none
无法加入Active Directory,更新计算机账号的dnshostName和/或servicePrincipalName (SPN)属性失败 RRS feed

  • 问题

  • 各位好

    我的客户端电脑与AD在不同地区不同网段,两地区通过VPN设备互连内部网络,在加入AD时出现以下错误,


    确认能与AD服务器器Ping通,正常通讯,第一DNS也指向AD服务器,请教有这个该如何解决,谢谢。


    honwing


    • 已移动 Manu Meng 2019年9月6日 8:05 relocate
    • 已编辑 honwing 2019年9月11日 8:35 修改图片
    2019年9月6日 6:24

答案

  • Hello William,

    我这意外发现跟DNS Server有关,我先到DNS服务器增加这台电脑的A记录后,就能加入正常了。

    只是先前不用做这个先增加A记录的动作,不知到这个点还有没其他的解决方案,是不是我的DNS服务器出问题了,谢谢。

    best regards,


    honwing

    你好,

    你在客户端上配置的DNS服务器是不是指向你环境中的域控制器?通常情况下我们是将客户端的DNS服务器指向我们的域控制器。

    如果是域控制器的话,那么DNS记录应该是会自动注册的,而不需要我们手动添加。对于现在的情况,你可以先查看一下DNS服务器的动态更新设置以及安全设置。

    "动态更新"选项应为“安全”,而安全设置中,Authenticated Users 组需要有“创建所有子对象”的权限。

    Best Regards,

    William


    Please remember to mark the replies as answers if they help.
    If you have feedback for TechNet Subscriber Support, contact tnmff@microsoft.com.


    2019年9月12日 7:41
    版主

全部回复

  • 您好,

    根据您的描述,您的问题是使用VPN连接到内网的客户端在加域时报上述错误。鉴于本论坛主要讨论与Exchange服务器相关的问题,而您的问题更多的偏向于Window Server AD方向,为了更好的帮助您解决问题,我会将这个帖子移动到正确的论坛。移动成功后,会有其他的工程师协助您处理这个问题。

    感谢您的理解!

    此致,

    Manu Meng


    如果以上回复对您有所帮助,建议您将其“标记为答复”. 如果您对我们的论坛支持有任何的建议,可以通过此邮箱联系我们:tnsf@microsoft.com.

    2019年9月6日 8:04
  • 不好意思 ,没注意发错版块了,谢谢您。


    honwing

    2019年9月6日 9:03
  • 你好,

    你在帖子中提到,客户端的DNS指向了域控制器,并且可以ping通域控制器,但是客户端还需要可以正常访问域控制器的其他一些端口,比如TCP 88,137,139,389,445等,所以还请确认AD所需要的端口都可以正常通信。

    https://docs.microsoft.com/en-us/previous-versions/windows/it-pro/windows-server-2008-R2-and-2008/dd772723(v=ws.10)

    此外,根据你提供的报错截图,建议你同时在域控制器上检查计算机所在OU以及计算机对象的安全设置,确保SELF具有“已验证的到DNS主机名的写入” 和“已验证的到服务主题名称的写入”权限,如下图:

    Best Regards,

    William


    Please remember to mark the replies as answers if they help.
    If you have feedback for TechNet Subscriber Support, contact tnmff@microsoft.com.


    2019年9月6日 9:35
    版主
  • 您好

    感谢您的回复,我在客户端逐一测试这些必要端口都能正常通讯。

    另外客户端计算机名是在正常加入域后,才会出现在AD的Computers里,

    目前又无法预先在这OU上面先新增计算机,会跳出以下错误:


    然后直接在Computers的安全设置里面的Self设为完全控制,加入域时故障仍一样


    或是在AD新建立OU,Self设置完全控制,再手动添加计算机会出图1、图2的错误,

    加入域也是同样的错误信息。


    honwing


    • 已编辑 honwing 2019年9月11日 8:39
    2019年9月7日 3:37
  • 你好,
    我在上面提到的SELF的权限是应用给计算机对象的,通常这些权限会从域基本继承下来,而不需要我们手动设置。
    你直接在Computers容器给SELF设置完全控制权限的话,这些权限只是应用给了Computers这个容器之上,并不会应用给计算机对象。
    因此,我们应该点击Computers容器或者其他OU安全选项卡中的“高级”按钮,以进行进一步确认。
    下面截图是我实验环境中的默认安全设置,供你参考:

    1. 首先,我们要确认权限继承是出于启用的状态,左下角的按钮应为“禁用继承”,权限列表里没有类型为“拒绝”的权限条目。
    2. 前面9条为新创建OU默认就会有的权限设置,但是你环境中有部署Exchange,因此你环境中的权限条目应该以我截图中的权限条目为基础,再加上Exchange组的权限。
    3. 下面蓝色线条圈出来的这部分是从域级别继承下来的权限,其中包含我提到的SELF对于计算机对象的权限,你的环境中至少需要有我截图中列出的这些权限条目。

    Best Regards,
    William


    Please remember to mark the replies as answers if they help.
    If you have feedback for TechNet Subscriber Support, contact tnmff@microsoft.com.

    2019年9月9日 7:22
    版主
  • 您好

    非常感谢您的耐心回复,我1~3问题点逐一确认,并照附档清单一一对照过,确认修改到一至,然后再常识加入仍然失败,不知还有没其他原因 。谢谢。


    honwing

    2019年9月11日 15:06
  • 你好,

    抱歉,除了上面说的那些,我暂时想不到其他可能导致该错误的地方。

    鉴于这个问题可能对你们公司会有比较大的影响,我建议你可以联系贵公司的系统集成商或者微软企业技术支持团队寻求更专业的支持。因为对于这个问题,远程或者现场排查会更加方便。

    https://support.microsoft.com/zh-cn/supportforbusiness/requests

    Best Regards,

    William


    Please remember to mark the replies as answers if they help.
    If you have feedback for TechNet Subscriber Support, contact tnmff@microsoft.com.


    2019年9月12日 1:16
    版主
  • Dear William

    非常感谢感谢您的解答与指导,再次谢谢。

    best regards,


    honwing

    2019年9月12日 4:26
  • 非常好,我收藏了!
    2019年9月12日 5:33
  • 你好 honwing,

    不用谢。

    若有其他可以帮到你的地方,你可以随时在我们论坛发帖咨询。

    Best Regards,

    William


    Please remember to mark the replies as answers if they help.
    If you have feedback for TechNet Subscriber Support, contact tnmff@microsoft.com.


    2019年9月12日 5:59
    版主
  • Hello William,

    我这意外发现跟DNS Server有关,我先到DNS服务器增加这台电脑的A记录后,就能加入正常了。

    只是先前不用做这个先增加A记录的动作,不知到这个点还有没其他的解决方案,是不是我的DNS服务器出问题了,谢谢。

    best regards,


    honwing

    2019年9月12日 6:52
  • Hello William,

    我这意外发现跟DNS Server有关,我先到DNS服务器增加这台电脑的A记录后,就能加入正常了。

    只是先前不用做这个先增加A记录的动作,不知到这个点还有没其他的解决方案,是不是我的DNS服务器出问题了,谢谢。

    best regards,


    honwing

    你好,

    你在客户端上配置的DNS服务器是不是指向你环境中的域控制器?通常情况下我们是将客户端的DNS服务器指向我们的域控制器。

    如果是域控制器的话,那么DNS记录应该是会自动注册的,而不需要我们手动添加。对于现在的情况,你可以先查看一下DNS服务器的动态更新设置以及安全设置。

    "动态更新"选项应为“安全”,而安全设置中,Authenticated Users 组需要有“创建所有子对象”的权限。

    Best Regards,

    William


    Please remember to mark the replies as answers if they help.
    If you have feedback for TechNet Subscriber Support, contact tnmff@microsoft.com.


    2019年9月12日 7:41
    版主
  • Hi William

    问题已解决,真的非常感谢您的指导。

    Best regards,


    honwing

    2019年9月15日 9:09
  • 你好,

    不用谢!很高兴可以帮到你。

    如果你在使用过程中遇到其他问题需要帮助,你可以随时在我们论坛发帖咨询。

    Best Regards,

    William


    Please remember to mark the replies as answers if they help.
    If you have feedback for TechNet Subscriber Support, contact tnmff@microsoft.com.

    2019年9月17日 7:32
    版主