iT邦幫忙

0

Win 7 Pro加入Windows Srv 2012網域出現無法加入問題

pan21 2013-08-22 17:14:2317482 瀏覽
  • 分享至 

  • xImage

各位前輩有遇過這樣的狀況嗎?小弟有個客戶,內部有Windows 2012的Domain Controller(客戶最近剛新架好的),其內網有些PC預載Win 7 Pro的作業系統,然後要把這些預載Win 7 Pro的PC要加入Windows 2012的網域,結果出現如下的錯誤訊息;
『**在查詢 DNS 以取得用來尋找網域 "unifishery.net" 之 Active Directory 網域控制站 (AD DC) 的服務位置 (SRV) 資源記錄時,發生下列錯誤:

錯誤是: "DNS 名稱不存在。"
(錯誤碼 0x0000232B RCODE_NAME_ERROR)

這是 _ldap._tcp.dc._msdcs.unifishery.net 的 SRV 記錄查詢

發生這個錯誤的常見原因包含:

  • 尋找網域的 AD 網域控制站時所需要的 DNS SRV 記錄並未登錄在 DNS 中。當 AD 網域控制站新增到網域時,這些記錄會自動登錄在 DNS 伺服器。AD 網域控制站會在固定的時間間隔更新它們。這部電腦已經設定成使用具有下列 IP 位址的 DNS 伺服器:

192.168.100.11

  • 下列一些區域的子區域中並未包含委派:

unifishery.net
net
. (根區域)**』
然後當然這些Win 7 Pro的PC就無法Join Domain,不知各位前輩有解嗎?

圖片
  直播研討會
圖片
{{ item.channelVendor }} {{ item.webinarstarted }} |
{{ formatDate(item.duration) }}
直播中

2 個回答

16
Ray
iT邦大神 1 級 ‧ 2013-08-22 17:21:12
最佳解答
  1. Win7 的 DNS Server 有沒有指向 2012 DC? 且沒有指到外面的任何 DNS?
  2. Win7 上面的時間, 與 2012 DC 的時間, 誤差是否在五分鐘之內?
  3. 2012 DC 若重啟 NetLogon 服務 之後, 是否會在事件檢視器內留下警告或錯誤訊息?
  4. 2012 DC 上面的 DNS, 有沒有產生 _msdcs 的 partition zone? 底下有沒有出現 SRV 紀錄?
  5. 2012 DC 上面執行 dcdiag /a 診斷, 是否可以全部都通過測試?
看更多先前的回應...收起先前的回應...
pan21 iT邦新手 3 級 ‧ 2013-08-22 17:48:16 檢舉
  1. Win7 的 DNS Server 有沒有指向 2012 DC? 且沒有指到外面的任何 DNS?
    Win 7的DNS是指內部Win 2012的DC且2012 DC已Setup DNS角色,並沒有指向外面的任何DNS。
  2. Win7 上面的時間, 與 2012 DC 的時間, 誤差是否在五分鐘之內?
    Win7與2012 DC做NTP協定,然後2012 DC的NTP Server是指向「國家時間與頻率標準實驗室」的NTP Server。
  3. 2012 DC 若重啟 NetLogon 服務 之後, 是否會在事件檢視器內留下警告或錯誤訊息?
    因Win 7 Pro無法join domain,所以2012 DC Restart後Check事件檢視器並無任何錯誤訊息。
    至於第4、5點可以有圖像顯示嗎?

正常來說 _msdcs 的 partition zone,印象中不是都出現在DC上,而不是在DNS上嗎?

蟹老闆 iT邦大師 1 級 ‧ 2013-08-22 18:00:16 檢舉

下午幫客戶Join Domain也遇到這個現象.....哭

roylee iT邦高手 1 級 ‧ 2013-08-22 23:27:55 檢舉

ray提到_msdcs 的 partition zone? 底下有沒有出現 SRV 紀錄? 請參考下圖

Ray iT邦大神 1 級 ‧ 2013-08-23 15:36:50 檢舉
  1. 請找到上面的位置, 把你的 _msdcs 內容貼出來看看
  2. 請先跑 dcdiag /a 診斷, 把發生錯誤的地方貼上來
  3. 請問《Win7與2012 DC做NTP協定》這個動作是怎麼做的? (還沒加入網域前, 請先用手動設定相同時間就好, 加入網域之後, 它會自動啟動 Windows Time 服務去跟 DC 同步, 不需要用到 NTP)
蟹老闆 iT邦大師 1 級 ‧ 2013-08-23 19:28:47 檢舉

我的情況是這樣:
客戶用了一個自訂的網域名稱oooxx.com,而這個oooxx實際上是已被註冊的,所以我就將本機中的HOSTS檔修改指向該IP,結果還是回應找不到該AD,客戶的環境與樓主相同
網路環境
IP分享器中主DNS設為該oooxx主機次要的設定中華的,客戶端使用自得取得IP....已建議客戶購買一個網域了
是否跟這項有關?

  1. Win7 的 DNS Server 有沒有指向 2012 DC? 且沒有指到外面的任何 DNS?

有關吧,

Ray iT邦大神 1 級 ‧ 2013-08-23 22:17:33 檢舉

Dear Dream:

光修改 HOSTS 指向是沒有用的, 因為查詢 AD 的過程不是只查 Hostname 而已, 還要查一大堆 SRV 紀錄, 如上面的圖示, 若真的要設定的話, 那些 SRV 通通都要寫進 HOSTS 裡面, 這樣的做法不切實際, 更何況那些 SRV 的內容會動態的變更, 你無法隨時都去更改 HOSTS file.

假設該用戶的 AD網域=domain, DC主機名稱=hostname, 先在Client端電腦用這個指令查查看:

<pre class="c" name="code">nslookup hostname.domain <DC的IP>

這樣至少要能夠解析出那台 DC 的正確 IP 才對. 如果這個解析出來的 IP 正確, 那就測試:

<pre class="c" name="code">ping hostname.domain

應該也要能解析出正確的 IP.

最保險的做法, 是在 Client 電腦上, 設定固定的 DNS IP 指向 DC, 不要讓他從 DHCP 自動取得 DNS. 然後用 ping 去測試 DC 名稱是否能正確解析出 IP?

雖然跟外面的網域名稱重複, 但若是關起門來自己玩, 跟外面就沒有關係, 只要 DNS 侷限在內部使用, 不需要去申請外面的網域. 即使申請了, 也不會解決目前的問題.

由於不清楚客戶是如何安裝他的 AD, 若他在 DNS 上面動了甚麼不該動的東西, 那就很難解了...

(我往後幾周的假日可能會去八德一趟, 若有機會經過您那邊, 再繞過去拜訪您....忙)

蟹老闆 iT邦大師 1 級 ‧ 2013-08-26 04:30:22 檢舉

期待且歡迎您的到來。喜歡開心

4
花輪
iT邦大師 1 級 ‧ 2013-08-22 21:27:42

pan21提到:
3. 2012 DC 若重啟 NetLogon 服務 之後, 是否會在事件檢視器內留下警告或錯誤訊息?
因Win 7 Pro無法join domain,所以2012 DC Restart後Check事件檢視器並無任何錯誤訊息。

這點是請版大到 2012DC 上將 "NetLogon Service" Restart 一次,然後檢查 2012DC 的 DNS 內有無四筆以 "_"(底線)開頭的資料夾(這就是 SRV RECORD)。
一般的建議都是 SERVER 升級為 DC 後再手動將 "NetLogon Service" Restart 一次以確保 SRV RECORD 無誤。試試看吧!(不是看 DC 的 EVENT LOG,至少這一點不是)

第四點說的就是 SRV RECORD 的其中之一啦。

至於第5點就到 DC 上開一 DOS 視窗並將指令KEY上去按 ENTER 執行即可,不需要看圖吧..

另外,WIN 7 有無跑 WIN UPDATE 到最新(可能很久沒跑了!),沒有的話,先把 WIN7 UPDATE一下再 TRY 吧。

pan21 iT邦新手 3 級 ‧ 2013-08-26 14:11:07 檢舉

raytracy 說:

  1. 請找到上面的位置, 把你的 _msdcs 內容貼出來看看
  2. 請先跑 dcdiag /a 診斷, 把發生錯誤的地方貼上來
  3. 請問《Win7與2012 DC做NTP協定》這個動作是怎麼做的? (還沒加入網域前, 請先用手動設定相同時間就好, 加入網域之後, 它會自動啟動 Windows Time 服務去跟 DC 同步, 不需要用到 NTP)

今早做了一下Lab才知道,客戶可能在Setup AD時,在Setup DNS角色就先把他的網域(Domain)資訊設在DNS的正向(反向)區域,結果造成後面在Promo GC時網域(Domain)資料無法寫入到DNS裡(因已有相同的網域(Domain)資訊),DNS裡面也就沒有_msdcs 的 partition zone的資訊了,也因為這樣Win 7 Pro的PC就無法Join Domain了。

感謝各位前輩的提點,也因此了解Win 2012的AD domain在promo時,要注意的地方感覺蠻怪異的。

我要發表回答

立即登入回答