TechNet
Exportieren (0) Drucken
Alle erweitern
Dieser Artikel wurde maschinell übersetzt. Wenn Sie die englische Version des Artikels anzeigen möchten, aktivieren Sie das Kontrollkästchen Englisch. Sie können den englischen Text auch in einem Popupfenster anzeigen, indem Sie den Mauszeiger über den Text bewegen.
Übersetzung
Englisch

DirectAccess-Offline-Domänenbeitritt

 

Betrifft: Windows Server 2012 R2, Windows Server 2012

Dieses Handbuch erklärt die Schritte zum Ausführen einer offline-Domänenbeitritt mit DirectAccess. Während ein offline-Domänenbeitritt ist ein Computer einer Domäne ohne physische oder VPN-Verbindung konfiguriert.

Das Handbuch umfasst folgende Abschnitte:

In Windows Server 2008 R2 eingeführt wurde, zählen Domänencontroller ein Feature namens Offline-Domänenbeitritt. Ein Befehlszeilendienstprogramm namens Djoin.exe können Sie einen Computer zu einer Domäne hinzufügen, ohne kontaktieren einen Domänencontroller physisch beim Ausführen des Vorgangs der Domäne beitreten. Die allgemeinen Schritte zur Verwendung von Djoin.exe sind:

  1. Führen SieDjoin /provisiondie Metadaten der Computer-Konto zu erstellen. Die Ausgabe dieses Befehls wird eine TXT-Datei, die einen Base64-codierten Blob enthält.

  2. Führen SieDjoin /requestODJzum Einfügen von Computer-Konto-Metadaten aus der TXT-Datei in das Windows-Verzeichnis des Zielcomputers.

  3. Starten Sie den Zielcomputer neu, und der Computer wird der Domäne hinzugefügt werden.

DirectAccess-offline-Domänenbeitritt ist ein Prozess, die Computer unterWindows Server 2012undWindows 8können Sie einer Domäne beitreten, ohne physisch mit dem Unternehmensnetzwerk verknüpft wird, oder über VPN verbunden sind. Dadurch können zum Hinzufügen von Computern zu einer Domäne von Standorten besteht keine Verbindung mit einem Unternehmensnetzwerk. Offline-Domänenbeitritt für DirectAccess ermöglicht DirectAccess-Richtlinien auf Clients, um remote-Bereitstellung zu ermöglichen.

Ein Domänenbeitritt ein Computerkonto erstellt und richtet eine Vertrauensstellung zwischen einem Computer unter einem Windows-Betriebssystem und einer Active Directory ®-Domäne.

  1. Erstellen Sie das Computerkonto.

  2. Erfassen Sie die Mitgliedschaft in alle Sicherheitsgruppen enthalten, der das Computerkonto gehört.

  3. Sammeln Sie die erforderlichen Zertifikate, Gruppenrichtlinien und Gruppenrichtlinienobjekte auf die neue Clients angewendet werden.

. In den folgenden Abschnitten erläutern das Betriebssystem und Anforderungen bezüglich der Anmeldeinformationen für die Durchführung einer DirectAccess offline-Domänenbeitritt mit Djoin.exe.

Sie können Djoin.exe für DIrectAccess ausführen, nur auf Computern mitWindows Server 2012oderWindows 8. Muss der Computer, auf dem Sie Djoin.exe Bereitstellung Computer Konto Daten in AD DS ausgeführt, ausgeführt werdenWindows Server 2012oderWindows 8. Der Computer, den Sie der Domäne hinzufügen möchten, muss auch ausgeführt werdenWindows Server 2012oderWindows 8.

Um eine offline-Domänenbeitritt auszuführen, müssen Sie die Rechte verfügen, die zum Hinzufügen von Arbeitsstationen zur Domäne erforderlich sind. Mitglieder der Gruppe der Domänenadministratoren haben diese Berechtigungen standardmäßig. Wenn Sie nicht Mitglied der Gruppe "Domänen-Admins" sind, muss ein Mitglied der Gruppe "Domänen-Admins", um das Hinzufügen von Arbeitsstationen zur Domäne können die folgenden Aktionen ausführen:

  • Verwenden Sie Gruppenrichtlinien, um die erforderlichen Benutzerrechte zu gewähren. Diese Methode können Sie Computer in Standardcontainer und in jeder Organisationseinheit (OU), die später erstellt wird (falls kein Deny Zugriffssteuerungseinträge (ACEs) hinzugefügt werden) zu erstellen.

  • Bearbeiten Sie die Zugriffssteuerungsliste (ACL) der Standardcontainer für die Domäne die richtigen Berechtigungen an Sie delegiert.

  • Erstellen Sie eine Organisationseinheit, und bearbeiten Sie die ACL für diese Organisationseinheit zu erteilen Sie demErstellen Sie untergeordnete – zulassenBerechtigung. Übergeben der/machineOUParameter für diedjoin /provisionBefehl.

Die folgenden Verfahren zeigen, wie mit der Gruppenrichtlinie die Benutzerrechte gewähren und die richtigen Berechtigungen delegieren.

Der Gruppenrichtlinien-Verwaltungskonsole (GPMC) können die Domänenrichtlinie ändern oder Erstellen einer neuen Richtlinie mit Einstellungen, die die Benutzerrechte zum Hinzufügen von Arbeitsstationen zu einer Domäne zu gewähren.

Mitgliedschaft inDomänenadministratorenoder einer entsprechenden Gruppe sein, um Benutzerrechte zu gewähren.Einzelheiten zur Verwendung der geeigneten Konten und Gruppenmitgliedschaften finden Sie unter Lokale und Domänenstandardgruppen (http://go.microsoft.com/fwlink/?LinkId=83477).

Hinzufügen von Arbeitsstationen zu einer Domäne Zugriffsrechte
  1. Click

  2. Doppelklicken Sie auf den Namen der Gesamtstruktur, doppelklicken Sie aufDomänendoppelklicken Sie auf den Namen der Domäne ein, in dem Sie einen Computer mit der rechten Maustaste möchtenDefault Domain Policyund klicken Sie dann aufBearbeiten.

  3. Doppelklicken Sie in der Konsolenstruktur aufComputerkonfigurationdoppelklicken Sie aufRichtliniendoppelklicken Sie aufWindows-Einstellungendoppelklicken Sie aufSicherheitseinstellungendoppelklicken Sie aufLokale Richtlinienund doppelklicken Sie dann aufZuweisen von Benutzerrechten.

  4. Doppelklicken Sie im Detailbereich aufHinzufügen von Arbeitsstationen zur Domäne.

  5. Wählen Sie dieDiese Richtlinien definierenund klicken Sie dann aufBenutzer oder Gruppe hinzufügen.

  6. Geben Sie den Namen des Kontos, das Sie möchten die Benutzerrechte zu gewähren, und klicken Sie aufOKzweimal.

Führen Sie Djoin.exe an ein Eingabeaufforderungsfenster mit erhöhten Rechten, die Metadaten der Computer-Konto bereitstellen. Beim Ausführen des Befehls Bereitstellung wird die Computer-Konto-Metadaten in eine binäre Datei erstellt, die Sie als Teil des Befehls angeben.

Weitere Informationen über die NetProvisionComputerAccount-Funktion, die verwendet wird, um das Computerkonto während ein offline-Domänenbeitritt bereitzustellen, finden Sie unterNetProvisionComputerAccount Funktion(http://go.microsoft.com/fwlink/?LinkId=162426). Weitere Informationen über die NetRequestOfflineDomainJoin-Funktion, die lokal auf dem Zielcomputer ausgeführt wird, finden Sie unterNetRequestOfflineDomainJoin Funktion(http://go.microsoft.com/fwlink/?LinkId=162427).

Die offline-Domänenbeitritt umfasst die folgenden Schritte aus:

  1. Erstellen ein neuen Computerkontos für jedes der RAS-Clients und generieren ein Bereitstellungsprozess Paket mit dem Befehl "Djoin.exe" aus einer Domäne beigetreten bereits Computer im Unternehmensnetzwerk.

  2. Fügen Sie den Client-Computer zur Sicherheitsgruppe DirectAccessClients

  3. Sichere Übertragung dieses Paket auf den Remotecomputern (s), die die Domäne beitreten.

  4. Wenden Sie dieses Paket, und verbinden Sie den Client mit der Domäne.

  5. Starten Sie den Client das Beitreten zu einer Domäne, und stellen Sie eine Verbindung neu.

Es gibt zwei Optionen bei das Bereitstellung Paket für den Client zu erstellen. Wenn Sie den Schnellstart-Assistenten zum Installieren von DirectAccess ohne PKI verwendet, sollten Sie die Option 1 unten verwenden. Wenn Sie die erweiterten Setup-Assistenten zum Installieren von DirectAccess mit PKI verwendet, sollten Sie die Option 2 unten verwenden.

Führen Sie die folgenden Schritte aus, um die offline-Domänenbeitritt auszuführen:

Option 1: Erstellen Sie ein Paket Bereitstellungsprozess für den Client ohne PKI

  1. Befehlszeile der RAS-Server Geben Sie den folgenden Befehl aus, um das Computerkonto bereitzustellen:

    Djoin /provision /domain <your domain name> /machine <remote machine name> /policynames DA Client GPO name /rootcacerts /savefile c:\files\provision.txt /reuse
    

Option2: Erstellen Sie ein Paket bereitstellen für den Client mit PKI

  1. Befehlszeile der RAS-Server Geben Sie den folgenden Befehl aus, um das Computerkonto bereitzustellen:

    Djoin /provision /machine <remote machine name> /domain <Your Domain name> /policynames <DA Client GPO name> /certtemplate <Name of client computer cert template> /savefile c:\files\provision.txt /reuse 
    
    

Fügen Sie den Client-Computer zur Sicherheitsgruppe DirectAccessClients

  1. Auf dem Domänencontroller ausStartüActiveund wählen SieActive Directory-Benutzer und-ComputerausAppsBildschirm.

  2. Erweitern Sie die Struktur unter Ihrer Domäne, und wählen Sie dieBenutzerContainer.

  3. Klicken Sie im Detailbereich mit der rechten MaustasteDirectAccessClientsund klicken Sie aufEigenschaften.

  4. Auf der Registerkarte Mitglieder klicken Sie auf Hinzufügen.

  5. Click

  6. Geben Sie den Clientnamen hinzufügen, und klicken Sie dann aufOK.

  7. Click

Kopieren und dann dieses Paket auf den Clientcomputer anwenden

  1. Kopieren Sie dieses Paket von c:\files\provision.txt auf dem RAS-Server, wo es, um c:\provision\provision.txt auf dem Clientcomputer gespeichert wurde.

  2. Öffnen Sie auf dem Clientcomputer ein Eingabeaufforderungsfenster mit erhöhten Rechten, und geben Sie dann den folgenden Befehl zum Hinzufügen zur Domäne anfordern:

    Djoin /requestodj /loadfile C:\provision\provision.txt /windowspath %windir% /localos 
    
    
  3. Starten Sie den Clientcomputer neu. Der Computer wird der Domäne hinzugefügt werden. Nach dem Neustart des Clients wird der Domäne hinzugefügt werden und über eine Verbindung mit dem Unternehmensnetzwerk mit DirectAccess verfügen.

Anzeigen:
© 2016 Microsoft