Почему компьютер не входит в домен?

Question

[My_Second_Nickname]

Пытаюсь ввести машину в домен после переустановки системы. При попытке ввода получаю ошибку "При присоединении к домену net.local произошла следующая ошибка: Не найден сетевой путь.
ОС на машине - Windows 7 Ultimate SP1
ОС КД - Windows Server 2008 r2 standard
Настройки сети прописаны нормально, в качестве днс-сервера указан КД (он же и днс-сервер, и dhcp)
nslookup net.local на проблемной машине выдает правильный адрес КД.
КД пингуется и по адресу, и по имени.
Брандмауэры отключены и на машине и на КД. Антивирусы тоже.
Уже не знаю куда копать.

Comments

[Максим Гришин]

Проверьте записи srv msdcs, есть ли они в домене https://docs.microsoft.com/en-us/troubleshoot/wind...
Проверьте, раздает ли DHCP суффикс сети net.local - как вариант, поиск домена идет слегка криво без него

[My_Second_Nickname]

Максим Гришин, зоны обратного просмотра? Их никогда и не было, но машины всегда без проблем в домен входили
По DHCP - пробовал и вручную выдавать ip (в любом случае так и надо) и автоматически получать - результат тот же.

[Максим Гришин]

My_Second_Nickname, нет, прямого. Там написано:

Active Directory creates its SRV records in the following folders, where is the name of your domain:

Forward Lookup Zones/Domain_Name/_msdcs/dc/_sites/Default-First-Site-Name/_tcp
(и ещё одна)

Зона обратного просмотра виндам особо не нужна.

[My_Second_Nickname]

Максим Гришин, да, есть msdcs.net.local
Настройки сервера не менялись уже давно. Но машина не входит в домен

[Максим Гришин]

My_Second_Nickname, тогда копайте логи, сетевой трафик, наличие в открытом доступе шары netlogon, ещё может что-то, отсюда не видно.

[My_Second_Nickname]

Максим Гришин, какие логи? На КД к логах тишина.
Траффик ходит, я к кд с этой машины даже по rdp спокойно подключился.
Netlogon это сетевой доступ? На машине включен, про КД я уже говорил - он работает давно, настройки не менялись, раньше проблем не было.

[beerchaser]

попробуйте проверить время. различие utc на машинах должно быть не более 5 минут.

[Максим Гришин]

beerchaser, логично и нужно, но там была бы ошибка kerberos вместо unc path not found.

[beerchaser]

была проблема со временем, время было откорректировано таймзоной. на керберос точно не ругалось. вроде как раз выдавало 5 номер.

[My_Second_Nickname]

beerchaser, нет, время проверил, совпадает до минуты, так что дело не в этом.

[Роман Безруков]

старая учетная запись компа в домене осталась ?

[My_Second_Nickname]

Роман Безруков, имя - да. Своей учетки именно у этой машины не было, входили под общей доменной. Имя пробовал ему то же самое выдать - не помогло. IP адрес тоже пробовал и старый, и новый, и автоматический.

[Роман Безруков]

My_Second_Nickname, не, погодите...удалите в AD учетку компа перед его добавлением в домен

[Роман Безруков]

My_Second_Nickname, не, погодите...удалите в AD учетку компа перед его добавлением в домен

[Константин Цветков]

My_Second_Nickname, В домене осталсяSID вашего компьютера. Поэтому нужно удалить учётную запись старого компьютера. Не пользователя, не адрес.

[My_Second_Nickname]

Роман Безруков, а если я не в курсе точно какая именно была учетка у компа? По wireshark вижу что идут запросы от name query NB MANAGER1<00> но такой учетки в AD нет.
И еще есть такие пакеты:
59742 > microsoft-ds [SYN] Seq=0 Win=8192 Len=0 MSS=1460 WS=256 SACK_PERM=1

[Константин Цветков]

My_Second_Nickname, Имя старого компьютера

[My_Second_Nickname]

Константин Цветков, там гораздо больше одного компьютера. Говорю же, вспомнить шас имя этой машины будет практически нереально

[Константин Цветков]

My_Second_Nickname, А это что?

Имя пробовал ему то же самое выдать

[My_Second_Nickname]

Константин Цветков, такое, что я ориентировался на wireshark:
"По wireshark вижу что идут запросы от name query NB MANAGER1<00> но такой учетки в AD нет."
Выше писал

[My_Second_Nickname]

Константин Цветков, ок, зайдем с другой стороны - как. КД понимает что это одна и та же машина? По MAC-адресу? Мб проще тогда его сменить?

[Константин Цветков]

My_Second_Nickname,

вспомнить имя этой машины будет практически нереально

Ищите по дате. Удалите всех давно не входивших. Введённый раньше в домен компьютер сам создаст свою учётную запись.

[My_Second_Nickname]

Константин Цветков, хреновая идея. Есть живые компы, которые давно не входили. А с этой машины до переустановки входили буквально утром.
Опять же - а где отображается когда тот или иной компьютер был в сети? В свойствах не вижу такой инфы.

[My_Second_Nickname]

Константин Цветков, фигня в общем. Шас у компа другая ОС, другой MAC-адрес, другой IP-адрес. И все равно не подключается. Как он еще может определить что это "тот же" компьютер?

[Роман Безруков]

My_Second_Nickname, с проблемного компа доступны NETLOGON и SYSVOL ?

[Roman]

Опять smb1 ?

[My_Second_Nickname]

Отключил принудительно на сервере smb1. Не помогло. Так что врядли

[My_Second_Nickname]

В итоге оказалось что на КД в результате действий трояна было добавлено правило в локальные политики безопасности, которое блокировало ряд портов. После удаления правила соединения с доменом начали работать нормально