- Remove From My Forums
-
Question
-
I’ve been trying to solve this problem for a little while now. I am unable to join a domain (Windows Server 2008) from a Vista Ultimate computer. Whenever I try, I receive the error: «Logon failure: unknown user name or bad password». The username I’m using is a domain admin (amongst many other things). I have tried disabling the firewall on both the server and the workstation (just for testing obviously). I’ve tried to joing the computer from a Windows 7 computer as well with the same results. And, just to clarify, nothing is on the domain besides the DC, so it is possible that it is a configuration issue.
I have run:
nltest /dcname:<domain> — it finds the correct dc
nltest /server:<server> — command completed successfully
nltest /server:<server> /user:<username> — Cannot connect to registry on <server> Status = 53 0x35 ERROR_BAD_NETPATHI don’t know if the last test is indicative of my problem or not. I am really at a loss. Any help debugging the issue is greatly appreciated.
Thank you much,
Mike
Answers
-
Hi there,
I went though the netsetup.log that you post.
I found these lines:
04/29/2009 10:19:45:981 NetpDsGetDcName: found DC ‘\CHRISTINA.omniacs.com’ in the specified domain
04/29/2009 10:19:46:300 NetUseAdd to
\CHRISTINA.omniacs.comIPC$ returned 1326
Note: DC CHRISTINA.omniacs.com can be located, however after the domain controller was found, an attempt was made to connect to it by using the credentials that are supplied. This attempt failed with error code 1326 (ERROR_LOGON_FAILURE), which indicates that the credentials that you use do not have sufficient access rights for connecting to the domain controller.
Root cause:
This is properly a domain join authentication issue
Solution:
1. Please check the user account (Account: omniacsmdaniels) that you use to join domain is valid in the domain. Also, please also verify that the password you input is correct.2. If possbile, please try to use omniacsadministrator user account to join the machine to the domain.
Reference:
http://technet.microsoft.com/en-us/library/cc961817.aspx10.7 » Failure to connect to a domain controller » Error Codes
Description
Actual Error
Error Code
Bad credentials.
ERROR_LOGON_FAILURE
1326
Time skew that can cause failure of Kerberos authentication.
ERROR_TIME_SKEW
1398
Failure to connect to a domain controller.
ERROR_ACESS_DENIED
5
No domain controller found.
ERROR_NO_LOGON_SERVERS
1311
Hope this can be helpful to resolve the issue.
Thanks and Regards,
Scorprio
MCTS: Windows Vista | Exchange Server 2007 MCITP: Enterpise Support Technician | Server & Enterprise Admin
-
Proposed as answer by
Wednesday, April 29, 2009 3:16 PM
-
Unproposed as answer by
fyathyrio8
Wednesday, April 29, 2009 11:06 PM -
Marked as answer by
Sainath IRP_MJ_CREATE
Friday, May 1, 2009 4:37 AM
-
Proposed as answer by
-
Another suggestion for something that happened to me recently…
If you are using the DOMAINUsername format for your credentials, make sure you are entering the Pre-Windows 2000 logon name, if it is different that the regular account logon name (Username@domain.com). I accidentally changed the Pre-Windows 2000 logon name on my account to something different than the regular logon name and Windows would not accept the credentials, while using the DOMAINUsername format. When I noticed that the Pre-Windows 2000 name was different, I entered that in and it worked. I then changed the Pre-Windows 2000 name to match the regular logon name and everything was fine.
-
Marked as answer by
Sainath IRP_MJ_CREATE
Friday, May 1, 2009 4:37 AM
-
Marked as answer by
-
Ok, Here are the issues in your domain… You are using external DNS 65.32.5.111 and 65.32.5.112 but your Domain Controller does not have a valid DNS configured. You can either manually set your Domain Controller Pri and Sec DNS as 65.32.5.111 and 65.32.5.112 respectively. (Just for your info, Domain Controller MUST have a static IP configuration) OR
The preferred and possible best option is
to Install Active-Directory Integrated DNS on your Domain Controller (Go to Manage Server and Add DNS), Make the DC to point to itself for DNS (192.168.1.222, Pri and 65.32.5.111, sec) and have all the other Machines, Vista etc have their DNS change to 192.168.1.222 (pri) and 65.32.5.111 (sec)
Isaac Oben MCITP:EA, MCSE
-
Marked as answer by
Sainath IRP_MJ_CREATE
Thursday, April 30, 2009 6:37 PM -
Unmarked as answer by
Sainath IRP_MJ_CREATE
Thursday, April 30, 2009 6:37 PM -
Marked as answer by
fyathyrio8
Thursday, April 30, 2009 9:13 PM
-
Marked as answer by
Обновлено 22.06.2017
Добрый день уважаемые читатели и гости блога, сегодня продолжаем изучать доменные технологии, предоставляемые компанией Microsoft и рассмотрим вот такую ошибку ввода компьютера в домен Active Directory «Не удалось изменить DNS-имя основного контроллера домена на «» для этого компьютера. Будет использоваться прежнее имя: contoso.com. Убедитесь, что имя «» является допустимым для текущего домена. Ошибка: При изменении имени узла DNS для объекта невозможно синхронизировать значения имени субъекта службы», ниже рассмотрим всю ситуацию подробно.
Описание проблемы с вводом в домен
По идее присоединение компьютера к Active Directory это простое действие, но как оказалось даже оно может принести сложности. У меня была старая виртуальная машина на Hyper-V, поступила задача ее переустановить для тестовых служб. По идее старая учетная запись этого компьютера лежала в нужно OU и к ней применялись нужные политики доступа, логично, что я воспользовался механизмом переустановки учетной записи, доступный через правый клик по ней. Это является правильной практикой, которую советует сама Microsoft
После выполнения данной процедуры, можно спокойно присоединять, вашу виртуальную машину с тем же именем, и она попадет в базе Active Directory именно в ту OU, где лежала предшественница. Все вроде круто, но в момент ввода в домен, выскочила ошибка:
«Не удалось изменить DNS-имя основного контроллера домена на «» для этого компьютера. Будет использоваться прежнее имя: contoso.com. Убедитесь, что имя «» является допустимым для текущего домена. Ошибка: При изменении имени узла DNS для объекта невозможно синхронизировать значения имени субъекта службы»
После этого сообщения, сервер заходит в домен и перезагружается, затем к нему применяются групповые политики. Вы пытаетесь к нему подключиться и видите, такое сообщение
База данных диспетчера учетных записей на сервере не содержит записи для регистрации компьютера
Обычно такая ошибка выскакивает, когда были разорваны доверительные отношения или компьютер давно не проходил аутентификацию на контроллере домена, но это не наш случай, мы то только, что добавились в него.
Причины ошибки «Не удалось изменить DNS-имя основного контроллера домена»
Рассмотрим причины, по которым ваш компьютер не может пройти аутентификацию на DC и не содержится в его базе.
- Остались хвосты от предыдущей учетной записи с тем же именем
- Проблема в отключенном NetBIOS в TCP/IP
- Режет пакеты Firewall
- На контроллере закрыт UDP-порт 137
- Отсутствует PTR запись на dns имя этой учетной записи компьютера
Чистим старые хвосты в Active Directory
Сразу хочу отметить, что данный способ у меня отработал сразу. Я полностью удалил учетную запись компьютера, с которым были проблемы. После чего снова добавил нужный сервер в домен, и он уже не выдавал ошибку «Не удалось изменить DNS-имя основного контроллера домена на «» для этого компьютера». Учетная запись появилась в привычном контейнере «Computers»
Убедитесь, что включен NetBIOS через TCP/IP
Нажмите WIN+R и введите ncpa.cpl, у вас откроется окно «Панель управленияВсе элементы панели управленияСетевые подключения». Выберите ваш сетевой интерфейс, который смотрит в туже сеть, что и DC его аутентифицирующий. Перейдите в свойства сетевого интерфейса, выберите «Протокол Интернета версии 4 (TCP/IPv4)», далее кнопка «Дополнительно». На вкладке WINS, вам необходимо выбрать пункт «Включить NetBIOS» через TCP/IPv4 и сохранить настройки.
Так же на вкладке DNS, вы можете прописать дополнительные DNS суффиксы (полное имя домена), нажмите ок.
В принципе этого достаточно, чтобы избавится от ошибки «»Не удалось изменить DNS-имя основного контроллера домена на «» для этого компьютера. Будет использоваться прежнее имя: contoso.com. Убедитесь, что имя «» является допустимым для текущего домена. Ошибка: При изменении имени узла DNS для объекта невозможно синхронизировать значения имени субъекта службы»»
Если вам не помогли манипуляции, то ставьте варшарк и смотрите трафик и доступность портов, не блокирует ли у вас то-то.
- Remove From My Forums
не удалось присоединить этот компьютер к домену из за следующей ошибки ??
-
Вопрос
-
Не удалось разрешить DNS имя контроллера домена в присоединяемом домене. Убедитесь что настройки данного клиента обеспечивают доступ к DNS серверу….. что может быть кто мож сталкивался с такой бедой ситуация такая— ввожу в домен 2008 r2 win
7 и в самом конце выдает такую вот ошибку
Ответы
-
На контроллере домена указано
DNS-серверы. . . . . . . . . . . : 192.168.0.1
что из себя представляет хост 192.168.0.1 ?
это прокси сервер
Тогда адресу 192,168,0,1 нечего делать на интерфейсе КД, в качестве DNS сервера. Если КД у вас один — то поставьте там 192.168.0.10 и перезапустите службу netlogon на КД, net start netlogon — net stop netlogon затем попробуйте включить компьютер в домен
снова.-
Помечено в качестве ответа
21 сентября 2012 г. 7:29
-
Помечено в качестве ответа
-
это прокси сервер
дальше можно не продолжать
контроллер должен в настройках DNS-клиента иметь только себя или другие контроллеры… никаких прокси — разрешение внешних имён только через forwarding или root hints-
Изменено
AndricoRusEditor
21 сентября 2012 г. 7:31 -
Помечено в качестве ответа
Nogboris
21 сентября 2012 г. 8:16
-
Изменено
контроллер должен в настройках DNS-клиента иметь только себя или другие контроллеры… никаких прокси — разрешение внешних имён только через forwarding или root hintsПроблема
Клиент не подключается к домену через fly-admin-ad-client, astra-winbind или astra-ad-sssd-client.
Диагностика
-
Проверить список доменов на экране входа — будут отображаться домены, которые пользователю не нужны.
При попытке входа в нужный домен выводится ошибка вида:
-
При попытке ввода компьютера в домен проверить наличие в выводе ошибки сообщения вида:
Failed to join domain: failed to lookup DC info for domain '<имя_домена>' over rpc: The request is not supportedCODE
Возможная причина: Запрещена NTLM-аутентификация на контроллере домена. Перейти к решению.
-
Проверить наличие в выводе сообщения вида:
"Couldn't get kerberos ticket for: user@xxxxxxxxxx: KDC reply did not match expectations"CODE
-
Утилита
astra-winbindпри попытке присоединения к домену выдает ошибку:Bad SMB2 signature for message [0000] 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 ........ ........ [0000] DB E7 09 DA 72 82 F9 CC D3 0E 4C 0A 11 3C 89 70 ....r... ..L..<.p Failed to join domain: failed to lookup DC info for domain 'win.domain' over rpc: {Access Denied} A process has requested access to an object but has not been granted those access rights.CODE
-
Проверить наличие в выводе ошибки сообщений вида, например, в утилите
astra-ad-sssd-client:Failed to join domain: failed to lookup DC info for domain 'windom.loc' over rpc: The transport connection has been reset. ! Joining the domain windom.loc failed realm: Не удалось присоединиться к области: Joining the domain windom.loc failed проблемы установки. подробности в файле /var/log/realmd-install.logCODE
-
Запустить PowerShell на контроллере домена (КД) с правами администратора и проверить, что на КД включена поддержка протокола SMBv2-3:
Get-SmbServerConfigurationCODE
Раскрыть
Возможные причины
Некоторые пользователи Windows 10 жалуются на новый тип проблемы, с которой они сталкиваются, когда пытаются добавить рабочую станцию к существующей. По словам этих пользователей, всякий раз, когда они пытаются добавить новую рабочую станцию, весь процесс останавливается и появляется сообщение об ошибке, в котором говорится: «Не удалось связаться с контроллером домена Active Directory для домена». Эта ошибка обычно возникает из-за неверных настроек DNS в вашей системе. Чтобы решить эту проблему на вашем компьютере, просто следуйте этим исправлениям, и проблема будет решена в кратчайшие сроки.
Оглавление
РЕКЛАМА
Fix-1 Создайте новую конфигурацию DNS-
Добавление адресов DNS-серверов может вам помочь.
1. Вы можете легко получить доступ к Бегать окна, одновременно нажав клавиши Windows+R.
2. Введите «ncpa.cpl» в этом Бегать окно и нажмите Enter.