры с Windows 7 (установлена 32-разрядная версия и 64-разрядная версия) и у меня есть компьютеры с Windows 10 (установлена 64-разрядная версия).

На компьютере с Windows 10 нажмите значок окна, затем нажмите значок «Конфигурация», затем нажмите «Система», затем нажмите «О программе», чтобы узнать, является ли установленная версия Windows 10 64-разрядной (x64) или 32-разрядной (x86). ).

Затем щелкните значок «Конфигурация», выберите «Ethernet», затем «Изменить параметры адаптера». Отобразятся сетевые подключения. Щелкните одно из сетевых подключений (вы там просматриваете) правой кнопкой мыши и выберите свойства, чтобы вы могли изменить настройки сетевого адаптера в TCP/IP версии 4.

В элементе Сетевые подключения в элементе Свойства Ethernet щелкните элемент Сеть, щелкните элемент Дополнительно, щелкните DNS, там вы можете прописать все DNS-адреса, которые используются в вашей сети, и вы можете добавить конкретные первичные DNS-суффиксы для каждого сетевого подключения.

Нажмите на дополнительные параметры (справа на экране видео) и установите флажок (*), чтобы включить сетевое обнаружение, включить автоматическую настройку сетевых устройств, а в элементе личного и частного профиля нажмите [x] для обмена файлами. и принтеры.

В элементе "Все сети" в разделе "Общий доступ к общим папкам" установите флажок "Включить общий доступ" (*), чтобы любой пользователь, имеющий доступ к сети, мог читать и записывать файлы в общие папки.

Прочитайте разделы этой главы, чтобы решить проблемы с присоединением к домену.

10 основных причин сбоя присоединения к домену

Вот 10 основных причин неудачной попытки присоединения к домену:

Корневой каталог не использовался для запуска команды присоединения к домену (или для запуска графического пользовательского интерфейса присоединения к домену).
Неверное имя пользователя или пароль учетной записи, используемой для присоединения к домену.
Ошибка в имени домена.
Ошибка в названии организационной единицы.
Недопустимое локальное имя хоста.
Контроллер домена недоступен для клиента из-за брандмауэра или из-за того, что на контроллере домена не запущена служба NTP.

Клиент использует RHEL 2.1 и старую версию SSH.
В SUSE необходимо перезапустить GDM (dbus). Этот демон не может быть перезапущен автоматически, если пользователь вошел в систему с помощью графического пользовательского интерфейса.
В Solaris необходимо перезапустить dtlogin. Этот демон не может быть перезапущен автоматически, если пользователь вошел в систему с графическим пользовательским интерфейсом Solaris. Чтобы перезапустить dtlogin, выполните следующую команду:
SELinux настроен либо на принудительное, либо на разрешающее действие, скорее всего, в Fedora.Перед присоединением компьютера к домену необходимо отключить SELinux.

Чтобы отключить SELinux, см. справочную страницу SELinux.

Решение проблем с присоединением к домену

Чтобы устранить проблемы с присоединением компьютера Linux к домену, последовательно выполните следующую серию диагностических тестов на компьютере Linux с учетной записью root.

Эти тесты также можно использовать для устранения неполадок при присоединении к домену на компьютере Unix; однако синтаксис команд в Unix может немного отличаться.

В процедурах, описанных в этом разделе, предполагается, что вы уже проверили, относится ли проблема к 10 основным причинам неудачного присоединения к домену (см. выше). Мы также рекомендуем создать журнал присоединения к домену.

Убедитесь, что сервер имен может найти домен

Выполните следующую команду от имени пользователя root:

Убедитесь, что клиент может подключиться к контроллеру домена

Вы можете убедиться, что ваш компьютер может подключиться к контроллеру домена, отправив ему команду ping:

Проверьте подключение к DNS

Возможно, компьютер использует неправильный DNS-сервер или вообще не использует его. Убедитесь, что запись сервера имен в файле /etc/resolv.conf содержит IP-адрес DNS-сервера, который может разрешать имя домена, к которому вы пытаетесь присоединиться. Скорее всего, это IP-адрес одного из ваших контроллеров домена.

Убедитесь, что nsswitch.conf настроен на проверку имен хостов в DNS

Файл /etc/nsswitch.conf должен содержать следующую строку. (В AIX это файл /etc/netsvc.conf.)

В частности, компьютеры с ОС Solaris могут не содержать эту строку в nsswitch.conf, пока вы ее не добавите.

Убедитесь, что DNS-запросы используют правильную карту сетевого интерфейса

Если компьютер является многосетевым, DNS-запросы могут отправляться не на ту сетевую карту.

Временно отключите все сетевые адаптеры, кроме карты в той же подсети, что и ваш контроллер домена или DNS-сервер, а затем проверьте поиск DNS в домене AD.

Если это работает, снова включите все сетевые адаптеры и отредактируйте локальные или сетевые таблицы маршрутизации, чтобы контроллеры домена AD были доступны с хоста.

Определить, настроен ли DNS-сервер для возврата записей SRV

Ваш DNS-сервер должен быть настроен на возврат записей SRV, чтобы можно было найти контроллер домена. DNS-серверы, отличные от Windows (привязка), часто не настроены на возврат записей SRV.

Проверьте это, выполнив следующую команду:

Убедитесь, что глобальный каталог доступен

Должен быть доступен глобальный каталог Active Directory. Глобальный каталог в другой зоне может не отображаться в DNS. Диагностируйте его, выполнив следующую команду:

Из списка IP-адресов в результатах выберите один или несколько адресов и проверьте, доступны ли они через порт 3268 с помощью telnet.

Убедитесь, что клиент может подключиться к домену через порт 123

Следующий тест проверяет, может ли клиент подключиться к контроллеру домена через порт 123 и запущена ли служба протокола сетевого времени (NTP) на контроллере домена. Чтобы клиент мог присоединиться к домену, NTP, служба времени Windows, должна работать на контроллере домена.

На компьютере с Linux выполните следующую команду от имени пользователя root:

Дополнительную информацию см. в разделе Диагностика NTP на порту 123

Кроме того, проверьте журналы контроллера домена на наличие ошибок из источника с именем w32tm, который является службой времени Windows.

FreeBSD: запустите ldconfig, если не удается перезагрузить компьютер

При установке AD Bridge Enterprise на новый компьютер с FreeBSD, в котором ничего нет в /usr/local, запустите /etc/rc.d/ldconfig start после установки, если вы не можете перезагрузить компьютер. В противном случае /usr/local/lib не будет в пути поиска библиотеки.

Игнорировать недоступные доверительные отношения

Недоступное доверие может помешать успешному присоединению к домену. Если вы знаете, что в вашей сети Active Directory есть недоступные доверительные отношения, вы можете настроить AD Bridge Enterprise на игнорирование всех доверительных отношений, прежде чем пытаться присоединиться к домену. Для этого используйте инструмент настройки, чтобы изменить значения параметра DomainManagerIgnoreAllTrusts.

Результаты будут выглядеть примерно так. Параметр, о котором идет речь, — DomainManagerIgnoreAllTrusts.

Перечислите сведения о параметре DomainManagerIgnoreAllTrusts, чтобы увидеть, какие значения он принимает:

Измените значение параметра на true, чтобы AD Bridge Enterprise игнорировал доверительные отношения при попытке присоединиться к домену.

Проверьте, чтобы изменения вступили в силу:

Теперь попробуйте снова присоединиться к домену. В случае успеха имейте в виду, что только пользователи и группы, которые находятся в локальном домене, смогут войти в систему на компьютере.

В приведенном выше примере вывода, который показывает текущие значения параметра, указана локальная политика, что означает, что параметр управляется локально через конфигурацию, поскольку параметр групповой политики предприятия AD Bridge не управляет параметром.Как правило, в AD Bridge Enterprise вы должны управлять параметром DomainManagerIgnoreAllTrusts с помощью соответствующего параметра групповой политики, но вы не можете применять объекты групповой политики (GPO) к компьютеру до тех пор, пока он не будет добавлен в домен. Соответствующий параметр политики AD Bridge Enterprise называется Lsass: игнорировать все доверительные отношения при перечислении доменов.

Для получения информации об аргументах config выполните следующую команду:

Устранение распространенных сообщений об ошибках

В этом разделе перечислены решения для распространенных ошибок, которые могут возникнуть при попытке присоединиться к домену.

Конфигурация krb5

Удалите /etc/krb5.conf и попробуйте снова присоединиться к домену.

Ошибка Chkconfig

Эта ошибка может возникнуть, когда вы пытаетесь присоединиться к домену или пытаетесь выполнить команду domain-join с параметром, но демон netlogond еще не запущен.

Описание: Произошла ошибка при использовании chkconfig для обработки демона netlogond, который необходимо добавить в список процессов, запускаемых при перезагрузке компьютера. Проблема может быть вызвана сценариями запуска в дереве /etc/rc.d/, несовместимыми с LSB.

Проверка. Выполнение следующей команды от имени пользователя root может предоставить информацию об ошибке:

Удалите сценарии запуска, не соответствующие LSB, из дерева /etc/rc.d/.

Проблемы репликации

При наличии задержек репликации в вашей среде может возникнуть следующая ошибка. Задержка репликации может возникнуть, если клиент находится на том же сайте, что и контроллер домена только для чтения.

После возникновения ошибки подождите 15 минут, а затем выполните следующую команду, чтобы перезапустить AD Bridge Enterprise:

Диагностика NTP на порту 123

При использовании утилиты присоединения к домену AD Bridge Enterprise для присоединения клиента Linux или Unix к домену эта утилита может быть не в состоянии связаться с контроллером домена через порт 123 с помощью UDP. Агент AD Bridge Enterprise требует, чтобы порт 123 был открыт на клиенте, чтобы он мог получать данные NTP от контроллера домена. Кроме того, на контроллере домена должна быть запущена служба времени.

Вы можете диагностировать подключение NTP, выполнив следующую команду от имени пользователя root в командной строке вашего компьютера с Linux:

Если все в порядке, результат должен выглядеть следующим образом:

Вывод при отсутствии службы NTP

Если контроллер домена не использует NTP на порту 123, команда возвращает ответ, например подходящий сервер для синхронизации не найден, как показано в следующем выводе:

Отключить Apache для присоединения к домену

Веб-сервер Apache блокирует файл keytab, что может заблокировать попытку присоединения к домену. Если на компьютере работает Apache, остановите Apache, присоединитесь к домену и перезапустите Apache.

BeyondTrust — мировой лидер в области управления привилегированным доступом (PAM), который позволяет компаниям защищать и управлять всеми своими привилегиями. Подход BeyondTrust Universal Privilege Management обеспечивает безопасность и защиту привилегий в отношении паролей, конечных точек и доступа, предоставляя организациям прозрачность и контроль, необходимые для снижения рисков, обеспечения соответствия требованиям и повышения операционной производительности.

©2003-2022 Корпорация BeyondTrust. Все права защищены. Другие товарные знаки, указанные на этой странице, принадлежат их соответствующим владельцам. BeyondTrust не является зарегистрированным банком, трастовой компанией или депозитарным учреждением. Он не имеет права принимать депозиты или доверительные счета и не лицензируется и не регулируется каким-либо государственным или федеральным банковским органом. 09.03.2022

Читайте также: