DirectAccess-Offline-Domänenbeitritt

  • Artikel

Gilt für: Windows Server 2022, Windows Server 2019, Windows Server 2016

In diesem Leitfaden werden die Schritte bei einem Offlinedomänenbeitritt mit DirectAccess erläutert. Bei einem Offlinedomänenbeitritt wird ein Computer für den Beitritt zu einer Domäne ohne physische oder VPN-Verbindung konfiguriert.

Diese Anleitung umfasst folgende Abschnitte:

  • Übersicht über einen Offlinedomänenbeitritt

  • Anforderungen für einen Offlinedomänenbeitritt

  • Prozess des Offlinedomänenbeitritts

  • Schritte zum Ausführen eines Offlinedomänenbeitritts

Übersicht über einen Offlinedomänenbeitritt

Ab Windows Server 2008 R2 bieten Domänencontroller ein Feature namens „Offlinedomänenbeitritt“. Mit einem Befehlszeilenprogramm namens „Djoin.exe“ können Sie einen Computer einer Domäne beitreten lassen, ohne während des Vorgangs des Domänenbeitritts einen Domänencontroller physisch zu kontaktieren. Es folgen die allgemeinen Schritte für die Verwendung von „Djoin.exe“:

  1. Führen Sie djoin /provision aus, um die Computerkontometadaten zu erstellen. Die Ausgabe dieses Befehls ist eine TXT-Datei mit einem mit Base64 codierten Blob.

  2. Führen Sie djoin /requestODJ aus, um die Computerkontometadaten aus der TXT-Datei in das Windows-Verzeichnis des Zielcomputers einzufügen.

  3. Starten Sie den Zielcomputer neu, woraufhin der Computer der Domäne beitritt.

Übersicht über das Szenario des Offlinedomänenbeitritts mit DirectAccess-Richtlinien

Offlinedomänenbeitritt mit DirectAccess ist ein für Computer mit Windows Server 2016, Windows Server 2012, Windows 10 und Windows 8 geeigneter Prozess zum Beitreten zu einer Domäne, ohne physisch mit dem Unternehmensnetzwerk oder über VPN verbunden zu sein. Dadurch können Computer an Standorten ohne Verbindung mit einem Unternehmensnetzwerk einer Domäne beitreten. Beim Offlinedomänenbeitritt für DirectAccess werden Clients DirectAccess-Richtlinien bereitgestellt, um die Remotebereitstellung zu ermöglichen.

Bei einem Domänenbeitritt wird ein Computerkonto erstellt und eine Vertrauensbeziehung zwischen einem Computer mit einem Windows-Betriebssystem und einer Active Directory-Domäne hergestellt.

Vorbereiten des Offlinedomänenbeitritts

  1. Erstellen Sie das Computerkonto.

  2. Erfassen Sie die Mitgliedschaft in allen Sicherheitsgruppen, denen das Computerkonto angehört.

  3. Sammeln Sie die erforderlichen Computerzertifikate, Gruppenrichtlinien und Gruppenrichtlinienobjekte, die für die neuen Clients gelten sollen.

. In den folgenden Abschnitten werden die Anforderungen an Betriebssystem und Anmeldeinformationen für die Durchführung eines Offlinedomänenbetritts mit DirectAccess über „Djoin.exe“ erläutert.

Betriebssystemanforderungen

Sie können „Djoin.exe“ für DirectAccess nur auf Computern mit Windows Server 2016, Windows Server 2012 oder Windows 8 ausführen. Auf dem Computer, auf dem Sie „Djoin.exe“ zum Bereitstellen von Computerkontodaten in AD DS ausführen, muss Windows Server 2016, Windows 10, Windows Server 2012 oder Windows 8 ausgeführt werden. Auf dem Computer, der der Domäne beitreten soll, muss auch Windows Server 2016, Windows 10, Windows Server 2012 oder Windows 8 ausgeführt werden.

Anforderungen bezüglich der Anmeldeinformationen

Für einen Offlinedomänenbeitritt benötigen Sie die für den Beitritt von Arbeitsstationen zur Domäne erforderlichen Berechtigungen. Mitglieder der Gruppe Domänen-Admins verfügen standardmäßig über diese Rechte. Wenn Sie kein Mitglied der Gruppe „Domänenadministratoren“ sind, muss ein Mitglied dieser Gruppe eine der folgenden Aktionen ausführen, damit Sie Arbeitsstationen der Domäne beitreten lassen können:

  • Gewähren Sie mithilfe von Gruppenrichtlinie die erforderlichen Benutzerrechte. Mit dieser Methode können Sie Computer im Standardcontainer „Computer“ und in jeder später erstellten Organisationseinheit erstellen (sofern keine Zugriffssteuerungseinträge des Typs „Verweigern“ hinzugefügt werden).

  • Bearbeiten Sie die Zugriffssteuerungsliste (Access Control List, ACL) des Standardcontainers „Computer“ für die Domäne so, dass die richtigen Berechtigungen an Sie delegiert werden.

  • Erstellen Sie eine Organisationseinheit, und bearbeiten Sie die ACL für diese Organisationseinheit so, dass Ihnen die Berechtigung Untergeordnetes Element erstellen – Zulassen erteilt wird. Übergeben Sie den Parameter /machineOU an den Befehl djoin /provision.

Die folgenden Verfahren zeigen, wie Sie dem Benutzer mittels Gruppenrichtlinie Rechte erteilen und die richtigen Berechtigungen delegieren.

Gewähren von Benutzerrechten zum Einbinden von Arbeitsstationen in die Domäne

Sie können in der Gruppenrichtlinien-Verwaltungskonsole (GPMC) die Domänenrichtlinie ändern oder eine neue Richtlinie mit Einstellungen erstellen, die dem Benutzer Rechte zum Einbinden von Arbeitsstationen in eine Domäne gewähren.

Für die Gewährung von Benutzerrechten ist mindestens die Mitgliedschaft in der Gruppe Domänenadministratoren oder eine gleichwertige Mitgliedschaft erforderlich. Informationen zu den entsprechenden Konten und Gruppenmitgliedschaften finden Sie unter Lokale und Standarddomänengruppen (https://go.microsoft.com/fwlink/?LinkId=83477).

So gewähren Sie Rechte zum Einbinden von Arbeitsstationen in eine Domäne

  1. Klicken Sie auf Start, dann auf Verwaltung und anschließend auf Gruppenrichtlinienverwaltung.

  2. Doppelklicken Sie auf den Namen der Gesamtstruktur, dann auf Domänen und danach auf den Namen der Domäne, der ein Computer beitreten soll. Klicken Sie mit der rechten Maustaste auf Standarddomänenrichtlinie, und wählen Sie dann Bearbeiten aus.

  3. Doppelklicken Sie in der Konsolenstruktur nacheinander auf Computerkonfiguration, Richtlinien, Windows-Einstellungen, Sicherheitseinstellungen, Lokale Richtlinien und Zuweisen von Benutzerrechten.

  4. Doppelklicken Sie im Detailbereich auf Arbeitsstationen zur Domäne hinzufügen.

  5. Aktivieren Sie das Kontrollkästchen Diese Richtlinieneinstellungen definieren, und klicken Sie dann auf Benutzer oder Gruppe hinzufügen.

  6. Geben Sie den Namen des Kontos ein, dem Sie die Benutzerrechte gewähren möchten, und klicken Sie dann zweimal auf OK.

Prozess des Offlinedomänenbeitritts

Führen Sie „Djoin.exe“ an einer Eingabeaufforderung mit erhöhten Rechten aus, um die Computerkontometadaten bereitzustellen. Wenn Sie den Bereitstellungsbefehl ausführen, werden die Computerkontometadaten in einer Binärdatei erstellt, die Sie als Teil des Befehls angeben.

Weitere Informationen zur Funktion NetProvisionComputerAccount, die zum Bereitstellen des Computerkontos während eines Offlinedomänenbeitritts verwendet wird, finden Sie unter Funktion NetProvisionComputerAccount (https://go.microsoft.com/fwlink/?LinkId=162426). Weitere Informationen zur Funktion NetRequestOfflineDomainJoin, die lokal auf dem Zielcomputer ausgeführt wird, finden Sie unter Funktion NetRequestOfflineDomainJoin (https://go.microsoft.com/fwlink/?LinkId=162427).

Schritte zum Ausführen eines DirectAccess-Offlinedomänenbeitritts

Der Prozess des Offlinedomänenbeitritts umfasst die folgenden Schritte:

  1. Erstellen Sie für jeden Remoteclient ein neues Computerkonto, und generieren Sie auf einem bereits der Domäne beigetretenen Computer im Unternehmensnetzwerk mithilfe des Befehls „Djoin.exe“ ein Bereitstellungspaket.

  2. Fügen Sie den Clientcomputer der Sicherheitsgruppe DirectAccessClients hinzu.

  3. Übertragen Sie das Bereitstellungspaket sicher auf die Remotecomputer, die der Domäne beitreten sollen.

  4. Wenden Sie das Bereitstellungspaket an, und fügen Sie den Client der Domäne hinzu.

  5. Starten Sie den Client neu, um den Domänenbeitritt abzuschließen und eine Verbindung herzustellen.

Beim Erstellen des Bereitstellungspakets für den Client müssen zwei Optionen berücksichtigt werden. Wenn Sie den Assistenten für die ersten Schritte verwendet haben, um DirectAccess ohne PKI zu installieren, wählen Sie die nachstehende Option 1. Wenn Sie den Assistenten für „Erweitertes Setup“ verwendet haben, um DirectAccess mit PKI zu installieren, wählen Sie die nachstehende Option 2.

Führen Sie die folgenden Schritte aus, um den Offlinedomänenbeitritt durchzuführen:

Option 1: Erstellen eines Bereitstellungspakets für den Client ohne PKI

  1. Geben Sie an einer Eingabeaufforderung Ihres RAS-Servers den folgenden Befehl ein, um das Computerkonto bereitzustellen:

    Djoin /provision /domain <your domain name> /machine <remote machine name> /policynames DA Client GPO name /rootcacerts /savefile c:\files\provision.txt /reuse
Option 2: Erstellen eines Bereitstellungspakets für den Client mit PKI

  1. Geben Sie an einer Eingabeaufforderung Ihres RAS-Servers den folgenden Befehl ein, um das Computerkonto bereitzustellen:

    Djoin /provision /machine <remote machine name> /domain <Your Domain name> /policynames <DA Client GPO name> /certtemplate <Name of client computer cert template> /savefile c:\files\provision.txt /reuse
Fügen Sie den Clientcomputer der Sicherheitsgruppe DirectAccessClients hinzu.

  1. Geben Sie auf dem Domänencontroller auf der Startseite den Text Aktiv ein, und wählen Sie im Bildschirm Apps die Option Active Directory-Benutzer und -Computer aus.

  2. Erweitern Sie die Struktur unter Ihrer Domäne, und wählen Sie den Container Benutzer aus.

  3. Klicken Sie im Detailbereich mit der rechten Maustaste auf DirectAccessClients und dann auf Eigenschaften.

  4. Klicken Sie auf der Registerkarte Mitglieder auf Hinzufügen.

  5. Klicken Sie auf Objekttypen, wählen Sie Computer aus, und klicken Sie dann auf OK.

  6. Geben Sie den hinzuzufügenden Clientnamen ein, und klicken Sie dann auf OK.

  7. Klicken Sie auf OK, um das Eigenschaftendialogfeld DirectAccessClients zu schließen, und schließen Sie dann Active Directory-Benutzer und -Computer.

Kopieren Sie das Bereitstellungspaket, und wenden Sie es dann auf den Clientcomputer an.

  1. Kopieren Sie das Bereitstellungspaket in „c:\files\provision.txt“ auf dem RAS-Server, auf dem es gespeichert wurde, in „c:\provision\provision.txt“ auf dem Clientcomputer.

  2. Öffnen Sie auf dem Clientcomputer eine Eingabeaufforderung mit erhöhten Rechten, und geben Sie dann den folgenden Befehl ein, um den Domänenbeitritt anzufordern:

    Djoin /requestodj /loadfile C:\provision\provision.txt /windowspath %windir% /localos

  3. Starten Sie den Clientcomputer neu. Der Computer wird in die Domäne eingebunden. Nach dem Neustart wird der Client in die Domäne eingebunden und verfügt mittels DirectAccess über Konnektivität mit dem Unternehmensnetzwerk.

Weitere Informationen

Funktion NetProvisionComputerAccountFunktion NetRequestOfflineDomainJoin