NetSetMan Support

Billyboy

Member

Registered: 2016-09-22

Posts: 8

Fehler Domainwechsel: Fehler beim Entfernen des Computers ...

Hi,

wir nutzen NSM 4.2.2 um ein Notebook zwischen zwei AD Domains "umzuhängen".

Fehler im Log:

[0:10] PS Fehler: Add-Computer : Fehler beim Entfernen des Computers "LBEC109801" aus der Domäne "ruixxf.com". Fehlermeldung: Die angegebene Domäne ist nicht vorhanden, oder

Natürlich kann der Domaincontroller der Domain in der das Notebook bislange war (ruixxf.com), nicht erreichbar sein.
Verwendeter Benutzer ist Domain-Admin auf der neuen Domain.
Ich habe in einem anderen, englischen Post etwas von falscher Domainkennung gelesen, dies ist hier auch der Fall (die Domain ruixxf.com ist im Internet erreichbar und wird gleichzeitig im internen Netz verwendet).

Kann das eine Ursache sein und wie lässt es sich beheben? Ich habe Zugriff auf alle DNS, WINS Server und alle AD Controller.

NetSetMan Support

Administrator

Registered: 2005-08-06

Posts: 1,899

Re: Fehler Domainwechsel: Fehler beim Entfernen des Computers ...

Zur Änderung der Domäneneinstellungen werden intern Microsoft Powershell Befehle ausgeführt. Die Fehlermeldung, die Sie an dieser Stelle im Log lesen können, wird lediglich durchgeleitet. Wir halten die dort von MS enthaltenen Fehlerbeschreibungen leider auch nicht immer für optimal formuliert.

Zum Verlassen einer Domäne muss diese selbstverständlich nicht erreichbar sein. Die Fehlermeldung muss vermutlich etwas anders gelesen werden, etwa: "Die alte Domäne konnte nicht verlassen werden, weil die neue nicht betreten werden konnte". Ein System kann keine Domäne verlassen, ohne gleichzeitig eine andere Domäne oder Arbeitsgruppe zu betreten, denn sonst wäre der Zustand undefiniert.

die Domain ruixxf.com ist im Internet erreichbar und wird gleichzeitig im internen Netz verwendet

Weshalb verwenden Sie eine globale, nicht vorhandene Adresse als lokale Domäne?
Ist die neue, zu verbindende Domäne ebenfalls in dieser Art? Leider ist der Log-Auszug unvollständig, weshalb wir hierüber nur mutmaßen können. Bitte geben Sie stets vollständige Logs an. Sofern dort Informationen enthalten sind, die Sie nicht öffentlich angeben möchten, können Sie uns den Log gerne auch per Email-Anhang zusenden.

Billyboy

Member

Registered: 2016-09-22

Posts: 8

Re: Fehler Domainwechsel: Fehler beim Entfernen des Computers ...

Hallo Support, vielen Dank für die Antwort.

die Domain ruixxf.com ist im Internet erreichbar und wird gleichzeitig im internen Netz verwendet

Weshalb verwenden Sie eine globale, nicht vorhandene Adresse als lokale Domäne?

Die global Domain ist vorhanden und erreichbar, ich habe nur aus Datenschutzgründen den Namen geändert.

...Ist die neue, zu verbindende Domäne ebenfalls in dieser Art?

Nein, die neue Domain ist mit .local bezeichnet

Leider ist der Log-Auszug unvollständig, weshalb wir hierüber nur mutmaßen können. Bitte geben Sie stets vollständige Logs an. Sofern dort Informationen enthalten sind, die Sie nicht öffentlich angeben möchten, können Sie uns den Log gerne auch per Email-Anhang zusenden.

Das vollständige Log send ich Ihnen per mail.

Ich habe zwischenzeitlich versucht, das Notebook manuell in der neue Domain hinzuzufügen.
Dabei habe ich folgende Fehlermeldung erhalten:

Bei dem Versuch der Domäne "xyz.abc" beizutreten, trat der folgende Fehler auf: Das System hat eine mögliche Sicherheitsgefahr festgestellt. Stellen Sie sicher, dass Sie mit dem Server, der Sie authentifiziert hat, Verbindung aufnehmen können.

Nach Bestätigung dieser Fehlermeldung wurde das Notebook trotzdem korrekt der Domain hinzugefügt .

Zwei Besonderheiten diese Notebooks:
1) Auf der Ursprungs-Domain wird exzessiv mit GPOs gearbeitet.
2) Es ist ein Tool namens "Wireless Autoswitch XPV", Hersteller "Sase Sham, Inc.",  auf diesem Notebook vorinstalliert.

Vielen Dank im voraus!

NetSetMan Support

Administrator

Registered: 2005-08-06

Posts: 1,899

Re: Fehler Domainwechsel: Fehler beim Entfernen des Computers ...

Die global Domain ist vorhanden und erreichbar, ich habe nur aus Datenschutzgründen den Namen geändert.

Ihren zugesendeten Logs konnten wir nun die korrekte Domäne entnehmen. rui**f.com existiert damit zwar nun, ist aber ein Webserver und kein Domänencontroller. Dies mag im internen Netzwerk anders sein, aber wenn diese lokale Domäne intern nicht verfügbar ist, aber stattdessen global eine Rückmeldung von einem Webserver kommt, dass dort kein DC existiert, dann sind Probleme vorprogrammiert.
Andererseits passt dies alles nicht zum zugesendeten Log, denn dort versuchen Sie sich zu "rui**f" (ohne ".com") zu verbinden. Es ist nicht möglich, Bestandteile der Domäne einfach wegzulassen. Kommen mehrere Fehlerquellen gleichzeitig zusammen, ist es umso schwieriger, Fehlermeldungen korrekt zu interpretieren. Achten Sie deshalb bitte darauf, die richtigen Bezeichnungen an allesn Stellen zu verwenden.

...Ist die neue, zu verbindende Domäne ebenfalls in dieser Art?

Nein, die neue Domain ist mit .local bezeichnet

Das widerspricht ebenfalls dem zugesendeten Log. Demnach versuchen Sie die Domäne "la***hl.local.de" zu verlassen. local.de ist eine globale Adresse, die offenbar zum Verkauf steht. Registriert diese jemand und setzt dort einen DC auf, wird er Ihre Login-Daten dort empfangen. Es ist sehr gefährlich und falsch, globale Adressen, die einem nicht gehören, für eine lokale Domäne zu verwenden.

Ich habe zwischenzeitlich versucht, das Notebook manuell in der neue Domain hinzuzufügen.
Dabei habe ich folgende Fehlermeldung erhalten:

Bei dem Versuch der Domäne "xyz.abc" beizutreten, trat der folgende Fehler auf: Das System hat eine mögliche Sicherheitsgefahr festgestellt. Stellen Sie sicher, dass Sie mit dem Server, der Sie authentifiziert hat, Verbindung aufnehmen können.

Nach Bestätigung dieser Fehlermeldung wurde das Notebook trotzdem korrekt der Domain hinzugefügt .

Diese Fehlermeldung sollte Ihnen allen Grund geben, Ihre Domänen-Namensgebungen dringend zu überdenken. Dass die Verbindung dennoch hergestellt wird, ist überraschend, sollte Sie aber keineswegs dazu animieren, davon auszugehen, dass es dann korrekt ist. Windows weist Sie nicht ohne Grund auf eine Sicherheitsgefahr (!) hin.

Zwei Besonderheiten diese Notebooks:
1) Auf der Ursprungs-Domain wird exzessiv mit GPOs gearbeitet.
2) Es ist ein Tool namens "Wireless Autoswitch XPV", Hersteller "Sase Sham, Inc.",  auf diesem Notebook vorinstalliert.

Zu 1) Beachten Sie bitte unseren FAQ-Eintrag zu dem Thema: www.netsetman.com/faqdomain
Die Berechtigung „Add Workstation to Domain“ muss vorhanden sein.
Zu 2) Wir sehen hier keinen Zusammenhang, kennen die andere Software aber nicht. Es sollte keine Rolle spielen.

Wir empfehlen ganz stark, als allererstes die Domänenstrukturen in Ordnung zu bringen. Das Verwenden von globalen Adressen, die entweder auf einen Webserver verweisen oder einem gar nicht gehören, ist nicht richtig.
Es gibt grundsätzlich zwei Möglichkeiten, der korrekten Domänen-Namensgebung:
1) Eine globale, für den DC dediziert zugeteilte URI, die einem selbst gehört. z.B.:
dc.rui**f.com
2) Eine global nicht existente URI. z.B.:
rui**f.local

Bitte haben Sie Verständnis dafür, dass diese Erläuterungen über unsere Software hinaus gehen, sodass wird hier nur die richtigen Ansatzpunkte geben können, aber keine ausführlichen Beschreibungen. Sie finden zum Thema Domänen-Namensgebung zahlreiche Anleitungen sowie Problembeschreibungen.

Billyboy

Member

Registered: 2016-09-22

Posts: 8

Re: Fehler Domainwechsel: Fehler beim Entfernen des Computers ...

Vielen Dank für die schnelle und kompetente Ausführung! Die Namensgebung der Domänen war bereits vor meiner Zeit implementiert. Laut meiner Erfahrung und Recherche ist eine Umbenennung der Domänen eine Mammutaufgabe (50 Server, Exchange 2010 und 20 Appliances/Firewall/Proxy etc.), zudem beim Einsatz von Exchange nicht durch Microsoft supportet.

Habe ich die Möglichkeite eines Workarounds?
Ich habe Zugriff auf interne DNS Server sowie bei der Domain rui**f.com auch auf den globalen DNS Server.

Würde ein "a" record mit der internen IP des DC bei rui**f.com und ein Eintrag im internen DNS für la***hl.local.de helfen?
Oder ein Eintrag in der Hosts Datei? Evtl. sogar mit dem NSM-Hosts Feature (oder wird diese erst nach dem Domain-join geladen)?

Vielen Dank im Voraus!

NetSetMan Support

Administrator

Registered: 2005-08-06

Posts: 1,899

Re: Fehler Domainwechsel: Fehler beim Entfernen des Computers ...

Wir können bei der Klärung dieser Frage leider nur bedingt weiterhelfen, weil dies über die Expertise zu unserer Software hinausgeht. Ihr Ansatz wäre auch unsere erste Idee, wobei Sie bedenken sollten, dass der DNS-Eintrag für die Nutzer nur dann greift, wenn sich diese auch in dem Netzwerk befinden. Befindet sich der Nutzer außerhalb dieses DNS, versucht sich aber in die la***hl.local.de Domäne einzuloggen, werden die Login-Daten wiederum an diesen fremden Server gesendet. Durch lokale Hosts-Einträge können Sie dies ebenfalls steuern, müssen die Änderungen dann aber natürlich lokal für jeden Benutzer durchführen, kontrollieren und bei Änderungen entsprechend anpassen. Da es sich um dauerhafte Hosts-Einträge handelt, die Sie nicht regelmäßig umschalten möchten, sollten Sie diese direkt einpflegen und nicht über die Hosts-Funktion in NetSetMan.

Beachten Sie, dass dies alles nur Behelfslösungen sind. Neben einer falschen Namensgebung (rui**f.com) liegt hier auch ein Sicherheitsproblem (la***hl.local.de) vor. Selbst wenn Sie die Situation durch die Workarounds für den Moment verbessern können, schlagen solche Probleme irgendwann zu einem schlechtestmöglichen Zeitpunkt wieder auf.