Рейтинг:1

Server

Добавление машины в домен завершается сбоем из-за внутренней ошибки

rumplesmyboy

08.08.2023, 16:42

Я включил winrm, отключил брандмауэр, включил удаленное взаимодействие, объекты групповой политики для winrm, включил SMBv1 и сначала выполнил обновления для устранения неполадок, но я все еще получаю сообщение об ошибке. Я также могу пропинговать DC.

Ошибка, которую я получаю:

Добавить компьютер: компьютеру «server2019» не удалось присоединиться к домену «dev.domain.com» из его текущей рабочей группы «WORKGROUP» со следующим сообщением об ошибке: «Произошла внутренняя ошибка».
В строке:1 символ:1
Add-Computer -DomainName dev.domain.com -OUPath "OU=$OU,dc=dev,dc=domain,dc=com" ...

CategorvInfo :Operation5topped: (server2019:5tring) [Добавить компьютер]
. ИнвалидоперацияИсключение
+ FullvOualifiedErrorId:FailToJoinDomainFromworkgroup,Microsoft.PowerShell.Commands.AddComputerCommand

Вот часть моего скрипта, которая выполняет соединение:

     [Строка]$OU,
     [PSCredential]$Учетные данные
     )
    
 $ErrorActionPreference="Продолжить молча"
 Стоп-Транскрипт | нулевой
 $ErrorActionPreference = "Продолжить"
    
    
 если ([Среда]::UserInteractive) {
     if (!$OU) { $OU = Read-Host "Введите имя пула ресурсов (точно такое же, как указано в инвентаризации vCenter)" }
     if (!$Credential) { $Credential = Get-Credential -Message "Введите учетные данные домена разработки" }
 }
    
 # Добавить компьютер в домен Dev
    
 пытаться {
     Add-Computer -DomainName dev.domain.com -OUPath "OU=$OU,dc=dev,dc=domain,dc=com" -ErrorAction stop -Credential $Credential
     }
 ловить {
     Пишет-предупреждение "Не удалось присоединиться к домену".
         Read-Host -Prompt «Нажмите Enter, чтобы выйти»
     Бросьте $_
     }

PS C:\Windows\system32> nltest.exe/dsgetdc:dev.domain.com
DC: \devad02.dev.domain.com
Адрес: \10.1.214.29
Гид: ae3bef55-dd18-4598-b809-2058516e6abl
Имя домена: dev.domain.com
Имя леса: dev.domain.com
Имя сайта: САЙТ
Название нашего сайта: САЙТ
Флаги: GC DS LDAP KDC TIMESERV WRITABLE DNS_DC DNS_DOMAIN DNS_FOREST CLOSE_SITE FULL_SECRE
СПЦ D5_8 D5_9 D5_10 0x20000
Команда выполнена успешно

Редактировать: Диспетчер сервера показал событие ошибки для NetJoin с кодом ошибки 1359. Я попытался запустить:

nltest /dclist:МОЙ ДОМЕН и получил: У вас нет доступа к DsBind для dev.domain.com

Я также пытался запустить: nltest /сервер:UserSyncServer/sc_reset:домен\devdc и получил: Ошибка I_NetLogonControl: статус = 1722 0x6ba RPC_S_SERVER_UNAVAILABLE

116

0 + 0

vmware-vsphere

lspci

упаковщик

Windows-сервер-2019

djdomi

08.08.2023, 16:51

большинство команд принимают -verbose попробуйте это

Ответить

Greg Askew

08.08.2023, 17:10

`nltest /dsgetdc:dev.domain.com`

Ответить

rumplesmyboy

08.08.2023, 17:11

Там просто написано ПОДРОБНО: Выполнение операции "Присоединение к домену" dev.domain.com" на целевом "server2019", а затем остальная часть ошибки из сообщения.

Ответить

rumplesmyboy

08.08.2023, 17:13

@GregAskew я получаю от этого успешный результат. он показывает DC, адрес, имя домена и guid, имя сайта и флаги

Ответить

rumplesmyboy

08.08.2023, 17:20

@GregAskew опубликовал вопрос

Ответить

Evan Anderson

08.08.2023, 17:26

Глупый вопрос, но синхронизированы ли часы на присоединяющейся машине со временем вашего домена?

Ответить

rumplesmyboy

08.08.2023, 18:16

@EvanAnderson, это не так. Я установил время, запустив конфигурацию w32tm. Первоначально источником был Microsoft, но после перезапуска я все равно получаю те же результаты.

Ответить

rumplesmyboy

08.08.2023, 20:51

@GregAskew Я добавил некоторые детали из некоторых других команд nltest.

Ответить

Greg Askew

08.08.2023, 21:01

Где находится ПДК? Попробуйте `netdom query fsmo` из контроллера домена или командной строки на конечной точке, имеющей сетевые учетные данные для домена.

Ответить

Evan Anderson

09.08.2023, 10:21

В этот момент я бы запустил захват пакетов с присоединяющегося компьютера и всего, с чем он разговаривает во время попытки присоединения. Скорее всего, ответ там, к сожалению.

Ответить

rumplesmyboy

12.08.2023, 20:43

Не уверен, что это актуально, но учетная запись администратора домена может присоединиться к домену разработки, а обычная учетная запись пользователя, которая раньше не могла.

Ответить

Evan Anderson

15.08.2023, 19:55

@rumplesmyboy - *Это* интересное наблюдение.По умолчанию пользователи, не являющиеся администраторами, могут добавить в домен до 10 компьютеров (считается с помощью атрибута ms-DS-CreatorSID в объектах-компьютерах). Это можно изменить (см. https://docs.microsoft.com/en-us/troubleshoot/windows-server/identity/default-workstation-numbers-join-domain). Увеличьте лимит и посмотрите, сможете ли вы присоединиться к домену. Если это так, мы нашли причину вашей проблемы. Присоединение к домену GUI возвращает для этого полезное сообщение об ошибке. Я не знаю, что делает «Добавить компьютер». Я мог бы настроить лабораторию, чтобы проверить это, по общему признанию, но я ленив.

Ответить

rumplesmyboy

16.08.2023, 16:28

К сожалению, атрибут был установлен на 10000, что намного ниже того, что сделала моя клонированная учетная запись пользователя. Я собираюсь попытаться перехватить трафик, так как журналы ошибок также указывают на то же самое с ошибкой 1359, пытающейся присоединиться.

Ответить

Evan Anderson

17.08.2023, 00:08

@rumplesmyboy - Черт! Я чувствовал себя хорошо об этом. Отображается ли что-либо в журнале событий безопасности на контроллере домена, обслуживающем попытку присоединения? Я бы включил аудит доступа к службе каталогов с ошибками и успехами и посмотрел, что может попасть в журналы.

Ответить

rumplesmyboy

20.09.2023, 15:48

@EvanAnderson Служба поддержки Microsoft рекомендовала изменить MsDS-SupportedEncryptionTypes на AES с RC4 на контроллерах домена, но мне помогло удаление и повторное добавление доверия между исходящими и транзитными контроллерами домена. Все еще не уверен в фактической причине, но это, похоже, сработало. Также не уверен, почему учетная запись администратора будет работать, а обычные учетные записи - нет. Далеко от моих обычных проблем с Linux.

Ответить

Рейтинг:1

Server

rumplesmyboy

20.09.2023, 15:48

Microsoft предложила изменить MsDS-SupportedEncryptionTypes на AES с RC4 на контроллерах домена, но мне помогло удаление и повторное добавление доверия между исходящими и транзитивными контроллерами домена.

0 + 0

Admin

Этот вопрос на других языках:

EN: Adding a machine to a domain fails with internal error

TH: การเพิ่มเครื่องในโดเมนล้มเหลวเนื่องจากข้อผิดพลาดภายใน

RO: Adăugarea unei mașini la un domeniu eșuează cu o eroare internă

RU: Добавление машины в домен завершается сбоем из-за внутренней ошибки

VI: Thêm máy vào miền không thành công với lỗi nội bộ

Ответить или комментировать

Большинство людей не понимают, что склонность к познанию нового открывает путь к обучению и улучшает межличностные связи. В исследованиях Элисон, например, хотя люди могли точно вспомнить, сколько вопросов было задано в их разговорах, они не чувствовали интуитивно связи между вопросами и симпатиями. В четырех исследованиях, в которых участники сами участвовали в разговорах или читали стенограммы чужих разговоров, люди, как правило, не осознавали, что задаваемый вопрос повлияет — или повлиял — на уровень дружбы между собеседниками.