Ошибка при добавлении компьютера в домен

Обновлено 22.06.2017

Добрый день уважаемые читатели и гости блога, сегодня продолжаем изучать доменные технологии, предоставляемые компанией Microsoft и рассмотрим вот такую ошибку ввода компьютера в домен Active Directory «Не удалось изменить DNS-имя основного контроллера домена на «» для этого компьютера. Будет использоваться прежнее имя: contoso.com. Убедитесь, что имя «» является допустимым для текущего домена. Ошибка: При изменении имени узла DNS для объекта невозможно синхронизировать значения имени субъекта службы», ниже рассмотрим всю ситуацию подробно.

Описание проблемы с вводом в домен

По идее присоединение компьютера к Active Directory  это простое действие, но как оказалось даже оно может принести сложности. У меня была старая виртуальная машина на Hyper-V, поступила задача ее переустановить для тестовых служб. По идее старая учетная запись этого компьютера лежала в нужно OU и к ней применялись нужные политики доступа, логично, что я воспользовался механизмом переустановки учетной записи, доступный через правый клик по ней. Это является правильной практикой, которую советует сама Microsoft

После выполнения данной процедуры, можно спокойно присоединять, вашу виртуальную машину с тем же именем, и она попадет в базе Active Directory именно в ту OU, где лежала предшественница. Все вроде круто, но в момент ввода в домен, выскочила ошибка:

После этого сообщения, сервер заходит в домен и перезагружается, затем к нему применяются групповые политики. Вы пытаетесь к нему подключиться и видите, такое сообщение

Обычно такая ошибка выскакивает, когда были разорваны доверительные отношения или компьютер давно не проходил аутентификацию на контроллере домена, но это не наш случай, мы то только, что добавились в него.

Причины ошибки «Не удалось изменить DNS-имя основного контроллера домена»

Рассмотрим причины, по которым ваш компьютер не может пройти аутентификацию на DC и не содержится в его базе.

• Остались хвосты от предыдущей учетной записи с тем же именем
• Проблема в отключенном  NetBIOS в TCP/IP
• Режет пакеты Firewall
• На контроллере закрыт UDP-порт 137
• Отсутствует PTR запись на dns имя этой учетной записи компьютера

Чистим старые хвосты в Active Directory

Сразу хочу отметить, что данный способ у меня отработал сразу. Я полностью удалил учетную запись компьютера, с которым были проблемы. После чего снова добавил нужный сервер в домен, и он уже не выдавал ошибку «Не удалось изменить DNS-имя основного контроллера домена на «» для этого компьютера». Учетная запись появилась в привычном контейнере «Computers»

Убедитесь, что включен NetBIOS через TCP/IP

Нажмите WIN+R и введите ncpa.cpl, у вас откроется окно «Панель управленияВсе элементы панели управленияСетевые подключения». Выберите ваш сетевой интерфейс, который смотрит в туже сеть, что и DC его аутентифицирующий. Перейдите в свойства сетевого интерфейса, выберите «Протокол Интернета версии 4 (TCP/IPv4)», далее кнопка «Дополнительно». На вкладке WINS, вам необходимо выбрать пункт «Включить NetBIOS» через TCP/IPv4 и сохранить настройки.

Так же на вкладке DNS, вы можете прописать дополнительные DNS суффиксы (полное имя домена), нажмите ок.

В принципе этого достаточно, чтобы избавится от ошибки «»Не удалось изменить DNS-имя основного контроллера домена на «» для этого компьютера. Будет использоваться прежнее имя: contoso.com. Убедитесь, что имя «» является допустимым для текущего домена. Ошибка: При изменении имени узла DNS для объекта невозможно синхронизировать значения имени субъекта службы»»

Если вам не помогли манипуляции, то ставьте варшарк и смотрите трафик и доступность портов, не блокирует ли у вас то-то.

При добавлении компьютера в домен Active Directory могут появляться различные ошибки. Большинство из них довольно типовые и исправляются довольно просто, потому что причина проблемы показывается прямо в окне ошибки.

Например:

• Your computer could not be joined to the domain. You have exceeded the maximum number of computer accounts you are allowed to create in this domain. Contact your system administrator to have this limit reset or increased.

  Каждый пользователь домена (без прав администратора) по умолчанию может присоединить к домену 10 компьютеров. При превышении этого лимита появляется ошибка. Чтобы исправить ее, нужно выполнить присоединение к домену с правами Domain Admin, делегировать права на присоединение к домену на конкретную OU, или увеличить лимит в атрибуте ms-DS-MachineAccountQuota.

• The specified domain either does not exist or could not be contacted.

  В этом случае нужно проверить настройки IP адреса и DNS на вашем компьютере. Проверьте доступность домена (ping vmblog.ru), проверьте обнаружение DC в DNS и возможность подключения к DC:

  nltest /dnsgetdc:vmblog.ru
nltest /dsgetdc:vmblog.ru

• The user name or password is incorrect

  – проверьте учетные данные пользователя, которую вы используете для присоединения к домену;

• The domain join cannot be completed because the SID of the domain you attempted to join was identical to the SID of this machine. This is a symptom of an improperly cloned operating system install. You should run Sysprep on this machine in order to generate a new machine SID

  – в домене уже есть компьютер с таким SID. Выполните сброс SID компьютера с помощью Sysprep: sysprep.exe /oobe /generalize /reboot

• An account with the same name exists in Active Directory, re-using the account was blocked by a security policy

  – измените имя компьютера (hostname) на уникальное, или удалите (сбросьте) учетную запись компьютер с таким именем в AD.
  

В моем случае при попытке добавить компьютер с Windows 10, развернутого из шаблона, в домен AD на базе Windows Server 2019, я столкнулся с такой ошибкой:

The following error occurred attempting to join the domain vmblog.ru
Unable to load the specified offline registry hive. Please ensure you have access to the specified path location and permission to modify contents. Running as an elevated administrator may be required.

Судя по ошибке, у текущего пользователя недостаточно прав доступа к определенной ветке реестра.

Чтобы исправить ошибку:

1. Запустите консоль управления локальной групповой политики (Win+R -> gpedit.msc);
2. Перейдите в раздел Computer Configuration -> Windows Settings -> Security Settings -> Local Policies -> User Rights Assignments
3. В моем случае в некоторых параметрах GPO вместо названий групп или имен пользователей указаны их SIDы;
   
4. В моем случае я отредактировал параметры Back up files and directories и Restore files and directories и добавил в них локальную группу Administrators;
   
5. Сохраните изменений в настройках GPO и перезагрузите компьютер. После перезагрузки попробуйте еще раз добавить компьютер в домен.

В нашем случае настройки безопасности были повреждены при подготовке шаблона ОС с помощью sysprep (эталонный компьютер, с которого снимали образ был добавлен в домен).

Ввод компьютера в домен является самой обычной, рутинной операцией и не представляет особой сложности. Но не всегда…

Ситуация следующая — при попытке ввода в домен сервера выдается ошибка. Важно, что сервер является виртуальной машиной VMware, развернутой из шаблона.

На первый взгляд имеются проблемы с правами доступа. Однако учетная запись, под которой производится операция, входит в группу доменных администраторов и никаких ограничений на ввод компьютеров в домен для нее быть не может.

Поэтому читаем текст ошибки подробнее и видим, что проблема с доступом не к домену, а к локальным ресурсам сервера, в частности к веткам реестра. На локальном сервере у нас права локального администратора, но получается, что их недостаточно.

Для проверки запускаем оснастку управления локальными групповыми политиками (Win+R -> gpegit.msc). Переходим в раздел Computer ConfigurationWindows SettingsSecurity SettingsLocal PoliciesUser Rights Assignments (Конфигурация компьютераКонфигурация WindowsПараметры безопасностиЛокальные политикиНазначение прав пользователя) и видим, что значения некоторых параметров выглядят не совсем корректно.

Вместо имен пользователей и групп в них располагаются непонятные наборы символов, смутно напоминающие 🙂 идентификаторы безопасности (SID).

Для сравнения откроем оснастку на другом, заведомо исправном сервере. Вот так должны видеть корректные настройки.

Для успешного ввода в домен необходимо добавить группу Administrators в параметр Back up files and directories (Архивация файлов и каталогов)

и в параметр Restore files and directories (Восстановление файлов и каталогов).

После внесения изменений в обязательном порядке перезагружаемся и еще раз пробуем ввести компьютер в домен. На сей раз успешно.

Как выяснилось позднее, настройки безопасности были повреждены при подготовке шаблона, точнее при обработке операционной системы утилитой sysprep. Сбой произошел потому, что подготавливаемая машина была членом домена. И хотя все данные о членстве в домене sysprep успешно очистил, при этом слегка побились и локальные настройки. Вот так.