Domäne-Join schlägt fehl
Moin,
komme aktuell mit einem Problem nicht weiter. Es geht um einen PC, der schon mal in der Domäne xxxxxx angemeldet war. Der PC wurde versehentlich zurückgestuft auf einen "PC ohne Domäne". Als ich diesen jetzt wieder der Domäne hinzufügen wollte, bekomme ich folgende Fehlermeldung: "Der Computer konnte der Domäne aufgrund folgendes Fehlers nicht beitreten: Die Funktion kann nicht abgeschlossen werden."
Im Ereignisprotokoll steht:
Ereignis-ID 4097 "Fehler beim Beitritt des Computers PC02 zur Domäne xxxxx. Fehlercode 1003"
Zu dem Fehlercode habe ich aber nichts brauchbares gefunden.
Im Protokoll NetJoin wird folgendes dokumentiert:
Mit fehlt aktuell eine Idee, ab der Fehler am Client oder am Server zu finden ist.
VG Dennis
komme aktuell mit einem Problem nicht weiter. Es geht um einen PC, der schon mal in der Domäne xxxxxx angemeldet war. Der PC wurde versehentlich zurückgestuft auf einen "PC ohne Domäne". Als ich diesen jetzt wieder der Domäne hinzufügen wollte, bekomme ich folgende Fehlermeldung: "Der Computer konnte der Domäne aufgrund folgendes Fehlers nicht beitreten: Die Funktion kann nicht abgeschlossen werden."
Im Ereignisprotokoll steht:
Ereignis-ID 4097 "Fehler beim Beitritt des Computers PC02 zur Domäne xxxxx. Fehlercode 1003"
Zu dem Fehlercode habe ich aber nichts brauchbares gefunden.
Im Protokoll NetJoin wird folgendes dokumentiert:
10/20/2023 09:41:27:981 -----------------------------------------------------------------
10/20/2023 09:41:27:981 NetpValidateName: checking to see if 'PC02' is valid as type 1 name
10/20/2023 09:41:31:059 NetpCheckNetBiosNameNotInUse for 'PC02' [MACHINE] returned 0x0
10/20/2023 09:41:31:059 NetpValidateName: name 'PC02' is valid for type 1
10/20/2023 09:41:31:059 -----------------------------------------------------------------
10/20/2023 09:41:31:059 NetpValidateName: checking to see if 'XXXXXX.LOCAL' is valid as type 3 name
10/20/2023 09:41:31:137 NetpCheckDomainNameIsValid [ Exists ] for 'XXXXXX.LOCAL' returned 0x0
10/20/2023 09:41:31:137 NetpValidateName: name 'XXXXXX.LOCAL' is valid for type 3
10/20/2023 09:41:44:277 -----------------------------------------------------------------
10/20/2023 09:41:44:277 NetpDoDomainJoin
10/20/2023 09:41:44:293 NetpDoDomainJoin: using current computer names
10/20/2023 09:41:44:293 NetpDoDomainJoin: NetpGetComputerNameEx(NetBios) returned 0x0
10/20/2023 09:41:44:293 NetpDoDomainJoin: NetpGetComputerNameEx(DnsHostName) returned 0x0
10/20/2023 09:41:44:293 NetpMachineValidToJoin: 'PC02'
10/20/2023 09:41:44:293 OS Version: 10.0
10/20/2023 09:41:44:293 Build number: 19045 (19041.vb_release.191206-1406)
10/20/2023 09:41:44:293 SKU: Windows 10 Pro
10/20/2023 09:41:44:293 Architecture: 64-bit (AMD64)
10/20/2023 09:41:44:293 NetpMachineValidToJoin: status: 0x0
10/20/2023 09:41:44:293 NetpJoinDomain
10/20/2023 09:41:44:293 HostName: PC02
10/20/2023 09:41:44:293 NetbiosName: PC02
10/20/2023 09:41:44:293 Domain: XXXXXX.LOCAL
10/20/2023 09:41:44:293 MachineAccountOU: (NULL)
10/20/2023 09:41:44:293 Account: XXXXXX.LOCAL\UUUUU
10/20/2023 09:41:44:293 Options: 0x23
10/20/2023 09:41:44:293 NetpValidateName: checking to see if 'XXXXXX.LOCAL' is valid as type 3 name
10/20/2023 09:41:44:371 NetpCheckDomainNameIsValid [ Exists ] for 'XXXXXX.LOCAL' returned 0x0
10/20/2023 09:41:44:371 NetpValidateName: name 'XXXXXX.LOCAL' is valid for type 3
10/20/2023 09:41:44:371 NetpDsGetDcName: trying to find DC in domain 'XXXXXX.LOCAL', flags: 0x40001010
10/20/2023 09:41:59:370 NetpDsGetDcName: failed to find a DC having account 'PC02$': 0x525, last error is 0x0
10/20/2023 09:41:59:370 NetpDsGetDcName: status of verifying DNS A record name resolution for 'Server.XXXXXX.local': 0x0
10/20/2023 09:41:59:370 NetpDsGetDcName: found DC '\\Server.XXXXXX.local' in the specified domain
10/20/2023 09:41:59:370 NetpJoinDomainOnDs: NetpDsGetDcName returned: 0x0
10/20/2023 09:41:59:370 NetpDisableIDNEncoding: using FQDN XXXXXX.local from dcinfo
10/20/2023 09:41:59:370 NetpDisableIDNEncoding: DnsDisableIdnEncoding(UNTILREBOOT) on 'XXXXXX.local' succeeded
10/20/2023 09:41:59:370 NetpJoinDomainOnDs: NetpDisableIDNEncoding returned: 0x0
10/20/2023 09:41:59:401 NetpJoinDomainOnDs: status of connecting to dc '\\Server.XXXXXX.local': 0x0
10/20/2023 09:41:59:401 NetpGetDnsHostName: PrimaryDnsSuffix defaulted to DNS domain name: XXXXXX.local
10/20/2023 09:41:59:401 NetpProvisionComputerAccount:
10/20/2023 09:41:59:401 lpDomain: XXXXXX.LOCAL
10/20/2023 09:41:59:401 lpHostName: PC02
10/20/2023 09:41:59:401 lpMachineAccountOU: (NULL)
10/20/2023 09:41:59:401 lpDcName: Server.XXXXXX.local
10/20/2023 09:41:59:401 lpMachinePassword: (null)
10/20/2023 09:41:59:401 lpAccount: XXXXXX.LOCAL\ UUUUU
10/20/2023 09:41:59:401 lpPassword: (non-null)
10/20/2023 09:41:59:401 dwJoinOptions: 0x23
10/20/2023 09:41:59:401 dwOptions: 0x40000003
10/20/2023 09:41:59:416 NetpLdapBind: Verified minimum encryption strength on Server.XXXXXX.local: 0x0
10/20/2023 09:41:59:416 NetpLdapGetLsaPrimaryDomain: reading domain data
10/20/2023 09:41:59:416 NetpGetNCData: Reading NC data
10/20/2023 09:41:59:416 NetpGetDomainData: Lookup domain data for: DC=XXXXXX,DC=local
10/20/2023 09:41:59:416 NetpGetDomainData: Lookup crossref data for: CN=Partitions,CN=Configuration,DC=XXXXXX,DC=local
10/20/2023 09:41:59:416 NetpLdapGetLsaPrimaryDomain: result of retrieving domain data: 0x0
10/20/2023 09:41:59:416 NetpCheckForDomainSIDCollision: returning 0x0(0).
10/20/2023 09:41:59:416 NetpGetComputerObjectDn: Cracking DNS domain name XXXXXX.local/ into Netbios on \\Server.XXXXXX.local
10/20/2023 09:41:59:416 NetpGetComputerObjectDn: Crack results: name = XXXXXX\
10/20/2023 09:41:59:416 NetpGetComputerObjectDn: Cracking account name XXXXXX\PC02$ on \\Server.XXXXXX.local
10/20/2023 09:41:59:416 NetpGetComputerObjectDn: Crack results: Account does not exist
10/20/2023 09:41:59:416 NetpGetComputerObjectDn: Cracking Netbios domain name XXXXXX\ into root DN on \\Server.XXXXXX.local
10/20/2023 09:41:59:432 NetpGetComputerObjectDn: Crack results: name = DC=XXXXXX,DC=local
10/20/2023 09:41:59:432 NetpGetComputerObjectDn: Got DN CN=PC02,CN=Computers,DC=XXXXXX,DC=local from the default computer container
10/20/2023 09:41:59:432 NetpGetADObjectOwnerAttributes: Looking up attributes for machine account: CN=PC02,CN=Computers,DC=XXXXXX,DC=local
10/20/2023 09:41:59:432 NetpGetADObjectOwnerAttributes: Ldap Search failed: 8240
10/20/2023 09:41:59:432 NetpCheckIfAccountShouldBeReused: Computer Object does not exist in OU.
10/20/2023 09:41:59:432 NetpCheckIfAccountShouldBeReused:fReuseAllowed: TRUE, NetStatus:0x2030
10/20/2023 09:41:59:432 NetpModifyComputerObjectInDs: Initial attribute values:
10/20/2023 09:41:59:432 objectClass = Computer
10/20/2023 09:41:59:432 SamAccountName = PC02$
10/20/2023 09:41:59:432 userAccountControl = 0x1000
10/20/2023 09:41:59:432 DnsHostName = PC02.XXXXXX.local
10/20/2023 09:41:59:432 ServicePrincipalName = HOST/PC02.XXXXXX.local RestrictedKrbHost/PC02.XXXXXX.local HOST/PC02 RestrictedKrbHost/PC02
10/20/2023 09:41:59:432 unicodePwd = <SomePassword>
10/20/2023 09:41:59:432 NetpModifyComputerObjectInDs: Computer Object does not exist in OU
10/20/2023 09:41:59:432 NetpModifyComputerObjectInDs: Attribute values to set:
10/20/2023 09:41:59:432 objectClass = Computer
10/20/2023 09:41:59:432 SamAccountName = PC02$
10/20/2023 09:41:59:432 userAccountControl = 0x1000
10/20/2023 09:41:59:432 DnsHostName = PC02.XXXXXX.local
10/20/2023 09:41:59:432 ServicePrincipalName = HOST/PC02.XXXXXX.local RestrictedKrbHost/PC02.XXXXXX.local HOST/PC02 RestrictedKrbHost/PC02
10/20/2023 09:41:59:432 unicodePwd = <SomePassword>
10/20/2023 09:41:59:432 NetpMapGetLdapExtendedError: Parsed [0x2010] from server extended error string: 00002010: SvcErr: DSID-031A12E8, problem 5003 (WILL_NOT_PERFORM), data 0
10/20/2023 09:41:59:432 NetpModifyComputerObjectInDs: ldap_add_s failed: 0x35 0x3eb
10/20/2023 09:41:59:432 NetpCreateComputerObjectInDs: NetpModifyComputerObjectInDs failed: 0x3eb
10/20/2023 09:41:59:432 NetpCreateComputerObjectInDsW2K: Try again setting password separately from creation i.e. DC may be W2K
10/20/2023 09:41:59:432 NetpGetComputerObjectDn: Cracking DNS domain name XXXXXX.local/ into Netbios on \\Server.XXXXXX.local
10/20/2023 09:41:59:432 NetpGetComputerObjectDn: Crack results: name = XXXXXX\
10/20/2023 09:41:59:432 NetpGetComputerObjectDn: Cracking account name XXXXXX\PC02$ on \\Server.XXXXXX.local
10/20/2023 09:41:59:432 NetpGetComputerObjectDn: Crack results: Account does not exist
10/20/2023 09:41:59:432 NetpGetComputerObjectDn: Cracking Netbios domain name XXXXXX\ into root DN on \\Server.XXXXXX.local
10/20/2023 09:41:59:432 NetpGetComputerObjectDn: Crack results: name = DC=XXXXXX,DC=local
10/20/2023 09:41:59:432 NetpGetComputerObjectDn: Got DN CN=PC02,CN=Computers,DC=XXXXXX,DC=local from the default computer container
10/20/2023 09:41:59:432 NetpGetADObjectOwnerAttributes: Looking up attributes for machine account: CN=PC02,CN=Computers,DC=XXXXXX,DC=local
10/20/2023 09:41:59:432 NetpGetADObjectOwnerAttributes: Ldap Search failed: 8240
10/20/2023 09:41:59:432 NetpCheckIfAccountShouldBeReused: Computer Object does not exist in OU.
10/20/2023 09:41:59:432 NetpCheckIfAccountShouldBeReused:fReuseAllowed: TRUE, NetStatus:0x2030
10/20/2023 09:41:59:432 NetpModifyComputerObjectInDs: Initial attribute values:
10/20/2023 09:41:59:432 objectClass = Computer
10/20/2023 09:41:59:432 SamAccountName = PC02$
10/20/2023 09:41:59:432 userAccountControl = 0x1000
10/20/2023 09:41:59:432 DnsHostName = PC02.XXXXXX.local
10/20/2023 09:41:59:432 ServicePrincipalName = HOST/PC02.XXXXXX.local RestrictedKrbHost/PC02.XXXXXX.local HOST/PC02 RestrictedKrbHost/PC02
10/20/2023 09:41:59:432 NetpModifyComputerObjectInDs: Computer Object does not exist in OU
10/20/2023 09:41:59:432 NetpModifyComputerObjectInDs: Attribute values to set:
10/20/2023 09:41:59:432 objectClass = Computer
10/20/2023 09:41:59:432 SamAccountName = PC02$
10/20/2023 09:41:59:432 userAccountControl = 0x1000
10/20/2023 09:41:59:432 DnsHostName = PC02.XXXXXX.local
10/20/2023 09:41:59:432 ServicePrincipalName = HOST/PC02.XXXXXX.local RestrictedKrbHost/PC02.XXXXXX.local HOST/PC02 RestrictedKrbHost/PC02
10/20/2023 09:41:59:432 NetpMapGetLdapExtendedError: Parsed [0x2010] from server extended error string: 00002010: SvcErr: DSID-031A12E8, problem 5003 (WILL_NOT_PERFORM), data 0
10/20/2023 09:41:59:432 NetpModifyComputerObjectInDs: ldap_add_s failed: 0x35 0x3eb
10/20/2023 09:41:59:432 NetpCreateComputerObjectInDs: NetpModifyComputerObjectInDs failed: 0x3eb
10/20/2023 09:41:59:432 ldap_unbind status: 0x0
10/20/2023 09:41:59:432 NetpJoinCreatePackagePart: status:0x3eb.
10/20/2023 09:41:59:432 NetpJoinDomainOnDs: Function exits with status of: 0x3eb
10/20/2023 09:41:59:432 NetpJoinDomainOnDs: status of disconnecting from '\\Server.XXXXXX.local': 0x0
10/20/2023 09:41:59:432 NetpResetIDNEncoding: DnsDisableIdnEncoding(RESETALL) on 'XXXXXX.local' returned 0x0
10/20/2023 09:41:59:432 NetpJoinDomainOnDs: NetpResetIDNEncoding on 'XXXXXX.local': 0x0
10/20/2023 09:41:59:432 NetpDoDomainJoin: status: 0x3eb
Mit fehlt aktuell eine Idee, ab der Fehler am Client oder am Server zu finden ist.
VG Dennis
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 32744907936
Url: https://administrator.de/contentid/32744907936
Ausgedruckt am: 22.11.2024 um 21:11 Uhr
20 Kommentare
Neuester Kommentar
Hi,
möglicherweise liegt es am bereits vorhandenen Computerkonto im AD.
Falls zutreffend:
Wenn da nichts anderes direkt "dranghängt" (z.B. Gruppenmitgliedschaften, GPO-Zuordnungen, usw.) Dann zuerst dieses Computer-Objekt löschen. Replikation abwarten und danach erneut beitreten.
Wenn doch Abhängigkeiten vorhanden, dann das Konto nicht löschen. Stattdessen am Client einen Registry-Wert setzen.
Schlüssel: HKLM\System\CurrentControlSet\Control\Lsa
Wertname: NetJoinLegacyAccountReuse
Wert: Dword 1
E.
möglicherweise liegt es am bereits vorhandenen Computerkonto im AD.
Falls zutreffend:
Wenn da nichts anderes direkt "dranghängt" (z.B. Gruppenmitgliedschaften, GPO-Zuordnungen, usw.) Dann zuerst dieses Computer-Objekt löschen. Replikation abwarten und danach erneut beitreten.
Wenn doch Abhängigkeiten vorhanden, dann das Konto nicht löschen. Stattdessen am Client einen Registry-Wert setzen.
Schlüssel: HKLM\System\CurrentControlSet\Control\Lsa
Wertname: NetJoinLegacyAccountReuse
Wert: Dword 1
E.
10/20/2023 09:41:59:432 NetpGetComputerObjectDn: Got DN CN=PC02,CN=Computers,DC=XXXXXX,DC=local from the default computer container
Sagt aus das Computer-Objekt noch im AD existiert, also am besten, wie schon gesagt wurde vorher aus dem AD raus löschen, oder Computer-Object im ADUC resetten (Rechtsklick > Reset), und dann den Join wiederholen,.Gruß sid.
AD Papierkorb evt. aktiv?
Dann durchsuche den mal
Dann durchsuche den mal
Get-ADObject -Filter {isDeleted -eq $true -and Name -like "*PC02*"} -IncludeDeletedObjects -Properties * | fl name,samaccountname,lastknownparent
Hast du mehrere DCs? Wenn ja, sind die alle im Sync, oder spukt der Account evt. noch auf einem rum?
Gib dem Computer mal testweise anderen (neuen unbenutzten) Namen und versuche den Join damit.
Dann hole das als erstes nach dann sehen wir weiter.
Evt. auch verwaiste DNS Einträge dessen nicht vergessen zu entfernen. Wenn ich *.local sehe muss ich wieder kotzen, die Kretze geht wohl nie weg...
Evt. auch verwaiste DNS Einträge dessen nicht vergessen zu entfernen. Wenn ich *.local sehe muss ich wieder kotzen, die Kretze geht wohl nie weg...
Joine mal testweise ein frische VM, wenn das auch nicht mehr geht hast du wohl größere Probleme und solltest sämtliche Eventlogs des DCs ausführlich überprüfen und ein DCDIAG durchlaufen lassen.
Mahlzeit @Steinbock72
schau ggf mal nach den Datum und Uhrzeiten von Server und PC02. Das darf nicht mehr als 5min differieren.
Kreuzberger
schau ggf mal nach den Datum und Uhrzeiten von Server und PC02. Das darf nicht mehr als 5min differieren.
Kreuzberger
Hi,
Hast du zufällig mehrere Netzwerkverbindungen auf deinem Gerät aktiv, bzw. mehrere Gateways?
Bei mir kommt das manchmal vor, wenn ich zuvor in meiner Testumgebung gearbeitet habe. Ich deaktiviere dann das entsprechende Modul, trenne die Verbindung (Netzwerkabel) kurz, aktiviere das Modul und verbinde mich dann wieder. Danach funktioniert auch der Domainjoin wieder. Zugegeben gehts da großteils um VMs...
Was auch sein könnte ist, die Begrenzung der Domainjoins pro User. Die liegt standardmäßig bei 10.
Siehe:
https://www.windowspro.de/wolfgang-sommergut/berechtigungen-fuer-domain- ...
https://www.active-directory-faq.de/2012/07/domanenbenutzer-durfen-compu ...
Hier wurde das Problem mit dem Domainjoin gelöst. Eventuell liegt es bei dir ähnlich?:
Neue Benutzer können Domäne nicht beitreten
Hast du zufällig mehrere Netzwerkverbindungen auf deinem Gerät aktiv, bzw. mehrere Gateways?
Bei mir kommt das manchmal vor, wenn ich zuvor in meiner Testumgebung gearbeitet habe. Ich deaktiviere dann das entsprechende Modul, trenne die Verbindung (Netzwerkabel) kurz, aktiviere das Modul und verbinde mich dann wieder. Danach funktioniert auch der Domainjoin wieder. Zugegeben gehts da großteils um VMs...
Was auch sein könnte ist, die Begrenzung der Domainjoins pro User. Die liegt standardmäßig bei 10.
Siehe:
https://www.windowspro.de/wolfgang-sommergut/berechtigungen-fuer-domain- ...
https://www.active-directory-faq.de/2012/07/domanenbenutzer-durfen-compu ...
Hier wurde das Problem mit dem Domainjoin gelöst. Eventuell liegt es bei dir ähnlich?:
Neue Benutzer können Domäne nicht beitreten