Los ‘Een actieve directory-domeincontroller kon niet worden gecontacteerd’

Handleidingen

Elke IT-beheerder die machines beheert in een Active Directory-omgeving heeft dit meegemaakt. Je probeert een computer toe te voegen aan een Active Directory (AD) domein en krijgt de gevreesde “Er kon geen verbinding worden gemaakt met een Active Directory-domeincontroller”-fout. In dit artikel leer je de stappen om dit probleem voor eens en altijd te diagnosticeren (en op te lossen).

A FREE read only tool that scans your AD and generates multiple interactive reports for you to measure the effectiveness of your password policies against a brute-force attack. Download Specops Password Auditor now!

An Active Directory Domain Controller Could not be Contacted

Deze fout heeft te maken met DNS. Het belangrijkste probleem is dat de computer er niet in slaagt om een geschikte SRV DNS-record te vinden die nodig is om zich bij het AD-domein aan te sluiten.

I’ve put together a few steps for you to follow to fix this error and get your computer joined to your domain.

Zorg ervoor dat je de juiste DNS-servers gebruikt

Voordat je te diep in een konijnenhol gaat, zorg er eerst voor dat je in de eerste plaats de juiste DNS-servers gebruikt.

Active Directory en DNS hebben een speciale relatie. Domeincontrollers registreren specifieke records in DNS-servers waar ze van op de hoogte zijn. Deze bevinden zich in de _ldap._tcp.dc.msdcs.<domeinnaam>-zone en helpen AD-gekoppelde apparaten bij het vinden van resources zoals domeincontrollers. SRV-records zullen niet bestaan in DNS-servers die niet AD-geïntegreerd zijn.

Om dit probleem op te lossen, moet je een van de volgende zaken gebruiken:

  • Een AD-geïntegreerde DNS-server
  • A DNS server that replicates records from an AD aware DNS server
  • A DNS server that has forwarding set up to query either an AD-integrated DNS server or a DNS server with replicated records

Om te controleren of de DNS-server die je gebruikt een van de bovenstaande is, voer je het volgende commando uit in een PowerShell-sessie op een bestaande computer die is toegetreden tot het domein:

PS C:\> Get-DnsClientServerAddress

InterfaceAlias               Interface Address ServerAddresses
                             Index     Family
--------------               --------- ------- ---------------
Ethernet                             9 IPv4    {10.0.0.101}
Ethernet                             9 IPv6    {}
Loopback Pseudo-Interface 1          1 IPv4    {}
Loopback Pseudo-Interface 1          1 IPv6    {fec0:0:0:ffff::1, fec0:0:0:ffff::2, fec0:0:0:ffff::3}

De reacties die je krijgt onder de kolom ServerAddesses zijn de DNS-servers die door die computer worden gebruikt. Als je geen andere domeinclient hebt om te controleren, moet je contact opnemen met je netwerkteam voor deze informatie.

Je kunt ofwel de cmdlet Set-DnsClientServerAddress van PowerShell gebruiken om de DNS-clientinstellingen van de computer te wijzigen, of via het dialoogvenster Eigenschappen voor IPv4 van de netwerkkaart van de computer. Dit wordt bereikt door naar Configuratiescherm –> Netwerk –> Internet –> Netwerkverbindingen te gaan.

Eenmaal in het venster Netwerkverbindingen, klik met de rechtermuisknop op de netwerkkaart, kies Eigenschappen, selecteer Internet Protocol versie 4 (TCP/IPv4) en klik vervolgens op Eigenschappen.

IPv4 properties dialog

Als het netwerk gebruikmaakt van het Dynamic Host Configuration Protocol (DHCP), zorg ervoor dat de opties Een IP-adres automatisch verkrijgen en DNS-serveradres automatisch verkrijgen zijn geselecteerd.

Als je netwerk geen DHCP gebruikt, werk dan de waarden van Voorkeurs-DNS-server en Alternatieve DNS-server bij naar de juiste die je eerder hebt verkregen.

Vind de Echte Fout

Als je hebt bevestigd dat je computer de juiste DNS-servers heeft, is het tijd om iets dieper te duiken.

Wanneer je probeert een computer aan een domein toe te voegen, komt de foutmelding “Er kon geen verbinding worden gemaakt met een Active Directory-domeincontroller” naar voren, maar dit is niet de “ware” foutmelding. Je moet iets dieper graven.

Je zult in het foutenvenster een knop Details >> opmerken. Klik daarop. Dit zal meer gedetailleerde informatie opleveren waarmee je deze fout beter kunt oplossen.

Expanded details view of the error dialog

Je kunt de inhoud van het tekstvak selecteren om te kopiëren en te plakken in een tekstviewer, of je kunt dezelfde informatie vinden in het bestand C:\windows\debug\dcdiag.txt op die machine. Dit bestand wordt gemaakt door Windows wanneer de fout optreedt.

De fouttekst bevat enkele belangrijke stukken informatie. Ik heb elk van deze in het voorbeeld hieronder genummerd en vetgedrukt:

  • De domeinnaam waarvan de machine denkt dat je hebt gevraagd om eraan deel te nemen (1)
  • De foutcode (2)
  • De DNS-query die is gemaakt (3)
  • De DNS-server(s) die de machine heeft bevraagd (indien van toepassing) (4)

Opmerking: Deze informatie is bedoeld voor een netwerkbeheerder. Als je niet de netwerkbeheerder bent, meld dan de beheerder dat je deze informatie hebt ontvangen, die is opgenomen in het bestand C:\windows\debug\dcdiag.txt.

De volgende fout trad op toen DNS werd bevraagd voor de servicelocatie (SRV) resource record gebruikt om een Active Directory Domain Controller (AD DC) te vinden voor het domein “carisbrookelabs.local” (1):

De fout was: “DNS-naam bestaat niet.” (foutcode 0x0000232B RCODE_NAME_ERROR)
(2)

De query was voor het SRV-record voor _ldap._tcp.dc._msdcs.carisbrookelabs.local (3)

Oorzaken van deze fout kunnen onder meer zijn:

De vereiste DNS SRV-records om een AD DC voor het domein te vinden, zijn niet geregistreerd in DNS. Deze records worden automatisch geregistreerd bij een DNS-server wanneer een AD DC aan een domein wordt toegevoegd. Ze worden bijgewerkt door de AD DC op ingestelde intervallen. Deze computer is geconfigureerd om DNS-servers met de volgende IP-adressen te gebruiken:

8.8.4.4
8.8.8.8 (4)

Één of meer van de volgende zones bevatten geen delegatie naar hun subzone: carisbrookelabs.local

local
. (de rootzone)

0x0000267C DNS_ERROR_NO_DNS_SERVER

Deze fout geeft aan dat de DNS-server niet kon worden gevonden om zelfs de poging tot de query te proberen. Het kreeg zelfs geen kans. Dit is meestal te wijten aan geen netwerkconnectiviteit met de DNS-server.

Merk op dat je een computer kunt toevoegen zonder netwerkverbinding, bekend als een offline domeinjoin, maar dat valt buiten de scope van dit artikel.

Problemen met uw netwerkverbinding oplossen

Als je deze foutmelding ziet, moet je beginnen met wat netwerkproblemen op te lossen.

  1. Controleer of je netwerkadapter is ingeschakeld en of je verbinding kunt maken met andere netwerkbronnen.
  2. Controleer of je een IP-adres hebt en of DNS-servers zijn geconfigureerd.

U kunt controleren op een IP-adres en DNS-servers door ipconfig /all uit te voeren.

Als u een IP-adres hebt en andere netwerkbronnen kunt bereiken, moet u uw verbinding tussen de computer en de DNS-server testen.

Hiervoor kunt u ping en de Test-Connection-cmdlet van PowerShell gebruiken. Test de connectiviteit met de DNS-server(s) met behulp van een van deze twee hulpprogramma’s. Als Internet Control Message Protocol (ICMP) verkeer is toegestaan op het netwerk, zou u een reactie moeten krijgen. Als er een fout optreedt of als er time-out optreedt, heeft u waarschijnlijk een soort netwerkprobleem, zoals routering. Praat met uw netwerkteam om het probleem op te lossen en probeer dan opnieuw verbinding te maken.

Controleer de DNS-connectiviteit

Als u hebt bevestigd dat uw netwerkverbinding werkt, moet u vervolgens controleren of uw computer via TCP/53 verbinding kan maken met de DNS-server.

Probeer de Resolve-DNSName-PowerShell-cmdlet te gebruiken met de FQDN van het domein waaraan u probeert deel te nemen. Dit zou één of meer DNS-serverrecords moeten retourneren:

PS C:\> Resolve-DNSName carisbrookelabs.local


Name                                           Type   TTL   Section	IPAddress
----                                       	----   ---   -------	---------
carisbrookelabs.local                      	A  	600   Answer 	10.0.0.103
carisbrookelabs.local                      	A  	600   Answer 	10.0.0.102
carisbrookelabs.local                      	A  	600   Answer 	10.0.0.101

Als u een foutmelding krijgt, is het de moeite waard om te controleren of er niets is dat IP-verkeer op poort 53 (de poort die wordt gebruikt voor DNS-verkeer) blokkeert tussen uw machine en de DNS-servers.

U kunt een eenvoudige controle uitvoeren op connectiviteit op poort 53 met behulp van de cmdlet Test-NetConnection (niet te verwarren met de cmdlet Test-Connection):

PS C:\> Test-NetConnection -Port 53 -ComputerName <DNSSERVERHERE>
True

U krijgt een antwoord van True als de verbinding slaagt, of False als het mislukt. Een mislukking kan te wijten zijn aan een netwerk- of op host gebaseerde firewall op de DNS-server.

0x0000232B RCODE_NAME_ERROR

Deze fout betekent dat de DNS-server gevonden kon worden maar dat het SRV-record niet gevonden werd. Voor deze fout is wat meer probleemoplossing vereist.

Zorg ervoor dat u de domein-FQDN gebruikt

Het lijkt eenvoudig, maar controleer of de naam die u hebt ingetypt overeenkomt met de volledig gekwalificeerde domeinnaam (FQDN) van het domein waar u probeert toe te treden. Dit zou alleen een domeinnaam moeten zijn, geen servernaam. Gebruik bijvoorbeeld carisbrookelabs.local en niet WIN-3467RQTHJH5.carisbrookelabs.local.

Als er twijfel is, controleer dan de domeinnaam van een bestaande domeinclient. U kunt de juiste domeinnaam vinden door dit PowerShell-commando uit te voeren op een bestaande domeinclient.

PS51> (Get-CimInstance Win32_ComputerSystem).Domain
carisbrookelabs.local

Als u probeert de NETBIOS-naam (contoso) te gebruiken in plaats van de FQDN (contoso.local), kan de computer mogelijk het domein vinden, maar Windows zal de naam toch als een FQDN behandelen.

Als je een NETBIOS-naam typt en geen WINS-infrastructuur hebt, krijg je de foutmelding die we proberen op te lossen. Gebruik altijd een FQDN in plaats van een NETBIOS-naam.

Typing an FQDN in the Computer/Domain Changes dialog

Controleer DNS-records

Voor deze stap ga je opnieuw de opdracht Resolve-DNSName gebruiken. Gebruik deze keer het exacte DNS-record dat niet werd opgehaald toen je probeerde je machine aan het domein toe te voegen. Kopieer en plak het vanuit het dcdiag.txt-bestand dat in de inleiding werd genoemd, of vanuit de kopie van de fouttekst die je eerder hebt gemaakt. Dit voorkomt eventuele typefouten met underscores en streepjes.

Je opdracht zou er ongeveer zo moeten uitzien:

PS C:\> Resolve-DNSName _ldap._tcp.dc._msdcs.carisbrookelabs.local


Name                    	Type TTL   Section	PrimaryServer           	NameAdministrator       	SerialNumber
----                    	---- ---   -------	-------------           	-----------------       	------------
_msdcs.carisbrookelabs.loca SOA  3600  Authority  WIN-3467RQTHJH5.carisbrooke hostmaster.carisbrookelabs. 419
l                                             	labs.local              	local

Gebruik de gratis Specops Password Auditor-tool om je Active Directory te scannen en kwetsbaarheden met betrekking tot wachtwoorden te identificeren, inclusief meer dan 930 miljoen bekende gecompromitteerde wachtwoorden. Download vandaag nog!

Als je als reactie op deze opdracht DNS-naam bestaat niet krijgt, dan ligt het probleem bij DNS.

  • Zorg ervoor dat je de juiste DNS-server gebruikt
  • Zorg ervoor dat de relevante records niet zijn verwijderd

Als u een positieve reactie krijgt op Resolve-DNSName _msdcs.<domainname> maar een DNS-naam bestaat niet van Resolve-DNSName _ldap._tcp.dc._msdcs.<domainname>, dan ontbreken de records.

Herregistreer de DNS-records van uw domeincontroller met het commando ipconfig /registerdns op elke DC. Het kan enkele minuten duren voordat de records verschijnen.

Zodra u de aanwezigheid van de vereiste DNS-record(s) kunt bevestigen met Resolve-DNSName, zou u klaar moeten zijn.

Samenvatting

In dit artikel heeft u enkele stappen geleerd om te proberen bij het oplossen van de fout “Een Active Directory-domeincontroller kon niet worden gecontacteerd”. Het is onmogelijk om elke mogelijke scenario te behandelen in een artikel als dit, maar ik hoop dat het proces voor u werkt en u op het juiste pad brengt!

Verder lezen

Source:
https://adamtheautomator.com/an-active-directory-domain-controller-could-not-be-contacted/