Cannot join a W2K DC in different network

For joining computers to Windows domain from network A you will still need ti define WINS server. Generally you don't need WINS but since your computer is on different network as DC and because netbios broadcasts reach only clients on your Network A, you can't join it to domain.

My sudgestion is, that you install still WINS service to your computer where is DNS already. Then you only still need to specify WINS in network setting at least on your subnet A site.

BR, Matjaz

Hi there all, 

we use this setup for our US and Canada office.

The trick is that all clients need to use the DC as their nameserver and the nameserver must be configured correctly (plz ask your local Windows Admin of choice).
The new client queries the DNS server to select the DC to join the domain, or similar.


this means, whitout DNS you can not join the domain.

Hope this steers you in the right direction.

regards
Gert

Based on your description, your rules look ok to me because you are pointing your NET A clients to the Windows AD DNS server. The only thing is to make sure that there are no other PF rules that are above that rule in the list that you might be overlooking that could be blocking traffic...if you can not query the DNS server via nslookup, then the traffic is for sure not getting through...also make sure the default gateway is set correctly on the Windows server and clients....can you ping it??...What does the PF live log show is getting dropped??

Thanks for your reply, but it is still not working. Do I really need WINS to get it running or is DNS enough?

I did netdiag on the client machine in network A to check it. This is a part of the result:

Adapter : LAN-Verbindung
Netcard queries test . . . : Passed
 Host Name. . . . . . . . . : client1
 IP Address . . . . . . . . : 192.168.1.111
 Subnet Mask. . . . . . . . : 255.255.255.0
 Default Gateway. . . . . . : 192.168.1.77
 Primary WINS Server. . . . : 10.0.0.100
 Dns Servers. . . . . . . . : 10.0.0.100

 AutoConfiguration results. . . . . . : Passed
 Default gateway test . . . : Passed
 NetBT name test. . . . . . : Passed
 No remote names have been found.

 WINS service test. . . . . : Failed
 The test failed.  We were unable to query the WINS servers.

Autonet address test . . . . . . . : Passed

IP loopback ping test. . . . . . . : Passed

Default gateway test . . . . . . . : Passed

NetBT name test. . . . . . . . . . : Passed

Winsock test . . . . . . . . . . . : Passed

DNS test . . . . . . . . . . . . . : Passed


I additionally did nslookup to the domain name on the client machine. It gave me the IP address of the DNS server back.

nslookup mydomainname.com
Address: 10.0.0.100

This also works:
nslookup client1.mydomainname.com
Address: 192.168.1.111


From the DNS-Server in network B I did the following:

nslookup client1.mydomainname.com 
Address: 192.168.1.111

DNS seems to be OK!?


As you can see, I still have problems with WINS. I configured WINS on the DNS-Server and on the client machine.

But netdiag gives still the following output:

WINS service test. . . . . : Failed
 The test failed.  We were unable to query the WINS servers.

It seems that I additionally need WINS to get it running. I still have the following rule in place and I moved it to the first position.

Source: network A
Destination: network B
Service: any
Allow

I also checked PF live look. If I try to join the domain, nothing is blocked.
 [:S]
 Need your help. Thanks.

WINS is not a requirement in an AD domain. WINS is sometimes useful for legacy clients such as Win9x. If you create a world readable share on the server, can you access it by using the UNC of \w.x.y.z\sharename from the client? It is starting to sound like to me that the firewall is not what is getting in the way. Make sure no personal firewall software is turned on on the client machine.

OK, that’s it. The Kerio Firewall on the client machine blocked the access to the WINS server. I disabled it and was then able the join the domain. It seems that I need WINS to get it running.

Thanks for your help.

Microsoft uses classfull routing, so when you define a 10.0.0.0/24 network, a 32-bit (WinNT, 2K, XP, 2K3) Windows machine will not use the desired 10.0.0.255 broadcast address. Instead it will generate a 10.255.255.255 broadcast address. The actual netmask is not being considered when Windows calculates the broadcast address. It just looks at the first three bits of the IP address. You can verify this by typing ROUTE PRINT at a  command prompt.

Could this issue be part of your problem?

My advice, is to stick to the 192.168.nn.xx address range when you create private class "C" network. That way the broadcast address for the subnet will always be correct on all the Windows machines.

Just for clarification!

WINS is by the most books really not needed in Windows 2000 domain with AD and newer. But on any seminar for MCP which is concerning windows 2000 networks it is carefully mentioned, that some thinks still don't work if you have no WINS server, specially when you have domain spreaded over several networks where netbios broadcast can't be done!

BR, Matjaz

I can tell you now, that as much as Microsoft say you don't need WINS any more, you sure do.

(Unless you want to get into arcane formatting of LMHOSTS etc).

Try and setup VPN IPSEC between two sites and have them visible in network neighborhood without WINS, you won't get far.

A lot of people bash WINS, I'm unsure why, yes we should NOT need it, but it's easy to setup and easier to administer.
(Basically set n ferget!)

Sorry to say mate, but you don't need a WINS server to get a 2k/XP box to join a domain.

While I don't have much experiance with Astaro, the problem will most likely be a basic networking issue.

Can you ping the DC, can you resolve hostnames when DC is set as your DNS server, is DNS setup on DC properly, does the DC have its default gateway set to the Astaro box, etc.

D_R