Компьютер попытался присоединиться к домену но произошел сбой код ошибки 1332
Эта статья помогает устранить проблему, из-за которой пользователи не могут присоединиться к компьютеру в домен Active Directory.
Применяется к: Windows 7 Пакет обновления 1, Windows Server 2012 R2
Исходный номер КБ: 2008652
Симптомы
Вы пытаетесь присоединиться к Windows Server 2008 R2 или компьютеру Windows 7 в домен Active Directory с помощью изменений имени компьютера и домена в system Properties.
Домен назначения имеет контроллеры Windows 2000, Windows Server 2003 или Windows Server 2008 и может иметь Windows NT 4.0 контроллеров домена. При попытке присоединиться к компьютеру Windows Server 2008 R2 в домене, указав полное доменное имя (FQDN) в пользовательском интерфейсе домена, операция сбой, и вы получите ошибку:
Не удалось связаться с контроллером домена Active Directory (AD DC) для домена
Убедитесь, что имя домена введите правильно
В %windir%\debug\Netsetup.log клиенте вы видите следующую последовательность:
При попытке присоединиться к компьютеру Windows Server 2008 R2 к домену, указав имя NetBIOS в пользовательском интерфейсе присоединиться к домену, вы получите другую ошибку:
Произошла следующая ошибка при попытке присоединиться к домену. Указанный домен либо не существует, либо не может быть связаться.
В %windir%\debug\Netsetup.log клиенте вы видите следующую последовательность:
-----------------------------------------------------------------
NetpDoDomainJoin
NetpMachineValidToJoin: 'CLIENT-NAME'
ВЕРСИЯ ОС: 6.1
Номер сборки: 7600 (7600.win7_rtm.090713-1255)
SKU: Windows Server 2008 R2 Enterprise
NetpDomainJoinLicensingCheck: ulLicenseValue=1, Status: 0x0
NetpGetLsaPrimaryDomain: состояние: 0x0
NetpMachineValidToJoin: состояние: 0x0
NetpJoinDomain
Машина: CLIENT-NAME
Домен: Domain_Name
MachineAccountOU: (NULL)
Учетная запись: Domain_Name\admx054085
Параметры: 0x27
NetpLoadParameters: параметры реестра загрузки.
NetpLoadParameters: DNSNameResolutionRequired не найден, по умолчанию значение "1" 0x2
NetpLoadParameters: DomainCompatibilityMode не найден, по умолчанию значение "0" 0x2
NetpLoadParameters: состояние: 0x2
NetpValidateName: проверка, допустимо ли имя Domain_Name как имя типа 3
NetpValidateName: "Domain_Name" не является допустимым доменным именем DNS: 0x2554
NetpCheckDomainNameIsValid [ Существует ] для "Domain_Name" возвращенных 0x0
NetpValidateName: имя Domain_Name допустимо для типа 3
NetpDsGetDcName: пытается найти DC в домене "Domain_Name", флаги: 0x40001010
**NetpDsGetDcName: не удалось найти DC в указанном домене: 0x54b, последняя ошибка 0x0
**NetpJoinDomainOnDs: NetpDsGetDcName возвращено: 0x54b
**NetpJoinDomainOnDs: функция выходит со статусом: 0x54b
**NetpDoDomainJoin: состояние: 0x54b
Домен присоединяется Windows Server 2003 к одному и том же целевому домену, указав доменное имя NetBIOS в пользовательском интерфейсе. Также не удается объединить домен с помощью FQDN.
Вы также можете успешно присоединиться к одному Windows Server 2008 R2 к другому домену Active Directory в том же лесу с указанием доменного имени FQDN.
Чистим старые хвосты в Active Directory
Сразу хочу отметить, что данный способ у меня отработал сразу. Я полностью удалил учетную запись компьютера, с которым были проблемы. После чего снова добавил нужный сервер в домен, и он уже не выдавал ошибку "Не удалось изменить DNS-имя основного контроллера домена на "" для этого компьютера". Учетная запись появилась в привычном контейнере "Computers"
Ошибка 7
Формат указанного сетевого имени недействителен.
Решение
Убедитесь, что компьютер может связаться с DNS-сервером, на котором размещена зона DNS целевого домена, или разрешить DNS-имена в этом домене. Убедитесь, что правильный DNS-сервер настроен на этом клиенте как предпочтительный DNS-сервер и что клиент имеет подключение к этому серверу. Для этого воспользуйтесь одной из следующих команд:
При вводе доменного имени убедитесь, что вы вводите DNS-имя, а не NetBIOS-имя. Убедитесь, что для сетевого адаптера на клиентском компьютере установлены самые последние драйверы. Проверьте подключение между присоединяемым клиентом и целевым контроллером домена через необходимые порты и протоколы. Отключите функцию разгрузки TCP Chimney и службу разгрузки IP-подключения.
Убедитесь, что включен NetBIOS через TCP/IP
Нажмите WIN+R и введите ncpa.cpl, у вас откроется окно "Панель управления\Все элементы панели управления\Сетевые подключения". Выберите ваш сетевой интерфейс, который смотрит в туже сеть, что и DC его аутентифицирующий. Перейдите в свойства сетевого интерфейса, выберите "Протокол Интернета версии 4 (TCP/IPv4)", далее кнопка "Дополнительно". На вкладке WINS, вам необходимо выбрать пункт "Включить NetBIOS" через TCP/IPv4 и сохранить настройки.
Так же на вкладке DNS, вы можете прописать дополнительные DNS суффиксы (полное имя домена), нажмите ок.
В принципе этого достаточно, чтобы избавится от ошибки ""Не удалось изменить DNS-имя основного контроллера домена на "" для этого компьютера. Будет использоваться прежнее имя: contoso.com. Убедитесь, что имя "" является допустимым для текущего домена. Ошибка: При изменении имени узла DNS для объекта невозможно синхронизировать значения имени субъекта службы""
Если вам не помогли манипуляции, то ставьте варшарк и смотрите трафик и доступность портов, не блокирует ли у вас то-то.
Вот как более детально выглядит ошибка при обработке групповой политики. Событие с кодом ID 1054: Windows не удалось получить имя контроллера домена. Возможная причина: ошибка разрешения имен. Проверьте, что служба DNS настроена и работает правильно.
Ошибка при обработке групповой политики. Windows не удалось получить имя контроллера домена
Дополнительная информация
В случае соединения с FQDN клиент присоединений не получает адекватного ответа на запросы LDAP, которые он отправляет контроллерам домена в начале процесса соединения домена. Диспетчер домена-помощник отвечает, но присоединенный клиент считает ответ неполным.
В этой статье предоставляется решение ошибки, которая возникает при использовании домена присоединиться к пользовательскому интерфейсу (пользовательскому интерфейсу) для пользования компьютером группы Windows 7 или Windows Server 2008 R2 в домен Active Directory, указав целевое доменное имя DNS.
Применяется к: Windows 7 Пакет обновления 1, Windows Server 2012 R2
Исходный номер КБ: 2018583
Ошибка 8
Учетная запись, указанная для этой службы, отличается от учетной записи, указанной для других служб в этом же процессе.
Решение
Убедитесь, что в домене контроллера, через который вы пытаетесь присоединиться к домену, запущена служба времени Windows.
Ошибка 10
Не удалось изменить DNS-имя основного контроллера домена на "" для этого компьютера. Будет использоваться прежнее имя: ".". Указанный сервер не может выполнить операцию.
Решение
Эта ошибка возникает при использовании пользовательского интерфейса присоединения к домену при присоединении компьютера рабочей группы Windows 7 или Windows Server 2008 R2 к домену Active Directory путем указания целевого домена DNS. Чтобы устранить эту ошибку, см. раздел 2018583 При присоединении к домену Windows 7 или Windows 2008 R2 отображается ошибка «Не удалось изменить DNS-имя основного контроллера домена на "" для этого компьютера».
Ошибка 6
Недостаточно памяти для завершения операции.
Решение
Ошибка 9
Сбой при удаленном вызове процедуры. Вызов не произведен.
Решение
Убедитесь, что для сетевого адаптера на клиентском компьютере установлены самые последние драйверы. Проверьте подключение между присоединяемым клиентом и целевым контроллером домена через необходимые порты и протоколы. Отключите функцию разгрузки TCP Chimney и службу разгрузки IP-подключения.
Подобная проблема может возникать по одной из следующих причин:
- Сетевое устройство (маршрутизатор, брандмауэр или VPN-устройство) блокирует подключение через порты и протоколы, используемые протоколом MSRPC.
- Сетевое устройство (маршрутизатор, брандмауэр или VPN-устройство) отклоняет сетевые пакеты между присоединяемым клиентом и контроллером домена.
Симптомы
Использование пользовательского интерфейса для пользования интерфейсом Windows 7 или Windows Server 2008 R2 в домен Active Directory, указав целевое доменное имя DNS, не справилось со следующей ошибкой на экране:
Изменение имени DNS основного домена этого компьютера на "" не удалось. Имя останется ".".
Ошибка была:Указанный сервер не может выполнить необходимую операцию.
The NETSETUP. ЖУРНАЛ на присоединяемом компьютере содержит следующий текст:
NetpSetDnsHostNameAndSpn: NetpLdapBind не удалось: 0x3a
Случаи, когда ошибка "Изменение имени DNS основного домена.". появляется в сочетании с расширенными ошибками, не связанными с "указанным сервером, не может выполнять требуемую операцию", в том числе перечисленными в таблице ниже, не связаны с симптомом, причиной или текстом разрешения, рассмотренным в этой статье.
Расширенные ошибки, которые делают "Изменение имени основной DNS. ". к ошибке, не связанной с этим КБ, относятся:
Расширенная ошибка |
---|
Произошла ошибка определенного пакета безопасности |
Вызов удаленной процедуры не удался и не выполняется |
Ошибка 3
Попытка выполнить операцию для несуществующего сетевого подключения.
Решение
При вводе доменного имени убедитесь, что вы вводите DNS-имя, а не NetBIOS-имя. Кроме того, перезапустите компьютер, прежде чем пытаться присоединить компьютер к домену.
Настройка DNS на внешнем сетевом интерфейсе
Так как мы выяснили ip адрес контроллера домена, что нас авторизовывал, его мы и пропишем в качестве DNS сервера на внешнем сетевом интерфейсе. В свойствах ipv4 прописываем его как основной DNS сервер. Напомню, что для разрешения внешних имен у вас должна быть настроена рекурсия на ДНС сервере.
настройка dns сервера
Теперь снова выполним команду nslookup и видим, что теперь внутренние имена разрешаются внутренним DNS сервером.
Видим, что все обновилось корректно и проблема при обработке групповой политики, об этом сообщает событие с кодом ID 1502. Windows не удалось получить имя контроллера домена. Возможная причина: ошибка разрешения имен. Проверьте, что служба DNS настроена и работает правильно в Windows Server 2012 R2 ушла.
Ошибка 4
Множественное подключение к серверу или к общим ресурсам одним пользователем с использованием более одного имени пользователя не разрешено. Отключите все предыдущие подключения к серверу или общим ресурсам и повторите попытку.
Решение
Перезапустите компьютер, который вы пытаетесь присоединить к домену, чтобы убедиться в том, что нет никаких скрытых подключений к серверам домена.
При вводе доменного имени убедитесь, что вы вводите DNS-имя, а не NetBIOS-имя.
Причины ошибки "Не удалось изменить DNS-имя основного контроллера домена"
Рассмотрим причины, по которым ваш компьютер не может пройти аутентификацию на DC и не содержится в его базе.
- Остались хвосты от предыдущей учетной записи с тем же именем
- Проблема в отключенном NetBIOS в TCP/IP
- Режет пакеты Firewall
- На контроллере закрыт UDP-порт 137
- Отсутствует PTR запись на dns имя этой учетной записи компьютера
Приоритетность контроллеров домена
Давайте теперь посмотрим, какой из контроллеров домена является для вашего сервера самым авторитетным, ранее я уже рассказывал как определить какой domain controller вас авторизовал, но нам нужен авторитет в вашем домене и возможность обращение к нему по LDAP. Делается это командой
Я вижу что у меня это dc2, его ip адрес мне и понадобится.
Ошибка при обработке групповой политики. Windows не удалось получить имя контроллера домена
Так же нужно проверить доступность DC по протоколу RPC, с помощью команды
доступность DC по протоколу RPC
В данном случае проблем я не обнаружил. Пилим дальше.
Причина
Ошибки возникают, если установлено, что NT4Emulator 0x1 в следующем подкоже реестра контроллера домена-помощника, используемого для пользования целевым доменом:
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Netlogon\Parameters
Имя значения: NT4Emulator
Тип значения: REG_DWORD
Данные значения: 1
Решение
Несмотря на появление ошибки на экране, описанной в разделе Symptoms , операция оккупирования домена завершается, о чем свидетельствует состояние в NETSETUP. LOG.
Успех NetpCompleteOfflineDomainJoin: запрос на перезагрузку :0x0
NetpDoDomainJoin: состояние: 0x0
Чтобы устранить ошибку, используйте один из следующих методов:
Убедитесь, что NetBIOS через TCP/IP включен.
Проверка подключения к сети с конечным подключением через порт UDP 137 по сетевому пути, соединяющему клиента и помощника DC, обслуживающий операцию подключения.
Если ошибка произошла только в среде IPv6 или требуется исправление для устранения ошибки, откройте инцидент поддержки с службой поддержки и службой поддержки Майкрософт с запросом исправления RTM для Windows 7/Windows Server 2008 R2.
Применяется к: Windows Server 2016, Windows Server 2012 R2
Оригинальный номер базы знаний: 4341920
Ошибка 6
Дополнительные подключения к этому удаленному компьютеру в настоящее время невозможны, поскольку число подключений к компьютеру достигло предела.
Решение
Перед присоединением компьютера к домену убедитесь, что вы удалили все подключения к любым дискам.
Перезапустите компьютер, который вы пытаетесь присоединить к домену, чтобы убедиться в том, что нет никаких скрытых подключений к серверам домена.
При вводе доменного имени убедитесь, что вы вводите DNS-имя, а не NetBIOS-имя.
Ошибка может быть временной. Повторите попытку позже. Если проблема повторяется, проверьте состояние контроллера домена, к которому подключается клиент (активные подключения, подключение к сети и т. д.). Если проблема повторяется, может потребоваться перезапустить контроллер домена.
Проверка разрешения имен
Первым делом нужно проверить может ли наш сервер правильно разрешать внутренние доменные имена. Для этого воспользуемся утилитой nslookup. Выберите любое доменное имя сервера или лучше контроллера домена. Открываем командную строку и пишем
dc1 это мой контроллер домена. Как видите у меня локальные DNS имена разрешал, внешний DNS сервер, так как на сервере стоит два сетевых интерфейса и один со внешним ip адресом.
причину мы выяснили, из за чего выскакивает ошибка.
Ошибка 3
Решение
Убедитесь, что у вас есть разрешения на добавление компьютеров в домен. Чтобы присоединить компьютер к домену, учетной записи пользователя необходимо предоставить разрешение на создание объекта-компьютера в Active Directory.
Кроме того, убедитесь, что указанной учетной записи пользователя разрешено осуществлять локальный вход на клиентский компьютер. Для этого настройте параметр Локальный вход в систему в групповой политике в разделе Конфигурация компьютера > Конфигурация Windows > Параметры безопасности > Локальные политики > Назначение прав пользователя.
Ошибка 2
Не удается разрешить DNS-имя контроллера домена в присоединяемом домене. Убедитесь, что этот клиент настроен для связи с DNS-сервером, который может разрешать DNS-имена в целевом домене.
Решение
При вводе доменного имени убедитесь, что вы вводите DNS-имя, а не NetBIOS-имя.
Кроме того, убедитесь, что компьютер может связаться с DNS-сервером, на котором размещена зона DNS целевого домена, или разрешить DNS-имена в этом домене. Убедитесь, что правильно указанный DNS-сервер настроен на этом клиенте как предпочтительный DNS-сервер и что клиент имеет подключение к этому серверу. Для этого воспользуйтесь одной из следующих команд:
Ошибка 5
Именам пользователей не сопоставлены идентификаторы безопасности (SID).
Решение
Эта ошибка, скорее всего, является временной. Она регистрируется, когда присоединяемый домен ищет целевой домен, чтобы определить, была ли уже создана соответствующая учетная запись компьютера или же в результате операции присоединения должна быть динамически создана учетная запись компьютера в целевом домене.
Где найти файл Netsetup.log
Клиенты Windows записывают сведения об операциях присоединения к домену в файл %windir%\debug\Netsetup.log.
Ошибка 4
Решение
Убедитесь, что вы используете правильное имя пользователя и пароль существующей учетной записи пользователя Active Directory при запросе учетных данных для добавления компьютера в домен.
Причина
Когда компьютер присоединяется к домену, он пытается зарегистрировать основное имя службы, чтобы убедиться, что суффикс DNS разрешен в целевом домене. Домен присоединяется к пользовательскому интерфейсу, запрашивает сведения из базы данных политики местного органа безопасности (LSA) для коротких (NetBIOS) и длинных (DNS) имен целевого домена.
Ошибка, описанная в разделе Симптомы , возникает из-за того, что функция в пользовательском интерфейсе LDAP неправильно выполняет привязку LDAP к контроллеру домена в целевом домене с его коротким именем, которое не выполняется в одном из следующих условий:
- Отключение netBIOS над TCP/IP-почтовым ящиком отключено в свойствах IPv4 присоединяемого компьютера.
- Подключение к порту UDP 137 блокируется между клиентом и помощником DC, обслуживающей операцию подключения в целевом домене.
- Протокол TCP/IPv4 отключен таким образом, что клиент, к нему присоединяется, или dc в домене назначения, на который нацелена привязка LDAP, работает только для TCP/IPv6.
Ошибка 5
Решение
Убедитесь, что компьютер может связаться с DNS-сервером, на котором размещена зона DNS целевого домена, или разрешить DNS-имена в этом домене. Убедитесь, что правильный DNS-сервер настроен на этом клиенте как предпочтительный DNS-сервер и что клиент имеет подключение к этому серверу. Для этого воспользуйтесь одной из следующих команд:
При вводе доменного имени убедитесь, что вы вводите DNS-имя, а не NetBIOS-имя.
Кроме того, можно обновить драйвер сетевого адаптера.
Ошибка 1
Вы превысили максимальное количество учетных записей компьютеров, которые вы можете создать в этом домене.
Решение
Убедитесь, что у вас есть разрешения на добавление компьютеров в домен и что квота, определяемая администратором домена, не превышена.
Чтобы присоединить компьютер к домену, учетной записи пользователя необходимо предоставить разрешения на создание объекта-компьютера в Active Directory.
По умолчанию пользователь без прав администратора может присоединить к домену Active Directory не более 10 компьютеров.
Ошибка 1
Не удается разрешить DNS-имя контроллера домена в присоединяемом домене. Убедитесь, что настройки данного клиента обеспечивают доступ к DNS-серверу, который может выполнять разрешение DNS-имен в целевом домене.
Решение
При вводе доменного имени убедитесь, что вы вводите имя службы доменных имен (DNS), а не NetBIOS-имя. Например, если DNS-именем целевого домена является contoso.com , убедитесь, что вы вводите contoso.com вместо "contoso", доменного имени NetBIOS.
Кроме того, убедитесь, что компьютер может связаться с DNS-сервером, на котором размещена зона DNS целевого домена, или разрешить DNS-имена в этом домене. Убедитесь, что правильно указанный DNS-сервер настроен на этом клиенте как предпочтительный DNS-сервер и что клиент имеет подключение к этому серверу. Для этого воспользуйтесь одной из следующих команд:
Решение
Чтобы устранить эту проблему, удалите значение реестра NT4Emulator для контроллеров домена Active Director Windows NT y в домене назначения, если контроллеры домена 4.0 больше не присутствуют или могут быть отменены. В противном случае перед попыткой присоединиться к домену установите следующее значение реестра для клиента Windows или Windows Server 2008 R2:
Начните редактор реестра ( Regedit.exe ).
Найдите в реестре следующий раздел:
Если его нет, создайте новое значение REG_DWORD NeutralizeNT4Emulator и установите значение 0x1 .
Закройте редактор реестра.
Этот параметр реестра позволяет контроллерам домена Active Directory с параметром NT4Emulator нормально реагировать на запрашивающий клиент (избегая Windows NT режима эмуляции 4.0).
Ошибка 8
Служба каталогов исчерпала пул относительных идентификаторов.
Решение
Убедитесь, что контроллер домена, на котором размещается хозяин RID, доступен и работает. Дополнительные сведения см. в разделе Код события 16650: не удалось инициализировать распределитель идентификаторов учетных записей в Windows Server.
Можно использовать команду netdom query fsmo , чтобы определить, какому контроллеру домена присвоена основная роль RID.
Убедитесь, что Active Directory реплицируется между всеми контроллерами домена. Для обнаружения ошибок можно использовать следующую команду:
Описание проблемы с вводом в домен
По идее присоединение компьютера к Active Directory это простое действие, но как оказалось даже оно может принести сложности. У меня была старая виртуальная машина на Hyper-V, поступила задача ее переустановить для тестовых служб. По идее старая учетная запись этого компьютера лежала в нужно OU и к ней применялись нужные политики доступа, логично, что я воспользовался механизмом переустановки учетной записи, доступный через правый клик по ней. Это является правильной практикой, которую советует сама Microsoft
После выполнения данной процедуры, можно спокойно присоединять, вашу виртуальную машину с тем же именем, и она попадет в базе Active Directory именно в ту OU, где лежала предшественница. Все вроде круто, но в момент ввода в домен, выскочила ошибка:
"Не удалось изменить DNS-имя основного контроллера домена на "" для этого компьютера. Будет использоваться прежнее имя: contoso.com. Убедитесь, что имя "" является допустимым для текущего домена. Ошибка: При изменении имени узла DNS для объекта невозможно синхронизировать значения имени субъекта службы"
Обычно такая ошибка выскакивает, когда были разорваны доверительные отношения или компьютер давно не проходил аутентификацию на контроллере домена, но это не наш случай, мы то только, что добавились в него.
Ошибка 2
Решение
Ошибка 7
Решение
Читайте также: