Сервер 2012 не может повысить уровень контроллера домена - не удается присоединиться к домену
Возникла проблема в новом месте с продвижением нового контроллера домена. Мы назовем новый сервер« newserv ».
Ошибка - «Не удалось связаться с контроллером домена Active Directory для домена mydomain». -
- newserv может проверять связь с контроллерами домена по полному доменному имени (например, DC1.mydomain)
- newserv не может проверять связь с контроллером домена без .mydomain
- NSLOOKUP на newserv показывает сервер по умолчанию как PDC.mydomain
- NSLOOKUP тип набора = all -> _ldap.tcp.dc._msdcs.mydomain показывает все местоположения служб SRV с правильными IP-адресами.
- newserv имеет статический IP-адрес, первичный и вторичный DNS, указывающие на DC1.mydomain и DC2.mydomain
- Если я просто попытаюсь присоединиться к домену, в деталях ошибки будет указано, что запрос записи SRV показывает все мои контроллеры домена, однако они не удалось связаться.
Некоторые вещи я пробовал, другие заметки;
- Я пробовал настроить первичный DNS так, чтобы он указывал на самого себя.
- Я пробовал добавить DNS-суффикс mydomain в дополнительных настройках DNS.
- newserv может присоединиться к другому домену без проблем.
У моего домена нет суффикса. Это просто «mydomain» - в прошлом я сталкивался с проблемами при присоединении MAC OS к домену.
Сервер - это виртуальная машина, работающая в HyperV, которая присоединена к другому домену.
Я полагаю, что это может быть какая-то проблема с DNS, но я не знаю, с чего начать ее решение.
Любая помощь очень ценится.
Обычно это означает, что требуемый порт, такой как UDP / 389, заблокирован, вероятно, из-за брандмауэра. Вы можете проверить это с помощью PortQueryUI:
PortQryUI - Пользовательский интерфейс для сканера портов командной строки PortQry
https://www.microsoft.com/en-us/download/details.aspx?id=24009
Если какой-либо из требуемых портов заблокирован, они будут отображаться как «отфильтрованные».
Продвижение домена Windows в значительной степени зависит от службы DNS, на вашем месте я проверю, готовы ли следующие конфигурации:
Брандмауэр Windows не включен между контроллерами домена
Выполните простую проверку сети , например эхо-запрос между существующим контроллером домена и новым сервером в обоих направлениях.
Затем настройте DNS запись A для вашего нового сервера newserv.mydomain
Также настройте запись DNS PTR для вашего нового сервера (если IP-адрес вашего сервера 192.168.1.1, у вас правильно есть запись PTR как 1.1.168.192.in-addr. arpa
Выполните проверку поиска DNS с существующего контроллера домена на новый сервер с помощью:
nslookup newserv.mydomain.com
На новом сервере выполните аналогичное тестирование с помощью:
nslookup {DNS контроллера домена}
Убедитесь, что вы использовали учетную запись пользователя с администратором домена / администратором предприятия домена, к которому вы хотите присоединиться п. Поскольку ваша виртуальная машина Hyper-V работает в другом домене, вам нужно будет указать доменное имя при вводе имени пользователя:
например. mydomain \ administrator или (скрытый) он может дать вам несколько идей о том, как присоединиться к домену.