Не удалось разрешить DNS-имя контроллера домена в присоединяемом домене

Обновлено: 22.11.2024

Прочитайте разделы этой главы, чтобы решить проблемы с присоединением к домену.

10 основных причин сбоя присоединения к домену

Вот 10 основных причин неудачной попытки присоединения к домену:

  1. Корневой каталог не использовался для запуска команды присоединения к домену (или для запуска графического пользовательского интерфейса присоединения к домену).
  2. Неверное имя пользователя или пароль учетной записи, используемой для присоединения к домену.
  3. Ошибка в имени домена.
  4. Ошибка в названии организационной единицы.
  5. Недопустимое локальное имя хоста.
  6. Контроллер домена недоступен для клиента из-за брандмауэра или из-за того, что на контроллере домена не запущена служба NTP.
  1. Клиент использует RHEL 2.1 и старую версию SSH.
  2. В SUSE необходимо перезапустить GDM (dbus). Этот демон не может быть перезапущен автоматически, если пользователь вошел в систему с помощью графического пользовательского интерфейса.
  3. В Solaris необходимо перезапустить dtlogin. Этот демон не может быть перезапущен автоматически, если пользователь вошел в систему с графическим пользовательским интерфейсом Solaris. Чтобы перезапустить dtlogin, выполните следующую команду:
  4. SELinux настроен либо на принудительное, либо на разрешающее действие, скорее всего, в Fedora. Перед присоединением компьютера к домену необходимо отключить SELinux.

Чтобы отключить SELinux, см. справочную страницу SELinux.

Решение проблем с присоединением к домену

Чтобы устранить проблемы с присоединением компьютера Linux к домену, последовательно выполните следующую серию диагностических тестов на компьютере Linux с учетной записью root.

Эти тесты также можно использовать для устранения неполадок при присоединении к домену на компьютере Unix; однако синтаксис команд в Unix может немного отличаться.

В процедурах, описанных в этом разделе, предполагается, что вы уже проверили, относится ли проблема к 10 основным причинам неудачного присоединения к домену (см. выше). Мы также рекомендуем создать журнал присоединения к домену.

Убедитесь, что сервер имен может найти домен

Выполните следующую команду от имени пользователя root:

Убедитесь, что клиент может подключиться к контроллеру домена

Вы можете убедиться, что ваш компьютер может подключиться к контроллеру домена, отправив ему команду ping:

Проверьте подключение к DNS

Возможно, компьютер использует неправильный DNS-сервер или вообще не использует его. Убедитесь, что запись сервера имен в файле /etc/resolv.conf содержит IP-адрес DNS-сервера, который может разрешать имя домена, к которому вы пытаетесь присоединиться. Скорее всего, это IP-адрес одного из ваших контроллеров домена.

Убедитесь, что nsswitch.conf настроен на проверку имен хостов в DNS

Файл /etc/nsswitch.conf должен содержать следующую строку. (В AIX это файл /etc/netsvc.conf.)

В частности, компьютеры с ОС Solaris могут не содержать эту строку в nsswitch.conf, пока вы ее не добавите.

Убедитесь, что DNS-запросы используют правильную карту сетевого интерфейса

Если компьютер является многосетевым, DNS-запросы могут отправляться не на ту сетевую карту.

Временно отключите все сетевые адаптеры, кроме карты в той же подсети, что и ваш контроллер домена или DNS-сервер, а затем проверьте поиск DNS в домене AD.

Если это работает, снова включите все сетевые адаптеры и отредактируйте локальные или сетевые таблицы маршрутизации, чтобы контроллеры домена AD были доступны с хоста.

Определить, настроен ли DNS-сервер для возврата записей SRV

Ваш DNS-сервер должен быть настроен на возврат записей SRV, чтобы можно было найти контроллер домена. DNS-серверы, отличные от Windows (привязка), часто не настроены на возврат записей SRV.

Проверьте это, выполнив следующую команду:

Убедитесь, что глобальный каталог доступен

Должен быть доступен глобальный каталог Active Directory. Глобальный каталог в другой зоне может не отображаться в DNS. Диагностируйте его, выполнив следующую команду:

Из списка IP-адресов в результатах выберите один или несколько адресов и проверьте, доступны ли они через порт 3268 с помощью telnet.

Убедитесь, что клиент может подключиться к домену через порт 123

Следующий тест проверяет, может ли клиент подключиться к контроллеру домена через порт 123 и запущена ли служба протокола сетевого времени (NTP) на контроллере домена. Чтобы клиент мог присоединиться к домену, NTP, служба времени Windows, должна работать на контроллере домена.

На компьютере с Linux выполните следующую команду от имени пользователя root:

Дополнительную информацию см. в разделе Диагностика NTP на порту 123

Кроме того, проверьте журналы контроллера домена на наличие ошибок из источника с именем w32tm, который является службой времени Windows.

FreeBSD: запустите ldconfig, если не удается перезагрузить компьютер

При установке AD Bridge Enterprise на новый компьютер с FreeBSD, в котором ничего нет в /usr/local, запустите /etc/rc.d/ldconfig запускается после установки, если вы не можете перезагрузить компьютер. В противном случае /usr/local/lib не будет в пути поиска библиотеки.

Игнорировать недоступные доверительные отношения

Недоступное доверие может помешать успешному присоединению к домену. Если вы знаете, что в вашей сети Active Directory есть недоступные доверительные отношения, вы можете настроить AD Bridge Enterprise на игнорирование всех доверительных отношений, прежде чем пытаться присоединиться к домену. Для этого используйте инструмент настройки, чтобы изменить значения параметра DomainManagerIgnoreAllTrusts.

Результаты будут выглядеть примерно так. Параметр, о котором идет речь, — DomainManagerIgnoreAllTrusts.

  1. Перечислите сведения о параметре DomainManagerIgnoreAllTrusts, чтобы увидеть, какие значения он принимает:
    1. Измените значение параметра на true, чтобы AD Bridge Enterprise игнорировал доверительные отношения при попытке присоединиться к домену.
      1. Проверьте, чтобы изменения вступили в силу:

      Теперь попробуйте снова присоединиться к домену. В случае успеха имейте в виду, что только пользователи и группы, которые находятся в локальном домене, смогут войти в систему на компьютере.

      В приведенном выше примере вывода, который показывает текущие значения параметра, указана локальная политика, что означает, что параметр управляется локально через конфигурацию, поскольку параметр групповой политики предприятия AD Bridge не управляет параметром. Как правило, в AD Bridge Enterprise вы должны управлять параметром DomainManagerIgnoreAllTrusts с помощью соответствующего параметра групповой политики, но вы не можете применять объекты групповой политики (GPO) к компьютеру до тех пор, пока он не будет добавлен в домен. Соответствующий параметр политики AD Bridge Enterprise называется Lsass: игнорировать все доверительные отношения при перечислении доменов.

      Для получения информации об аргументах config выполните следующую команду:

      Устранение распространенных сообщений об ошибках

      В этом разделе перечислены решения для распространенных ошибок, которые могут возникнуть при попытке присоединиться к домену.

      Конфигурация krb5

      Удалите /etc/krb5.conf и попробуйте снова присоединиться к домену.

      Ошибка Chkconfig

      Эта ошибка может возникнуть, когда вы пытаетесь присоединиться к домену или пытаетесь выполнить команду domain-join с параметром, но демон netlogond еще не запущен.

      Описание: Произошла ошибка при использовании chkconfig для обработки демона netlogond, который необходимо добавить в список процессов, запускаемых при перезагрузке компьютера. Проблема может быть вызвана сценариями запуска в дереве /etc/rc.d/, несовместимыми с LSB.

      Проверка. Выполнение следующей команды от имени пользователя root может предоставить информацию об ошибке:

      Удалите сценарии запуска, не соответствующие LSB, из дерева /etc/rc.d/.

      Проблемы репликации

      При наличии задержек репликации в вашей среде может возникнуть следующая ошибка. Задержка репликации может возникнуть, если клиент находится на том же сайте, что и контроллер домена только для чтения.

      После возникновения ошибки подождите 15 минут, а затем выполните следующую команду, чтобы перезапустить AD Bridge Enterprise:

      Диагностика NTP на порту 123

      При использовании утилиты присоединения к домену AD Bridge Enterprise для присоединения клиента Linux или Unix к домену эта утилита может быть не в состоянии связаться с контроллером домена через порт 123 с помощью UDP. Агент AD Bridge Enterprise требует, чтобы порт 123 был открыт на клиенте, чтобы он мог получать данные NTP от контроллера домена. Кроме того, на контроллере домена должна быть запущена служба времени.

      Вы можете диагностировать подключение NTP, выполнив следующую команду от имени пользователя root в командной строке вашего компьютера с Linux:

      Если все в порядке, результат должен выглядеть следующим образом:

      Вывод при отсутствии службы NTP

      Если контроллер домена не использует NTP на порту 123, команда возвращает ответ, например подходящий сервер для синхронизации не найден, как показано в следующем выводе:

      Отключить Apache для присоединения к домену

      Веб-сервер Apache блокирует файл keytab, что может заблокировать попытку присоединения к домену. Если на компьютере работает Apache, остановите Apache, присоединитесь к домену и перезапустите Apache.

      BeyondTrust — мировой лидер в области управления привилегированным доступом (PAM), который позволяет компаниям защищать и управлять всеми своими привилегиями. Подход BeyondTrust Universal Privilege Management обеспечивает безопасность и защиту привилегий в отношении паролей, конечных точек и доступа, предоставляя организациям прозрачность и контроль, необходимые для снижения рисков, обеспечения соответствия требованиям и повышения операционной производительности.

      ©2003-2022 Корпорация BeyondTrust. Все права защищены. Другие товарные знаки, указанные на этой странице, принадлежат их соответствующим владельцам. BeyondTrust не является зарегистрированным банком, трастовой компанией или депозитарным учреждением. Он не имеет права принимать депозиты или доверительные счета и не лицензируется и не регулируется каким-либо государственным или федеральным банковским органом. 09.03.2022

      У меня небольшой бизнес, и у меня 9 рабочих столов, один из которых работает под управлением Windows Server 2008r2, я пытаюсь настроить его так, чтобы все другие компьютеры могли выполнять все действия через сервер, в настоящее время я не могу позволить себе иметь его эксперт, чтобы настроить его для меня, потому что найти эксперта в самой сложной области невозможно, поэтому с моим небольшим опытом я провел некоторое исследование и попытался подключиться через этот сервер. когда я пытаюсь долго использовать один клиентский компьютер, он отображает следующее сообщение

      Произошла следующая ошибка при попытке присоединиться к домену "egl-underground.mainframe":

      Не удалось разрешить DNS-имя контроллера домена в присоединяемом домене. Убедитесь, что этот клиент настроен на доступ к DNS-серверу, который может разрешать DNS-имена в целевом домене.

      Я использую Windows Server 2008 R2 и пытаюсь подключиться к компьютеру с Windows 7.
      Я уже установил DNS на своем компьютере на сервер, на котором запущен DNS-сервер (такой же, как сервер DC).
      Я могу проверить связь с сервером, я также могу без проблем найти полное доменное имя.

      Вот и диагностический тест

      Windows PowerShell
      Авторское право (C) 2009 Microsoft Corporation. Все права защищены.

      PS C:\Users\Administrator.SERVER.001> DCDiag/test:dns
      Термин 'DCDiag/test:dns' не распознается как имя командлета, функции, файла сценария или исполняемого файла. программа. Проверьте
      написание имени или, если был указан путь, убедитесь, что путь указан правильно, и повторите попытку.
      В строке: 1 символ: 16
      + DCDiag/test:dns + CategoryInfo : ObjectNotFound: (DCDiag/test:dns:String) [], CommandNotFoundException
      + FullyQualifiedErrorId : CommandNotFoundException

      PS C:\Users\Administrator.SERVER.001> DCDiag /test:dns

      Диагностика сервера каталогов

      Выполнение первоначальной настройки:
      Попытка найти домашний сервер.
      Домашний сервер = СЕРВЕР
      * Идентифицированный лес AD.
      Собрана исходная информация.

      Выполнение первоначальных необходимых тестов

      Тестовый сервер: Default-First-Site-Name\SERVER
      Запуск теста: Connectivity
      . СЕРВЕР прошел тест Связь

      Выполнение первичных тестов

      Тестовый сервер: Default-First-Site-Name\SERVER

      Запуск теста: DNS

      Тесты DNS выполняются и не зависают. Пожалуйста, подождите несколько минут.
      . СЕРВЕР прошел тест DNS

      Выполнение тестов разделов: ForestDnsZones

      Выполнение тестов разделов в: DomainDnsZones

      Выполнение тестов разделов на схеме:

      Выполнение тестов разделов: Конфигурация

      Выполнение тестов разделов на VeymandooCourt

      Выполнение корпоративных тестов на: VeymandooCourt.gov.mv
      Начало тестирования: DNS
      Результаты тестирования для контроллеров домена:

      DC: SERVER.VeymandooCourt.gov.mv
      Домен: VeymandooCourt.gov.mv


      ТЕСТ: серверы пересылки/корневые ссылки (Forw)
      Ошибка: все серверы пересылки в списке серверов пересылки недействительны.
      Ошибка: ни корневые подсказки, ни серверы пересылки не настроены или не работают. Убедитесь, что хотя бы один из них
      работает.

      ТЕСТ: динамическое обновление (Dyn)
      Предупреждение: не удалось удалить тестовую запись dcdiag-test-record в зоне VeymandooCourt.gov.mv

      Сводка результатов тестирования DNS-серверов, используемых указанными выше контроллерами домена:

      Auth Basc Forw Del Dyn RReg Ext
      ________________________________________________________________
      Домен: VeymandooCourt.gov.mv
      ПРОХОД СЕРВЕРА ПРОХОД НЕ ПРОЙДЕН WARN ПРОЙДЕН н/д

      <р>. VeymandooCourt.gov.mv не прошел проверку DNS
      PS C:\Users\Administrator.SERVER.001>

      В этой статье описывается несколько распространенных сообщений об ошибках, которые могут появиться при присоединении клиентских компьютеров под управлением Windows к домену. В этой статье также приводятся рекомендации по устранению этих ошибок.

      Применимо к: Windows Server 2016, Windows Server 2012 R2
      Исходный номер базы знаний: 4341920

      Где найти файл Netsetup.log

      Клиенты Windows регистрируют сведения об операциях присоединения к домену в файле %windir%\debug\Netsetup.log.

      Сообщения об сетевых ошибках и решения

      Ошибка 1

      Не удалось разрешить DNS-имя контроллера домена в присоединяемом домене. Убедитесь, что этот клиент настроен на доступ к DNS-серверу, который может разрешать DNS-имена в целевом домене.

      Разрешение

      При вводе имени домена убедитесь, что вы вводите имя системы доменных имен (DNS), а не имя сетевой базовой системы ввода-вывода (NetBIOS). Например, если DNS-имя целевого домена — contoso.com , убедитесь, что вы вводите contoso.com вместо имени домена NetBIOS «contoso».

      Кроме того, убедитесь, что компьютер может подключиться к DNS-серверу, на котором размещена зона DNS целевого домена, или может разрешать DNS-имена в этом домене. Убедитесь, что правильный DNS-сервер настроен на этом клиенте в качестве предпочтительного DNS и что клиент имеет возможность подключения к этому серверу.Чтобы убедиться в этом, вы можете запустить одну из следующих команд:

      Ошибка 2

      Не удалось разрешить DNS-имя контроллера домена в присоединяемом домене. Убедитесь, что этот клиент настроен на доступ к DNS-серверу, который может разрешать DNS-имена в целевом домене.

      Разрешение

      При вводе имени домена убедитесь, что вы вводите имя DNS, а не имя NetBIOS.

      Кроме того, убедитесь, что компьютер может подключиться к DNS-серверу, на котором размещена зона DNS целевого домена, или может разрешать DNS-имена в этом домене. Убедитесь, что правильный DNS-сервер настроен на этом клиенте в качестве предпочтительного DNS и что клиент имеет возможность подключения к этому серверу. Чтобы убедиться в этом, вы можете запустить одну из следующих команд:

      Ошибка 3

      Попытка выполнения операции с несуществующим сетевым подключением.

      Разрешение

      При вводе имени домена убедитесь, что вы вводите имя DNS, а не имя NetBIOS. Кроме того, перезагрузите компьютер, прежде чем пытаться присоединить его к домену.

      Ошибка 4

      Не допускается многократное подключение к серверу или общему ресурсу одним и тем же пользователем с использованием более одного имени пользователя. Отключите все предыдущие подключения к серверу или общему ресурсу и повторите попытку.

      Разрешение

      Перезагрузите компьютер, который вы пытаетесь присоединить к домену, чтобы убедиться в отсутствии скрытых подключений ни к одному из серверов домена.

      При вводе имени домена убедитесь, что вы вводите имя DNS, а не имя NetBIOS.

      Ошибка 5

      Разрешение

      Убедитесь, что компьютер может связаться с DNS-сервером, на котором размещена зона DNS целевого домена, или может разрешать DNS-имена в этом домене. Убедитесь, что правильный DNS-сервер был настроен на этом клиенте в качестве предпочтительного DNS, и что клиент имеет возможность подключения к этому серверу. Чтобы убедиться в этом, вы можете запустить одну из следующих команд:

      При вводе имени домена убедитесь, что вы вводите имя DNS, а не имя NetBIOS.

      Кроме того, вы можете обновить драйвер сетевого адаптера.

      Ошибка 6

      В настоящее время к этому удаленному компьютеру больше нельзя установить никаких подключений, потому что уже есть столько подключений, сколько компьютер может принять.

      Разрешение

      Прежде чем присоединять компьютер к домену, убедитесь, что вы удалили все сопоставленные подключения к любым дискам.

      Перезагрузите компьютер, который вы пытаетесь присоединить к домену, чтобы убедиться в отсутствии скрытых подключений ни к одному из серверов домена.

      При вводе имени домена убедитесь, что вы вводите имя DNS, а не имя NetBIOS.

      Ошибка может быть временной. Попробуйте позже. Если проблема не устранена, проверьте состояние контроллера домена, к которому подключается клиент (активные подключения, сетевое подключение и т. д.). Вы можете перезапустить контроллер домена, если проблема не устранена.

      Ошибка 7

      Недопустимый формат указанного имени сети.

      Разрешение

      Убедитесь, что компьютер может связаться с DNS-сервером, на котором размещена зона DNS целевого домена, или может разрешать DNS-имена в этом домене. Убедитесь, что правильный DNS-сервер был настроен на этом клиенте в качестве предпочтительного DNS, и что клиент имеет возможность подключения к этому серверу. Чтобы убедиться в этом, вы можете запустить одну из следующих команд:

      При вводе имени домена убедитесь, что вы вводите имя DNS, а не имя NetBIOS. Убедитесь, что у вас установлены самые последние версии драйверов для сетевого адаптера клиентского компьютера. Проверьте подключение между подключаемым клиентом и целевым контроллером домена через требуемые порты и протоколы. Отключите функцию разгрузки TCP Chimney и разгрузку IP.

      Ошибка 8

      Служба каталогов исчерпала пул относительных идентификаторов.

      Разрешение

      Убедитесь, что контроллер домена, на котором размещен мастер операций с относительным идентификатором (RID), находится в сети и работает. Дополнительные сведения см. в разделе Событие с кодом 16650: не удалось инициализировать распределитель идентификаторов учетных записей в Windows Server.

      Вы можете использовать команду netdom query fsmo, чтобы определить, какой контроллер домена имеет роль хозяина RID.

      Убедитесь, что Active Directory реплицируется между всеми контроллерами домена. Вы можете использовать следующую команду для обнаружения ошибок:

      Ошибка 9

      Вызов удаленной процедуры завершился неудачно и не был выполнен.

      Разрешение

      Убедитесь, что для сетевого адаптера клиентского компьютера установлены самые последние версии драйверов. Проверьте подключение между подключаемым клиентом и целевым контроллером домена через требуемые порты и протоколы. Отключите функцию разгрузки TCP Chimney и разгрузку IP.

      Эта проблема также может быть вызвана одним из следующих условий:

      • Сетевое устройство (маршрутизатор, брандмауэр или VPN-устройство) блокирует подключение через порты и протоколы, используемые протоколом MSRPC.
      • Сетевое устройство (маршрутизатор, брандмауэр или VPN-устройство) отклоняет сетевые пакеты между подключаемым клиентом и контроллером домена.

      Ошибка 10

      Не удалось изменить DNS-имя основного домена этого компьютера на "". Имя останется ".". Указанный сервер не может выполнить операцию.

      Разрешение

      Эта ошибка возникает при использовании пользовательского интерфейса присоединения к домену для присоединения компьютера рабочей группы Windows 7 или Windows Server 2008 R2 к домену Active Directory путем указания целевого домена DNS. Чтобы исправить эту ошибку, см. 2018583. При присоединении к домену Windows 7 или Windows Server 2008 R2 отображается ошибка «Не удалось изменить DNS-имя основного домена этого компьютера на «».

      Сообщения об ошибках аутентификации и решения

      Ошибка 1

      Вы превысили максимальное количество учетных записей компьютеров, которые вам разрешено создавать в этом домене.

      Разрешение

      Убедитесь, что у вас есть разрешения на добавление компьютеров в домен и что вы не превысили квоту, установленную вашим администратором домена.

      Чтобы присоединить компьютер к домену, учетной записи пользователя должны быть предоставлены разрешения на создание объектов компьютеров в Active Directory.

      По умолчанию пользователь без прав администратора может присоединять к домену Active Directory не более 10 компьютеров.

      Ошибка 2

      Разрешение

      Убедитесь, что контроллеры домена (DC) зарегистрированы с использованием правильных IP-адресов на DNS-сервере, а их имена участников-служб (SPN) правильно зарегистрированы в их учетных записях Active Directory.

      Ошибка 3

      Разрешение

      Убедитесь, что у вас есть права на добавление компьютеров в домен. Чтобы присоединить компьютер к домену, учетной записи пользователя должно быть предоставлено разрешение на создание объекта компьютера в Active Directory.

      Кроме того, убедитесь, что указанной учетной записи пользователя разрешен локальный вход на клиентский компьютер. Для этого настройте параметр Разрешить локальный вход в групповую политику в разделе Конфигурация компьютера > Параметры Windows > Параметры безопасности > Локальные политики > Назначение прав пользователя.

      Ошибка 4

      Разрешение

      Убедитесь, что вы используете правильную комбинацию имени пользователя и пароля существующей учетной записи пользователя Active Directory, когда вам будет предложено ввести учетные данные для добавления компьютера в домен.

      Ошибка 5

      Сопоставление имен учетных записей и идентификаторов безопасности не выполнялось.

      Разрешение

      Эта ошибка, скорее всего, является временной ошибкой, которая регистрируется, когда присоединение к домену выполняет поиск в целевом домене, чтобы определить, была ли уже создана соответствующая учетная запись компьютера или операция присоединения должна динамически создавать учетную запись компьютера в целевом домене.

      Ошибка 6

      Недостаточно памяти для выполнения этой операции.

      Разрешение

      Эта ошибка может возникнуть, если размер токена Kerberos превышает максимальный размер по умолчанию. В этой ситуации необходимо увеличить размер токена Kerberos компьютера, который вы пытаетесь присоединить к домену. Дополнительные сведения см. в следующих статьях базы знаний:
      935744 Сообщение об ошибке «Недостаточно памяти для выполнения этой операции» при использовании контроллера домена для присоединения компьютера к домену
      327825 Проблемы с Kerberos аутентификация, когда пользователь принадлежит ко многим группам

      Ошибка 7

      Учетная запись не авторизована для входа с этой станции.

      Разрешение

      Эта проблема связана с несоответствием параметров подписи SMB между клиентским компьютером и контроллером домена, с которым связываются для операции присоединения к домену. Просмотрите следующую документацию для дальнейшего изучения текущих и рекомендуемых значений в вашей среде:
      281648 Сообщение об ошибке: учетная запись не авторизована для входа с этой станции 823659 Проблемы с клиентом, службой и программой могут возникнуть, если вы измените настройки безопасности и назначение прав пользователя

      Ошибка 8

      Учетная запись, указанная для этой службы, отличается от учетной записи, указанной для других служб, работающих в том же процессе.

      Разрешение

      Убедитесь, что на контроллере домена, через который вы пытаетесь присоединиться к домену, запущена служба времени Windows.

      Каждый ИТ-администратор, управляющий машинами в среде Active Directory, был там. Вы пытаетесь добавить компьютер в домен Active Directory (AD) и получаете ужасную ошибку «Не удалось связаться с контроллером домена Active Directory». В этой статье вы узнаете, как диагностировать (и решить) эту проблему навсегда.

      Обнаруживайте, сообщайте и предотвращайте небезопасные пароли учетных записей Active Directory в вашей среде с помощью совершенно бесплатного Password Auditor Pro от Specops. Загрузите его сегодня!

      Не удалось связаться с контроллером домена Active Directory

      Эта ошибка связана с DNS. Основная проблема заключается в том, что компьютеру не удалось найти соответствующую DNS-запись SRV, необходимую для присоединения к домену AD.

      Я подготовил для вас несколько шагов, чтобы исправить эту ошибку и подключить ваш компьютер к вашему домену.

      Оглавление

      Убедитесь, что вы используете правильные DNS-серверы

      Прежде чем зайти слишком далеко в кроличью нору, сначала убедитесь, что вы используете правильные DNS-серверы.

      Active Directory и DNS имеют особые отношения. Контроллеры домена регистрируют определенные записи на известных им DNS-серверах. Они находятся в папке _ldap._tcp.dc.msdcs. зону и помочь устройствам, присоединенным к AD, найти ресурсы, такие как контроллеры домена. Записи SRV не будут существовать на DNS-серверах, не интегрированных в AD.

      Чтобы решить эту проблему, вам необходимо использовать:

      • DNS-сервер, интегрированный в AD
      • DNS-сервер, который реплицирует записи с DNS-сервера, поддерживающего AD
      • DNS-сервер с переадресацией, настроенный для запросов либо к DNS-серверу, интегрированному в AD, либо к DNS-серверу с реплицированными записями.

      Чтобы убедиться, что используемый вами DNS-сервер является одним из перечисленных выше, выполните следующую команду в сеансе PowerShell на существующем компьютере, присоединенном к домену:

      Ответы, которые вы получаете в столбце ServerAddesses, представляют собой DNS-серверы, используемые этим компьютером. Если у вас нет другого клиента домена для проверки, вам необходимо связаться с вашей сетевой командой для получения этой информации.

      Вы можете либо использовать командлет PowerShell Set-DnsClientServerAddress, чтобы изменить настройки DNS-клиента компьютера, либо через диалоговое окно свойств IPv4 для сетевой карты компьютера. Для этого перейдите в Панель управления –> Сеть –> Интернет –> Сетевые подключения.

      В окне Сетевые подключения щелкните правой кнопкой мыши сетевую карту, выберите Свойства, выберите Протокол Интернета версии 4 (TCP/IPv4), а затем нажмите Свойства.

      Диалог свойств IPv4

      Если в сети используется Протокол динамической конфигурации хоста (DHCP), убедитесь, что параметры Получить IP-адрес автоматически и Получить адрес DNS-сервера автоматически выбраны.

      Если в вашей сети не используется DHCP, обновите значения Предпочитаемый DNS-сервер и Альтернативный DNS-сервер на правильные, полученные ранее.

      Найдите истинную ошибку

      Если вы убедились, что на вашем компьютере установлены правильные DNS-серверы, пришло время перейти немного дальше.

      При попытке присоединить компьютер к домену появляется сообщение об ошибке "Не удалось связаться с контроллером домена Active Directory", но это не "истинное" сообщение об ошибке. Вам нужно погрузиться немного глубже.

      В диалоговом окне ошибки вы увидите кнопку Подробности >>. Щелкните это. Это вернет более детализированную информацию, что позволит вам лучше устранить эту ошибку.

      Расширенный вид диалогового окна с ошибками

      Вы можете выбрать содержимое текстового поля для копирования и вставки в средство просмотра текста или найти ту же информацию в файле C:\windows\debug\dcdiag.txt на этом машина. Этот файл создается Windows при возникновении ошибки.

      Текст ошибки содержит некоторые важные сведения. В приведенном ниже примере я пометил каждый из них пронумерованным и выделенным жирным шрифтом:

      • Домен, который, по мнению компьютера, вы попросили его присоединиться (1)
      • Код ошибки (2)
      • Выполненный DNS-запрос (3)
      • DNS-серверы, к которым машина обратилась (если есть) (4)

      Примечание. Эта информация предназначена для администратора сети. Если вы не являетесь администратором своей сети, сообщите администратору, что вы получили эту информацию, которая была записана в файле C:\windows\debug\dcdiag.txt.

      Следующая ошибка произошла, когда DNS был запрошен для записи ресурса местоположения службы (SRV), используемой для обнаружения контроллера домена Active Directory (AD DC) для домена «carisbrookelabs.local»(1):

      Ошибка: «DNS-имя не существует».
      (код ошибки 0x0000232B RCODE_NAME_ERROR) (2)
      < /p>

      Запрос относился к записи SRV для _ldap._tcp.dc._msdcs.carisbrookelabs.local (3)

      Частые причины этой ошибки включают следующее:

      Записи DNS SRV, необходимые для обнаружения AD DC для домена, не зарегистрированы в DNS. Эти записи автоматически регистрируются на DNS-сервере при добавлении AD DC в домен. Они обновляются AD DC с заданными интервалами. Этот компьютер настроен на использование DNS-серверов со следующими IP-адресами:

      8.8.4.4
      8.8.8.8 (4)

      < p>Одна или несколько из следующих зон не включают делегирование в свою дочернюю зону: carisbrookelabs.local

      local
      . (корневая зона)

      0x0000267C DNS_ERROR_NO_DNS_SERVER

      Эта ошибка означает, что DNS-сервер не может быть найден даже для выполнения запроса. Даже шанса не было. Обычно это происходит из-за отсутствия сетевого подключения к DNS-серверу.

      Обратите внимание, что вы можете присоединиться к компьютеру без сетевого подключения, что называется автономным подключением к домену, но это выходит за рамки этой статьи.

      Устранение неполадок с сетевым подключением

      Если вы видите это сообщение об ошибке, вам необходимо приступить к устранению неполадок с сетью.

      1. Убедитесь, что ваш сетевой адаптер включен и вы можете подключаться к другим сетевым ресурсам.
      2. Убедитесь, что у вас настроены IP-адрес и DNS-серверы.

      Вы можете проверить IP-адрес и DNS-серверы, запустив ipconfig /all .

      Если у вас есть IP-адрес и вы можете получить доступ к другим сетевым ресурсам, вам необходимо проверить соединение между компьютером и DNS-сервером.

      Для этого можно использовать ping и командлет PowerShell Test-Connection. Проверьте подключение к DNS-серверам с помощью любой из этих двух утилит. Если трафик Internet Control Message Protocol (ICMP) разрешен в сети, вы должны получить ответ. Если есть ошибка или тайм-аут, скорее всего, у вас есть какая-то проблема с сетью, например с маршрутизацией. Поговорите со своей сетевой командой, чтобы решить проблему, а затем повторите попытку присоединения.

      Проверьте подключение к DNS

      Если вы убедились, что ваше сетевое подключение работает, вам нужно убедиться, что ваш компьютер может подключиться через TCP/53 к DNS-серверу.

      Попробуйте использовать командлет PowerShell Resolve-DNSName с полным доменным именем домена, к которому вы пытаетесь присоединиться. Это должно вернуть одну или несколько записей DNS-сервера:

      Если вы получили сообщение об ошибке, стоит проверить, что ничто не блокирует IP-трафик через порт 53 (порт, используемый для трафика DNS) между вашим компьютером и DNS-серверами.

      Вы можете выполнить простую проверку подключения к порту 53 с помощью командлета Test-NetConnection (не путать с командлетом Test-Connection):

      Вы получите ответ True, если соединение установлено успешно, или False, если оно не установлено. Сбой может быть вызван сетевым или хостовым брандмауэром на DNS-сервере.

      0x0000232B RCODE_NAME_ERROR

      Эта ошибка означает, что удалось найти DNS-сервер, но не удалось найти запись SRV. Эта ошибка требует дополнительного устранения неполадок.

      Убедитесь, что вы используете полное доменное имя домена

      Это кажется простым, но убедитесь, что введенное вами имя соответствует полному доменному имени (FQDN) домена, к которому вы пытаетесь присоединиться. Это должно быть только доменное имя, а не имя сервера. Например, используйте carisbrookelabs.local, а не WIN-3467RQTHJH5.carisbrookelabs.local.

      Если есть сомнения, проверьте доменное имя существующего клиента домена. Вы можете найти подходящее доменное имя, выполнив эту команду PowerShell на клиенте существующего домена.

      Если вы попытаетесь использовать имя NETBIOS (contoso) вместо полного доменного имени (contoso.local), компьютер может найти домен, но Windows все равно будет рассматривать это имя как полное доменное имя.

      Если вы введете имя NETBIOS и не установите инфраструктуру WINS, вы получите ошибку, которую мы пытаемся исправить. Всегда используйте полное доменное имя, а не имя NETBIOS.

      Ввод полного доменного имени в диалоговом окне «Изменения компьютера/домена»

      Проверить записи DNS

      Для этого шага вы снова будете использовать Resolve-DNSName. На этот раз с использованием точной записи DNS, которая не была получена, когда вы пытались присоединить свой компьютер к домену. Скопируйте и вставьте его из файла dcdiag.txt, упомянутого во введении, или из копии текста ошибки, которую вы сделали ранее. Это позволит избежать опечаток с символами подчеркивания и тире.

      Ваша команда должна выглядеть примерно так:

      Хотите быстро проверить Active Directory на предмет утечки паролей?У Specops есть инструмент, который делает это бесплатно, а также создает хороший отчет.

      Если в ответ на эту команду вы получаете сообщение DNS-имя не существует, проблема связана с DNS.

      • Убедитесь, что вы используете правильный DNS-сервер.
      • Убедитесь, что соответствующие записи не были удалены.

      Если вы получите положительный ответ на Resolve-DNSName _msdcs. но получите DNS-имя не существует из Resolve-DNSName _ldap._tcp.dc._msdcs. , то записи отсутствуют.

      Перерегистрируйте DNS-записи контроллера домена с помощью команды ipconfig /registerdns на каждом контроллере домена. Отображение записей может занять несколько минут.

      Как только вы сможете подтвердить наличие необходимых записей DNS с помощью Resolve-DNSName, все готово.

      Обзор

      В этой статье вы узнали о некоторых действиях, которые следует предпринять при устранении ошибки «Не удалось связаться с контроллером домена Active Directory». В статье, подобной этой, невозможно охватить каждый сценарий, но я надеюсь, что этот процесс сработает для вас и направит вас по правильному пути!

      Дополнительная литература

      • DNS и AD DS в Microsoft Docs
      • Тестовое подключение: пропингуйте удаленные хосты способом PowerShell
      • Командлет Resolve-DNSName в Microsoft Docs
      • Использование командлета PowerShell Test-NetConnection в Windows

      Ненавидите рекламу? Хотите поддержать писателя? Получите многие из наших руководств в виде руководства по ATA.

      Ещё от ATA Learning & Partners

      Резервное копирование Office 365 для чайников

      Лучшее руководство по защите данных Microsoft Office 365. Изучите готовые функции безопасности.

      Руководства ATA

      ATA известна своими высококачественными письменными учебными пособиями в виде сообщений в блогах. Поддержите ATA с помощью электронных книг ATA Guidebook PDF, доступных в автономном режиме и без рекламы!

      В этой статье мы рассмотрим, почему невозможно присоединить новый компьютер к домену Active Directory из-за ошибки «Не удалось связаться с контроллером домена Active Directory».

      Не удалось связаться с контроллером домена Active Directory: как это выглядит и как это исправить?

      Пользователь или администратор пытается присоединить к домену новую рабочую станцию ​​или сервер Windows. Для этого откройте Свойства системы на рабочей станции, нажмите Изменить настройки > Изменить. Введите новое имя компьютера и выберите, что этот компьютер должен быть членом указанного домена. Введите полное доменное имя домена AD. После нажатия на кнопку ОК может появиться сообщение об ошибке:

      Если имя верное, нажмите «Подробнее», чтобы получить информацию об устранении неполадок.

      Нажмите кнопку "Подробности", чтобы получить дополнительные сведения об ошибке. В большинстве случаев вы увидите ошибку «DNS-имя не существует» (коды ошибок 0x0000232B RCODE_NAME_ERROR, 0x0000267C DNS_ERROR_NO_DNS_SERVER и 0x00002746 WSAECONNRESET).

      Доменное имя «DOMAIN_NAME» может быть доменным именем NetBIOS. В этом случае убедитесь, что доменное имя правильно зарегистрировано в WINS.

      Если вы уверены, что имя не является доменным именем NetBIOS, следующая информация может помочь вам устранить неполадки в конфигурации DNS.

      При запросе к DNS записи ресурса расположения службы (SRV), используемой для обнаружения контроллера домена Active Directory (AD DC) для домена «DOMAIN_NAME», произошла следующая ошибка:

      ошибка: «DNS-имя не существует».

      (код ошибки 0x0000232B RCODE_NAME_ERROR)

      Запрос был на запись SRV для _ldap._tcp.dc._msdcs.DOMAIN_NAME

      Распространенные причины этой ошибки включают следующее:

      – Записи DNS SRV, необходимые для обнаружения AD DC для домена, не зарегистрированы в DNS. Эти записи автоматически регистрируются на DNS-сервере при добавлении AD DC в домен. Они обновляются AD DC с заданными интервалами. Этот компьютер настроен на использование DNS-серверов со следующими IP-адресами:

      xx.xx.xx.xx

      xx.xx.xx.xx

      – Одна или несколько из следующих зон не включают делегирование в дочернюю
      зону:

      имя_домена
      local
      .. (корневая зона)

      Проверьте правильность настроек IP на вашем компьютере

      Чаще всего эта проблема связана с неправильными настройками IP или DNS на вашем компьютере, неправильной настройкой DNS на стороне контроллера домена или блокировкой портов брандмауэром.

      Прежде всего проверьте, имеет ли ваш компьютер правильный IP-адрес на основном сетевом интерфейсе.IP-адрес можно получить с DHCP-сервера или указать вручную в настройках сетевого адаптера. Текущие сетевые настройки компьютера можно получить с помощью команды:

      Убедитесь, что служба DNS-клиент запущена с помощью командлета Get-Service:

      Откройте файл hosts (C:\Windows\System32\Drivers\etc\hosts) на компьютере с помощью notepad.exe или другого текстового редактора и убедитесь, что в нем нет записей для имен вашего домена или контроллера домена. Если такие записи существуют, удалите их.

      Вы можете отобразить содержимое файла hosts с помощью команды:

      Затем очистите кеш DNS и перезапустите службу из командной строки с повышенными привилегиями:

      Затем проверьте, доступен ли контроллер домена с клиента. Откройте командную строку и выполните следующие команды:

      Убедитесь, что ваш контроллер домена отвечает и доступен.

      Примечание. Кроме того, рекомендуется проверять доступность контроллера домена с других рабочих станций в той же IP-сети.

      Если DC доступен, попробуйте добавить полученный IP-адрес в качестве DNS-сервера в дополнительных настройках TCP/IP вашего сетевого подключения.

      1. Откройте Панель управления > Сеть и Интернет > Центр управления сетями и общим доступом > Изменить параметры адаптера.
      2. Выберите сетевой адаптер, подключенный к вашей корпоративной сети, щелкните его правой кнопкой мыши и выберите "Свойства";
      3. Выберите Интернет-протокол версии 4 (TCP/IPv4) и нажмите "Свойства".
      4. Нажмите кнопку "Дополнительно" и перейдите на вкладку "DNS";
      5. На вкладке DNS нажмите "Добавить" и введите IP-адрес вашего DNS-сервера (контроллера домена). Не используйте общедоступные IP-адреса DNS в предпочтительных и альтернативных полях, например 8.8.8.8 (google) или 1.1.1.1 (cloudflare);
      6. Нажмите «ОК» (если в списке DNS-серверов указано несколько IP-адресов, переместите IP-адрес вашего контроллера домена в начало списка);
      7. Сохраните изменения и перезапустите рабочую станцию.
      8. Попробуйте подключить свою рабочую станцию ​​к домену AD.
      9. Убедитесь, что доступ к службе DNS на контроллере домена не заблокирован брандмауэрами. Самый простой способ проверить доступность порта 53 на контроллере домена — использовать PowerShell:

        В нашем примере TcpTestSucceeded: True означает, что служба DNS на контроллере домена доступна.

        Кроме того, проверьте, может ли ваш компьютер преобразовать доменное имя в правильный IP-адрес контроллера домена. Используйте командлет Resolve-DNSName с полным доменным именем вашего домена, к которому вы пытаетесь подключить свою рабочую станцию:

        Команда должна вернуть одну или несколько записей DNS-серверов.

        Кроме того, убедитесь, что компьютер может связаться с DNS-сервером, на котором размещена зона DNS, или разрешить DNS-имена в этом домене. Убедитесь, что правильный DNS-сервер настроен на этом клиенте как предпочтительный, и клиент подключен к этому серверу. Подтвердите, что можете найти домен и получить доступ к контроллеру домена с компьютера с помощью команды:

        Если ваш компьютер успешно обнаружил домен и контроллер домена, команда должна вернуть информацию о домене, сайте AD и службах, работающих на контроллере домена:

        Подсказка. Еще одно полезное руководство, которое может помочь вам в устранении неполадок с подключением к контроллеру домена через RPC, — «Сервер RPC недоступен»

        Иногда в файле Netsetup.log можно найти полезную информацию об ошибках при присоединении компьютера к домену Active Directory. Это клиенты Windows регистрируют подробности операции присоединения к домену.Этот журнал можно найти здесь %windir%\debug\Netsetup.log. Внимательно изучите ошибки в файле Netsetup.log, они могут помочь вам найти проблему невозможности подключения к домену Active Directory.

        • Не удалось разрешить DNS-имя контроллера домена в присоединяемом домене. Убедитесь, что этот клиент настроен на доступ к DNS-серверу, который может разрешать DNS-имена в целевом домене;
        • Попытка выполнить операцию с несуществующим сетевым подключением — перезагрузите компьютер, убедитесь, что вы вводите имя DNS, а не имя NetBIOS;
        • Не допускается многократное подключение к серверу или общему ресурсу одним и тем же пользователем с использованием более одного имени пользователя. Отключите все предыдущие подключения к серверу или общему ресурсу и повторите попытку — перезагрузите устройство;
        • Сетевое имя не найдено — убедитесь, что ваш компьютер имеет доступ к DNS-серверу, на котором размещена зона DNS домена;
        • В настоящее время к этому удаленному компьютеру больше нельзя установить никаких подключений, потому что уже есть столько подключений, сколько компьютер может принять — удалите все сопоставленные диски и перезагрузите компьютер.

        Кроме того, попробуйте временно отключить встроенный брандмауэр Windows и все сторонние приложения с модулями антивируса/брандмауэра (Symantec, MacAfee, Защитник Windows и т. д.), которые могут блокировать сетевые порты для доступа к контроллеру домена. После отключения брандмауэров попробуйте присоединить компьютер к домену.

        Вот минимальный список сетевых протоколов, портов и служб, которые не должны блокироваться брандмауэрами между клиентом и контроллером домена для успешного присоединения устройства к домену Active Directory:

        • UDP 53 — DNS-трафик;
        • TCP и UDP 88 — аутентификация Kerberos;
        • UDP 123 — синхронизация времени Windows с DC;
        • TCP 135 — локатор удаленного вызова процедур RPC;
        • TCP и UDP 139 — служба сеансов NetBIOS;
        • TCP и UDP 389 (LDAP, локатор контроллеров домена, сетевой вход) или TCP 636 (LDAP через SSL);
        • TCP 445 (SMB/CIFS, сетевой вход);
        • TCP 49152-65535 — порты RPC, случайным образом распределенные высокие порты TCP.

        Проверьте записи репликации и DNS SRV на контроллере домена

        Если описанный выше способ не помог, проверьте, есть ли в зоне DNS вашего контроллера домена SRV-запись расположения контроллера домена.

        Откройте командную строку с повышенными привилегиями и выполните следующие команды:

        Проверьте, есть ли у указанного DNS-сервера запись SRV в следующей форме:

        Если указанная запись SRV отсутствует, это означает, что ваш компьютер настроен на использование DNS-сервера, который не имеет правильной записи SRV с расположением контроллера домена.

        Если вы не можете изменить настройки DNS на своем компьютере, вы можете вручную добавить две записи (SRV и A) на существующий DNS-сервер, которые помогут вам разрешить IP-адрес контроллера домена:

        Убедитесь, что контроллер домена настроен на использование того же DNS-сервера, или убедитесь, что репликация на DNS-сервере, который использует клиент, выполнена успешно (используйте инструмент repadmin для проверки состояния репликации). Кроме того, убедитесь, что DNS-сервер разрешает динамические обновления.

        Перезапустите службу Netlogon на контроллере домена с помощью команды:

        (или просто попробуйте перезагрузить контроллер домена)

        При запуске он попытается зарегистрировать необходимые записи SRV на DNS-сервере.

        Кроме того, вы можете перерегистрировать DNS-записи контроллера домена с помощью команды:

        Подождите некоторое время, пока записи появятся в DNS и реплицируются в домене.

        Также рекомендуется проверить, созданы ли общие сетевые папки SYSVOL и NETLOGON и доступны ли они на контроллере домена (выполните команду net share на ближайшем контроллере домена).

        Если каталоги SYSVOL и NETLOGON отсутствуют в списке общих ресурсов:

        1. Проверьте настройки IP и DNS на вашем контроллере домена (контроллер домена не должен получать IP-адрес от DHCP-сервера, используйте только статический IP-адрес);
        2. Проверьте, содержит ли каталог домена C:\Windows\SYSVOL папки Policies и Scripts;
        3. Если вы не перенесли репликацию Sysvol с FRS на DFS, чтобы реплицировать Sysvol с PDC на все контроллеры домена в домене, необходимо остановить службу репликации файлов (net stop NtFrs).Затем запустите Regedit и перейдите в раздел реестра HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NtFrs\Parameters\Backup/RestoreProcess at Startup, здесь измените значение параметра BurFlags DWORD на D4 (hex) на PDC и на D2 (hex) на всех дополнительных контроллерах домена. После этого запустите службу:

        Доступ к устаревшим контроллерам домена с использованием протокола SMB v1

        Если вы используете контроллеры домена под управлением Windows Server 2008/2003/2000 и пытаетесь присоединить к домену Windows 10 1803 (или более поздней версии) или Windows Server 2019, необходимо включить поддержку протокола SMBv1 на стороне клиента ( этот протокол отключен по умолчанию в более новой ОС Windows). Клиент SMB1Protocol-Client позволяет вашему компьютеру получать доступ к устаревшим серверам.

        Чтобы включить поддержку SMBv1 в Windows 10, выберите Панель управления > Программы > Включение или отключение компонентов Windows. Разверните узел Поддержка общего доступа к файлам SMB 1.0/CIFS, включите параметр Клиент SMB 1.0/CIFS и сохраните изменения.

        Вы можете проверить состояние клиентского протокола SMB 1.0/CIFS на компьютере с Windows 10 с помощью команды PowerShell:

        Если статус протокола SMB1Client отключен, вы можете включить его, используя:

        Вы можете проверить, включен ли клиент SMBv1 в Windows Server 2022 или 2019, с помощью следующей команды PowerShell:

        Чтобы установить клиент SMBv1 на Windows Server 2022/2019, выполните:

        В клиентах Windows 7/Vista состояние протокола SMBv1 можно определить с помощью команды:

        Если вам нужно включить клиент SMB v1 в Windows 7/Windows Server 2008 R2, выполните:

        Мне нравится технология и разработка веб-сайтов. С 2012 года я веду несколько собственных веб-сайтов и делюсь полезным контентом по гаджетам, администрированию ПК и продвижению веб-сайтов.

        Читайте также: