flashlightz

Kann PC nicht der Domäne hinzufügen

Hallo liebe Community,

ich habe derzeit ein Problem mit einem Windows 11 Pro Client, der in eine Windows Server Domäne hinzugefügt werden soll.

Der einzige Domaincontroller ist ein 2019er.


Beim Versuch den PC der Domäne hinzuzufügen, erhalte ich folgenden Fehler.

Die DNS-Abfrage über den Ressourceneintrag der Dienstidentifizierung (SRV), der zur Suche eines Domänencontrollers für die Domäne "DOMAENE." verwendet wird, wurde erfolgreich abgeschlossen:  

Es handelt sich um die Abfrage des SRV-Eintrags für _ldap._tcp.dc._msdcs.DOMAENE..

Die folgenden Domänencontroller wurden von der Abfrage identifiziert:
SERVER.DOMAENE


Es konnte jedoch keine Verbindung mit Domänencontrollern hergestellt werden.

Die häufigsten Ursachen dieses Fehlers sind:

- Hosteinträge (A oder AAAA), die die Namen der Domänencontroller deren IP-Adressen zuordnen, fehlen oder enthalten nicht die richtigen Adressen.

- Die in DNS registrierten Domänencontroller verfügen nicht über eine Netzwerkverbindung oder werden nicht ausgeführt.

In "C:\Windows\debug\NetSetup.log" am Client steht folgendes:
04/07/2025 14:03:46:567 NetpValidateName: checking to see if 'CLIENT' is valid as type 5 name  
04/07/2025 14:03:46:567 NetpValidateName: name 'CLIENT' is valid for type 5  
04/07/2025 14:03:46:568 -----------------------------------------------------------------
04/07/2025 14:03:46:568 NetpValidateName: checking to see if 'DOMAENE' is valid as type 3 name  
04/07/2025 14:03:46:569 NetpCheckDomainNameIsValid for DOMAENE returned 0x54b, last error is 0x0
04/07/2025 14:03:46:569 NetpCheckDomainNameIsValid [ Exists ] for 'DOMAENE' returned 0x54b  


Am Server und am Client funktioniert folgendes:
C:\Users\Administrator.DOMAENE>nslookup -type=SRV _ldap._tcp.dc._msdcs.DOMAENE
Server:  localhost
Address:  127.0.0.1

_ldap._tcp.dc._msdcs.DOMAENE   SRV service location:
          priority       = 0
          weight         = 100
          port           = 389
          svr hostname   = SERVER.DOMAENE
SERVER.DOMAENE       internet address = 192.168.160.50

C:\Users\Administrator.DOMAENE>

Bin aktuell mit meinem Latein am ende, hat jemand eine Idee oder kennt diesen Fehler?

Viele Grüße
Auf Facebook teilen
Auf X (Twitter) teilen
Auf Reddit teilen
Auf Linkedin teilen

Content-ID: 672373

Url: https://administrator.de/forum/kann-pc-nicht-der-domaene-hinzufuegen-672373.html

Ausgedruckt am: 28.04.2025 um 02:04 Uhr

Crusher79
Crusher79 07.04.2025 um 14:31:36 Uhr
Goto Top
Moin,

so aus dem Bauch raus: https://learn.microsoft.com/en-us/previous-versions/troubleshoot/windows ...

Aber dann wäre die Domäne schon länger auf Erden...

Ist Domäne neu? AD wurde nie upgegraded, sondern so wie sie nun ist auf Basis des Server 2019 installiert? Oder wie alt ist alles?

Der CLient ist auch neu? Keine Bloatware, Anti-Spyware etc. drauf?
emeriks
emeriks 07.04.2025 aktualisiert um 14:44:07 Uhr
Goto Top
DNS-Auflösung ist das eine.
Der Client muss dann aber auch mit dem Domaincontroller kommunizieren können.

389 (TCP/UDP) oder 636 (TCP)
88 (TCP/UDP)
445 (TCP)
135 (TCP)
1024-65535 (TCP)
3268 (TCP) oder 3269 (TCP)
Crusher79
Crusher79 07.04.2025 um 14:48:24 Uhr
Goto Top
Sag mal mehr zu deiner Struktur. VLANs? Firewall dazwischen?

Falsche Subnetzmaske würde auch bei versch. Netzwerken auch Komm. einbrechen lassen.

Generell etwas wenig Infos. Ist ja auch bestimmt nicht der erste Windows 11 Client?!?
FlashLightz
FlashLightz 07.04.2025 um 15:03:21 Uhr
Goto Top
Hi @Crusher79,

erst ein mal vielen Dank für deinen Input.

Die Domäne haben wir übernommen und wurde vom vorherigen DL 2008 Funktionsebene belassen und auf einen Server 2019 migriert. Alle DC rollen laufen auch.

Ich wollte das Level jetzt nicht anheben, falls etwas mit der Domäne sein sollte.

@emeriks
Folgende Ports TCP habe ich getestet und TcPTestSuceeded = true
389 (TCP/UDP) oder 636 (TCP)
88 (TCP/UDP)
445 (TCP)
135 (TCP)
3268 (TCP) oder 3269 (TCP)


Weitere Ausgaben vom DC:

PS C:\Users\Administrator.DOMAENE> nltest /sc_verify:DOMAENE
Fehler bei I_NetLogonControl: Status = 1355 0x54b ERROR_NO_SUCH_DOMAIN
PS C:\Users\Administrator.DOMAENE> nltest /dsgetdc:DOMAENE
           Domänencontroller: \\SERVER.DOMAENE
      Adresse: \\192.168.160.50
     Domänen-GUID: efdcabb9-3745-4096-b7c3-32561688552a
     Domänenname: DOMAENE
  Gesamtstrukturname: DOMAENE
 DC-Standortname: Standardname-des-ersten-Standorts
Unserer Standortname: Standardname-des-ersten-Standorts
        Kennzeichen: PDC GC DS LDAP KDC TIMESERV BESCHREIBBAR DNS_DC DNS_DOMAIN DNS_FOREST CLOSE_SITE FULL_SECRET WS DS_8 DS_9 DS_10 0x20000
Der Befehl wurde ausgeführt.
PS C:\Users\Administrator.DOMAENE
PS C:\Users\Administrator.DOMAENE> dcdiag /test:Advertising

Verzeichnisserverdiagnose

Anfangssetup wird ausgeführt:
   Der Homeserver wird gesucht...
   Homeserver = SERVER
   * Identifizierte AD-Gesamtstruktur.
   Sammeln der Ausgangsinformationen abgeschlossen.

Erforderliche Anfangstests werden ausgeführt.

   Server wird getestet: Standardname-des-ersten-Standorts\SERVER
      Starting test: Connectivity
         ......................... SERVER hat den Test Connectivity bestanden.

Primärtests werden ausgeführt.

   Server wird getestet: Standardname-des-ersten-Standorts\SERVER
      Starting test: Advertising
         ......................... SERVER hat den Test Advertising bestanden.


   Partitionstests werden ausgeführt auf: ForestDnsZones

   Partitionstests werden ausgeführt auf: DomainDnsZones

   Partitionstests werden ausgeführt auf: Schema

   Partitionstests werden ausgeführt auf: Configuration

   Partitionstests werden ausgeführt auf: DOMAENE

   Unternehmenstests werden ausgeführt auf: DOMAENE

Viele Grüße
FlashLightz
FlashLightz 07.04.2025 um 15:05:42 Uhr
Goto Top
Hi,

ist der erste Win 11 Client in dieser Umgebung, PCs alle >5 Jahre alt, haben die Umgebung frisch übernommen.

Zwischen dem Client und dem DC ist noch keine Firewall, auch die Sever Firewall haben wir temporär deaktiviert.

Der Server (DC) übernimmt u.a. auch die Aufgabe als DHCP.

VG
Crusher79
Crusher79 07.04.2025 um 15:26:12 Uhr
Goto Top
Und der MS Artikel?

NeutralizeNT4Emulator?
FlashLightz
FlashLightz 07.04.2025 um 15:27:15 Uhr
Goto Top
Hab ich geprüft, war nicht gesetzt.
Am Client habe ich versuch den Reg Key zu schreiben auch nicht besser.
Crusher79
Crusher79 07.04.2025 um 15:31:14 Uhr
Goto Top
https://www.experts-exchange.com/dashboard/#/questions/27804395

Weiter unten nochmal DNS Zonen Einträge. Da alles gut?
Remotedesktopverbindung
Remotedesktopverbindung 07.04.2025 um 16:10:24 Uhr
Goto Top
Servus,
hatte teilweise auch ab und zu Probleme mit Domänenbeitritt, probiert mal IPv6 am Client auszuschalten, das hatte mir teilweise geholfen.
ThePinky777
ThePinky777 07.04.2025 aktualisiert um 17:18:58 Uhr
Goto Top
Hast du mal AD Sites und Services aufgemacht,
sind die neuen Domain Controller richtig eingebunden da.
Bedeutet es gibt Subnets
Domain Controller
und man muss einstellen wer für welches subnet zuständig ist , also Sites (die beinhalten Subnets und DCs) usw...
Wenn du mehrere Standorte hast, oder neuen hinzubekommen hast musst du da ggf. das korrekt einstellen, oder zumindest das neue subnet zur bestehenden site hinzufügen


ansonsten wie versuchst du ihn beitreten zu lassen

Domain, den DNS namen der Domain verwendet ?
Oder nur den Kurzen? Beides schon versucht?
bedeutet es gibt ja meist Firmenname.local oder so und die kurze version kann dann sein Firmenname als Domain.
An Clients wo man sich anmeldet benutzt man meist nur Firmenname\Username als Account, also nicht die DNS Version. hier eben die frage ob du beises schon getestet hast.

Dann DHCP ? richtige DNS Server gesetzt, sprich deine DCs ?
Weil Internet DNS Server kennen deine DC Domain natürlich nicht, und falls JA dann hast du hier schon ein problem...
Beduetet machst du einen Ping auf Firmenname.local (Domain name als Beispiel) und reply ist ne Internet IP dann weisste bescheid face-smile
emeriks
emeriks 07.04.2025 aktualisiert um 20:01:58 Uhr
Goto Top
Hast Du schon mal versucht, beim Domänenbeitritt den DNS-Namen der Domäne anzugeben, nicht bloß den NetBIOS-Namen?

Ist das der einzige Client, welcher dieses Problem hat?
Ist dieser möglicherweise gleichzeitig in LAN und WLAN? Oder hat zwei LAN-NIC und ist mit beiden verbunden?
Ist der einzige DC gleichzeitig DNS-Server für seine Domäne? Und wenn ja, hat der Client diesen DNS-Server dann als einzigen DNS-Server bei sich eingetragen?
Sind Client und DC im selben Subnetz oder ist da noch ein Router dazwischen?
FlashLightz
FlashLightz 08.04.2025 um 11:03:20 Uhr
Goto Top
Hallo an alle!
Vielen Dank für euren Input. Ich versuche nach bestem Gewissen hier jedem zu Antworten.

@Remotedesktopverbindung
IPv6 ist sowohl an Client als auch an DC deaktiviert

@ThePinky777
1. Sites & Services
-> Es existiert ein DC (der der aktuell DC ist)
-> Es existiert ein Standort
-> Es existiert ein IP Subnetz
--> Alles richtig zugeordnet

2. Wie versuche ich der Domäne beizutreten?
-> Systemeigenschaften - Computername - Ändern --> klick auf Domäne und eingeben des Domänen Namens DOMAENE (es gibt kein .local .net . org o.ä.)
--> Der Name der Domäne ist DOMAENE

3. DHCP
-> JA DNS auf DC und Suffix DOMAENE sind gesetzt

@emeriks
- Ich glaube deine erste Frage habe ich schon beantwortet.
- nur LAN
- Ja einziger DC, habe am DC schon 127.0.0.1 und auch seine eigene IP getestet, macht kein Unterschied
- Problem tritt bei allen neuen PCs auf
- sonst funktioniert alles, auch anlegen neuer GPOs und die Win 10 Arbeitsplätze ziehen sich auch alles
- kein Router dazwischen


VG
ThePinky777
ThePinky777 08.04.2025 um 11:29:12 Uhr
Goto Top
https://www.active-directory-faq.de/2018/08/domain-name/

Zusätzlich sollte vermieden werden, eine sogenannte „single label domain“ (SLD) zu verwenden. Dies sind Domänen Namen ohne Punkte bzw. ohne TLD wie .de, .net oder .com. Hier würde die AD DS Domäne den Platz der TLD einnehmen, wovon Microsoft dringend abrät.

Was du gemacht hast mit dem namen DOMAENE

Ob das nun des Fehlers Ursache ist, keine Ahnung....
ThePinky777
ThePinky777 08.04.2025 aktualisiert um 11:37:05 Uhr
Goto Top
DNS gecheckt:
DNS-Zone im AD prüfen (DOMAENE muss korrekt als Forward Lookup Zone vorhanden sein).

Was bekommst du auf dem Client wenn du DOS Befehl machst:
nslookup DOMAENE

Uhrzeit am Client und Server dürfen nur max 5 Minuten differenz haben?
NordicMike
NordicMike 08.04.2025 um 11:37:43 Uhr
Goto Top
Prüfe mal:

ping DOMAENE

Kommt die Antwort von server.domaene?
ThePinky777
ThePinky777 08.04.2025 aktualisiert um 11:41:50 Uhr
Goto Top
Zitat von @ThePinky777:

DNS gecheckt:
DNS-Zone im AD prüfen (DOMAENE muss korrekt als Forward Lookup Zone vorhanden sein).

Was bekommst du auf dem Client wenn du DOS Befehl machst:
nslookup DOMAENE
und
nslookup NAMEDC01.DOMAENE
und auch alle DCs die da noch existieren

Sollte hier was nicht gehen fehlen DNS Einträge... und siehe oben Forward Lookup Zone korrekt?

Uhrzeit am Client und Server dürfen nur max 5 Minuten differenz haben?
emeriks
Lösung emeriks 08.04.2025 um 15:50:33 Uhr
Goto Top
Wie @ThePinky777 schreibt: SLD!

Am Client Registry-Eintrag erstellen
HKLM\SYSTEM\CurrentControlSet\Services\Netlogon\Parameters
DWORD: AllowSingleLabelDnsDomain=1
FlashLightz
FlashLightz 09.04.2025 um 11:51:34 Uhr
Goto Top
@emeriks

Genial! 1000 Dank, das war es!