DirectAccess オフライン ドメイン参加

  • [アーティクル]

適用対象: Windows Server 2022、Windows Server 2019、Windows Server 2016

このガイドでは、DirectAccess を使用してオフライン ドメイン参加を実行する手順について説明します。 オフライン ドメイン参加中に、コンピューターは物理または VPN 接続のないドメインに参加するように構成されます。

このガイドには次のセクションが含まれます。

  • オフライン ドメイン参加の概要

  • オフライン ドメイン参加の要件

  • オフライン ドメイン参加のプロセス

  • オフライン ドメイン参加を実行する手順

オフライン ドメイン参加の概要

Windows Server 2008 R2 で導入されたドメイン コントローラーには、オフライン ドメイン参加と呼ばれる機能が含まれます。 Djoin.exe という名前のコマンド ライン ユーティリティを使用すると、ドメイン コントローラーに物理的に接続しながらドメイン参加操作を完了することなく、コンピューターをドメインに参加させることができます。 Djoin.exe を使用するための一般的な手順は、次のとおりです。

  1. djoin /provision を実行して、コンピューター アカウント メタデータを作成します。 このコマンドの出力は、base-64 でエンコードされた BLOB を含む .txt ファイルです。

  2. djoin /requestODJ を実行して、コンピューター アカウント メタデータを .txt ファイルから対象コンピューターの Windows ディレクトリに挿入します。

  3. 対象コンピューターを再起動すると、コンピューターはドメインに参加します。

DirectAccess ポリシーを使用したオフライン ドメイン参加シナリオの概要

DirectAccess オフライン ドメイン参加は、Windows Server 2016、Windows Server 2012、Windows 10、および Windows 8 を実行しているコンピューターが、企業ネットワークに物理的に参加したり VPN 経由で接続したりせずに、ドメインに参加するために使用できるプロセスです。 これにより、企業ネットワークへの接続がない場所からコンピューターをドメインに参加させることができます。 DirectAccess でのオフライン ドメイン参加では、リモート プロビジョニングを許可する DirectAccess ポリシーがクライアントに提供されます。

ドメイン参加によりコンピューター アカウントが作成され、Windows オペレーティング システムを実行しているコンピューターと Active Directory ドメインの間に信頼関係が確立されます。

オフライン ドメイン参加の準備

  1. マシン アカウントを作成します。

  2. マシン アカウントが属しているすべてのセキュリティ グループのメンバーシップをインベントリします。

  3. 新しいクライアントに適用するために必要なコンピューター証明書、グループ ポリシー、およびグループ ポリシー オブジェクトを収集します。

。 以下のセクションでは、オペレーティング システムの要件と、Djoin.exe を使用して DirectAccess オフライン ドメイン参加を実行するための資格情報要件について説明します。

オペレーティング システムの要件

DirectAccess で Djoin.exe を実行できるのは、Windows Server 2016、Windows Server 2012、または Windows 8 を実行するコンピューターだけです。 コンピューター アカウント データを AD DS へプロビジョニングするために Djoin.exe を実行するコンピューターは、Windows Server 2016、Windows 10、Windows Server 2012、または Windows 8 を実行している必要があります。 ドメインに参加させるコンピューターも、Windows Server 2016、Windows 10、Windows Server 2012、または Windows 8 を実行している必要があります。

資格情報の要件

オフライン ドメイン参加を実行するには、ワークステーションをドメインに参加させるために必要な権限を持っている必要があります。 Domain Admins グループのメンバーは、これらの権限を既定で持っています。 あなたが Domain Admins グループのメンバーではない場合は、Domain Admins グループのメンバーが次のいずれかの操作を行なってあなたがワークステーションをドメインに参加させるようにできなければなりません。

  • グループ ポリシーを使用して必要なユーザー権限を付与します。 この方法を使用すると、既定の Computers コンテナーと、後で作成される組織単位 (OU) にコンピューターを作成できます (拒否アクセス制御エントリ (AES) が追加されない場合)。

  • ドメインの既定の Computers コンテナーのアクセス制御リスト (ACL) を編集して、正しいアクセス許可をあなたに委任します。

  • OU を作成し、その OU で ACL を編集して、子の作成 - 許可アクセス許可をあなたに付与します。 /machineOU パラメーターを djoin /provision コマンドに渡します。

次の手順は、Group Policy を使用してユーザー権限を付与する方法と正しいアクセス許可を委任する方法を示します。

ワークステーションをドメインに参加させるユーザー権限を付与する

グループ ポリシー管理コンソール (GPMC) を使用して、ドメイン ポリシーを変更したり、ワークステーションをドメインに追加する権限をユーザーに付与する設定を持つ新しいポリシーを作成したりすることができます。

ユーザーに権限を付与するには、Domain Admins のメンバーシップ、またはそれと同等のものが最低限必要です。 適切なアカウントおよびグループ メンバーシップの使用に関する詳細を、「ローカルおよびドメインの既定のグループ」(https://go.microsoft.com/fwlink/?LinkId=83477) で確認してください。

ワークステーションをドメインに参加させる権限を付与するには

  1. [スタート][管理ツール][グループ ポリシー管理] の順にクリックします。

  2. フォレストの名前をダブルクリックし、[ドメイン] をダブルクリックし、コンピューターに参加させるドメインの名前をダブルクリックして、[既定のドメイン ポリシー] を右クリックして、[編集] をクリックします。

  3. コンソール ツリーで、[コンピューターの構成] をダブルクリックし、[ポリシー] をダブルクリックし、[Windows の設定] をダブルクリックし、[セキュリティの設定] をダブルクリックし、[ローカル ポリシー] をダブルクリックして、[ユーザー権利の割り当て] をダブルクリックします。

  4. 詳細ウィンドウで、[ドメインにワークステーションを追加] をダブルクリックします。

  5. [これらのポリシー設定を定義する] チェック ボックスをオンにし、[ユーザーまたはグループの追加] をクリックします。

  6. ユーザー権限を付与したいアカウントの名前を入力し、[OK] を 2 回クリックします。

オフライン ドメイン参加のプロセス

Djoin.exe を管理者特権のコマンド プロンプトで実行して、コンピューター アカウントのメタデータをプロビジョニングします。 プロビジョニング コマンドを実行すると、コンピューター アカウントのメタデータが、コマンドの一部として指定したバイナリ ファイルに作成されます。

オフライン ドメイン参加中にコンピューター アカウントをプロビジョニングするために使用する NetProvisionComputerAccount 関数の詳細については、「NetProvisionComputerAccount 関数」(https://go.microsoft.com/fwlink/?LinkId=162426) を参照してください。 対象コンピューターでローカルで実行される NetRequestOfflineDomainJoin 関数の詳細については、「NetRequestOfflineDomainJoin 関数」(https://go.microsoft.com/fwlink/?LinkId=162427) を参照してください。

DirectAccess オフライン ドメイン参加を実行するための手順

オフライン ドメイン参加プロセスには、次の手順が含まれます。

  1. リモート クライアントごとに新しいコンピューター アカウントを作成し、企業ネットワーク内の既にドメインに参加しているコンピューターから Djoin.exe コマンドを使用してプロビジョニング パッケージを生成します。

  2. クライアント コンピューターを DirectAccessClients セキュリティ グループに追加する

  3. プロビジョニング パッケージを、ドメインに参加するリモート コンピューターに安全に転送します。

  4. プロビジョニング パッケージを適用し、クライアントをドメインに参加させます。

  5. クライアントを再起動してドメイン参加を完了し、接続を確立します。

クライアントのプロビジョニング パケットを作成するとき考慮すべき 2 つのオプションがあります。 作業の開始ウィザードを使用して DirectAccess を PKI なしでインストールした場合は、以下のオプション 1 を使用する必要があります。 高度なセットアップウィザードを使用して PKI を使用して DirectAccess をインストールした場合は、以下のオプション 2 を使用する必要があります。

以下の手順を実行してオフライン ドメイン参加を行います。

オプション 1: クライアント用のプロビジョニング パッケージを、PKI を使用せずに作成する

  1. リモート アクセス サーバーのコマンド プロンプトで、次のコマンドを入力してコンピューター アカウントをプロビジョニングします。

    Djoin /provision /domain <your domain name> /machine <remote machine name> /policynames DA Client GPO name /rootcacerts /savefile c:\files\provision.txt /reuse
オプション 2: クライアント用のプロビジョニング パッケージを、PKI を使用して作成する

  1. リモート アクセス サーバーのコマンド プロンプトで、次のコマンドを入力してコンピューター アカウントをプロビジョニングします。

    Djoin /provision /machine <remote machine name> /domain <Your Domain name> /policynames <DA Client GPO name> /certtemplate <Name of client computer cert template> /savefile c:\files\provision.txt /reuse
クライアント コンピューターを DirectAccessClients セキュリティ グループに追加する

  1. ドメイン コントローラーの [スタート] 画面で、Active と入力 し、[アプリ] 画面で [Active Directory ユーザーとコンピューター] を選択します。

  2. ツリーのドメインの下を展開し、[ユーザー] コンテナーを選択します。

  3. 詳細ウィンドウで、[DirectAccessClients] を右クリックし、[プロパティ] をクリックします。

  4. [メンバー] タブで [追加] をクリックします。

  5. [オブジェクトの種類] をクリックし、[コンピューター] を選択して [OK] をクリックします。

  6. 追加するクライアント名を入力して、[OK] をクリックします。

  7. [OK] をクリックして DirectAccessClients のプロパティ ダイアログを閉じて、[Active Directory ユーザーとコンピューター] を閉じます。

プロビジョニング パッケージをコピーしてクライアント コンピューターに適用する

  1. リモート アクセス サーバー上の c:\files\provision.txt で、そこに保存されたプロビジョニング パッケージを、クライアント コンピューターの c:\provision\provision.txt にコピーします。

  2. クライアント コンピューターで管理者特権のコマンド プロンプトを開き、次のコマンドを入力してドメイン参加を要求します。

    Djoin /requestodj /loadfile C:\provision\provision.txt /windowspath %windir% /localos

  3. クライアント コンピューターを再起動します。 コンピューターはドメインに参加します。 再起動後、クライアントはドメインに参加し、DirectAccess を使用して企業ネットワークに接続します。

参照

NetProvisionComputerAccount 関数NetRequestOfflineDomainJoin 関数