none
Не получается завести компьютер в домен RRS feed

  • Вопрос

  • Здравствуйте.

    не могу подключить компьютер в домен.

    есть домен, одна подсеть.

    есть компьютер другой подсети.

    между ними на уровне сети закрыты порты, есть ограничения.

    Нужно подключить этот компьютер в домен который в другой подсети. Какие порты должны быть открыты?

    В DNS настройке компьютера указан и контроллер и DNS домена, пинг есть, между ними открыты порты TCP,UDP 445, 53, 389. Брандмауэр выключен, антивируса нет.

    При подключение пишу полностью FQDN  имя, он запрашивает ввести имя и пароль администратора домена чтоб включить его в домен. Я ввожу пароль, но вылетает ошибка "A domain controller for the domain could not by contacted".

    какие еще порты нужно открыть между компьютером и контроллером домена?

    8 июля 2014 г. 12:33

Ответы

  • ipconfig c кд и проблемной машины? 

    Может это Ваш случай

    Чтобы члены домена Active Directory использовали систему DNS для обнаружения контроллеров домена в доменах, которые находятся в других лесах и имеют DNS-имена, состоящие из одной метки, выполните следующие действия.
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Netlogon\Parameters
    На правой панели окна редактора реестра найдите параметр AllowSingleLabelDnsDomain. Если параметр AllowSingleLabelDnsDomain отсутствует, выполните следующие действия:
    В меню Правка выберите пункт Создать, а затем – Параметр DWORD.
    Укажите в качестве названия параметра AllowSingleLabelDnsDomain и нажмите клавишу ВВОД.
    Дважды щелкните параметр AllowSingleLabelDnsDomain.
    В поле Значение введите 1 и нажмите кнопку ОК.
    Закройте редактор реестра.

    Источник

    http://support.microsoft.com/kb/300684?wa=wsignin1.0

    11 июля 2014 г. 9:48

Все ответы

  • Посмотрите эту тему

    Microsoft Certified Doing Nothing Expert

    8 июля 2014 г. 12:42
  • Попробуй открыть UDP и TCP port 135
    8 июля 2014 г. 12:56
  • Попробуй открыть UDP и TCP port 135

    Для работы RPC (протокола по которому происходит общение с КД) этого недостаточно: это только порт службы отображения конечных точек (чтобы узнать порт для подключения), а нужен ещё порт и сам порт для непосресдственного подключения к нужной службе ("конечной точке"). Обычно этот порт назначается динамически, потому в брандмауэре, который не умеет самостоятельно обрабатывать протокол RPC, должны быть открыты все динамические порты.

    PS А ещё RPC плохо работает, если между клиентом и сервером стоит шлюз с NAT.


    Слава России!

    8 июля 2014 г. 13:26
  • посмотрите 

    Порты, используемые при взаимодействии Active Directory

    http://vovkogon.wordpress.com/2014/05/26/%D0%BF%D0%BE%D1%80%D1%82%D1%8B-%D0%B8%D1%81%D0%BF%D0%BE%D0%BB%D1%8C%D0%B7%D1%83%D0%B5%D0%BC%D1%8B%D0%B5-%D0%BF%D1%80%D0%B8-%D0%B2%D0%B7%D0%B0%D0%B8%D0%BC%D0%BE%D0%B4%D0%B5%D0%B9%D1%81%D1%82%D0%B2

    8 июля 2014 г. 19:42
  • Спасибо за информацию.
  • Открыл все порты

    88, 135, 138, 139,464, 445, 3268,3269, 53, 389.

    Но теперь другая ошибка.

    В домене нет такой имени ПК, я проверил, думал что может имена совпадает с другим компом в домене.

    • Изменено WorkerAnt 9 июля 2014 г. 8:54
  • Для работы службы общего доступа к файлам и принтерам используются порты UDP: 137,138. TCP 139, 445. Как вариант данная ошибка указывает на невозможность клиента подлючиться к тому SYSVOL на DC. А сам DC с проблемного компа доступен по шарам sysvol, netlogon, C$? Ping означает только, что открыт icmp.
    10 июля 2014 г. 12:52
  • Открыл все порты

    88, 135, 138, 139,464, 445, 3268,3269, 53, 389.

    Но теперь другая ошибка.

    В домене нет такой имени ПК, я проверил, думал что может имена совпадает с другим компом в домене.

    Этого недостаточно. Нужно открыть еще и порты динамического диапазона - обращение по RPC к КД использует один из них, заранее неизвестно какой.

    Слава России!

    10 июля 2014 г. 18:09
  • В AD Sites and Services у вас созданы две подсети, и они ассоциированы с одним и тем же сайтом AD?
    11 июля 2014 г. 6:46
  • Здравствуйте.

    не могу подключить компьютер в домен.

    есть домен, одна подсеть.

    есть компьютер другой подсети.

    между ними на уровне сети закрыты порты, есть ограничения.

    Нужно подключить этот компьютер в домен который в другой подсети. Какие порты должны быть открыты?

    какие еще порты нужно открыть между компьютером и контроллером домена?

    Почему порты нужно открывать только между клиентом и dc? Порты нужно открывать на управляемом коммутаторе или маршрутизаторе. Фильтрация именно там настроена. Условно так:

    как пример:

    есть сеть 10.1.0.0/16 в этой сети dc и некоторое количество клиентов

    адрес шлюза (порта управляемого коммутатора или маршрутизатора) 10.1.0.1, адрес dc и dns 10.1.0.2

    сеть 10.2.0.0/16 в этой сети находится проблемный пк с адресом 10.2.0.3

    адрес шлюза на этом клиенте должен быть 10.2.0.1 dns (любой адрес dc).

    проблема, видимо, возникает между подсетями 10.1.0.0 и 10.2.0.0.

    Еще раз спрашиваю, шары SYSVOL, NETLOGON контроллера домена доступны с проблемного компа?

     

    • Изменено raskos05 11 июля 2014 г. 9:22
    11 июля 2014 г. 9:12
  • В AD Sites and Services у вас созданы две подсети, и они ассоциированы с одним и тем же сайтом AD?

    Думаю в данном случае Sites and Services один сайт. И подсеть одна. Просто в организации несколько подсетей. 

    Приведу свой пример.

    Был домен alpha.local с 5-ю подсетями 192.168.1.0/24; 192.168.2.0/24; 192.198.3.0/24.... , 192.168.5.0/24. Сайт один alpha. Просто не хотели менять адресное пространство, а адресов стало не хватать. Вот так и сложилось. 


    • Изменено raskos05 11 июля 2014 г. 9:21
    11 июля 2014 г. 9:21
  • ipconfig c кд и проблемной машины? 

    Может это Ваш случай

    Чтобы члены домена Active Directory использовали систему DNS для обнаружения контроллеров домена в доменах, которые находятся в других лесах и имеют DNS-имена, состоящие из одной метки, выполните следующие действия.
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Netlogon\Parameters
    На правой панели окна редактора реестра найдите параметр AllowSingleLabelDnsDomain. Если параметр AllowSingleLabelDnsDomain отсутствует, выполните следующие действия:
    В меню Правка выберите пункт Создать, а затем – Параметр DWORD.
    Укажите в качестве названия параметра AllowSingleLabelDnsDomain и нажмите клавишу ВВОД.
    Дважды щелкните параметр AllowSingleLabelDnsDomain.
    В поле Значение введите 1 и нажмите кнопку ОК.
    Закройте редактор реестра.

    Источник

    http://support.microsoft.com/kb/300684?wa=wsignin1.0

    11 июля 2014 г. 9:48
  • Здравствуйте.

    не могу подключить компьютер в домен.

    есть домен, одна подсеть.

    есть компьютер другой подсети.

    между ними на уровне сети закрыты порты, есть ограничения.

    Нужно подключить этот компьютер в домен который в другой подсети. Какие порты должны быть открыты?

    какие еще порты нужно открыть между компьютером и контроллером домена?

    Почему порты нужно открывать только между клиентом и dc? Порты нужно открывать на управляемом коммутаторе или маршрутизаторе. Фильтрация именно там настроена. Условно так:

    как пример:

    есть сеть 10.1.0.0/16 в этой сети dc и некоторое количество клиентов

    адрес шлюза (порта управляемого коммутатора или маршрутизатора) 10.1.0.1, адрес dc и dns 10.1.0.2

    сеть 10.2.0.0/16 в этой сети находится проблемный пк с адресом 10.2.0.3

    адрес шлюза на этом клиенте должен быть 10.2.0.1 dns (любой адрес dc).

    проблема, видимо, возникает между подсетями 10.1.0.0 и 10.2.0.0.

    Еще раз спрашиваю, шары SYSVOL, NETLOGON контроллера домена доступны с проблемного компа?

     

    шары SYSVOL, NETLOGON контроллера домена доступны!

    сейчас стараюсь промониторить сетку между ними, при заведении в домен компьютер ломится в другой резервный контроллер, но я в компьютере вручную прописал DNS одного контроллера.

    15 июля 2014 г. 8:09
  • Что вы там прописали в качестве DNS, никакого значения не имеет.

    Компьютер будет "ломиться" на любой случайно выбранный компьютер из одного с ним сайта (или из ближайшего, если в сайте с компьютером КД нет). Если вам нужно, чтобы компьютер обращался к КД из одной с ним подсети, выделите эту подсеть  в другой сайт и переместите (в консоли AD Sites&Services) туда соответствующий КД.


    Слава России!


    • Изменено M.V.V. _ 15 июля 2014 г. 12:49
    15 июля 2014 г. 12:48