steinbock72
Goto Top

Domäne-Join schlägt fehl

Moin,
komme aktuell mit einem Problem nicht weiter. Es geht um einen PC, der schon mal in der Domäne xxxxxx angemeldet war. Der PC wurde versehentlich zurückgestuft auf einen "PC ohne Domäne". Als ich diesen jetzt wieder der Domäne hinzufügen wollte, bekomme ich folgende Fehlermeldung: "Der Computer konnte der Domäne aufgrund folgendes Fehlers nicht beitreten: Die Funktion kann nicht abgeschlossen werden."

Im Ereignisprotokoll steht:
Ereignis-ID 4097 "Fehler beim Beitritt des Computers PC02 zur Domäne xxxxx. Fehlercode 1003"

Zu dem Fehlercode habe ich aber nichts brauchbares gefunden.

Im Protokoll NetJoin wird folgendes dokumentiert:

10/20/2023 09:41:27:981 -----------------------------------------------------------------
10/20/2023 09:41:27:981 NetpValidateName: checking to see if 'PC02' is valid as type 1 name  
10/20/2023 09:41:31:059 NetpCheckNetBiosNameNotInUse for 'PC02' [MACHINE] returned 0x0  
10/20/2023 09:41:31:059 NetpValidateName: name 'PC02' is valid for type 1  
10/20/2023 09:41:31:059 -----------------------------------------------------------------
10/20/2023 09:41:31:059 NetpValidateName: checking to see if 'XXXXXX.LOCAL' is valid as type 3 name  
10/20/2023 09:41:31:137 NetpCheckDomainNameIsValid [ Exists ] for 'XXXXXX.LOCAL' returned 0x0  
10/20/2023 09:41:31:137 NetpValidateName: name 'XXXXXX.LOCAL' is valid for type 3  
10/20/2023 09:41:44:277 -----------------------------------------------------------------
10/20/2023 09:41:44:277 NetpDoDomainJoin
10/20/2023 09:41:44:293 NetpDoDomainJoin: using current computer names
10/20/2023 09:41:44:293 NetpDoDomainJoin: NetpGetComputerNameEx(NetBios) returned 0x0
10/20/2023 09:41:44:293 NetpDoDomainJoin: NetpGetComputerNameEx(DnsHostName) returned 0x0
10/20/2023 09:41:44:293 NetpMachineValidToJoin: 'PC02'  
10/20/2023 09:41:44:293 	OS Version: 10.0
10/20/2023 09:41:44:293 	Build number: 19045 (19041.vb_release.191206-1406)
10/20/2023 09:41:44:293 	SKU: Windows 10 Pro
10/20/2023 09:41:44:293 	Architecture: 64-bit (AMD64)
10/20/2023 09:41:44:293 NetpMachineValidToJoin: status: 0x0
10/20/2023 09:41:44:293 NetpJoinDomain
10/20/2023 09:41:44:293 	HostName: PC02
10/20/2023 09:41:44:293 	NetbiosName: PC02
10/20/2023 09:41:44:293 	Domain: XXXXXX.LOCAL
10/20/2023 09:41:44:293 	MachineAccountOU: (NULL)
10/20/2023 09:41:44:293 	Account: XXXXXX.LOCAL\UUUUU
10/20/2023 09:41:44:293 	Options: 0x23
10/20/2023 09:41:44:293 NetpValidateName: checking to see if 'XXXXXX.LOCAL' is valid as type 3 name  
10/20/2023 09:41:44:371 NetpCheckDomainNameIsValid [ Exists ] for 'XXXXXX.LOCAL' returned 0x0  
10/20/2023 09:41:44:371 NetpValidateName: name 'XXXXXX.LOCAL' is valid for type 3  
10/20/2023 09:41:44:371 NetpDsGetDcName: trying to find DC in domain 'XXXXXX.LOCAL', flags: 0x40001010  
10/20/2023 09:41:59:370 NetpDsGetDcName: failed to find a DC having account 'PC02$': 0x525, last error is 0x0  
10/20/2023 09:41:59:370 NetpDsGetDcName: status of verifying DNS A record name resolution for 'Server.XXXXXX.local': 0x0  
10/20/2023 09:41:59:370 NetpDsGetDcName: found DC '\\Server.XXXXXX.local' in the specified domain  
10/20/2023 09:41:59:370 NetpJoinDomainOnDs: NetpDsGetDcName returned: 0x0
10/20/2023 09:41:59:370 NetpDisableIDNEncoding: using FQDN XXXXXX.local from dcinfo
10/20/2023 09:41:59:370 NetpDisableIDNEncoding: DnsDisableIdnEncoding(UNTILREBOOT) on 'XXXXXX.local' succeeded  
10/20/2023 09:41:59:370 NetpJoinDomainOnDs: NetpDisableIDNEncoding returned: 0x0
10/20/2023 09:41:59:401 NetpJoinDomainOnDs: status of connecting to dc '\\Server.XXXXXX.local': 0x0  
10/20/2023 09:41:59:401 NetpGetDnsHostName: PrimaryDnsSuffix defaulted to DNS domain name: XXXXXX.local
10/20/2023 09:41:59:401 NetpProvisionComputerAccount:
10/20/2023 09:41:59:401 	lpDomain: XXXXXX.LOCAL
10/20/2023 09:41:59:401 	lpHostName: PC02
10/20/2023 09:41:59:401 	lpMachineAccountOU: (NULL)
10/20/2023 09:41:59:401 	lpDcName: Server.XXXXXX.local
10/20/2023 09:41:59:401 	lpMachinePassword: (null)
10/20/2023 09:41:59:401 	lpAccount: XXXXXX.LOCAL\ UUUUU
10/20/2023 09:41:59:401 	lpPassword: (non-null)
10/20/2023 09:41:59:401 	dwJoinOptions: 0x23
10/20/2023 09:41:59:401 	dwOptions: 0x40000003
10/20/2023 09:41:59:416 NetpLdapBind: Verified minimum encryption strength on Server.XXXXXX.local: 0x0
10/20/2023 09:41:59:416 NetpLdapGetLsaPrimaryDomain: reading domain data
10/20/2023 09:41:59:416 NetpGetNCData: Reading NC data
10/20/2023 09:41:59:416 NetpGetDomainData: Lookup domain data for: DC=XXXXXX,DC=local
10/20/2023 09:41:59:416 NetpGetDomainData: Lookup crossref data for: CN=Partitions,CN=Configuration,DC=XXXXXX,DC=local
10/20/2023 09:41:59:416 NetpLdapGetLsaPrimaryDomain: result of retrieving domain data: 0x0
10/20/2023 09:41:59:416 NetpCheckForDomainSIDCollision: returning 0x0(0).
10/20/2023 09:41:59:416 NetpGetComputerObjectDn: Cracking DNS domain name XXXXXX.local/ into Netbios on \\Server.XXXXXX.local
10/20/2023 09:41:59:416 NetpGetComputerObjectDn: Crack results: 	name = XXXXXX\
10/20/2023 09:41:59:416 NetpGetComputerObjectDn: Cracking account name XXXXXX\PC02$ on \\Server.XXXXXX.local
10/20/2023 09:41:59:416 NetpGetComputerObjectDn: Crack results: 	Account does not exist
10/20/2023 09:41:59:416 NetpGetComputerObjectDn: Cracking Netbios domain name XXXXXX\ into root DN on \\Server.XXXXXX.local
10/20/2023 09:41:59:432 NetpGetComputerObjectDn: Crack results: 	name = DC=XXXXXX,DC=local
10/20/2023 09:41:59:432 NetpGetComputerObjectDn: Got DN CN=PC02,CN=Computers,DC=XXXXXX,DC=local from the default computer container
10/20/2023 09:41:59:432 NetpGetADObjectOwnerAttributes: Looking up attributes for machine account: CN=PC02,CN=Computers,DC=XXXXXX,DC=local
10/20/2023 09:41:59:432 NetpGetADObjectOwnerAttributes: Ldap Search failed: 8240
10/20/2023 09:41:59:432 NetpCheckIfAccountShouldBeReused: Computer Object does not exist in OU.
10/20/2023 09:41:59:432 NetpCheckIfAccountShouldBeReused:fReuseAllowed: TRUE, NetStatus:0x2030
10/20/2023 09:41:59:432 NetpModifyComputerObjectInDs: Initial attribute values:
10/20/2023 09:41:59:432 		objectClass  =  Computer
10/20/2023 09:41:59:432 		SamAccountName  =  PC02$
10/20/2023 09:41:59:432 		userAccountControl  =  0x1000
10/20/2023 09:41:59:432 		DnsHostName  =  PC02.XXXXXX.local
10/20/2023 09:41:59:432 		ServicePrincipalName  =  HOST/PC02.XXXXXX.local  RestrictedKrbHost/PC02.XXXXXX.local  HOST/PC02  RestrictedKrbHost/PC02
10/20/2023 09:41:59:432 		unicodePwd  =  <SomePassword>
10/20/2023 09:41:59:432 NetpModifyComputerObjectInDs: Computer Object does not exist in OU
10/20/2023 09:41:59:432 NetpModifyComputerObjectInDs: Attribute values to set:
10/20/2023 09:41:59:432 		objectClass  =  Computer
10/20/2023 09:41:59:432 		SamAccountName  =  PC02$
10/20/2023 09:41:59:432 		userAccountControl  =  0x1000
10/20/2023 09:41:59:432 		DnsHostName  =  PC02.XXXXXX.local
10/20/2023 09:41:59:432 		ServicePrincipalName  =  HOST/PC02.XXXXXX.local  RestrictedKrbHost/PC02.XXXXXX.local  HOST/PC02  RestrictedKrbHost/PC02
10/20/2023 09:41:59:432 		unicodePwd  =  <SomePassword>
10/20/2023 09:41:59:432 NetpMapGetLdapExtendedError: Parsed [0x2010] from server extended error string: 00002010: SvcErr: DSID-031A12E8, problem 5003 (WILL_NOT_PERFORM), data 0
10/20/2023 09:41:59:432 NetpModifyComputerObjectInDs: ldap_add_s failed: 0x35 0x3eb
10/20/2023 09:41:59:432 NetpCreateComputerObjectInDs: NetpModifyComputerObjectInDs failed: 0x3eb
10/20/2023 09:41:59:432 NetpCreateComputerObjectInDsW2K: Try again setting password separately from creation i.e. DC may be W2K
10/20/2023 09:41:59:432 NetpGetComputerObjectDn: Cracking DNS domain name XXXXXX.local/ into Netbios on \\Server.XXXXXX.local
10/20/2023 09:41:59:432 NetpGetComputerObjectDn: Crack results: 	name = XXXXXX\
10/20/2023 09:41:59:432 NetpGetComputerObjectDn: Cracking account name XXXXXX\PC02$ on \\Server.XXXXXX.local
10/20/2023 09:41:59:432 NetpGetComputerObjectDn: Crack results: 	Account does not exist
10/20/2023 09:41:59:432 NetpGetComputerObjectDn: Cracking Netbios domain name XXXXXX\ into root DN on \\Server.XXXXXX.local
10/20/2023 09:41:59:432 NetpGetComputerObjectDn: Crack results: 	name = DC=XXXXXX,DC=local
10/20/2023 09:41:59:432 NetpGetComputerObjectDn: Got DN CN=PC02,CN=Computers,DC=XXXXXX,DC=local from the default computer container
10/20/2023 09:41:59:432 NetpGetADObjectOwnerAttributes: Looking up attributes for machine account: CN=PC02,CN=Computers,DC=XXXXXX,DC=local
10/20/2023 09:41:59:432 NetpGetADObjectOwnerAttributes: Ldap Search failed: 8240
10/20/2023 09:41:59:432 NetpCheckIfAccountShouldBeReused: Computer Object does not exist in OU.
10/20/2023 09:41:59:432 NetpCheckIfAccountShouldBeReused:fReuseAllowed: TRUE, NetStatus:0x2030
10/20/2023 09:41:59:432 NetpModifyComputerObjectInDs: Initial attribute values:
10/20/2023 09:41:59:432 		objectClass  =  Computer
10/20/2023 09:41:59:432 		SamAccountName  =  PC02$
10/20/2023 09:41:59:432 		userAccountControl  =  0x1000
10/20/2023 09:41:59:432 		DnsHostName  =  PC02.XXXXXX.local
10/20/2023 09:41:59:432 		ServicePrincipalName  =  HOST/PC02.XXXXXX.local  RestrictedKrbHost/PC02.XXXXXX.local  HOST/PC02  RestrictedKrbHost/PC02
10/20/2023 09:41:59:432 NetpModifyComputerObjectInDs: Computer Object does not exist in OU
10/20/2023 09:41:59:432 NetpModifyComputerObjectInDs: Attribute values to set:
10/20/2023 09:41:59:432 		objectClass  =  Computer
10/20/2023 09:41:59:432 		SamAccountName  =  PC02$
10/20/2023 09:41:59:432 		userAccountControl  =  0x1000
10/20/2023 09:41:59:432 		DnsHostName  =  PC02.XXXXXX.local
10/20/2023 09:41:59:432 		ServicePrincipalName  =  HOST/PC02.XXXXXX.local  RestrictedKrbHost/PC02.XXXXXX.local  HOST/PC02  RestrictedKrbHost/PC02
10/20/2023 09:41:59:432 NetpMapGetLdapExtendedError: Parsed [0x2010] from server extended error string: 00002010: SvcErr: DSID-031A12E8, problem 5003 (WILL_NOT_PERFORM), data 0
10/20/2023 09:41:59:432 NetpModifyComputerObjectInDs: ldap_add_s failed: 0x35 0x3eb
10/20/2023 09:41:59:432 NetpCreateComputerObjectInDs: NetpModifyComputerObjectInDs failed: 0x3eb
10/20/2023 09:41:59:432 ldap_unbind status: 0x0
10/20/2023 09:41:59:432 NetpJoinCreatePackagePart: status:0x3eb.
10/20/2023 09:41:59:432 NetpJoinDomainOnDs: Function exits with status of: 0x3eb
10/20/2023 09:41:59:432 NetpJoinDomainOnDs: status of disconnecting from '\\Server.XXXXXX.local': 0x0  
10/20/2023 09:41:59:432 NetpResetIDNEncoding: DnsDisableIdnEncoding(RESETALL) on 'XXXXXX.local' returned 0x0  
10/20/2023 09:41:59:432 NetpJoinDomainOnDs: NetpResetIDNEncoding on 'XXXXXX.local': 0x0  
10/20/2023 09:41:59:432 NetpDoDomainJoin: status: 0x3eb

Mit fehlt aktuell eine Idee, ab der Fehler am Client oder am Server zu finden ist.

VG Dennis

Content-ID: 32744907936

Url: https://administrator.de/contentid/32744907936

Ausgedruckt am: 08.11.2024 um 01:11 Uhr

emeriks
emeriks 20.10.2023 um 15:56:38 Uhr
Goto Top
Hi,
möglicherweise liegt es am bereits vorhandenen Computerkonto im AD.

Falls zutreffend:
Wenn da nichts anderes direkt "dranghängt" (z.B. Gruppenmitgliedschaften, GPO-Zuordnungen, usw.) Dann zuerst dieses Computer-Objekt löschen. Replikation abwarten und danach erneut beitreten.
Wenn doch Abhängigkeiten vorhanden, dann das Konto nicht löschen. Stattdessen am Client einen Registry-Wert setzen.

Schlüssel: HKLM\System\CurrentControlSet\Control\Lsa
Wertname: NetJoinLegacyAccountReuse
Wert: Dword 1

E.
Steinbock72
Steinbock72 20.10.2023 um 16:16:51 Uhr
Goto Top
Hallo emeriks,

habe den Schlüssel HKLM gesetzt (natürlich neu gestartet), aber es kommt die gleiche Fehlermeldung wenn ich der Domäne beitreten möchte.

VG Dennis
Daneck
Daneck 20.10.2023 um 16:17:10 Uhr
Goto Top
Im AD den Computer entfernen als auch (was scheinbar der Fall ist) den Rechner aus der Domain rauswerfen und wieder einbinden.

Dennoch sollte es eigentlich automatisch aus dem AD gelöscht werden aber sicher ist sicher.
7907292512
7907292512 20.10.2023 aktualisiert um 16:28:12 Uhr
Goto Top
10/20/2023 09:41:59:432 NetpGetComputerObjectDn: Got DN CN=PC02,CN=Computers,DC=XXXXXX,DC=local from the default computer container
Sagt aus das Computer-Objekt noch im AD existiert, also am besten, wie schon gesagt wurde vorher aus dem AD raus löschen, oder Computer-Object im ADUC resetten (Rechtsklick > Reset), und dann den Join wiederholen,.

Gruß sid.
Steinbock72
Steinbock72 20.10.2023 um 16:44:12 Uhr
Goto Top
Hallo Siddius,
unter ADUC im Ordner "Computers" steht der PC02 nicht drin. Auch bei der Suche im AD nach PC02 kommt kein Ergebnis. Kann der Eintrag noch wo anders stehen?

VG Dennis
7907292512
7907292512 20.10.2023 aktualisiert um 16:48:03 Uhr
Goto Top
AD Papierkorb evt. aktiv?
Dann durchsuche den mal
Get-ADObject -Filter {isDeleted -eq $true -and Name -like "*PC02*"} -IncludeDeletedObjects -Properties * | fl name,samaccountname,lastknownparent  
Steinbock72
Steinbock72 20.10.2023 um 16:45:50 Uhr
Goto Top
Zitat von @Daneck:

Im AD den Computer entfernen als auch (was scheinbar der Fall ist) den Rechner aus der Domain rauswerfen und wieder einbinden.

Dennoch sollte es eigentlich automatisch aus dem AD gelöscht werden aber sicher ist sicher.

Der Client ist aus der Domäne bereits ausgetreten. Im AD finde ich den PC02 nicht mehr.
VG Dennis
Steinbock72
Steinbock72 20.10.2023 um 16:47:49 Uhr
Goto Top
Zitat von @7907292512:

AD Papierkorb evt. aktiv?

Habe mit Get-ADObject -Filter {displayName -eq "PC02"} –IncludeDeletedObjects eine Abfrage gestartet, aber kein Ergebnis erhalten. Wie kann ich prüfen ob der aktiv ist?
7907292512
7907292512 20.10.2023 aktualisiert um 16:49:16 Uhr
Goto Top
Hast du mehrere DCs? Wenn ja, sind die alle im Sync, oder spukt der Account evt. noch auf einem rum?
Steinbock72
Steinbock72 20.10.2023 um 16:53:10 Uhr
Goto Top
Zitat von @7907292512:

AD Papierkorb evt. aktiv?
Dann durchsuche den mal
Get-ADObject -Filter {isDeleted -eq $true -and Name -like "*PC02*"} -IncludeDeletedObjects -Properties * | fl name,samaccountname,lastknownparent  

Habe das so in der PS ausgeführt und kein Ergebnis erhalten. Glaube nicht, dass der Papierkorb aktiviert wurde.
VG Dennis
7907292512
7907292512 20.10.2023 aktualisiert um 16:55:57 Uhr
Goto Top
Gib dem Computer mal testweise anderen (neuen unbenutzten) Namen und versuche den Join damit.
Steinbock72
Steinbock72 20.10.2023 um 16:55:06 Uhr
Goto Top
Zitat von @7907292512:

Hast du mehrere DCs? Wenn ja, sind die alle im Sync, oder spukt der Account evt. noch auf einem rum?

Mir wurde erzählt, dass da früher ein Backup-DC aktiv war. Den gibt es aber nicht mehr - der wurde bestimmt nicht entfernt. Ich schau nach...
Steinbock72
Steinbock72 20.10.2023 um 16:56:26 Uhr
Goto Top
Zitat von @Steinbock72:

Zitat von @7907292512:

Hast du mehrere DCs? Wenn ja, sind die alle im Sync, oder spukt der Account evt. noch auf einem rum?

Mir wurde erzählt, dass da früher ein Backup-DC aktiv war. Den gibt es aber nicht mehr - der wurde bestimmt nicht entfernt. Ich schau nach...

Ja, der wurde wohl abgeschaltet aber nicht im AD entfernt. Könnte es damit zusammenhängen, weil er für die alten Einträge noch auf das replizieren wartet?
Steinbock72
Steinbock72 20.10.2023 um 16:58:27 Uhr
Goto Top
Zitat von @7907292512:

Gib dem Computer mal testweise anderen (neuen unbenutzten) Namen und versuche den Join damit.

Gleiche Fehlermeldung.
7907292512
7907292512 20.10.2023 aktualisiert um 17:05:43 Uhr
Goto Top
Zitat von @Steinbock72:
Ja, der wurde wohl abgeschaltet aber nicht im AD entfernt.
Dann hole das als erstes nach dann sehen wir weiter.
Evt. auch verwaiste DNS Einträge dessen nicht vergessen zu entfernen. Wenn ich *.local sehe muss ich wieder kotzen, die Kretze geht wohl nie weg...
7907292512
7907292512 20.10.2023 aktualisiert um 17:08:53 Uhr
Goto Top
Zitat von @Steinbock72:
Gleiche Fehlermeldung.
Joine mal testweise ein frische VM, wenn das auch nicht mehr geht hast du wohl größere Probleme und solltest sämtliche Eventlogs des DCs ausführlich überprüfen und ein DCDIAG durchlaufen lassen.
Steinbock72
Steinbock72 20.10.2023 um 17:11:33 Uhr
Goto Top
Zitat von @7907292512:

Zitat von @Steinbock72:
Ja, der wurde wohl abgeschaltet aber nicht im AD entfernt.
Dann hole das als erstes nach dann sehen wir weiter.
Evt. auch verwaiste DNS Einträge dessen nicht vergessen zu entfernen. Wenn ich *.local sehe muss ich wieder kotzen, die Kretze geht wohl nie weg...

Ist schon ein etwas älterer DC - damals war *.local noch akzeptiert.
Steinbock72
Steinbock72 20.10.2023 um 17:12:00 Uhr
Goto Top
Zitat von @7907292512:

Zitat von @Steinbock72:
Gleiche Fehlermeldung.
Joine mal testweise ein frische VM, wenn das auch nicht mehr geht hast du wohl größere Probleme und solltest sämtliche Eventlogs des DCs ausführlich überprüfen und ein DCDIAG durchlaufen lassen.

Das werde ich als nächstes Testen. Gute Idee.
kreuzberger
kreuzberger 20.10.2023 um 20:54:37 Uhr
Goto Top
Mahlzeit @Steinbock72

schau ggf mal nach den Datum und Uhrzeiten von Server und PC02. Das darf nicht mehr als 5min differieren.

Kreuzberger
mayho33
mayho33 22.10.2023 um 15:59:41 Uhr
Goto Top
Hi,

Hast du zufällig mehrere Netzwerkverbindungen auf deinem Gerät aktiv, bzw. mehrere Gateways?

Bei mir kommt das manchmal vor, wenn ich zuvor in meiner Testumgebung gearbeitet habe. Ich deaktiviere dann das entsprechende Modul, trenne die Verbindung (Netzwerkabel) kurz, aktiviere das Modul und verbinde mich dann wieder. Danach funktioniert auch der Domainjoin wieder. Zugegeben gehts da großteils um VMs...

Was auch sein könnte ist, die Begrenzung der Domainjoins pro User. Die liegt standardmäßig bei 10.

Siehe:
https://www.windowspro.de/wolfgang-sommergut/berechtigungen-fuer-domain- ...

https://www.active-directory-faq.de/2012/07/domanenbenutzer-durfen-compu ...

Hier wurde das Problem mit dem Domainjoin gelöst. Eventuell liegt es bei dir ähnlich?:
Neue Benutzer können Domäne nicht beitreten