Windows 10 V1803: Domain-Join-Bug und Workaround

[English]Administratoren, die Systeme mit Windows 10 V1803 Pro oder Enterprise in eine Domäne einbinden möchten, laufen ggf. in ein Problem. Ein Bug verhindert den Domain-Join (zumindest in bestimmten Szenarien). Bis jetzt ist mir nicht bekannt, dass Microsoft dies gefixt hat. Aber es gibt einen Workaround in Form eines offline Domain-Join mittels djoin.


Anzeige

Wenn ich mich richtig erinnere, hat Microsoft Windows 10 V1803 als business-ready klassifiziert. Aber es scheint in bestimmten Umgebungen Probleme mit dieser Windows 10-Build zu geben. Möglicherweise ist das nachfolgende Problem breit bekannt – ich nehme es aber mal auf – vielleicht hilft es jemandem.

Bug verhindert Domain-Join

Bereits im Mai 2018 wurde von einem Betroffenen der Technet-Forenthread Unable to join domain with new windows 10 computers – build 1803 eröffnet. Der Administrator schreibt:

I have 3 new computers that I am truing to join to our domain and it cant seem to find the domain.  I can ping the domain controller.  Any suggestions on resolving this without having to roll back to the previous build, which will also take with it all of the apps that I installed after this build was installed.  I have rolled back a computer and joined the domain from that computer, so I know that rolling back will work, but I did loose all the apps I installed and in the process of reinstalling them.

Der Domain-Controller ist von den Windows 10 V1803 Clients per ping erreichbar, aber beim Domain-Join können die Clients den DC nicht finden. Als Fehlermeldung wird so etwas geliefert:

DNS was successfully queried for the service location (SRV) resource record used to locate a domain controller for domain "MYDOMAIN":
The query was for the SRV record for _ldap._tcp.dc._msdcs.MYDOMAIN
The following domain controllers were identified by the query:
MYSERVER.MYDOMAIN

However no domain controllers could be contacted.
Common causes of this error include:
– Host (A) or (AAAA) records that map the names of the domain controllers to their IP addresses are missing or contain incorrect addresses.
– Domain controllers registered in DNS are not connected to the network or are not running.

Im Thread melden sich weitere Betroffene, und im weiteren Verlauf bestätigt Moderatorin Karen_Hu, dass dies ein (dem Produktteam) bekannter Bug sei. Im Verlauf des Threads werden diverse Lösungsansätze vorgeschlagen, die aber nur für einige Szenarien zu helfen scheinen. So gibt es einen Hinweis, dass wohl SMBv1 (entweder ein fehlendes Protokoll oder der Bug in der initialen V1803) beteiligt sein könnte – was in Verbindung mit Samba-Servern (siehe auch hier) ebenfalls für Ärger sorgt. Auf reddit.com findet sich ebenfalls eine solche Diskussion.

Workaround: Offline Domain-Join

In (Link gelöscht) geht es um die Möglichkeit, einer Domäne mittels des Kommandozeilenbefehls djoin beizutreten. Ein Benutzer mit dem Namen Werner hat diesen Ansatz als Tipp bei administrator.de und bei deskmodder.de eingestellt.

1. Auf dem Domänen-Server ist folgender Befehl in einer administrativen Eingabeaufforderung einzugeben.

djoin /provision /domain "Domainname".local /machine "PC-NAME" /savefile c:\testneu\client.txt

Der Platzhalter Domainname ist durch den Namen der Domäne zu ersetzen. Der zweite Platzhalter PC-Name ist durch den Netzwerknamen des neues PC, der in der Domäne angemeldet werden soll, zu ersetzen.

2. Die so erzeugte Datei client.txt ist dann auf den Client, der in die Domäne aufzunehmen ist, in den Ordner c:\testneu\ zu kopieren.


Anzeige

3. Dann ist folgender Befehl in einer administrativen Eingabeaufforderung auszuführen.

djoin /REQUESTODJ /LOCALOS /WINDOWSPATH c:\windows /LOADFILE c:\testneu\client.txt

Der Befehl, der auch (Link gelöscht) beschrieben ist, importiert die notwendigen Informationen in den Client und integriert diesen in die Domäne. Bei Problemen könnt ihr (Link gelöscht) nachsehen, der Autor hat dort Screenshots der Befehle und einen Hinweis, wie man auf dem DC den angelegten Client prüfen kann, beschrieben. Den bei administrator.de und bei deskmodder.de angegebenen Befehl cd c:\windows\system32\ kann man sich imho sparen. Denn dieser Pfad ist beim Öffnen einer administrativen Eingabeaufforderung bereits standardmäßig eingestellt. Vielleicht hilft es euch weiter. Irgend jemand davon betroffen?

Ähnliche Artikel:
SMBv1-Abschaltung bei Windows 10 Enterprise ab 9.6.2017
Windows 10 V1803: SMBv1-Fix mit Update KB4284848
Kommt ein Windows 10 V1803 SMBv1-Fix zum Juni 2018-Patchday?
Windows 10: SMBv1-Klippen in Version 1803


Cookies blockieren entzieht uns die Finanzierung: Cookie-Einstellungen

Dieser Beitrag wurde unter Problemlösung, Windows 10 abgelegt und mit , verschlagwortet. Setze ein Lesezeichen auf den Permalink.

19 Antworten zu Windows 10 V1803: Domain-Join-Bug und Workaround

  1. Robert Richter sagt:

    Ist mir noch nicht untergekommen. Bis jetzt ist jede 1803 ohne Probleme in die Domain gekommen.

    Vermute mal, dass wieder IPv6 da im Spiel ist. Am besten IPv6 aus und dann probieren.

  2. Wolle sagt:

    Ich hatte auch eine Domäne bei der der FQDN gleich dem Domänen-Namen war, also so etwas wie "DOM", aber nicht "DOM.local". Da ließ sich auch kein W10 1803 in die Domäne nehmen.

    Abhilfe:
    reg add "HKLM\SYSTEM\CurrentControlSet\Services\Netlogon\Parameters" /v AllowSingleLabelDnsDomain /t REG_DWORD /d 1 /f

    Quelle:
    https://www.heise.de/forum/heise-online/Betriebssysteme/Windows-10/Re-1803-Keine-Aufnahme-in-die-Domaene-moeglich/posting-32515644/show/

  3. Mechaniker sagt:

    Hat mir viel "Spass" bereitet bei einem frisch aufgesetzten 1803pro :-((
    Der zunächst gefundene Registry-Hack (siehe Wolles Post) hat einen viertel Schritt weitergeführt, danach gab's Beschwerden wegen kaputter DNS-Auflösung. Der DC und Nameserver ist ein 2008R2 und die Domäne heisst .domain.
    Sowohl dings.domain als auch dings als auch dings.local (klar, gibts ja nicht explizit) haben nix gebracht.
    Letztlich war es einfacher, erst ein 1709 draufzupacken und dann ein Upgrade.
    Nebenbei scheiterte die Remote-Installation des Sophos Antivir aus der Enterprise-Konsole ebenfalls, da die Remoteprozeduraufrufe unter 1803 jetzt irgendwas anders machen. Auch hier wieder die Tour mit 1709+alles_komplettieren+1803Upgrade.
    Letztlich also viel vertane Zeit mit der Bananenlieferung, ist halt doch noch ziemlich grün so kurz nach Auslieferung (sind ja nur 3 Monate….)

  4. Mich@ sagt:

    Bei mir ist das Problem ebenfalls aufgetreten.
    Ich habe die Firewall Einstellungen der Clients verändert, alles aus geschaltet und dann den dj gestartet. Nach dem obligatorischem Neustart habe ich dann die fw wieder aktiviert….

  5. Moin,

    nachdem ich diverse Registry Hacks oder auch Update s versucht hatte, die nichts gebracht haben, habe ich diese Lösung mit djoin gefunden.
    Zu meiner Person:
    Ich heisse Werner Ohmann und leite den Ems-IT-Stammtisch im IT Zentrum in Lingen.
    https://emsitstammtisch.wordpress.com

    Da diese Lösung bei mir wunderbar funktioniert habe, habe ich Sie im Netz gestellt.

  6. Hallo Günther,

    unserer Stammtisch wird von Administratoren aus dem Emsland und Münsterland besucht. Das nächste Thema ist der 3D Druck. Hier führen wir diesen auch live aus und haben zum Stand der Technik Vorträge am 23 Oktober 2018 um 19 Uhr. Wer sich dafür interessiert, kann sich hier anmelden: ****. Die Veranstaltung ist kostenlos.
    Wer mir schreiben möchte, kann dies auch gerne über Xing machen.
    Auch wer in unsere Whatsapp Gruppe möchte, bitte um eine kurze Nachricht mit Handynummer, dann wird er aufgenommen. Wir haben in der Whatsapp Gruppe öfters Themen, die Administratoren interessieren.
    Xing Werner Ohmann: ****
    Email Adresse:****

    Schöne Grüsse aus dem Emsland
    Werner

    • Günter Born sagt:

      Werner, bei aller Liebe und Verständis für Deine Begeisterung. Die Links haben nun Null mit dem im Blog-Beitrag behandelten Thema zu tun. Ich habe die Daten aus obigem Kommentar gelöscht – es ist für die Blog-Leserschaft des obigen Artikels und des Blogs schlicht nicht relevant (bitte da um Verständnis).

      Trage deine Kontaktadresse und die Vorschau auf kommende Stammtischthemen bei dir im WordPress-Blog ein (der ist ja neben deinem Namen verlinkt und enthält genau die verlinkten Infos). Wer sich von den Blog-Lesern dafür interessiert, kann da vorbei schauen.

      Und zum Thema 3D-Druck gibt es hier im Blog einige Artikel – vor allem der Art 'nix in Kinderhand und achtet auf die MAK-Werte, wenn ihr das einsetzt'.

  7. Herr_Kules sagt:

    Mahlzeit,

    das Problem konnte ich leider inzwischen auch nachvollziehen.
    Aufgetreten ist es auf Clients mit frischen 1803 (Neuinstallation), nicht bei Clients mit einem Upgrade einer Vorversion.
    Die Domain war in unserem Fall eine 2008-er Domain, die von einer 2003-er hochgestuft wurde.
    Abhilfe brachte in unserem Fall, SMB v1 wieder auf den Neuinstallationen zu aktivieren, bei den Upgrade-Installationen war es noch aktiv.

  8. Jürgen sagt:

    Kann ich so bestätigen mit der 1803 in einem Domänennetzwerk.

  9. mechaniker sagt:

    Jetzt hats mich mit einem neu-gekauften Rechner erwischt. Somit gab es keine Option erst das 1709 zu installieren (siehe mein anderer Post).
    Weiter in der Leidensgeschichte:
    Erst alle Updates installiert — nix geholfen
    SMBv1 installiert — nix geholfen.
    Registry-Hack (SingleDomainblabla) — nix geholfen
    Domainschreibweise (FQDNS, also unserefirma.domain statt nur unserefirma) — nix geholfen
    Letzter Ausweg, und der hat geklappt:
    1. Manuell DNS-Suffix in der Adapterkonfiguration hinzugefügt
    2. KEINEN Assistenten für den Beitritt sondern "Ändere Name, Arbeitsgruppe oder Domain"
    3. Domäne mit suffix angeben und in der UAC-Abfrage als Domänenadmin ausführen
    4. Sektkorken

    Vielleicht hilfts ja jemandem … und frage keiner was davon jetzt nötig war und was nicht :-(

  10. Birne sagt:

    Das Update vom 26.09.18 scheint das Problem zu beheben: KB4458469

    https://support.microsoft.com/de-de/help/4458469/windows-10-update-kb4458469

  11. ddm sagt:

    Habe einen ganzen Tag an dieses blöde Problem verschwendet
    und erst eben diesen Post wieder gefunden!
    Danke, hat super geholfen.

    Gruß Dirk

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Hinweis: Bitte beachtet die Regeln zum Kommentieren im Blog (Erstkommentare und Verlinktes landet in der Moderation, gebe ich alle paar Stunden frei, SEO-Posts/SPAM lösche ich rigoros). Kommentare abseits des Themas bitte unter Diskussion.