Jeder IT-Administrator, der Maschinen in einer Active Directory (AD)-Umgebung verwaltet, kennt das Problem. Sie versuchen, einen Computer zu einer Active Directory-Domäne hinzuzufügen, und erhalten den gefürchteten Fehler „Ein Active Directory-Domänencontroller konnte nicht kontaktiert werden„. In diesem Artikel erfahren Sie, wie Sie dieses Problem diagnostizieren (und lösen) können.
A FREE read only tool that scans your AD and generates multiple interactive reports for you to measure the effectiveness of your password policies against a brute-force attack. Download Specops Password Auditor now!
Dieser Fehler hängt mit DNS zusammen. Das Hauptproblem besteht darin, dass der Computer keinen geeigneten SRV DNS-Eintrag finden kann, den er benötigt, um der AD-Domäne beizutreten.
I’ve put together a few steps for you to follow to fix this error and get your computer joined to your domain.
Stellen Sie sicher, dass Sie die richtigen DNS-Server verwenden
Bevor Sie sich zu sehr in ein Problem vertiefen, stellen Sie zunächst sicher, dass Sie überhaupt die richtigen DNS-Server verwenden.
Active Directory und DNS haben eine besondere Beziehung zueinander. Domänencontroller registrieren spezifische Einträge in DNS-Servern, von denen sie wissen. Diese befinden sich in der Zone _ldap._tcp.dc.msdcs.<domainname> und helfen AD-beigetretenen Geräten dabei, Ressourcen wie Domänencontroller zu finden. SRV-Einträge existieren nicht in DNS-Servern, die nicht AD-integriert sind.
Um dieses Problem zu lösen, müssen Sie entweder einen der folgenden DNS-Server verwenden:
- Einen AD-integrierten DNS-Server
- A DNS server that replicates records from an AD aware DNS server
- A DNS server that has forwarding set up to query either an AD-integrated DNS server or a DNS server with replicated records
Um zu überprüfen, ob der verwendete DNS-Server einer der oben genannten ist, führen Sie den folgenden Befehl in einer PowerShell-Sitzung auf einem bereits in die Domäne eingebundenen Computer aus:
Die Antworten, die Sie unter der Spalte ServerAddesses erhalten, sind die DNS-Server, die von diesem Computer verwendet werden. Wenn Sie keinen anderen Domänenclient haben, um dies zu überprüfen, müssen Sie Ihr Netzwerkteam um diese Informationen bitten.
Sie können entweder das PowerShell-Cmdlet Set-DnsClientServerAddress verwenden, um die DNS-Clienteinstellungen des Computers zu ändern, oder über das Dialogfeld „IPv4-Eigenschaften“ für die Netzwerkkarte des Computers. Sie erreichen dies, indem Sie zu Systemsteuerung -> Netzwerk -> Internet -> Netzwerkverbindungen gehen.
Einmal im Fenster Netzwerkverbindungen klicken Sie mit der rechten Maustaste auf die Netzwerkkarte, wählen Sie Eigenschaften, wählen Sie Internetprotokoll Version 4 (TCP/IPv4) und klicken Sie dann auf Eigenschaften.
Wenn das Netzwerk das Dynamische Hostkonfigurationsprotokoll (DHCP) verwendet, stellen Sie sicher, dass die Optionen IP-Adresse automatisch beziehen und DNS-Serveradresse automatisch beziehen ausgewählt sind.
Wenn Ihr Netzwerk kein DHCP verwendet, aktualisieren Sie die Werte für den Bevorzugten DNS-Server und den Alternativen DNS-Server mit den zuvor erhaltenen korrekten Werten.
Finden Sie den wahren Fehler
Wenn Sie bestätigt haben, dass Ihr Computer die korrekten DNS-Server hat, ist es an der Zeit, ein wenig tiefer einzusteigen.
Wenn Sie versuchen, einen Computer zu einer Domäne hinzuzufügen, erscheint der Fehler „Ein Active Directory-Domänencontroller konnte nicht kontaktiert werden“, aber das ist nicht die „wahre“ Fehlermeldung. Sie müssen ein wenig genauer nachforschen.
Sie werden in dem Fehlerdialogfeld eine Schaltfläche Details >> bemerken. Klicken Sie darauf. Dadurch werden detailliertere Informationen angezeigt, mit denen Sie diesen Fehler besser diagnostizieren können.
Sie können den Inhalt des Textfeldes markieren und in einen Texteditor kopieren und einfügen, oder Sie können dieselben Informationen in der Datei C:\windows\debug\dcdiag.txt auf diesem Computer finden. Diese Datei wird von Windows erstellt, wenn der Fehler auftritt.
Der Fehlertext enthält einige wichtige Informationen. Ich habe diese in dem untenstehenden Beispiel nummeriert und fett markiert:
- Der Domänenname, den die Maschine denkt, dass Sie sie gebeten haben beizutreten (1)
- Der Fehlercode (2)
- Die DNS-Anfrage, die gestellt wurde (3)
- Die DNS-Server, die die Maschine abgefragt hat (falls vorhanden) (4)
Hinweis: Diese Informationen sind für einen Netzwerkadministrator bestimmt. Wenn Sie nicht der Administrator Ihres Netzwerks sind, informieren Sie den Administrator darüber, dass Sie diese Informationen erhalten haben, die in der Datei C:\windows\debug\dcdiag.txt aufgezeichnet wurden.
Folgender Fehler ist aufgetreten, als DNS nach dem Dienstort (SRV) Ressourceneintrag gesucht wurde, der verwendet wird, um einen Active Directory-Domänencontroller (AD DC) für die Domäne „carisbrookelabs.local“ zu finden(1):
Der Fehler war: „DNS-Name existiert nicht.“
(Fehlercode 0x0000232B RCODE_NAME_ERROR) (2)Die Abfrage galt dem SRV-Eintrag für _ldap._tcp.dc._msdcs.carisbrookelabs.local (3)
Gemeinsame Ursachen für diesen Fehler sind:
Die DNS SRV-Einträge, die zum Auffinden eines AD DC für die Domäne erforderlich sind, sind nicht in DNS registriert. Diese Einträge werden automatisch bei einem AD DC hinzugefügt und von diesem in regelmäßigen Abständen aktualisiert. Dieser Computer ist so konfiguriert, dass er DNS-Server mit den folgenden IP-Adressen verwendet:
8.8.4.4
8.8.8.8 (4)Eine oder mehrere der folgenden Zonen enthalten keine Delegation an ihre untergeordnete Zone: carisbrookelabs.local
local
. (die Stammzone)
0x0000267C DNS_ERROR_NO_DNS_SERVER
Dieser Fehler gibt an, dass der DNS-Server nicht gefunden werden konnte, um die Abfrage überhaupt zu versuchen. Es wurde nicht einmal eine Chance dazu gegeben. Dies liegt in der Regel an fehlender Netzwerkverbindung zum DNS-Server.
Beachten Sie, dass Sie einen Computer ohne Netzwerkverbindung, bekannt als Offline-Domänenbeitritt, durchführen können, dies jedoch außerhalb des Umfangs dieses Artikels liegt.
Beheben Sie Ihre Netzwerkverbindung
Wenn Sie diese Fehlermeldung sehen, müssen Sie mit der Fehlerbehebung im Netzwerk beginnen.
- Überprüfen Sie, ob Ihr Netzwerkadapter aktiviert ist und Sie auf andere Netzwerkressourcen zugreifen können.
- Überprüfen Sie, ob Sie eine IP-Adresse und DNS-Server konfiguriert haben.
Sie können eine IP-Adresse und DNS-Server überprüfen, indem Sie ipconfig /all ausführen.
Wenn Sie eine IP-Adresse haben und auf andere Netzwerkressourcen zugreifen können, müssen Sie Ihre Verbindung zwischen dem Computer und dem DNS-Server testen.
Dazu können Sie den Befehl ping und das PowerShell-Cmdlet Test-Connection verwenden. Testen Sie die Konnektivität zu den DNS-Servern mit einem dieser beiden Dienstprogramme. Wenn Internet Control Message Protocol (ICMP)-Datenverkehr im Netzwerk erlaubt ist, sollten Sie eine Antwort erhalten. Wenn ein Fehler oder eine Zeitüberschreitung auftritt, haben Sie wahrscheinlich ein Netzwerkproblem, wie Routing. Wenden Sie sich an Ihr Netzwerkteam, um das Problem zu lösen, und versuchen Sie dann erneut beizutreten.
Überprüfen Sie die DNS-Konnektivität.
Wenn Sie bestätigt haben, dass Ihre Netzwerkverbindung funktioniert, müssen Sie als nächstes sicherstellen, dass Ihr Computer über TCP/53 eine Verbindung zum DNS-Server herstellen kann.
Versuchen Sie, das PowerShell-Cmdlet Resolve-DNSName mit dem vollqualifizierten Domänennamen (FQDN) der Domäne, der Sie beitreten möchten, zu verwenden. Dadurch sollten ein oder mehrere DNS-Server-Einträge zurückgegeben werden.
Wenn Sie einen Fehler erhalten, ist es sinnvoll zu überprüfen, ob zwischen Ihrem Computer und den DNS-Servern kein IP-Verkehr auf Port 53 (dem für DNS-Verkehr verwendeten Port) blockiert wird.
Sie können eine einfache Überprüfung der Konnektivität auf Port 53 mit dem Test-NetConnection-Cmdlet durchführen (nicht zu verwechseln mit dem Test-Connection-Cmdlet):
Sie erhalten eine Antwort von True, wenn die Verbindung erfolgreich ist, oder False, wenn sie fehlschlägt. Ein Fehler kann auf eine Netzwerk- oder hostbasierte Firewall auf dem DNS-Server zurückzuführen sein.
0x0000232B RCODE_NAME_ERROR
Dieser Fehler bedeutet, dass der DNS-Server gefunden wurde, aber der SRV-Eintrag nicht gefunden wurde. Dieser Fehler erfordert etwas weitere Fehlerbehebung.
Stellen Sie sicher, dass Sie die vollständig qualifizierten Domänennamen (FQDN) der Domäne verwenden
Es scheint einfach zu sein, aber überprüfen Sie, ob der von Ihnen eingegebene Name mit dem vollständig qualifizierten Domänennamen (FQDN) der Domäne übereinstimmt, der Sie beitreten möchten. Dies sollte nur ein Domänenname sein, kein Servername. Verwenden Sie zum Beispiel carisbrookelabs.local und nicht WIN-3467RQTHJH5.carisbrookelabs.local.
Wenn Sie sich nicht sicher sind, überprüfen Sie den Domänennamen eines vorhandenen Domänenclients. Sie können den entsprechenden Domänennamen ermitteln, indem Sie diesen PowerShell-Befehl auf einem vorhandenen Domänenclient ausführen.
Wenn Sie den NETBIOS-Namen (contoso) anstelle des FQDN (contoso.local) verwenden, könnte der Computer möglicherweise die Domäne finden, aber Windows behandelt den Namen sowieso als FQDN.
Wenn Sie einen NETBIOS-Namen eingeben und keine WINS-Infrastruktur haben, erhalten Sie den Fehler, den wir zu beheben versuchen. Verwenden Sie immer einen FQDN anstelle eines NETBIOS-Namens.
Überprüfen Sie die DNS-Einträge
Für diesen Schritt verwenden Sie erneut den Befehl Resolve-DNSName. Diesmal verwenden Sie den genauen DNS-Eintrag, der nicht abgerufen wurde, als Sie versucht haben, Ihre Maschine der Domäne beizutreten. Kopieren und fügen Sie ihn aus der im Einleitungsteil erwähnten dcdiag.txt-Datei oder der Kopie des Fehlertexts ein, den Sie zuvor gemacht haben. Dadurch werden Tippfehler mit Unterstrichen und Bindestrichen vermieden.
Ihr Befehl sollte ungefähr so aussehen:
Verwenden Sie das kostenlose Tool Specops Password Auditor, um Ihre Active Directory zu scannen und passwortbezogene Sicherheitslücken zu identifizieren, einschließlich über 930 Millionen bekannter kompromittierter Passwörter. Jetzt herunterladen!
Wenn Sie als Antwort auf diesen Befehl „DNS-Name existiert nicht“ erhalten, liegt das Problem bei DNS.
- Stellen Sie sicher, dass Sie den richtigen DNS-Server verwenden
- Stellen Sie sicher, dass die relevanten Einträge nicht gelöscht wurden.
Wenn Sie eine positive Antwort auf Resolve-DNSName _msdcs.<domainname> erhalten, aber von Resolve-DNSName _ldap._tcp.dc._msdcs.<domainname> den Fehler DNS-Name existiert nicht erhalten, fehlen die Einträge.
Registrieren Sie die DNS-Einträge Ihres Domänencontrollers mit dem Befehl ipconfig /registerdns auf jedem DC. Es kann einige Minuten dauern, bis die Einträge angezeigt werden.
Sobald Sie mit Resolve-DNSName die erforderlichen DNS-Einträge bestätigen können, sollten Sie bereit sein.
Zusammenfassung
In diesem Artikel haben Sie einige Schritte gelernt, die Sie bei der Fehlerbehebung von „Ein Active Directory-Domänencontroller konnte nicht kontaktiert werden“ ausprobieren können. Es ist unmöglich, in einem Artikel wie diesem jede einzelne Szenario abzudecken, aber ich hoffe, der Prozess funktioniert für Sie und bringt Sie auf den richtigen Weg!
Weiterführende Informationen
Source:
https://adamtheautomator.com/an-active-directory-domain-controller-could-not-be-contacted/