Failed to join domain windows

How to troubleshoot errors that occur when you join Windows-based computers to a domain

This article describes several common error messages that can occur when you join client computers that are running Windows to a domain. This article also provides troubleshooting suggestions for these errors.

Original product version: В Windows Server 2016, Windows Server 2012 R2
Original KB number: В 4341920

Where to find the Netsetup.log file

Windows clients log the details of domain join operations in the %windir%\debug\Netsetup.log file.

Networking error messages and resolutions

Error 1

An attempt to resolve the DNS name of a DC in the domain being joined has failed. Please verify this client is configured to reach a DNS server that can resolve DNS names in the target domain.

Resolution

Additionally, verify that the computer can reach a DNS server that hosts the DNS zone of the target domain or can resolve DNS names in that domain. Make sure that the correct DNS server is configured on this client as the preferred DNS, and that the client has connectivity to that server. To verify this, you can run one of the following commands:

Error 2

An attempt to resolve the DNS name of a domain controller in the domain being joined has failed. Please verify this client is configured to reach a DNS server that can resolve DNS names in the target Domain.

Resolution

When you type the domain name, make sure that you type the DNS name and not the NetBIOS name.

Additionally, verify that the computer can reach a DNS server that hosts the DNS zone of the target domain or can resolve DNS names in that domain. Make sure that the correct DNS server is configured on this client as the preferred DNS, and that the client has connectivity to that server. To verify this, you can run one of the following commands:

Error 3

An operation was attempted on a nonexistent network connection.

Resolution

When you type the domain name, make sure that you type the DNS name and not the NetBIOS name. Additionally, restart the computer before you try to join the computer to the domain.

Error 4

Multiple connections to a server or shared resource by the same user, using more than one user name, are not allowed. Disconnect all previous connections to the server or shared resource and try again.

Resolution

Restart the computer that you are trying to join to the domain to make sure that there are no latent connections to any of the domain servers.

When you type the domain name, make sure that you type the DNS name and not the NetBIOS name.

Error 5

Resolution

Verify that the computer can reach a DNS server that hosts the DNS zone of the target domain or can resolve DNS names in that domain. Make sure that the correct DNS server has been configured on this client as the preferred DNS, and that the client has connectivity to that server. To verify this, you can run one of the following commands:

When you type the domain name, make sure that you type the DNS name and not the NetBIOS name.

Additionally, you can update the network adapter driver.

Error 6

No more connections can be made to this remote computer at this time because there are already as many connections as the computer can accept.

Resolution

Before joining the computer to the domain, make sure that you have cleared all mapped connections to any drives.

Restart the computer that you are trying to join to the domain to make sure that there are no latent connections to any of the domain servers.

When you type the domain name, make sure that you type the DNS name and not the NetBIOS name.

The error may be transient. Try again later. If the issue persists, verify the status of the DC that the client is connecting to (active connections, network connectivity, and so on). You may want to restart the DC if the issue persists.

Error 7

The format of the specified network name is invalid.

Resolution

Verify that the computer can reach a DNS server that hosts the DNS zone of the target domain or can resolve DNS names in that domain. Make sure that the correct DNS server has been configured on this client as the preferred DNS, and that the client has connectivity to that server. To verify this, you can run one of the following commands:

When you type the domain name, make sure that you type the DNS name and not the NetBIOS name. Make sure that you have the most up-to-date drivers installed for the client computer’s network adapter. Verify connectivity between the client that is being joined and the target DC over the required ports and protocols. Disable the TCP Chimney offload feature and IP offloading.

Error 8

The directory service has exhausted the pool of relative identifiers.

Resolution

Make sure that the DC that hosts the relative ID (RID) operations master is online and functional. For more information, see Event ID 16650: The account-identifier allocator failed to initialize in Windows Server.

Читайте также:  Windows выключить компьютер через час

You can use the net query fsmo command to determine which DC has the RID Master role.

Verify that Active Directory is replicating between all DCs. You can use the following command to detect any errors:

Error 9

The remote procedure call failed and did not execute.

Resolution

Make sure that you have the most up-to-date drivers installed for the client computer’s network adapter. Verify connectivity between the client that is being joined and the target DC over the required ports and protocols. Disable the TCP Chimney offload feature and IP offloading.

This problem can also be caused by one of the following conditions:

Error 10

Changing the Primary Domain DNS name of this computer to «» failed. The name will remain «.».The specified server cannot perform the operation.

Resolution

This error occurs when you use the domain join UI to join a Windows 7 or Windows Server 2008 R2 workgroup computer to an Active Directory domain by specifying the target DNS domain. To fix this error, see 2018583 Windows 7 or Windows Server 2008 R2 domain join displays error «Changing the Primary Domain DNS name of this computer to «» failed. «.

Authentication error messages and resolutions

Error 1

You have exceeded the maximum number of computer accounts you are allowed to create in this domain.

Resolution

Make sure that you have permissions to add computers to the domain, and that you have not exceeded the quota that is defined by your Domain Administrator.

To join a computer to the domain, the user account must be granted Create computer object permissions in Active Directory.

By default, a non-administrator user can join a maximum of 10 computers to an Active Directory domain.

Error 2

Logon failure: The target account name is incorrect.

Resolution

Check that the domain controllers (DCs) are registered by using correct IP addresses on the DNS server, and that their Service Principal Names (SPNs) are registered correctly in their Active Directory accounts.

Error 3

Logon failure: the user has not been granted the requested logon type at this computer.

Resolution

Make sure that you have permissions to add computers to the domain. To join a computer to the domain, the user account must be granted the Create computer object permission in Active Directory.

Additionally, make sure that the specified user account is allowed to log on locally to the client computer. To do this, configure the Allow log on locally setting in Group Policy under Computer Configuration > Windows Settings > Security Settings > Local Policies > User Rights Assignment.

Error 4

Logon failure: unknown user name or bad password.

Resolution

Make sure that you use the correct user name and password combination of an existing Active Directory user account when you are prompted for credentials to add the computer to the domain.

Error 5

No mapping between account names and security IDs was done.

Resolution

This error is likely a transient error that is logged when a domain join searches the target domain to determine whether a matching computer account was already created or whether the join operation has to dynamically create a computer account on the target domain.

Error 6

Not enough storage is available to complete this operation.

Resolution

This error can occur when the Kerberos token size is larger than the maximum default size. If this situation, you have to increase the Kerberos token size of the computer that you try to join to the domain. For more information, see the following Knowledge Base articles:
935744 «Not enough storage is available to complete this operation» error message when you use a domain controller to join a computer to a domain
327825 Problems with Kerberos authentication when a user belongs to many groups

Error 7

The account is not authorized to login from this station.

Resolution

This problem is related to mismatched SMB Signing settings between the client computer and the DC that is being contacted for the domain join operation. Review the following documentation to further investigate the current and recommended values in your environment:
281648 Error message: The account is not authorized to login from this station 823659 Client, service, and program issues can occur if you change security settings and user rights assignments

Error 8

The account specified for this service is different from the account specified for other services running in the same process.

Resolution

Make sure that the DC through which you are trying to join the domain has the Windows Time service started.

Источник

Linux машина в домене Windows AD с помощью sssd и krb5

Была необходимость ввести в домен Windows машину с Ubuntu. Для этих целей обычно используют Samba и Winbind. Но возможен альтернативный вариант с sssd, краткое руководство по нему ниже.

Для примера будем использовать:

Домен = contoso.com
Контроллер домена = dc.contoso.com

Запускаем терминал Ubuntu:

1. Переключаемся под рута

2. Устанавливаем необходимые пакеты

3. Редактируем /etc/krb5.conf, в качестве отступов используется табуляция

4. Редактируем файл /etc/hosts, указываем FQDN для данного хоста:

5. Пробуем получить Kerberos ticket от имени администратора домена:

Если тикет получен успешно, то теперь можно сгенерировать Kerberos principals для данного хоста, регистр важен:

Сейчас наш хост должен отобразиться в списке компьютеров в каталоге. Если все так — удаляем полученный Kerberos ticket:

6. Создаем файл /etc/sssd/sssd.conf со следующим содержимым:

Описание параметров конфигфайла sssd можно посмотреть тут

Устанавливаем права доступа для файла sssd.conf:

Перезапускаем SSSD service

7. Редактируем настройки PAM

редактируем файл /etc/pam.d/common-session, после строки

переопределить параметры через системные настройки PAM, вызываем

и отмечаем пункты sss auth и makehomdir. Это автоматически добавит
строчку выше в common-session и она не будет перезатерта при обновлении системы.

Теперь мы можем логиниться на машине доменными пользователями, которым разрешен вход.

Читайте также:  Windows 10 размазанные шрифты

P.S.: Можно дать права на использование sudo доменным группам. Используя visudo, редактируем файл /etc/sudoers, или лучше, как рекомендует maxzhurkin и iluvar, создаем новый файл в /etc/sudoers.d/ и редактируем его

добавляем требуемую группу — например, Domain Admins (если в названии группы есть пробелы — их необходимо экранировать):

P.S.S.: Спасибо gotch за информацию о realmd. Очень удобно — если не нужны специфические настройки, то ввод машины в домен занимает, по сути, три (как заметил osipov_dv четыре) команды:

1. Устанавливаем нужные пакеты:

2. Редактируем файл /etc/hosts, указываем FQDN для данного хоста:

3. Проверяем, что наш домен виден в сети:

4. Вводим машину в домен:

5. Редактируем настройки PAM

Дополнительный плюс данного варианта — сквозная авторизация на файловых ресурсах домена.

Для того чтоб при входе не указывать дополнительно к логину домен, можно добавить суффикс по умолчанию. В файле /etc/sssd/sssd.conf, в блоке [sssd] добавляем строку:

Читают сейчас

Редакторский дайджест

Присылаем лучшие статьи раз в месяц

Скоро на этот адрес придет письмо. Подтвердите подписку, если всё в силе.

Похожие публикации

Что я узнал, потратив 5 000 долларов на эксперименты с Facebook Ads

Курсы

AdBlock похитил этот баннер, но баннеры не зубы — отрастут

Минуточку внимания

Комментарии 32

(у вас в начале текста contoso.com потом contoso.domain)

Лучше добавить — «используя visudo»

Файлы в /etc/sudoers.d/ правятся по тем же правилам, что и /etc/sudoers:

Просто так править файлы в /etc/sudoers.d/ не стоит

А вот так работает:
root@ubuntu-ad2:

решение — запускать hostname FQDN перед присоединением в домен.

simple_allow_groups = users #каким группам разрешено логиниться, через запятую. Есть ограничение — названия групп должны быть с маленькой буквы.

Это не совсем так…
Есть специальный параметр, я бы рекомендовал его явно ставить в False:
case_sensitive (string)
Treat user and group names as case sensitive. At the moment, this
option is not supported in the local provider. Possible option
values are:

True
Case sensitive. This value is invalid for AD provider.

False
Case insensitive.

Preserving
Same as False (case insensitive), but does not lowercase names
in the result of NSS operations. Note that name aliases (and in
case of services also protocol names) are still lowercased in
the output.

Default: True (False for AD provider)

Только полноправные пользователи могут оставлять комментарии. Войдите, пожалуйста.

Источник

Cannot join windows 10 PC to domain

Attempting to join domain results in an error saying «That domain couldn’t be found. Check the domain name and try again.» I’ve found the FQDN, tried that, as well as pointed the DNS address to the server containing our active directory. Disabled IPv6, disabled firewall, added a port to allow the server through, everything. Completely out of ideas.

This is a known ongoing issue which Microsoft is working to patch I believe, it pertains to Win 10 build 1803. Quickest way to resolve it is offline domain join

There are also some registry edits that may fix it

If it’s a single name domain (i.e contoso, and not contoso.org), the answer is this (do this changes in the workstation, not in the dc):

Start, Run, write regedit,ENTER.Lookup this subkey:

48 Replies

Try setting a fixed IP and for DNS use 8.8.8.8 and if it works change back to DHCP

I already had a static IP on it, but I went ahead and tried that address for the DNS and no luck.

Make sure that you only have your internal DNS servers listed, no external DNS servers should be configured on a client computer.

It is running Windows Server 2012 R2, and pinging the FQDN (twang) doesn’t bring up anything. Am I looking at the wrong thing for the FQDN? I checked in domains and trusts and that is the name that I saw on the lefthand side.

Try setting a fixed IP and for DNS use 8.8.8.8 and if it works change back to DHCP

Google is NEVER going to find an internal networks domain, you should NEVER do this

On the dns server in AD what’s the domain called that’s what you need to attach to

It is running Windows Server 2012 R2, and pinging the FQDN (twang) doesn’t bring up anything. Am I looking at the wrong thing for the FQDN? I checked in domains and trusts and that is the name that I saw on the lefthand side.

Your client needs to use the DNS of one of your DCs otherwise it wont work.

Changed it to where only the internal DNS is listed, and still no luck

Yeah I have the DNS being pointed to the DC.

Go on the DC, open up a command prompt, type echo %userdnsdomain%, and then hit Enter. This will give you the FDQN you should be using.

DNS responses are cached. So if you got a response from Google saying we don’t know where that resource is that will be cached with a default TTL.

If you changed it back to internal only you will have to reboot or

I tried the echo command and it gave me the same thing I’ve been using. I’ve also already tried flushing the DNS, but to no avail. I’ve also been trying to see if it made any difference whether I was hardwired or not, but ethernet made no difference.

What is your network type? I can’t find anything definitive but someone once told me a public connection type will not allow you to connect to a domain. I think I actually had the issue once but reformatted the drive before got the info

Well, it either isn’t locating the domain or something is blocking it.

You will have to verify your resource records.

Open a command prompt and input the following

This should return your domain controllers.

If you have the client using DNS of your domain controller and still cannot find the domain, can you confirm the IP and subnet mask are correct and on a live network

Читайте также:  Windows 10 чистый образ для флешки

Can the machine ping its own gateway?

Entering in those commands gave me an error: (mydomain) can’t find _ldap._tcp.dc._msdcs.twang: Server failed

Entering in those commands gave me an error: (mydomain) can’t find _ldap._tcp.dc._msdcs.twang: Server failed

So either the DNS server isn’t responding to requests or it lacks the proper resource records.

Will the server process normal A record lookups?

Pinging a website on the server gives me a time out.

Is the computer on the same subnet? Any VLANs?

Backdoor Version: Temp fix ONLY. Work around for DNS issues.

Set DNS IP to AD Server IP, join and then fix back.

Backdoor Version: Temp fix ONLY. Work around for DNS issues.

Set DNS IP to AD Server IP, join and then fix back.

He said he already tried this

I had a similar issues yesterday, turns out I had a duplicate IP address on the network. It ended up being a manage switch that took the IP address because it was set to grab an IP to DHCP. Once we fixed that we were able to join the PC to the domain without any issues.

Earlier, you mentioned «hardwired or not», please disconnect any wifi connection you have on the computer in question

Arcane techno-witchery here, because I saw this work on a domain join attempt 2 weeks ago

Open Windows Explorer, Tools, Folder options, View tab, scroll all the way down, clear the check for «Use Sharing Wizard», click ok repeatedly

CONFIRM that you can ping the IP of the DC

If that fails, edit TCPIP 4 properties, WINS tab, disable LMHost lookup, enable NetBIOS over TCPIP, click OK repeatedly

Источник

Unable to Join Windows Server 2008 R2 or Windows 7 Computer to Active Directory Domain

Эта статья поможет устранить проблему, из-за которой пользователи не могут присоединить компьютер к домену Active Directory.

Исходная версия продукта: Windows 7 Пакет обновления 1, Windows Server 2012 R2
Исходный номер КБ: 2008652

Симптомы

Вы пытаетесь присоединить компьютер Windows Server 2008 R2 или компьютер с Windows 7 к домену Active Directory с помощью изменения имени компьютера или домена в свойстве system.
В домене назначения есть контроллеры домена Windows 2000, Windows Server 2003 или Windows Server 2008, а также Windows NT контроллеры домена 4.0. При попытке присоединить компьютер Windows Server 2008 R2 к домену путем указания полного доменного имени (FQDN) в пользовательском интерфейсе join домена происходит сбой операции, и вы получаете сообщение об ошибке:

Не удалось связаться с контроллером домена Active Directory (AD DC) для домена
Убедитесь, что доменное имя введите правильно

В %windir%\debug\Netsetup.log клиенте вы увидите следующую последовательность:

NetpValidateName: проверка допустимого имени CLIENT-NAME в качестве имени типа 1
NetpCheckNetBiosNameNotInUse для ‘CLIENT-NAME'[MACHINE] returned 0x0
NetpValidateName: имя CLIENT-NAME допустимо для типа 1

NetpValidateName: проверка допустимого имени CLIENT-NAME в качестве имени типа 5
NetpValidateName: имя CLIENT-NAME допустимо для типа 5

* *NetpValidateName: проверка на domain.com то, нет ли допустимо как имя типа 3
* *NetpCheckDomainNameIsValid для возвращенного domain.com 0x54b, последняя ошибка — 0x0
* *NetpCheckDomainNameIsValid [ Exists ] for domain.com returned 0x54b

При попытке присоединить компьютер Windows Server 2008 R2 к домену, указав netBIOS-имя в пользовательском интерфейсе присоединить домен, вы получите другую ошибку:

При попытке перейти к домену произошла следующая ошибка. Указанный домен либо не существует, либо с ним не удалось связаться.

В %windir%\debug\Netsetup.log клиенте вы увидите следующую последовательность:

——————————————————————
NetpDoDomainJoin
NetpMachineValidToJoin: ‘CLIENT-NAME’
Версия ОС: 6.1
Номер сборки: 7600 (7600.win7_rtm.090713-1255)
SKU: Windows Server 2008 R2 Enterprise
NetpDomainJoinLicensingCheck: ulLicenseValue=1, status: 0x0
NetpGetLsaPrimaryDomain: состояние: 0x0
NetpMachineValidToJoin: состояние: 0x0
NetpJoinDomain
Компьютер: CLIENT-NAME
Домен: Domain_Name
MachineAccountOU: (NULL)
Учетная запись: Domain_Name\admx054085
Параметры: 0x27
NetpLoadParameters: загрузка параметров реестра.
NetpLoadParameters: DNSNameResolutionRequired не найден, значение по умолчанию равно «1» 0x2
NetpLoadParameters: DomainCompatibilityMode не найден, значение по умолчанию — «0» 0x2
NetpLoadParameters: status: 0x2
NetpValidateName: проверка допустимого Domain_Name типа 3
NetpValidateName: ‘Domain_Name’ is not a valid Dns domain name: 0x2554
NetpCheckDomainNameIsValid [ Exists ] for ‘Domain_Name’ returned 0x0
NetpValidateName: имя Domain_Name допустимо для типа 3
NetpDsGetDcName: пытается найти DC в домене «Domain_Name», флаги: 0x40001010
* *NetpDsGetDcName: не удалось найти DC в указанном домене: 0x54b, последняя ошибка — 0x0
* *NetpJoinDomainOnDs: netpDsGetDcName возвращено: 0x54b
* *NetpJoinDomainOnDs: функция выходит с состоянием: 0x54b
* *NetpDoDomainJoin: status: 0x54b

Компьютеры с Windows Server 2003 успешно присоединяются к одному целевому домену, указав имя домена NetBIOS в пользовательском интерфейсе join домена. Также не удается присоединиться к домену с помощью FQDN.
Вы также можете успешно присоединить тот же компьютер Windows Server 2008 R2 к другому домену Active Directory в том же лесу, указав имя FQDN.

Причина

Ошибки возникают, если для NT4Emulator установлено имя 0x1 в следующем подкодиате реестра для контроллера домена, используемого для пользования целевым доменом:
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Netlogon\Parameters
Имя значения: NT4Emulator
Тип значения: REG_DWORD
Значение: 1

Решение

Чтобы устранить эту проблему, удалите значение реестра NT4Emulator на контроллерах домена Active Directory в домене назначения, если контроллеры домена Windows NT 4.0 больше нет или могут быть отменены. В противном случае установите следующее значение реестра для клиента Windows 7 или Windows Server 2008 R2 перед попыткой перейти к домену:

Запустите редактор реестра ( Regedit.exe ).

Найдите в реестре следующий раздел:

Если он не существует, создайте новое REG_DWORD с именем NeutralizeNT4Emulator и установите значение 0x1.

Закройте редактор реестра.

Этот параметр реестра позволяет контроллерам домена Active Directory с параметром NT4Emulator нормально реагировать на запрашивающий клиент (избегая режима эмуляции Windows NT 4.0).

Дополнительные сведения

В случае присоединения с помощью FQDN присоединение клиента не получает адекватного ответа на Pings LDAP, отправляемые контроллерам домена в начале процесса присоединения к домену. В ответ отвечает контроллер домена, но присоединенный клиент считает ответ неполным.

После получения одинаковых ответов от всех контроллеров домена, расположенных с помощью DNS, выполняется запрос имени NetBIOS для имени FQDN домена, чтобы найти контроллер домена, но это не получает ответ и операция join не выполняется. Если сценарий NetBIOS, клиент отправляет NetLogonSamRequest на все контроллеры домена, которые он получает из запроса WINS для имени домена. Однако он не получает адекватного ответа и не получает ответ со второй ошибкой.

Источник

Поделиться с друзьями
Советы экспертов и специалистов
Adblock
detector