Troubleshoot: OSD Apply Network Settings

Gelegentlich kommt es vor, dass der Tasksequenzschritt »Apply Network Settings« nicht so richtig funktioniert, wie er soll. Als Erstes klären wir mal, was dieser Tasksequenzschritt tut.

Im Tasksequenzschritt »Apply Network Settings« gibst du an, ob du den Computer in eine Workgoup oder eine Domäne aufnehmen möchtest. Die Werte, die du hier hinterlegst, werden in die Antwortdatei für das Windows-Setup aufgenommen. Verarbeitet wird die Antwortdatei mit den Werten im Tasksequenzschritt »Setup Windows and ConfigMgr«. Der Tasksequenzschritt »Apply Network Settings« hat zwei Besonderheiten.

  1. Dieser Schritt kann nur in der WinPE-Phase abgearbeitet werden.
  2. Kommen mehrere dieser Schritte zum Einsatz, dann gewinnt immer der Letzte.

Die Problematik aus Punkt zwei kann man umgehen, wenn man die einzelnen Schritte jeweils in eine Gruppe verschachtelt und diese Gruppe mit Bedingungen versieht.

Ok. Jetzt wissen wir, dass die Werte aus diesem Schritt in die Unattend.xml wandern und mit dieser während dem Setup-Prozess abgearbeitet werden. Falls an dieser Stelle etwas nicht funktionieren sollte, schauen die meisten Administratoren in die Setupact.log und in die setuperr.log im Pantherverzeichniss unter C:\Windows. Leider kann man in diesen zwei Dateien nicht so richtig sehen, was beim DomainJoin nicht funktioniert hat.

Das Logfile, welches den DomainJoin im Detail festhält, findest du unter c:\windows\Debug und nennt sich NetSetup.log. Bei einem erfolgreichen Domain Join wird die folgende Meldung angezeigt:

05/01/2022 09:28:01:740 NetpDoDomainJoin: status: 0x0

Diese Zeile erscheint am Ende des letzten Versuches, den Computer in die Domäne aufzunehmen und zeigt an, dass der DomainJoin-Prozess erfolgreich war. Jeder andere Rückgabewert als 0x0 bedeutet einen Fehler. Du kannst in den Einträgen weiter oben sehen, dass dort ebenfalls ein Erfolg angezeigt wird:

05/01/2022 09:28:01:740 NetpCompleteOfflineDomainJoin: status: 0x0
05/01/2022 09:28:01:740 NetpJoinDomain: NetpCompleteOfflineDomainJoin SUCCESS: Requested a reboot :0x0

Der DomainJoin ist fehlgeschlagen, sobald der Rückgabewert nicht 0x0 ist.

Einer der häufigsten Fehler ist ein Fehler beim Versuch, eine Verbindung zur IPC$-Freigabe auf dem Domänencontroller herzustellen. Das sieht dann so aus:

05/02/2022 23:14:21:057 NetUseAdd to \\DC01.corp.msftem.de\IPC$ returned XXXX

Am Ende der Zeile steht returned XXXX. Das XXXX ist hier nur ein Platzhalter für die Fehlernummer. Um eine genaue Beschreibung der Fehlernummer zubekommen, kannst du net helpmsg gefolgt von der Fehlernummer über eine CMD ausführen:

Beispiel: net helpmsg 1326

Im Folgenden findest du häufige Fehler beim DomainJoin und die Lösungen für diese Fehler.

Fehler 1326

05/02/2022 23:07:31:696 NetUseAdd to \\DC01.corp.msftem.de\IPC$ returned 1326
05/02/2022 23:07:31:696 NetpJoinDomain: status of connecting to dc ‘\\DC01.corp.msftem.de’: 0x52e
05/02/2022 23:07:31:696 NetpJoinDomainOnDs: Function exits with status of: 0x52e
05/02/2022 23:07:31:696 NetpDoDomainJoin: status: 0x52e

Fehler 1326 ist ein einfacher Kennwortfehler: »Anmeldefehler: unbekannter Benutzername oder falsches Kennwort«. Überprüfe den Benutzernamen und das Kennwort in der Datei unattend.xml. Genauer gesagt die Angaben im Tasksequenzschritt »Apply Network Settings«.

Fehler 1909

05/02/2022 23:14:21:057 NetUseAdd to \\DC01.corp.msftem.de\IPC$ returned 1909
05/02/2022 23:14:21:057 NetpJoinDomain: status of connecting to dc ‘\\DC01.corp.msftem.de’: 0x775
05/02/2022 23:14:21:057 NetpJoinDomainOnDs: Function exits with status of: 0x775
05/02/2022 23:14:21:057 NetpDoDomainJoin: status: 0x775

Der Fehler 1909 bedeutet: »Das referenzierte Konto ist derzeit gesperrt und kann nicht angemeldet werden.« Gehe dazu in das Active Directory und hebe die Sperre des Kontos auf. Du solltest auch feststellen, wie das Konto gesperrt wurde. Oft wird das Konto gesperrt, weil die unattend.xml ein falsches Kennwort enthält. Beim Versuch, einer Domäne beizutreten, wird der Prozess Dutzende Male wiederholt. Wenn das Kennwort falsch ist, können drei Kennwortfehler und Dutzende von »Konto gesperrt«-Fehlern auftreten.

Bad OU specified

01/20/2022 10:53:01:232 NetpCreateComputerObjectInDs: NetpGetComputerObjectDn failed: 0x2
01/20/2022 10:53:01:232 NetpProvisionComputerAccount: LDAP creation failed: 0x2
01/20/2022 10:53:01:232 NetpProvisionComputerAccount: Cannot retry downlevel, specifying OU is not supported
01/20/2022 10:53:01:232 ldap_unbind status: 0x0
01/20/2022 10:53:01:232 NetpJoinDomainOnDs: Function exits with status of: 0x2
01/20/2022 10:53:01:232 NetpJoinDomainOnDs: status of disconnecting from ‘\\DC01.corp.msftem.de’: 0x0
01/20/2012 10:53:01:232 NetpDoDomainJoin: status: 0x2

Die Meldung »Cannot retry downlevel, specifying OU is not supported« bedeutet, dass die angegebene OU ungültig ist. Dieser Fehler könnte darauf hinweisen, dass die OU im AD nicht existiert oder dass du versuchst, den Standardcontainer »Computer« anzugeben. Windows verlangt, dass die Standard-OU nicht angegeben wird. Wenn du also neue Rechner in der Standard-OU »Computer« ablegen möchtest, musst du die Zeile »Domain OU« im Tasksequenzschritt »Apply Network Settings« vollständig löschen. Schauen dir in der Logdatei weiter oben an, welche OU die Probleme verursacht:

01/20/2022 10:53:01:123    lpMachineAccountOU: OU=Computers,DC=corp,DC=msftem,DC=de

Überprüfe die Existenz der angegebenen OU und vergewissere dich, dass es sich nicht um den obersten Computer-Container handelt.

Bad domain specified

Wenn der Domänenname selbst ungültig ist, macht ein DomänenJoin keine Einträge in die NetSetup.log und erstellt auch keine Protokolldatei. In dieser Situation schaust du in der Datei C:\Windows\Panther\UnattendGC\setupact.log nach dem Eintrag:

2022-07-13 16:11:15, Warning    [DJOIN.EXE] Unattended Join: DsGetDcName failed: 0x54b, last error is 0x0, will retry in 5 seconds…

Die Beschreibung für den Fehler 0x54b (1355) ist »The specified domain either does not exist or could not be contacted.« Du kannst weiter oben in der Datei setupact.log nachsehen, um, welche Domäne genau es sich handelt, der du beitreten willst. Beachte, dass es sich um einen Fehler mit dem JoinDomain-Tag handelt, nicht um die Anmeldeinformationen.

Insufficient user rights

07/17/2022 13:26:47:524 NetpMapGetLdapExtendedError: Parsed [0x5] from server extended error string: 00000005: SecErr: DSID-03152492, problem 4003 (INSUFF_ACCESS_RIGHTS), data 0
07/17/2022 13:26:47:524 NetpModifyComputerObjectInDs: ldap_add_s failed: 0x32 0x5
07/17/2022 13:26:47:524 NetpCreateComputerObjectInDs: NetpModifyComputerObjectInDs failed: 0x5
07/17/2022 13:26:47:524 NetpProvisionComputerAccount: LDAP creation failed: 0x5 …
07/17/2012 13:26:47:539 NetpDoDomainJoin: status: 0x5

Das von dir angegebene Benutzerkonto muss das Recht haben, der Domäne in der angegebenen OU-Computerkonten hinzuzufügen. Dieser Fehler wird angezeigt, wenn ein Konto mit unzureichenden Berechtigungen verwendet wird. Entweder versuchst du es mit einem anderen Konto oder du passt die Kontoberechtigungen in der Domäne an.

Soweit zu den häufigsten Fehlern beim DomainJoin die mir untergekommen sind. Sicherlich gibt es da noch andere Varianten, aber ich hoffe dir damit einen Anhaltspunkt gegeben zu haben, wenn es mal wieder klemmt.

Cheers.