Active Directory: Aufnahme in Active Directory nicht möglich

Folgende Situation stellte sich bei einem Kunden dar: Die Aufnahme von Clients in der Active Directory war an einem Standort nicht möglich. Es hat ein bisschen Zeit gekostet den Fehler zu analysieren. Erschwerend kamen weitere DNS-Probleme hinzu die zunächst einmal behoben werden mussten.

Das Active Directory sollte um einen Standort erweitert werden. Der neue Standort wurde durch eine Site-to-Site VPN Verbindung mit dem Hauptstandort verbunden.

Active Directory

Standort A enthält einen Domain Controller und ist mit Standort B über einen VPN Tunnel verbunden. Der Server in Standort B sollte zunächst in das Active Directory aufgenommen werden und dann zu einem Domain Controller hochgestuft werden.

Nachdem einige DNS und Replikations Fehler in Standort A behoben wurden, wurde versucht den Server in Standort B in das AD aufzunehmen. Der Versuch scheiterte mit der Fehlermeldung:

Der Server kann die Anforderung nicht ausführen

Mehr als die Meldung oben, war zunächst nicht zu erfahren.

DCDIAG und NLTEST meldeten keine Fehler. NSLOOKUP konnte alle relevanten DNS-Einträge vom Standort B nach Standort A auslösen. Auch alle für Active Directory benötigten Ports waren geöffnet. Der Domainbeitritt in Standort A war weiterhin möglich.

Die Datei Netsetup.log lieferte dann denn entscheidenden Hinweis, die Datei liegt unter C:\Windows\Debug:

09/13/2012 11:26:50:672 NetpLdapBind: ldap_bind failed on DC.domain.local: 81: Server heruntergefahren
09/13/2012 11:26:50:672 NetpJoinDomainOnDs: Function exits with status of: 0x3a
09/13/2012 11:26:50:672 NetpJoinDomainOnDs: status of disconnecting from ‚\\DC.domain.local‘: 0x0
09/13/2012 11:26:50:672 NetpDoDomainJoin: status: 0x3a

Eine häufige Ursache für diesen Fehler ist eine nicht sauber konfigurierte Routingtopologie. Ich habe mir in diesem Fall also Unterstützung eines Netzwerkspezialisten geholt, der die Routingtopologie des Kunden kannte. Dank seiner Unterstützung konnte der Fehler schnell gefunden werden. In diesem Fall waren 2 Router in Netzwerk, der eine Router war für die Internetverbindung zuständig, der andere baute die VPN-Verbindung auf. Letztendlich fehlte eine Route auf dem Domain Controller in Standort A, die ihm den richtigen Weg zu Standort B zeigte

An dieser Stelle kann ich auch diesen Link empfehlen:

http://social.technet.microsoft.com/wiki/contents/articles/1935.troubleshooting-domain-join-error-messages-en-us.aspx

EDIT: Michel hat das Problem mit den 2 Routern noch einmal in einem schönen Beitrag zusammengefasst. Vielen Dank an dieser Stelle! http://networkguy.de/?p=409

Ein Kommentar zu “Active Directory: Aufnahme in Active Directory nicht möglich”

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.