DirectAccess-Offline-Domänenbeitritt

Gilt für: Windows Server (halbjährlicher Kanal), Windows Server 2016

In diesem Leitfaden werden die Schritte zum Durchführen eines Offlinedomänen-Joins mit DirectAccess erläutert. Während eines Offlinedomänen-Joins wird ein Computer so konfiguriert, dass er einer Domäne ohne physische oder VPN-Verbindung beitritt.

Diese Anleitung umfasst folgende Abschnitte:

  • Übersicht über den Beitritt zur Offlinedomäne

  • Anforderungen für den Offlinedomänen-Join

  • Offlinedomänen-Joinprozess

  • Schritte zum Ausführen eines Offlinedomänen-Joins

Übersicht über den Beitritt zur Offlinedomäne

In Windows Server 2008 R2 eingeführt, enthalten Domänencontroller ein Feature namens Offline-Domänen join. Mit einem Befehlszeilenprogramm namens Djoin.exe können Sie einen Computer einer Domäne hinzufügen, ohne einen Domänencontroller physisch zu kontaktieren, während Sie den Domänen join-Vorgang abschließen. Die allgemeinen Schritte für die Verwendung Djoin.exe sind:

  1. Führen Sie djoin /provision aus, um die Metadaten des Computerkontos zu erstellen. Die Ausgabe dieses Befehls ist eine .txt, die ein Base64-codiertes Blob enthält.

  2. Führen Sie djoin /requestODJ aus, um die Metadaten des Computerkontos aus der .txt-Datei in das Windows-Verzeichnis des Zielcomputers ein.

  3. Starten Sie den Zielcomputer neu, und der Computer wird der Domäne beigetreten.

Übersicht über das Szenario "Offlinedomänenverknung mit DirectAccess-Richtlinien"

Der DirectAccess-Offlinedomänen-Join ist ein Prozess, mit dem Computer mit Windows Server 2016, Windows Server 2012, Windows 10 und Windows 8 einer Domäne beitreten können, ohne physisch in das Unternehmensnetzwerk oder über VPN verbunden zu sein. Dies ermöglicht das Hinzufügen von Computern zu einer Domäne von Standorten aus, an denen keine Verbindung mit einem Unternehmensnetzwerk besteht. Der Offlinedomänen-Join für DirectAccess stellt DirectAccess-Richtlinien für Clients zur Verfügung, um die Remotebereitstellung zu ermöglichen.

Bei einem Domänen join wird ein Computerkonto erstellt und eine Vertrauensstellung zwischen einem Computer, auf dem Windows Betriebssystem ausgeführt wird, und einer Active Directory-Domäne.

Vorbereiten des Offlinedomänen-Joins

  1. Erstellen Sie das Computerkonto.

  2. Inventarisierung der Mitgliedschaft aller Sicherheitsgruppen, zu denen das Computerkonto gehört.

  3. Sammeln Sie die erforderlichen Computerzertifikate, Gruppenrichtlinien und Gruppenrichtlinienobjekte, die auf die neuen Clients angewendet werden sollen.

. In den folgenden Abschnitten werden die Betriebssystemanforderungen und Anmeldeinformationsanforderungen für die Durchführung eines DirectAccess-Offlinedomänen-Joins mit Djoin.exe.

Betriebssystemanforderungen

Sie können die Djoin.exe DirectAccess nur auf Computern ausführen, auf denen Windows Server 2016, Windows Server 2012 oder Windows 8. Auf dem Computer, auf dem Sie Djoin.exe computerkontodaten in AD DS bereitstellen, muss Windows Server 2016, Windows 10, Windows Server 2012 oder Windows 8. Auf dem Computer, den Sie der Domäne hinzufügen möchten, muss auch Windows Server 2016, Windows 10, Windows Server 2012 oder Windows 8.

Anforderungen bezüglich der Anmeldeinformationen

Um einen Offlinedomänen-Join durchzuführen, müssen Sie über die erforderlichen Rechte verfügen, um Arbeitsstationen in die Domäne zu verbinden. Mitglieder der Gruppe Domänen-Admins verfügen standardmäßig über diese Rechte. Wenn Sie kein Mitglied der Gruppe Domänen-Admins sind, muss ein Mitglied der Gruppe Domänen-Admins eine der folgenden Aktionen ausführen, damit Sie Arbeitsstationen der Domäne hinzufügen können:

  • Verwenden Gruppenrichtlinie, um die erforderlichen Benutzerrechte zu gewähren. Mit dieser Methode können Sie Computer im Standardcontainer Computer und in allen Organisationseinheiten erstellen, die später erstellt werden (wenn keine Zugriffssteuerungseinträge (ACEs) zum Verweigern hinzugefügt werden).

  • Bearbeiten Sie die Zugriffssteuerungsliste (Access Control List, ACL) des Standardcontainers Computer für die Domäne, um die richtigen Berechtigungen an Sie zu delegieren.

  • Erstellen Sie eine Organisationseinheit, und bearbeiten Sie die Zugriffssteuerungsliste für diese Organisationseinheit, um Ihnen die Berechtigung Untergeordnetes Erstellen – Zulassen zu gewähren. Übergeben Sie den Parameter /machineOU an den Befehl djoin /provision.

In den folgenden Verfahren wird gezeigt, wie Sie dem Benutzer Rechte mit Gruppenrichtlinie erteilen und die richtigen Berechtigungen delegieren.

Gewähren von Benutzerrechten zum Beitreten von Arbeitsstationen zur Domäne

Sie können den Gruppenrichtlinien-Verwaltungskonsole (GPMC) verwenden, um die Domänenrichtlinie zu ändern oder eine neue Richtlinie mit Einstellungen zu erstellen, die dem Benutzer Rechte zum Hinzufügen von Arbeitsstationen zu einer Domäne gewähren.

Die Mitgliedschaft in Domänenadministratoren oder einer entsprechenden Gruppe ist mindestens erforderlich, um Benutzerrechte zu gewähren. Weitere Informationen zur Verwendung der entsprechenden Konten und Gruppenmitgliedschaften finden Sie unter Lokale und Domänen-Standardgruppen ( https://go.microsoft.com/fwlink/?LinkId=83477) .

So erteilen Sie Rechte zum Beitreten von Arbeitsstationen zu einer Domäne
  1. Klicken Sie auf Start, dann auf Verwaltung und anschließend auf Gruppenrichtlinienverwaltung.

  2. Doppelklicken Sie auf den Namen der Gesamtstruktur, doppelklicken Sie auf Domänen, doppelklicken Sie auf den Namen der Domäne, in der Sie einem Computer beitreten möchten, klicken Sie mit der rechten Maustaste auf Standarddomänenrichtlinie , und klicken Sie dann auf Bearbeiten.

  3. Doppelklicken Sie in der Konsolenstruktur auf Computerkonfiguration, doppelklicken Sie auf Richtlinien, doppelklicken Sie auf Windows Einstellungen, doppelklicken Sie auf Security Einstellungen, doppelklicken Sie auf Lokale Richtlinien , und doppelklicken Sie dann auf Benutzerrechtezuweisung.

  4. Doppelklicken Sie im Detailbereich auf Arbeitsstationen zur Domäne hinzufügen.

  5. Aktivieren Sie das Kontrollkästchen Diese Richtlinieneinstellungen definieren, und klicken Sie dann auf Benutzer oder Gruppe hinzufügen.

  6. Geben Sie den Namen des Kontos ein, dem Sie dem Benutzer Rechte gewähren möchten, und klicken Sie dann zweimal auf OK.

Offlinedomänen-Joinprozess

Führen Djoin.exe an einer Eingabeaufforderung mit erhöhten Rechten aus, um die Metadaten des Computerkontos zu bereitstellen. Wenn Sie den Bereitstellungsbefehl ausführen, werden die Computerkontometadaten in einer Binärdatei erstellt, die Sie als Teil des Befehls angeben.

Weitere Informationen zur NetProvisionComputerAccount-Funktion, die zum Bereitstellen des Computerkontos während eines Offlinedomänen-Joins verwendet wird, finden Sie unter NetProvisionComputerAccount-Funktion ( https://go.microsoft.com/fwlink/?LinkId=162426) . Weitere Informationen zur NetRequestOfflineDomainJoin-Funktion, die lokal auf dem Zielcomputer ausgeführt wird, finden Sie unter NetRequestOfflineDomainJoin-Funktion ( https://go.microsoft.com/fwlink/?LinkId=162427) .

Schritte zum Ausführen eines DirectAccess-Offlinedomänen-Joins

Der Offlinedomänen-Join-Prozess umfasst die folgenden Schritte:

  1. Erstellen Sie ein neues Computerkonto für jeden der Remoteclients, und generieren Sie ein Bereitstellungspaket mithilfe des Befehls Djoin.exe von einem computer, der bereits in die Domäne im Unternehmensnetzwerk gehört.

  2. Hinzufügen des Clientcomputers zur DirectAccessClients-Sicherheitsgruppe

  3. Übertragen Sie das Bereitstellungspaket sicher auf die Remotecomputer, die der Domäne beitreten.

  4. Wenden Sie das Bereitstellungspaket an, und verbinden Sie den Client mit der Domäne.

  5. Starten Sie den Client neu, um den Domänenanbindungs- und Verbindungs aufbaut.

Beim Erstellen des Bereitstellungspakets für den Client sind zwei Optionen zu berücksichtigen. Wenn Sie directAccess Erste Schritte PKI mithilfe des Assistenten zum Installieren von DirectAccess verwendet haben, sollten Sie option 1 unten verwenden. Wenn Sie die Advanced Setup-Assistant zum Installieren von DirectAccess mit PKI verwendet haben, sollten Sie option 2 unten verwenden.

Führen Sie die folgenden Schritte aus, um den Offlinedomänen-Join durchzuführen:

Option1: Erstellen eines Bereitstellungspakets für den Client ohne PKI
  1. Geben Sie an einer Eingabeaufforderung Ihres RAS-Servers den folgenden Befehl ein, um das Computerkonto bereitstellen:

    Djoin /provision /domain <your domain name> /machine <remote machine name> /policynames DA Client GPO name /rootcacerts /savefile c:\files\provision.txt /reuse
    
Option2: Erstellen eines Bereitstellungspakets für den Client mit PKI
  1. Geben Sie an einer Eingabeaufforderung Ihres RAS-Servers den folgenden Befehl ein, um das Computerkonto bereitstellen:

    Djoin /provision /machine <remote machine name> /domain <Your Domain name> /policynames <DA Client GPO name> /certtemplate <Name of client computer cert template> /savefile c:\files\provision.txt /reuse
    
Hinzufügen des Clientcomputers zur DirectAccessClients-Sicherheitsgruppe
  1. Geben Sie auf Ihrem Domänencontroller auf dem Startbildschirm Aktiv ein, und wählen Sie Active Directory-Benutzer und -Computer Bildschirm Apps aus.

  2. Erweitern Sie die Struktur unter Ihrer Domäne, und wählen Sie den Container Benutzer aus.

  3. Klicken Sie im Detailbereich mit der rechten Maustaste auf DirectAccessClients, und klicken Sie auf Eigenschaften.

  4. Klicken Sie auf der Registerkarte Mitglieder auf Hinzufügen.

  5. Klicken Sie auf Objekttypen, wählen Sie Computer aus, und klicken Sie dann auf OK.

  6. Geben Sie den hinzuzufügenden Clientnamen ein, und klicken Sie dann auf OK.

  7. Klicken Sie auf OK, um das Dialogfeld DirectAccessClients-Eigenschaften zu schließen, und schließen Sie dann Active Directory-Benutzer und -Computer.

Kopieren Sie das Bereitstellungspaket, und wenden Sie es dann auf den Clientcomputer an.
  1. Kopieren Sie das Bereitstellungspaket aus c:\files\provision.txt auf dem Rassserver, auf dem es gespeichert wurde, in c:\provision\provision.txt Clientcomputer.

  2. Öffnen Sie auf dem Clientcomputer eine Eingabeaufforderung mit erhöhten Rechten, und geben Sie dann den folgenden Befehl ein, um den Domänen beitreten zu fordern:

    Djoin /requestodj /loadfile C:\provision\provision.txt /windowspath %windir% /localos
    
  3. Starten Sie den Clientcomputer neu. Der Computer wird der Domäne beigetreten. Nach dem Neustart wird der Client mit der Domäne verbunden und ist mit DirectAccess mit dem Unternehmensnetzwerk verbunden.

Weitere Informationen

NetProvisionComputerAccount-Funktion NetRequestOfflineDomainJoin-Funktion