Notitie
Voor toegang tot deze pagina is autorisatie vereist. U kunt proberen u aan te melden of de directory te wijzigen.
Voor toegang tot deze pagina is autorisatie vereist. U kunt proberen de mappen te wijzigen.
Deze handleiding bevat de basisconcepten die worden gebruikt bij het oplossen van problemen met het toevoegen van een Active Directory-domein.
Controlelijst voor probleemoplossing
Domain Name System (DNS): wanneer u een probleem ondervindt bij het toevoegen van een domein, is DNS een van de eerste dingen die u moet controleren. DNS is het hart van Active Directory (AD) en zorgt ervoor dat alles correct werkt, inclusief domeindeelname. Controleer of de volgende zaken aanwezig zijn:
- DNS-serveradressen zijn juist.
- De zoekvolgorde voor DNS-achtervoegsels is juist als er meerdere DNS-domeinen worden gebruikt.
- Er zijn geen verouderde of dubbele DNS-records die verwijzen naar hetzelfde computeraccount.
- Omgekeerde DNS verwijst niet naar een andere naam dan het A-record.
- De domeinnaam, domeincontrollers (DC's) en DNS-servers kunnen worden gepingd.
- Controleer op DNS-recordconflicten voor de specifieke server.
Netsetup.log: het Netsetup.log-bestand is een waardevolle resource wanneer u een probleem met een domeindeelname oplost. Het bestand netsetup.log bevindt zich in C:\Windows\Debug\netsetup.log.
Netwerktracering: tijdens een AD-domeindeelname vinden meerdere soorten verkeer plaats tussen de client en sommige DNS-servers en vervolgens tussen de client en sommige DC's. Als u een fout ziet in een van het bovenstaande verkeer, volgt u de bijbehorende stappen voor probleemoplossing van dat protocol of onderdeel om dit te beperken. Zie Netsh gebruiken voor het beheren van traceringen voor meer informatie.
Wijzigingen in het versterken van domeinlidmaatschap: Windows-updates die zijn uitgebracht op en na 11 oktober 2022, bevatten extra beveiligingsmaatregelen die zijn geïntroduceerd door CVE-2022-38042. Deze beveiliging voorkomt opzettelijk dat domeindeelnamebewerkingen een bestaand computeraccount in het doeldomein hergebruiken, tenzij een van de volgende voorwaarden bestaat:
- de gebruiker die de bewerking probeert uit te voeren, is de maker van het bestaande account.
- De computer is gemaakt door een lid van domeinadministrators.
Zie voor meer informatie KB5020276—Netjoin: verhardingswijzigingen bij domeindeelname.
Poortvereisten
De volgende tabel bevat de poorten die moeten worden geopend tussen de clientcomputer en de DC.
| Poort | protocol | Toepassingsprotocol | Systeemservicenaam |
|---|---|---|---|
| 53 | TCP | DNS (Domeinnaamsysteem) | DNS-server |
| 53 | UDP (User Datagram Protocol) | DNS (Domeinnaamsysteem) | DNS-server |
| 389 | UDP (User Datagram Protocol) | DC-locator | LSASS |
| 389 | TCP | LDAP-server | LSASS |
| 88 | TCP | Kerberos | Kerberos-sleuteldistributieserver |
| 135 | TCP | RPC | RPC-eindpunttoewijzer |
| 445 | TCP | MKB | LanmanServer |
| 1024-65535 | TCP | RPC | RPC Endpoint Mapper voor DSCrackNames, SAMR- en Netlogon-aanroepen tussen client en domeincontroller |
Bekende problemen en oplossingen
| Foutcode voor domeinlidmaatschap | Oorzaak | Gerelateerd artikel |
|---|---|---|
| 0x569 | Deze fout treedt op omdat het gebruikersaccount voor domeintoetreding niet de gebruikersrechten Toegang tot deze computer vanuit het netwerk heeft op de domeincontroller (DC) die de domeintoetredingsbewerking afhandelt. | Foutcode voor probleemoplossing 0x569: De gebruiker heeft het gevraagde aanmeldingstype op deze computer niet gekregen |
| 0xaac of 0x8b0 | Deze fout treedt op wanneer u probeert een bestaande computeraccountnaam te gebruiken om een computer aan een domein toe te voegen. | Foutcode oplossen 0xaac: Fout wanneer u een bestaand computeraccount gebruikt om lid te worden van een domein |
| 0x6BF of 0xC002001C | Deze fout treedt op wanneer een netwerkapparaat (router, firewall of VPN-apparaat) netwerkpakketten weigert tussen de client die wordt toegevoegd en de domeincontroller (DC). | Problemen met statuscode 0x6bf of 0xc002001c oplossen: de aanroep van de externe procedure is mislukt en is niet uitgevoerd |
| 0x6D9 | Deze fout treedt op wanneer de netwerkverbinding is geblokkeerd tussen de deelnemende client en de domeincontroller (DC). | Foutcode voor probleemoplossing 0x6D9 'Er zijn geen eindpunten meer beschikbaar via de eindpuntmapper' |
| 0xa8b | Deze fout treedt op wanneer u een werkgroepcomputer toevoegt aan een domein. | Foutcode 0xa8b oplossen: Een poging om de DNS-naam van een domeincontroller in het domein waarvan lid wordt gemaakt, op te lossen, is mislukt |
| 0x40 | Het probleem heeft te maken met het ophalen van Kerberos-tickets voor een SMB-sessie (Server Message Block). | Foutcode voor probleemoplossing 0x40 "De opgegeven netwerknaam is niet meer beschikbaar" |
| 0x54b | Deze fout treedt op omdat er geen contact kan worden opgenomen met het opgegeven domein, wat wijst op problemen met het lokaliseren van domeincontrollers (DC's). | Problemen met foutcode 0x54b oplossen |
| 0x0000232A | Deze fout geeft aan dat de naam van het Domain Name System (DNS) niet kan worden opgelost. | Problemen met foutcode 0x0000232A oplossen |
| 0x3a | Deze fout treedt op wanneer de clientcomputer geen betrouwbare netwerkverbinding heeft op de TCP 389-poort (Transmission Control Protocol) tussen de clientcomputer en de domeincontroller (DC). | Probleemoplossing statuscode 0x3a: De opgegeven server kan de gevraagde bewerking niet uitvoeren |
| 0x216d | Deze fout treedt op wanneer het gebruikersaccount de limiet van 10 computers heeft overschreden die kunnen worden toegevoegd aan het domein, of wanneer een groepsbeleid voorkomt dat gebruikers toegang krijgen tot computers aan het domein. | Probleemoplossing statuscode 0x216d: Uw computer kan niet worden toegevoegd aan het domein |
Andere fouten die optreden wanneer u Windows-computers aan een domein koppelt
Zie voor meer informatie:
Gegevensverzamelingen voor problemen met domeindeelname
De volgende logboeken kunnen helpen om problemen met domeindeelname op te lossen:
Netsetup-logboek
Dit logboekbestand bevat de meeste informatie over activiteiten voor domeindeelname. Het bestand bevindt zich op de clientcomputer op%windir%\debug\netsetup.log.
Dit logboekbestand is standaard ingeschakeld. U hoeft deze niet expliciet in te schakelen.Netwerktracering
De netwerktracering bevat de communicatie tussen de clientcomputer en relatieve servers, zoals DNS-servers en domeincontrollers via het netwerk. Deze moet worden verzameld op de clientcomputer. Meerdere hulpprogramma's kunnen netwerktraceringen verzamelen, zoals Wireshark, netsh.exe die is opgenomen in alle Windows-edities.
U kunt elk logboek afzonderlijk verzamelen. U kunt ook enkele hulpprogramma's van Microsoft gebruiken om ze allemaal samen te verzamelen. Volg hiervoor de stappen in de volgende secties.
Handmatig verzamelen
- Download en installeer Wireshark op de clientcomputer die lid moet worden van het AD-domein.
- Start de toepassing met beheerdersbevoegdheden en begin vervolgens met vastleggen.
- Probeer met het AD-domein te verbinden om de fout te reproduceren. Noteer het foutbericht.
- Stop met vastleggen in de app en sla de netwerktracering op in een bestand.
- Verzamel het netsetup.log-bestand dat zich bevindt op %windir%\debug-\netsetup.log.
Verificatiescripts gebruiken
Verificatiescripts is een lichtgewicht PowerShell-script dat door Microsoft is ontwikkeld om logboekverzameling te vereenvoudigen voor het oplossen van problemen met betrekking tot verificatie. Voer de volgende stappen uit om deze te gebruiken:
Downloaden verificatiescripts op de client-computer. Pak de bestanden uit naar een map.
Start een PowerShell-venster met beheerdersbevoegdheden. Ga naar de map met de uitgepakte bestanden.
Voer start-auth.ps1 uit, accepteer de EULA als hierom wordt gevraagd en sta de uitvoering toe als u wordt gewaarschuwd voor een niet-vertrouwde uitgever.
Opmerking
Zie about_Execution_Policies als de scripts niet mogen worden uitgevoerd vanwege uitvoeringsbeleid.
Nadat de opdracht succesvol is voltooid, probeert u om het AD-domein aan te sluiten om de fout te reproduceren. Noteer het foutbericht.
Voer stop-auth.ps1 uit en sta de uitvoering toe als je wordt gewaarschuwd voor een niet-vertrouwde uitgever.
Logboekbestanden worden opgeslagen in de submap authlogs , waaronder het Netsetup.log logboek en het netwerktracebestand (Nettrace.etl).
TSS-hulpprogramma gebruiken
TSS-hulpprogramma is een ander hulpprogramma dat door Microsoft is ontwikkeld om het verzamelen van logboeken te vereenvoudigen. Voer de volgende stappen uit om deze te gebruiken:
Download het TSS-hulpprogramma op de clientcomputer. Pak de bestanden uit naar een map.
Start een PowerShell-venster met beheerdersbevoegdheden. Ga naar de map met de uitgepakte bestanden.
Voer de volgende opdracht uit:
TSS.ps1 -scenario ADS_AUTH -noSDP -norecording -noxray -noupdate -accepteula -startnowaitAccepteer de gebruiksrechtovereenkomst als hierom wordt gevraagd en sta de uitvoering toe als wordt gewaarschuwd voor een niet-vertrouwde uitgever.
Opmerking
Zie about_Execution_Policies als de scripts niet mogen worden uitgevoerd vanwege uitvoeringsbeleid.
Het uitvoeren van de opdracht duurt enkele minuten. Nadat de opdracht succesvol is voltooid, probeer u opnieuw lid te worden van het AD-domein om de fout te reproduceren. Noteer het foutbericht.
Voer
TSS.ps1 -stopuit en sta de uitvoering toe als u wordt gewaarschuwd voor een niet-vertrouwde uitgever.Logboekbestanden worden opgeslagen in de submap C:\MS_DATA en zijn al gezipt. De ZIP-bestandsnaam volgt de indeling van TSS_<hostname>_<date-time><>-ADS_AUTH.zip.
Het zip-bestand bevat de Netsetup.log en de netwerktracering. Het netwerktraceringsbestand heet <hostname>_<date>-<time>-Netsh_packetcapture.etl.