Update: Имя домена - это одно слово. Какая-то проблема с таким именем. Всё заработало после добавления ключа реестра как написано тут:
https://www.wincert.net/networking/cant-join-pc-to...
Почему ПК не добавлялся только из vlan 2, я не понял. Как раньше это работало - тоже. Возможно через WINS-сервер, который я не стал поднимать после переустановки DC.
Месяца два назад обновлял DC до Windows Server 2019 с 2012 - это единственное что менялось. И, вроде, все работало с тех пор пока на прошлой неделе не появилась проблема со вводом компьютеров в домен.
Есть AD с двумя DC, есть L3-свитч, маршрутизирующий две vlan без каких-либо ограничений. Сейчас невозможно добавить в домен компьютеры из vlan 2 - выводит ошибку регистрации с советами чинить DNS. Пинг есть между ПК и DC в обе стороны. Если ПК переткнуть в vlan 1, то он сразу заводится в домен. Имеющиеся в vlan 2 компьютеры продолжают работать как работали.
Cообщение об ошибке при вводе в домен:
"Вероятно, доменное имя "domain_name" является NetBIOS-именем домена. Проверьте, что имя домена правильно зарегистрировано в WINS.
Если это имя не является NetBIOS-именем домена, следующие сведения помогут исправить ошибку в конфигурации DNS.
DNS успешно запросила запись ресурса размещения службы (SRV), используемой для нахождения контроллера домена Active Directory для домена "domain_name":
Опрос проводился для SRV-записи для _ldap._tcp.dc._msdcs.domain_name
Этим запросом были идентифицированы следующие контроллеры домена Active Directory:
DC1.kbe21veka
DC2.kbe21veka
К возможным причинам этой ошибки относятся:
- Записи узлов (A) или (AAAA) , которые сопоставляют имя контроллера домена Active Directory его IP-адресам, утеряны или содержат неправильные адреса.
- Контроллеры доменов Active Directory, зарегистрированные в DNS, не подключены к сети или не запущены."
ПК называется notebook75, его IP 192.168.1.36 (если он в vlan 1) и 192.168.12.57 (если он в vlan 2).
DC 1- 192.168.1.250, DC2 - 192.168.1.252.
Трафик записан на DC 192.168.1.250, когда на ПК я нажимаю "Ввести в домен":
Команды с ПК:
nltest /dsgetdc: - Не удалось получить имя контроллера домена. Ошибка 1355 0x54b ERROR_NO_SUCH_DOMAIN
nltest /dnsgetdc: - Сбой DNS-сервера. Ошибка 9002 0x212a DNS_ERROR_RCODE_SERVER_ERROR
nltest /dclist: - Не удается найти контроллер домена для получения с него списка контроллеров домена. Status 1355 0x54b ERROR_NO_SUCH_DOMAIN
Test-NetConnection DC1 -port 53 (а также 135, 389, 636, 88) - OK
В Wireshark видно (№985), что когда ПК в vlan 1, DC ему отвечает "пользователь неизвестен", и на ПК выводится предложение ввести логин/пароль юзера с правами на добавление в домен. Когда ПК в vlan 2, этого ответа нет, и выводится ошибка добавления в домен.
DHCP-настройки для двух vlan такие:
WINS-серверы были раньше подняты на обоих DC. Но после переустановки я их уже не поднимал. На DC1 в свойствах DNS forward-зоны установлена галочка "Use WINS forward lookup" и прописан IP DC1. Удалить его и снять галочку не получилось - ошибка "Обновить разрешение имен WINS не получилось. Формат записи поврежден".
Простой
Средний