내부 오류로 인해 도메인에 시스템 추가가 실패함

tag-icon tag-icon active-directory powershell vmware-vsphere windows-server-2019 packer
내부 오류로 인해 도메인에 시스템 추가가 실패함

winrm을 활성화하고, 방화벽을 비활성화하고, 원격을 활성화하고, winrm에 대한 GPO를 활성화하고, SMBv1을 활성화하고 문제 해결을 위해 먼저 업데이트를 완료했지만 여전히 오류가 발생합니다. DC에도 ping을 보낼 수 있습니다.

내가 얻는 오류는 다음과 같습니다.

Add-Computer: Computer "server2019' failed to join domain 'dev.domain.com' from its current workgroup 'WORKGROUP' with following error message: An internal error occurred.
At line:1 char:1
Add-Computer -DomainName dev.domain.com -OUPath "OU=$OU,dc=dev,dc=domain,dc=com" ...

CategorvInfo :Operation5topped: (server2019:5tring) [Add-Computer]
. InvalidoperationException
+ FullvOualifiedErrorId:FailToJoinDomainFromworkgroup,Microsoft.PowerShell.Commands.AddComputerCommand

조인을 수행하는 스크립트 부분은 다음과 같습니다.

     [String]$OU,
     [PSCredential]$Credential
     )
    
 $ErrorActionPreference="SilentlyContinue"
 Stop-Transcript | out-null
 $ErrorActionPreference = "Continue"
    
    
 if ([Environment]::UserInteractive) {
     if (!$OU) { $OU = Read-Host "Enter Resource Pool Name (exactly as appears in vCenter inventory)" }
     if (!$Credential) { $Credential = Get-Credential -Message "Enter dev domain credentials" }
 }
    
 # Add Computer to Dev domain
    
 try {
     Add-Computer -DomainName dev.domain.com -OUPath "OU=$OU,dc=dev,dc=domain,dc=com" -ErrorAction stop -Credential $Credential
     }
 catch {
     Write-Warning "Failed to join to domain."
         Read-Host -Prompt "Press Enter to exit"
     Throw $_
     }

PS C:\Windows\ system32> nltest.exe/dsgetdc:dev.domain.com
DC: \\devad02.dev.domain.com
Address: \\10.1.214.29
Do Guid: ae3bef55-dd18-4598-b809-2058516e6abl
Dom Name: dev.domain.com
Forest Name: dev.domain.com
De Site Name: SITE
Our Site Name: SITE
Flags: GC DS LDAP KDC TIMESERV WRITABLE DNS_DC DNS_DOMAIN DNS_FOREST CLOSE_SITE FULL_SECRE
TWS D5_8 D5_9 D5_10 0x20000
The command completed successfully

편집: 서버 관리자가 NetJoin에 대한 오류 이벤트를 표시하여 오류 코드 1359를 표시했습니다. 실행해 보았습니다.

nltest /dclist:MYDOMAIN그리고 다음을 얻었습니다: You don't have access to DsBind to dev.domain.com

나는 또한 running: 을 시도했고 nltest /server:UserSyncServer /sc_reset:domain\devdc다음을 얻었습니다:I_NetLogonControl failed: Status = 1722 0x6ba RPC_S_SERVER_UNAVAILABLE

답변1

Microsoft는 도메인 컨트롤러의 MsDS-SupportedEncryptionTypes를 RC4에서 AES로 변경할 것을 제안했지만 나에게 효과가 있었던 것은 나가는 DC와 전이적인 DC 간의 신뢰를 제거하고 다시 추가하는 것이었습니다.

답변2

이 솔루션은 저에게 효과적입니다. DC 레지스터에서 AllwNt4Crypto 비활성화 https://learn.microsoft.com/es-mx/services-hub/health/remediation-steps-ad/disable-the-allownt4crypto-setting-on-all-affected-domain-controllers

관련 정보