Có những lúc domain hoạt động bình thường, DC vẫn sống khỏe, nhưng máy trạm thì join hoài không vào. Debug đủ kiểu mới phát hiện ra… lỗi rất cơ bản. Nếu bạn từng bối rối vì chuyện này, bài này là dành cho bạn 👇
🔹 1️⃣ DNS cấu hình sai hoặc… quên cấu hình
Máy client trỏ DNS ra router, 8.8.8.8 hay DNS nhà mạng.
Không trỏ DNS về Domain Controller.
👉 AD sống nhờ DNS, sai DNS là khỏi join.
🔹 2️⃣ Lệch giờ hệ thống (Time sync fail)
Máy client lệch DC hơn 5 phút.
NTP không đồng bộ, pin CMOS yếu.
👉 Kerberos từ chối xác thực ngay lập tức.
🔹 3️⃣ Sai domain name (FQDN vs NetBIOS)
Gõ company.local thành conpany.local.
Nhầm NetBIOS name với FQDN.
👉 Nhìn thì đúng, nhưng AD thì không hiểu.
🔹 4️⃣ Tài khoản join domain bị giới hạn quyền
AD
User không có quyền “Add workstations to domain”.
Join quá số máy cho phép (mặc định 10).
👉 Không phải ai cũng join domain được.
🔹 5️⃣ Máy đã join domain cũ, chưa clean
Trước đó từng join domain khác.
Computer account cũ còn tồn tại, bị disable hoặc conflict.
👉 Reset hoặc xóa computer object là xong.
🔹 6️⃣ Firewall hoặc antivirus chặn traffic AD
Chặn port 88 (Kerberos), 389 (LDAP), 445 (SMB), 53 (DNS).
Endpoint security quá “nhiệt tình”.
👉 Join domain cần nhiều service hơn bạn nghĩ.
🔹 7️⃣ Network profile để Public
Windows để mạng ở chế độ Public.
Một số rule bị hạn chế ngầm.
👉 Chuyển sang Private/Domain trước khi join.
🔹 8️⃣ DC hoặc service AD/DNS “đang lỗi nhẹ”
Dịch vụ DNS, Netlogon, AD DS restart chưa xong.
DC replication có vấn đề.
👉 Đừng quên kiểm tra từ phía server.
🔹 9️⃣ Hostname trùng hoặc không hợp lệ
Trùng tên máy với computer account khác.
Hostname chứa ký tự lạ.
👉 Lỗi nhỏ nhưng rất mất thời gian.