none
No puedo unir una pc al dominio RRS feed

  • Pregunta

  • Intento unir una pc al dominio y me sale el error de acceso denegado.No es posible el acceso a la ubicacion de red. Es la primera vez que me pasa esto, ya verifique que DNS tenia configurado la pc cliente, que se esten ejecutando los servicios DNS en el servidor, que haya comunicacion entre el servidor y la pc, y todo esta correcto. alguna sugerencia??
    Emanuel Weber IT Support
    lunes, 17 de mayo de 2010 18:09

Respuestas

  • Si, tienes razón, por lo menos a mí no se me ocurre otra opción.

    Siendo un cliente probar reinstalándolo.

    Descarto que lo estás haciendo desde una buena copia o de un medio original :-)

     


    Guillermo Delprato - MVP-MCT-MCSE-MCSA MCITP: Enterprise/Server Administrator MCTS: Active Directory/Network/Applications Configuration --- Este mensaje se proporciona "como está" sin garantías de ninguna clase. Usted asume todos los riesgos. --- Buenos Aires, Argentina
    miércoles, 19 de mayo de 2010 12:02
    Moderador
  • Estimado ,  necesitas  Habilitar el registro de depuración para el servicio Netlogon :

     

    http://support.microsoft.com/kb/109626

    miércoles, 19 de mayo de 2010 17:40

Todas las respuestas

  • Repasemos las pruebas Emanuel :-)

    - PING a la dirección IP del DC ¿funciona?

    - Configuración de TCP/IP en el cliente. Como servidor DNS tiene configurado *únicamente* al DNS de AD, y *no* al del ISP ni siquiera como alternativo ¿es así?

    - ¿No hay o dió mensajes de nombre duplicado en la red?

    - ¿No hay en el dominio otro equipo con igual nombre?

    - ¿Con qué usuario estás tratando de unir la máquina al dominio? Tiene que ser administrador local del equipo, además de tener privilegios sobre el dominio.

     


    Guillermo Delprato - MVP-MCT-MCSE-MCSA MCITP: Enterprise/Server Administrator MCTS: Active Directory/Network/Applications Configuration --- Este mensaje se proporciona "como está" sin garantías de ninguna clase. Usted asume todos los riesgos. --- Buenos Aires, Argentina
    lunes, 17 de mayo de 2010 18:35
    Moderador
  • Hola Guillermo!

    -PING ala IP del DC responde correctamente y sin cortes

    -Configuracion de TCP/IP con el solo el DNS de AD

    -No dio mensajes de nombre duplicado

    -No hay otro equipo con el mismo nombre

    -Lo estoy tratando de unir con la cuenta de administrador local

    Saludos!


    Emanuel Weber IT Support
    lunes, 17 de mayo de 2010 18:43
  • La pc tiene XP SP3 para darte otro dato
    Emanuel Weber IT Support
    lunes, 17 de mayo de 2010 18:44
  • Iniciando sesión con administrador local, ok, pero cuando pide usuario para unir al dominio debes ingresar con usuario que tenga privilegios para unir máquinas al dominio, usando la forma:

    NOMBREDOMINIO\USUARIO (generalmente se usa Administrador)
    Y contraseña de la cuenta del dominio

    Avisa si no funcionara :-)

     Y agrego un detalle más que me había olvidado. Recuerda que el nombre de dominio debes especificarlo usando la sintaxis DNS (nombredominio.sufijo).
    No debes usar nombre NetBIOS (nombredominio)

     


    Guillermo Delprato - MVP-MCT-MCSE-MCSA MCITP: Enterprise/Server Administrator MCTS: Active Directory/Network/Applications Configuration --- Este mensaje se proporciona "como está" sin garantías de ninguna clase. Usted asume todos los riesgos. --- Buenos Aires, Argentina
    lunes, 17 de mayo de 2010 20:12
    Moderador
  • Te copio una respuesta sobre una investigacion que hizo un compañero de trabajo sobre unas maquinas con win 7 y win vista que no se estaban uniendo al dominio correctamente , espero y te de alguna pista y si no pues hay que buscarle por otro lado,un saludo :

     

    .............

     

    He realizado una serie de pruebas y pude confirmar que NO es problema de DNS, más bien era un problema derivado de comunicación entre los DCs y los Clientes (únicamente Vista y Windows 7).

     

    El cual tenía relación con el puerto 5955 que se definió después de la consultoría que tuvimos con Microsoft (el puerto se define en la siguiente ruta KHLM\SYSTEM\CurrentControlSet\ Services\NTDS\Parameters). Este puerto, por alguna razón, estaba siendo utilizado en el proceso de integración al dominio y cuya función era utilizar el RPC para la replicación del AD entre los Controladores de Dominio (tal como lo describe el siguiente Link http://technet.microsoft.com/en-us/library/bb727063.aspx).

     

    Sin embargo, para detener exactamente la falla tuve que apoyarme con el archivo NetSetup.log, el cual registra todo el proceso de “join to domain” y fue ahí donde determine que algo estaba interfiriendo con el proceso:

     

    04/26/2010 16:50:56:922 NetpDoDomainJoin

    04/26/2010 16:50:57:022 NetpLoadParameters: loading registry parameters...

    04/26/2010 16:50:57:022 NetpLoadParameters: DNSNameResolutionRequired not found, defaulting to '1' 0x2

    04/26/2010 16:50:57:022 NetpLoadParameters: status: 0x2

    04/26/2010 16:50:57:022 NetpValidateName: checking to see if 'dominioX.org' is valid as type 3 name

    04/26/2010 16:50:57:913 NetpCheckDomainNameIsValid [ Exists ] for 'dominioX.org' returned 0x0

    04/26/2010 16:50:57:913 NetpValidateName: name 'dominioX.org' is valid for type 3

    04/26/2010 16:50:57:913 NetpDsGetDcName: trying to find DC in domain 'dominioX.org', flags: 0x40001010

    04/26/2010 16:51:03:741 NetpDsGetDcName: failed to find a DC having account 'VISTAVIRTUAL$': 0x525, last error is 0x79

    04/26/2010 16:51:03:861 NetpDsGetDcName: status of verifying DNS A record name resolution for 'AGS-DC04.dominioX.org': 0x0

    04/26/2010 16:51:03:861 NetpDsGetDcName: found DC '\\AGS-DC04.dominioX.org' in the specified domain

    04/26/2010 16:51:07:066 NetpJoinDomain: status of connecting to dc '\\DC04.dominioX.org': 0x0

    04/26/2010 16:51:08:558 NetpGetLsaPrimaryDomain: status: 0x0

    04/26/2010 16:51:08:568 NetpGetDnsHostName: Read NV Hostname: VistaVirtual

    04/26/2010 16:51:08:568 NetpGetDnsHostName: PrimaryDnsSuffix defaulted to DNS domain name: dominioX.org

    04/26/2010 16:51:08:578 NetpLsaOpenSecret: status: 0xc0000034

    04/26/2010 16:51:08:588 NetpGetLsaPrimaryDomain: status: 0x0

    04/26/2010 16:51:08:588 NetpLsaOpenSecret: status: 0xc0000034

    04/26/2010 16:51:13:425 NetpJoinDomain: status of setting machine password: 0x0

    04/26/2010 16:51:35:878 NetpGetComputerObjectDn: Unable to bind to DS on '\\AGS-DC04.dominioX.org': 0x6ba

    04/26/2010 16:51:35:878 NetpSetDnsHostNameAndSpn: NetpGetComputerObjectDn failed: 0x6ba

    04/26/2010 16:51:35:918 ldap_unbind status: 0x0

    04/26/2010 16:51:35:918 NetpJoinDomain: status of setting DnsHostName and SPN: 0x6ba

    04/26/2010 16:51:35:918 NetpJoinDomain: initiaing a rollback due to earlier errors

    04/26/2010 16:51:35:918 NetpLsaOpenSecret: status: 0x0

    04/26/2010 16:51:35:938 NetpJoinDomain: rollback: status of deleting secret: 0x0

    04/26/2010 16:51:36:579 NetpJoinDomain: status of disconnecting from '\\AGS-DC04.dominioX.org': 0x0

     

    Posteriormente solicité apoyo a XXXX pudimos observar que en sí estaban existiendo “drops” en la comunicación entre el cliente y el servidor. (ver elemento adjunto)

     

    Después de validarlo en varias equipos con Windows 7 y Vista, decidí eliminar la llave de registro en los DCs XXX.XX.X.XX (DC02) y XXX.XX.X.XZ (DC04) que asignaba el puerto 5955 como comunicación del RPC entre DCs. Y estos fueron los resultados:

     

    04/26/2010 19:42:30:351 NetpDoDomainJoin

    04/26/2010 19:42:30:371 NetpLoadParameters: loading registry parameters...

    04/26/2010 19:42:30:371 NetpLoadParameters: DNSNameResolutionRequired not found, defaulting to '1' 0x2

    04/26/2010 19:42:30:371 NetpLoadParameters: status: 0x2

    04/26/2010 19:42:30:371 NetpValidateName: checking to see if 'dominioX.org' is valid as type 3 name

    04/26/2010 19:42:31:262 NetpCheckDomainNameIsValid [ Exists ] for 'dominioX.org' returned 0x0

    04/26/2010 19:42:31:262 NetpValidateName: name 'dominioX.org' is valid for type 3

    04/26/2010 19:42:31:262 NetpDsGetDcName: trying to find DC in domain 'dominioX.org', flags: 0x40001010

    04/26/2010 19:42:31:433 NetpDsGetDcName: status of verifying DNS A record name resolution for 'AGS-DC04.dominioX.org': 0x0

    04/26/2010 19:42:31:433 NetpDsGetDcName: found DC '\\AGS-DC04.dominioX.org' in the specified domain

    04/26/2010 19:42:32:474 NetpJoinDomain: status of connecting to dc '\\AGS-DC04.dominioX.org': 0x0

    04/26/2010 19:42:33:055 NetpGetLsaPrimaryDomain: status: 0x0

    04/26/2010 19:42:33:055 NetpGetDnsHostName: Read NV Hostname: VistaVirtualN

    04/26/2010 19:42:33:055 NetpGetDnsHostName: PrimaryDnsSuffix defaulted to DNS domain name: dominioX.org

    04/26/2010 19:42:33:065 NetpLsaOpenSecret: status: 0xc0000034

    04/26/2010 19:42:33:065 NetpGetLsaPrimaryDomain: status: 0x0

    04/26/2010 19:42:33:065 NetpLsaOpenSecret: status: 0xc0000034

    04/26/2010 19:42:34:006 NetpManageMachineAccountWithSid: NetUserAdd on '\\DC04.dominioX.org' for 'VISTAVIRTUALN$' failed: 0x8b0

    04/26/2010 19:42:35:358 NetpManageMachineAccountWithSid: status of attempting to set password on '\\AGS-DC04.dominioX.org' for 'VISTAVIRTUALN$': 0x0

    04/26/2010 19:42:35:358 NetpJoinDomain: status of creating account: 0x0

    04/26/2010 19:42:36:410 NetpGetComputerObjectDn: Cracking DNS domain name dominioX.org/ into Netbios on \\DC04.dominioX.org

    04/26/2010 19:42:36:470 NetpGetComputerObjectDn: Crack results: name = DOMINIOX\

    04/26/2010 19:42:36:470 NetpGetComputerObjectDn: Cracking account name DOMINIOX\VISTAVIRTUALN$ on \\DC04.dominioX.org

    04/26/2010 19:42:36:540 NetpGetComputerObjectDn: Crack results: (Account already exists) DN = CN=VISTAVIRTUALN,CN=Computers,DC=dominioX,DC=org

    04/26/2010 19:42:36:600 NetpModifyComputerObjectInDs: Initial attribute values:

    04/26/2010 19:42:36:600            DnsHostName  =  VistaVirtualN.dominioX.org

    04/26/2010 19:42:36:600            ServicePrincipalName  =  HOST/VistaVirtualN.dominioX.org  HOST/VISTAVIRTUALN

    04/26/2010 19:42:36:670 NetpModifyComputerObjectInDs: Computer Object already exists in OU:

    04/26/2010 19:42:36:670            DnsHostName  =

    04/26/2010 19:42:36:670            ServicePrincipalName  =

    04/26/2010 19:42:36:670 NetpModifyComputerObjectInDs: Attribute values to set:

    04/26/2010 19:42:36:670            DnsHostName  =  VistaVirtualN.dominioX.org

    04/26/2010 19:42:36:670            ServicePrincipalName  =  HOST/VistaVirtualN.dominioX.org  HOST/VISTAVIRTUALN

    04/26/2010 19:42:36:770 ldap_unbind status: 0x0

    04/26/2010 19:42:36:770 NetpJoinDomain: status of setting DnsHostName and SPN: 0x0

    04/26/2010 19:42:36:770 NetpGetLsaPrimaryDomain: status: 0x0

    04/26/2010 19:42:36:880 NetpSetLsaPrimaryDomain: for 'DOMINIOX' status: 0x0

    04/26/2010 19:42:36:880 NetpJoinDomain: status of setting LSA pri. domain: 0x0

    04/26/2010 19:42:37:131 NetpJoinDomain: status of managing local groups: 0x0

    04/26/2010 19:42:37:662 NetpJoinDomain: status of setting netlogon cache: 0x0

    04/26/2010 19:42:37:822 NetpJoinDomain: status of setting ComputerNamePhysicalDnsDomain to 'dominioX.org': 0x0

    04/26/2010 19:42:37:912 NetpUpdateW32timeConfig: 0x0

    04/26/2010 19:42:38:092 NetpJoinDomain: status of disconnecting from '\\DC04.dominioX.org': 0x0

     

    Conclusión.

    La llave de registro mencionada estaba afectando en el proceso de integración al dominio. Sin embargo, esta llave no ha sido borrada de todos los DCs del dominio DOMINIOX (sólo se probó en 2 DCs), por lo que mañana se continuará eliminando dicha llave.

     

    En caso de alguna duda, quedo a sus órdenes.

     

    martes, 18 de mayo de 2010 4:36
  • Bueno muchas gracias por responder! Guillermo, te comento que al momento de unir la pc al dominio entra a la parte de validacion de usuario del dominio con privilegios, pero pongo mi nombre de usuario ( soy administrador del dominio, operador de servidores, administrador) y al momento de darle aceptar para que me valide me sale el error. Con esto saco la conclusion de que comunicacion ncon el DC hay pero no la puede unir por algun motivo. yo lo atribuyo a SO del PC cliente.

    RRBA gracias por la ayuda, voy a mirar el archivo NetSetup.log para ver si hay algo raro.

    Saludos!


    Emanuel Weber IT Support
    martes, 18 de mayo de 2010 12:40
  • Está raro el asunto... :-)

    Primro que nada, revisa si la cuenta de máquna fue creada en el dominio. Si fuera así elimínala.

    ¿Puedes probar uniéndola con otro usuario de dominio?

    ¿Esa máquina fue clonada?

    Haz una prueba por vez a ver si nos sacamos la duda.

     


    Guillermo Delprato - MVP-MCT-MCSE-MCSA MCITP: Enterprise/Server Administrator MCTS: Active Directory/Network/Applications Configuration --- Este mensaje se proporciona "como está" sin garantías de ninguna clase. Usted asume todos los riesgos. --- Buenos Aires, Argentina
    martes, 18 de mayo de 2010 22:36
    Moderador
  • Hola Guillermo, la cuenta de la pc no se alcanza a crear.

    Ya probe uniendola con 3 usuariois administradorees distintos y nada.

    La pc no fue clonada.

    Otro dato es que trate de unirla con varios nomres de equipo distinto pero el resultado fue el mismo.

    Como decia mas atras, me inclino por un problema de SO de la pc.

    Saludos.


    Emanuel Weber IT Support
    miércoles, 19 de mayo de 2010 0:18
  • Si, tienes razón, por lo menos a mí no se me ocurre otra opción.

    Siendo un cliente probar reinstalándolo.

    Descarto que lo estás haciendo desde una buena copia o de un medio original :-)

     


    Guillermo Delprato - MVP-MCT-MCSE-MCSA MCITP: Enterprise/Server Administrator MCTS: Active Directory/Network/Applications Configuration --- Este mensaje se proporciona "como está" sin garantías de ninguna clase. Usted asume todos los riesgos. --- Buenos Aires, Argentina
    miércoles, 19 de mayo de 2010 12:02
    Moderador
  • Ok Guillermo, lo que no encontre todavia es el log que me marcaba RRBB mas arriba. Tenes alguna idea de donde esta?

    Saludos!


    Emanuel Weber IT Support
    miércoles, 19 de mayo de 2010 12:06
  • Estimado ,  necesitas  Habilitar el registro de depuración para el servicio Netlogon :

     

    http://support.microsoft.com/kb/109626

    miércoles, 19 de mayo de 2010 17:40
  • Saludos RRBA.

     

    Entiendo que habilitando el registro que mencionas, podre meter al dominio de un server 2008 (no R2) equipos con xp pro sp3?.

     

     

    martes, 15 de junio de 2010 2:50