Domain join Fehler (Netjoin 4097 Error 64)

Hallo zusammen,

ich versuche einen Server in die Domäne aufzunehmen, jedoch erhalte ich immer folgenden Fehler:

Bei dem Versuch der Domäne "***" beizutreten, trat der Folgende Fehler auf:
Der angegebene Netzwerkname ist nicht mehr Verfügbar.

Im Ereignislog taucht der Fehler Netjoin, Ereignis 4097, Fehlercode 64 auf.

Der Server liegt in Subnetz A, während 2 Domänencontroller in Subnetz B liegen. Die Netze werden in beide Richtungen mit Any geroutet.
Die DNS Einstellungen zeigen auf die Domänencontroller und die typischen Tests (ping, nslookup) funktionieren einwandfrei.

Das Problem wird wohl darin liegen, dass der Domänenname nicht richtig aufgelöst wird, jedoch funktioniert der DNS ansonsten.
Selbst ein nslookup auf den FQDN der Domäne wird richtig aufgelöst.

Ich weiß jetzt leider nicht mehr weiter nach mehreren Tagen Internet Recherche und hoffe ihr könnt mir hier noch den entscheidenden Tipp geben.

Vielen Dank schon einmal im Voraus.

LG
Sebastian

Content-Key: 1056195489

Url: https://administrator.de/contentid/1056195489

Ausgedruckt am: 24.07.2021 um 15:07 Uhr

Mitglied: PeterPanter
PeterPanter 20.07.2021 um 08:23:53 Uhr
Goto Top
Moin RappSe,

hast du versucht, der FQDN-Domain beizutreten (DOMAIN.FIRMA.DE), oder ist dein "***" nur DOMAIN? Was sagt ein nslookup auf DOMAIN?

Gehen die Uhren auf beiden Rechnern richtig?

/pp
Mitglied: canlot
canlot 20.07.2021 um 08:40:05 Uhr
Goto Top
IPv6 mal probeweise deaktiviert?
Mitglied: RappSe
RappSe 20.07.2021 um 08:41:24 Uhr
Goto Top
Moint PeterPanter,

ich habe versucht der Domain.local beizutreten. Ein nslookup auf Domain.local gibt den primären DC als antwortenden auf die DNS Anfrage aus und als Antwort erhalte ich die beiden IP Adressen der Domaincontroller.

Die Zeit läuft auf beiden Synchron.
Mitglied: RappSe
RappSe 20.07.2021 um 08:42:02 Uhr
Goto Top
IPv6 habe ich standardmäßig immer deaktiviert. Ist also bereits deaktiviert.
Mitglied: BirdyB
BirdyB 20.07.2021 um 08:49:23 Uhr
Goto Top
Moin,
arbeitest du wirklich mit einer Domain die auf .local endet?
Das könnte dir DNS-Probleme bereiten, da .local-Anfragen nach RFC immer an die Multicast-DNS-Adresse gesendet werden (siehe hier: https://datatracker.ietf.org/doc/html/rfc6762)
Um welche Serverversion geht es denn?

VG
Mitglied: RappSe
RappSe 20.07.2021 um 08:55:09 Uhr
Goto Top
Hallo BirdyB,
ja die Domain endet tatsächlich auf .local. Die wurde so übernommen.
Das wusste ich aber auch nicht. Danke für den Tipp. Jedoch den Domain Namen anzupassen klingt so, als könnte es viele Schwierigkeiten mit sich bringen. Da habe ich auch noch keine Erfahrungen mit gemacht :) face-smile
Die Serverversion ist Windows Server 2016
Mitglied: PeterPanter
PeterPanter 20.07.2021 um 09:20:59 Uhr
Goto Top
Hi, du könntest noch den DNS-Suffix Domain.local statisch bei den Netzwerk-Settigns auf dem neuen Server eintragen. Gibt es den Rechnernamen evtl. schon in der Domain? Evtl. hat der erste (fehlerhafte) join doch schon ein AD-Objekt angelegt.
/pp
Mitglied: aqui
aqui 20.07.2021 um 09:26:24 Uhr
Goto Top
arbeitest du wirklich mit einer Domain die auf .local endet?
In der Tat keine besonders intelligente Wahl ! :-( face-sad
https://administrator.de/tutorial/hinweise-zur-verwendung-der-domaene-lo ...
Mitglied: Doskias
Doskias 20.07.2021 aktualisiert um 09:43:14 Uhr
Goto Top
Moin Peter

Zitat von @PeterPanter:
Hi, du könntest noch den DNS-Suffix Domain.local statisch bei den Netzwerk-Settigns auf dem neuen Server eintragen. Gibt es den Rechnernamen evtl. schon in der Domain? Evtl. hat der erste (fehlerhafte) join doch schon ein AD-Objekt angelegt.
/pp

Veraltetes Wissen an der Stelle. ;-) face-wink Du kannst mittlerweile einen Rechner auch in die Domäne heben, wenn es das Computerkonto schon gibt. Der neue Rechner erhält dann die gleiche SID und fertig. Ich hab früher auch immer Rechner aus der Domäne entfernt, händisch das Ad aufgeräumt, Rechner wieder hinzugefügt. Mittlerweile spare ich mir das aufräumen und tausche sogar komplette Rechner und behalte den Namen bei. Das geht aber nur dann, wenn der zu ersetzende Rechner nicht am DC angemeldet ist. Ich warte immer 15 Minuten. Habe ich allerdings auch erst vor 3 Monaten gelernt.

Fakt ist aber: Selbst wenn der erste Join das AD-Objeckt angelegt hat, sollte das kein Hinderungsgrund für den Join sein.

Gruß
Doskias
Mitglied: RappSe
RappSe 20.07.2021 um 09:44:55 Uhr
Goto Top
Das .local eine schlechte Wahl ist, weiß ich jetzt auch :D leider ist das nunmal die Umgebung in der man arbeitet und es gilt das beste daraus zu machen. Aus zeitlichen Gründen kommt es für mich nicht in Frage den Domain Namen zu ändern, da wir auch einen Exchange Server mit der Domäne gekoppelt haben und es nach diesem Artikel hier definitiv nicht empfohlen wird es zu verändern:
www.msxfaq.de/windows/domain_rename.htm

Ich habe aber gelesen, dass es sich trotz alle dem damit arbeiten und leben lässt. Es gilt hier dann wohl nur den DNS richtig zu konfigurieren und die Lookupzonen richtig einzustellen. Weiß jemand vielleicht hier ebenfalls, was es zu beachten gilt?

@PeterPanter den DNS Suffix anzuhängen, hatte leider auch nicht den gewünschten Erfolg gebracht. Ein AD Objekt wurde auch nicht angelegt. Ich vermute, wie oben beschrieben, dass ich als Lookupzonen Domain.local nicht verwenden darf...

Danke euch allen schon mal. Das hat mir schon mal sehr weiter geholfen.
Mitglied: Ausserwoeger
Ausserwoeger 20.07.2021 aktualisiert um 10:31:35 Uhr
Goto Top
Hi

Zwischen deinen beiden Subnetzen gibt es doch sicher eine Firewall. Hast du dort kontrolliert ob alle benötigten Ports auch offen sind ?

Firewall Ports required to join AD Domain (Minimum)

TCP 88 (Kerberos Key Distribution Center)
TCP 135 (Remote Procedure Call)
TCP 139 (NetBIOS Session Service)
TCP 389 (LDAP)
TCP 445 (SMB,Net Logon)
UDP 53 (DNS)
UDP 389 (LDAP, DC Locator, Net Logon)
TCP 49152-65535 (Randomly allocated high TCP ports)


Was passiert den wenn du testweise alles erlaubst ?

LG
Mitglied: RappSe
RappSe 20.07.2021 um 10:43:29 Uhr
Goto Top
Ja die beiden Subnetze sind durch eine Firewall getrennt, hier habe ich aber bereits jeweils eine ANY Regel in beide Richtungen erstellt.
Die Windows Firewall wurde auf den Servern testweise auch komplett ausgeschaltet, leider ohne Erfolg.

Laut meiner Recherche sollte die .local Domäne zwar Probleme verursachen in einigen Fällen, jedoch speziell bei diesem Problem sollte es nicht weiter stören. Der Fehler liegt also vermutlich woanders.....
Mitglied: Ausserwoeger
Ausserwoeger 20.07.2021 aktualisiert um 10:59:53 Uhr
Goto Top
Hi

Was sagt den das Netsetup.log ? Da findest du eine genauere Fehlermeldung als im Eventlog.

PS: Du findest es unter C:\Windows\Debug

LG
Mitglied: RappSe
RappSe 20.07.2021 um 11:06:56 Uhr
Goto Top
Der LOG sagt folgendes:

07/20/2021 10:58:50:397 NetpDoDomainJoin
07/20/2021 10:58:50:397 NetpDoDomainJoin: using current computer names
07/20/2021 10:58:50:397 NetpDoDomainJoin: NetpGetComputerNameEx(NetBios) returned 0x0
07/20/2021 10:58:50:397 NetpDoDomainJoin: NetpGetComputerNameEx(DnsHostName) returned 0x0
07/20/2021 10:58:50:397 NetpMachineValidToJoin: 'Server'
07/20/2021 10:58:50:397 NetpMachineValidToJoin: status: 0x0
07/20/2021 10:58:50:397 NetpJoinDomain
07/20/2021 10:58:50:397 HostName: Server
07/20/2021 10:58:50:397 NetbiosName: Server
07/20/2021 10:58:50:397 Domain: Domain.local
07/20/2021 10:58:50:397 MachineAccountOU: (NULL)
07/20/2021 10:58:50:397 Account: Domain.local\Administrator
07/20/2021 10:58:50:397 Options: 0x27
07/20/2021 10:58:50:397 NetpValidateName: checking to see if 'Domain.local' is valid as type 3 name
07/20/2021 10:58:50:475 NetpCheckDomainNameIsValid [ Exists ] for 'Domain.local' returned 0x0
07/20/2021 10:58:50:475 NetpValidateName: name 'Domain.local' is valid for type 3
07/20/2021 10:58:50:475 NetpDsGetDcName: trying to find DC in domain 'Domain.local', flags: 0x40001010
07/20/2021 10:58:51:352 NetpDsGetDcName: failed to find a DC having account 'Server$': 0x525, last error is 0x0
07/20/2021 10:58:51:352 NetpDsGetDcName: status of verifying DNS A record name resolution for 'DC01.Domain.local': 0x0
07/20/2021 10:58:51:352 NetpDsGetDcName: found DC '\\DC01.Domain.local' in the specified domain
07/20/2021 10:58:51:352 NetpJoinDomainOnDs: NetpDsGetDcName returned: 0x0
07/20/2021 10:58:51:352 NetpDisableIDNEncoding: using FQDN Domain.local from dcinfo
07/20/2021 10:58:51:367 NetpDisableIDNEncoding: DnsDisableIdnEncoding(UNTILREBOOT) on 'Domain.local' succeeded
07/20/2021 10:58:51:367 NetpJoinDomainOnDs: NetpDisableIDNEncoding returned: 0x0
07/20/2021 10:58:51:367 NetUseAdd to \\DC01.Domain.local\IPC$ returned 64
07/20/2021 10:58:51:367 NetpJoinDomainOnDs: status of connecting to dc '\\DC01.Domain.local': 0x40
07/20/2021 10:58:51:367 NetpJoinDomainOnDs: Function exits with status of: 0x40
07/20/2021 10:58:51:367 NetpResetIDNEncoding: DnsDisableIdnEncoding(RESETALL) on 'Domain.local' returned 0x0
07/20/2021 10:58:51:367 NetpJoinDomainOnDs: NetpResetIDNEncoding on 'Domain.local': 0x0
07/20/2021 10:58:51:367 NetpDoDomainJoin: status: 0x40
Mitglied: PeterPanter
PeterPanter 20.07.2021 um 11:10:03 Uhr
Goto Top
Zitat von @Doskias:
Veraltetes Wissen an der Stelle. ;-) face-wink Du kannst mittlerweile einen Rechner auch in die Domäne heben, wenn es das Computerkonto schon gibt. Der neue Rechner erhält dann die gleiche SID und fertig.
Gruß
Doskias
Danke @Doskias für die Info. Gut zu wissen. /pp
Mitglied: Ausserwoeger
Ausserwoeger 20.07.2021 um 11:18:56 Uhr
Goto Top
Zitat von @RappSe:

Der LOG sagt folgendes:

07/20/2021 10:58:51:352 NetpDsGetDcName: failed to find a DC having account 'Server$': 0x525, last error is 0x0

Das hier scheint dein Problem zu sein.

Hier hat jemand das gleiche Problem mit entsprechender Lösung:

https://social.technet.microsoft.com/Forums/en-US/ad533b07-b836-474a-8de ...

LG
Mitglied: RappSe
RappSe 20.07.2021 um 11:31:18 Uhr
Goto Top
Vielen Dank für die Antwort. Leider hat das nicht geholfen. Die Fehlermeldung in dem Thread ist etwas anders und empfohlene Vorgehensweise, Berechtigungen auf den config Ordner zu setzen, ist bei mir nicht nötig, da mein User diese bereits hat.
Trotzdem vielen Dank.
Mitglied: RappSe
RappSe 20.07.2021 um 12:04:14 Uhr
Goto Top
Ich habe zum testen einen Server, welcher im gleichen Netz war wie die Domänencontroller, in das neue Netz geschoben. Nun bekommt dieser ebenfalls keine Gruppenrichtlinien updates mehr durch. Domain.local wird zwar richtig aufgelöst, jedoch komme ich mit smb über den explorer nicht rauf. Innerhalb des Netzes des Domaincontrollers funktioniert hingegen alles.
Normalerweise spricht so ein Verhalten ja für eine Firewall Problematik, jedoch habe ich in der Richtung schon alles ausprobiert.
Muss man für Domain.local via smb noch spezielle freigaben machen, damit das auch aus anderen Netzen erreichbar ist?
Mitglied: Ausserwoeger
Ausserwoeger 20.07.2021 aktualisiert um 12:07:18 Uhr
Goto Top
Zitat von @RappSe:

Vielen Dank für die Antwort. Leider hat das nicht geholfen. Die Fehlermeldung in dem Thread ist etwas anders und empfohlene Vorgehensweise, Berechtigungen auf den config Ordner zu setzen, ist bei mir nicht nötig, da mein User diese bereits hat.
Trotzdem vielen Dank.

Wenn es ein DNS Problem ist kannst du Folgendes versuchen:

Alle SRV-Records von Active Directory befinden sich parallel in der Datei \%WinDir%\System32\config\netlogon.dns. Die Datei lässt sich mit einem Editor auch anzeigen. Fehlen Einträge in den DNS-Zonen, die Active Directory benötigt, ist es meist hilfreich, wenn Sie den Befehl dcdiag /fix ausführen. Dabei versucht das Tool, auch fehlende Einträge aus der Datei netlogon.dns einzubauen. Danach sollte die Namensauflösung wieder funktionieren.

Zitat von @RappSe:

Ich habe zum testen einen Server, welcher im gleichen Netz war wie die Domänencontroller, in das neue Netz geschoben. Nun bekommt dieser ebenfalls keine Gruppenrichtlinien updates mehr durch. Domain.local wird zwar richtig aufgelöst, jedoch komme ich mit smb über den explorer nicht rauf. Innerhalb des Netzes des Domaincontrollers funktioniert hingegen alles.
Normalerweise spricht so ein Verhalten ja für eine Firewall Problematik, jedoch habe ich in der Richtung schon alles ausprobiert.
Muss man für Domain.local via smb noch spezielle freigaben machen, damit das auch aus anderen Netzen erreichbar ist?

Ne das muss dann ein Firewall problem sein. bist du sicher das hier kein Virenscan oder sonstige sicherheitsmechanismen auf den Firewall Policys aktiv sind die hier ein problem machen.

Was hast du den für eine Firewall ?

LG
Mitglied: RappSe
RappSe 20.07.2021 um 12:23:20 Uhr
Goto Top
Wow Okay. Selbst mit nur der IP, also z.B. \\192.168.0.2\c$ gibt es keinen Erfolg. Anscheinend wird tatsächlich SMB blockiert.
Die Firewall die verwendet wird ist eine Sophos UTM 9. Die Windows Firewalls sind aus und ansonsten gibt es keine Antivir Software die gerade aktiv sind. In der Sophos ist zwei Any Regeln eingebaut. Vermutlich filtert die doch etwas weg konnte in den Logs aber noch nichts finden.
Mitglied: Ausserwoeger
Ausserwoeger 20.07.2021 um 12:51:17 Uhr
Goto Top
Zitat von @RappSe:

Wow Okay. Selbst mit nur der IP, also z.B. \\192.168.0.2\c$ gibt es keinen Erfolg. Anscheinend wird tatsächlich SMB blockiert.
Die Firewall die verwendet wird ist eine Sophos UTM 9. Die Windows Firewalls sind aus und ansonsten gibt es keine Antivir Software die gerade aktiv sind. In der Sophos ist zwei Any Regeln eingebaut. Vermutlich filtert die doch etwas weg konnte in den Logs aber noch nichts finden.

Sollte so sein ! Starte sie mal neu
Ich würde jedenfalls hier weitersuchen. Firmware update usw.
Heiß diskutierte Beiträge
general
Kosten nicht gerechtfertigt? Dienstleister stellt Kosten für "Troubleshooting" bei Neuanschaffung von HCI + CoreSwitchDirty2186Vor 1 TagAllgemeinZusammenarbeit17 Kommentare

Hallo Zusammen, ich interessiere mich für Eure Meinung zu dem Thema Leistungsnachweise von Systemhäusern und Dienstleistern und deren Berechnung von Leistungen. Da sich hier ja ...

question
RAM-Zugriff auf einem neuen High-Performance Server, teilweise um Welten langsamer als auf einer WorkstationMysticFoxDEVor 13 StundenFrageBenchmarks31 Kommentare

Moin Zusammen, mir ist gestern beim Optimieren eines neuen Servers eine Sonderheit aufgefallen, die ich mir so beim besten Willen, momentan absolut nicht erklären kann. ...

info
Phishing Mail mit schädlichen Images in freier Wildbahn (.IMG Datei)wolfbleVor 1 TagInformationViren und Trojaner12 Kommentare

Moin Moin an alle Gestern bekam ich eine EMail mit irgendwelchen komischen Sepa Einzugsankündigungen die man angeblich der angehängten Datei entnehmen kann. Ging so um ...

question
Listet Microsoft Default ACLs von Windows?DerWoWussteVor 1 TagFrageSicherheit18 Kommentare

Moin Kollegen. Nach dem Sicherheits-GAU "Hivenightmare" stellt sich mir die Frage, wie ich in Zukunft sicherstellen kann, dass die ACLs der Systemdateien in Windows korrekt ...

question
Erfahrungen mit CodeTwo Exchange Migration von 2016-2019dlohnierVor 1 TagFrageExchange Server18 Kommentare

Hallo, ich möchte unseren Exchange Server 2016 der noch auf WIndows 2016 läuft auf einen Server 2019 mit Exchange 2019 migrieren. Habe das Tool "CodeTwo ...

question
Doppelte A-Records in DNSBPeterVor 1 TagFrageWindows Server10 Kommentare

Hallo, unsere Windows Notebooks registrieren sich im DNS mit ihrer Lan- und Wlan Adresse. D.h. es gibt 2 gleiche Namen mit 2 unterschiedlichen IP-Adressen. Wie ...

question
AD-Domäne über VPN beitreten -Ist das möglich?EnrixkVor 1 TagFrageWindows Netzwerk9 Kommentare

Hallo, ich bräuchte mal einen Rat von einem Netzwerkprofi. Ich habe bei mir zuhause ein Heimnetzwerk mit AD-Domäne, entsprechenden Ordnerfreigaben, NAS und servergespeicherten Windows-Profilen. Wenn ...

question
Abschlussprojekt - FiSi gelöst VerbranntesHuhnVor 1 TagFrageWeiterbildung6 Kommentare

Hallo zusammen, ich bin derzeit auf der Suche nach einem Abschlussprojekt (max. 35 Stunden) - Abgabe des Antrags - Stichtag 02.08.2021. Ich weiß jedoch nicht ...