이 문서는 기계 번역을 이용하여 번역되었습니다. 문서를 영문으로 보려면 영문 확인란을 선택하세요. 마우스 포인터를 텍스트 위로 이동시켜 팝업 창에서 영문 텍스트를 표시할 수도 있습니다.
번역
영문

DirectAccess 오프라인 도메인 가입

 

적용 대상: Windows Server 2012 R2, Windows Server 2012

이 가이드는 DirectAccess와는 오프 라인 도메인 가입을 수행 하는 단계를 설명 합니다. 오프 라인 도메인 가입 하는 동안 컴퓨터는 물리적 컴퓨터 또는 VPN 연결 없이 도메인에 가입 하도록 구성 됩니다.

이 가이드에는 다음 섹션이 수록되어 있습니다.

Windows Server 2008 r 2에 도입 된, 도메인 컨트롤러가 오프 라인 도메인 가입 이라는 기능을 포함 합니다. Djoin.exe 라는 명령줄 유틸리티를 사용 하면 도메인 가입 작업을 완료 하는 동안 도메인 컨트롤러를 물리적으로 접촉 하지 않고 컴퓨터를 도메인에 가입 수 있습니다. Djoin.exe를 사용 하기 위한 일반적인 단계는 다음과 같습니다.

  1. 실행djoin /provision컴퓨터 계정 메타 데이터를 만들려고 합니다. 이 명령의 출력은 e-64로 인코딩된 blob를 포함 하는.txt 파일입니다.

  2. 실행djoin /requestODJ대상 컴퓨터의 Windows 디렉터리에.txt 파일의 컴퓨터 계정 메타 데이터를 삽입 합니다.

  3. 대상 컴퓨터를 다시 부팅 하 고 컴퓨터가 도메인에 가입 됩니다.

DirectAccess 오프 라인 도메인 가입 프로세스를 실행 하는 해당 컴퓨터는Windows Server 2012및Windows 8사용 하 여 물리적으로 회사 네트워크에 참가 하지 않은 도메인에 가입 하거나 VPN을 통해 연결 합니다. 그러면 위치에서 컴퓨터를 도메인에 가입 시킬 수는 회사 네트워크에 대 한 연결이 없는 경우. DirectAccess에 대 한 오프 라인 도메인 가입에 원격 프로 비전 할 수 있도록 클라이언트에 DirectAccess 정책을 제공 합니다.

도메인 가입 컴퓨터 계정을 만들고 Windows 운영 체제 및 Active Directory ® 도메인을 실행 하는 컴퓨터 간의 트러스트 관계를 설정 합니다.

  1. 컴퓨터 계정을 만듭니다.

  2. 멤버 자격을 모든 보안 그룹의 컴퓨터 계정이 속한 인벤토리를 수집 합니다.

  3. 필요한 컴퓨터 인증서, 그룹 정책 및 그룹 정책 개체를 새 클라이언트에 적용할 수를 수집 합니다.

. 다음 섹션에서는 운영 체제 요구 사항 및 Djoin.exe를 사용 하 여 DirectAccess 오프 라인 도메인 가입을 수행 하기 위한 자격 증명 요구 사항에 설명 합니다.

실행 하는 컴퓨터 에서만 DIrectAccess에 대 한 Djoin.exe를 실행할 수 있습니다Windows Server 2012또는Windows 8합니다. 실행 하는 Djoin.exe 프로 비전 컴퓨터 계정 데이터를 AD DS에 컴퓨터를 실행 해야Windows Server 2012또는Windows 8합니다. 컴퓨터를 도메인에 가입 하려는 실행 해야Windows Server 2012또는Windows 8합니다.

오프 라인 도메인 가입을 수행 하려면 워크스테이션을 도메인에 가입 하는데 필요한 권한이 있어야 합니다. Domain Admins 그룹의 멤버는 기본적으로 이러한 권한을 갖습니다. Domain Admins 그룹의 멤버인 없는 경우 Domain Admins 그룹의 구성원 워크스테이션의 도메인에 가입 시킬 수 있도록 하려면 다음 작업 중 하나를 완료 해야 합니다.

  • 그룹 정책을 사용 하 여 필요한 사용자 권한을 부여 합니다. 이 메서드를 사용 하면 (없는 거부 액세스 제어 항목 (Ace)이 추가 됩니다) 하는 경우 나중에 생성 된 모든 조직 구성 단위 (OU) 및 기본 컴퓨터 컨테이너에 컴퓨터를 만들 수 있습니다.

  • 사용자에 올바른 권한을 위임 하려면 도메인에 대 한 기본 컴퓨터 컨테이너의 액세스 제어 목록 (ACL)을 편집 합니다.

  • OU 만들기 및 편집을 부여 해야 해당 OU에 대 한 ACL은만들 자식 – 허용권한. 전달 된/machineOU매개 변수를는djoin /provision명령 합니다.

다음 절차에서는 그룹 정책을 사용 하 여 사용자 권한을 부여 하는 방법과 올바른 사용 권한을 위임 하는 방법을 보여줍니다.

그룹 정책 관리 콘솔 (GPMC) 도메인 정책을 수정 하거나 도메인에 워크스테이션 추가 사용자 권한을 부여 하는 설정을 포함 하는 새 정책 만들기를 사용할 수 있습니다.

멤버 자격이Domain Admins또는 이와 동등한 자격이 있어야 사용자 권한을 부여 하는 데 필요한 최소값입니다. 로컬 및 도메인 기본 그룹(http://go.microsoft.com/fwlink/?LinkId=83477)에서 적절한 계정 및 그룹 구성원 자격 사용에 관한 자세한 내용을 검토하세요.

워크스테이션의 도메인 가입에 대 한 권한을 부여 하려면
  1. 클릭 하 여시작를 클릭 하 여관리 도구클릭 하 고그룹 정책 관리.

  2. 포리스트의 이름을 두번클릭 하 여, 두번클릭도메인를 마우스 오른쪽 단추로 클릭 하는 컴퓨터를 가입 하려는 도메인의 이름을 두번클릭 하 여기본 도메인 정책클릭 하 고편집.

  3. 콘솔 트리에서 두번클릭컴퓨터 구성두번클릭 하 여정책두번클릭 하 여Windows 설정두번클릭 하 여보안 설정을두번클릭 하 여로컬 정책를 차례로 두번클릭사용자 권한 할당.

  4. 세부 정보 창에서 두번클릭 하 여도메인에 워크스테이션 추가.

  5. 선택 된이 정책 설정 정의확인란을 선택한 다음 클릭사용자 또는 그룹 추가.

  6. 클릭 하 고 사용자 권한을 부여 하려는 계정의 이름을 입력확인두번클릭 합니다.

컴퓨터 계정 메타 데이터를 프로 비전 하는 관리자 권한 명령 프롬프트에서 Djoin.exe를 실행 합니다. 프로 비전 하는 명령을 실행 하면 컴퓨터 계정 메타 데이터는 명령의 일부로 지정 하는 이진 파일에 만들어집니다.

오프 라인 도메인 가입 하는 동안 컴퓨터 계정을 프로 비전 하는데 사용 되는 NetProvisionComputerAccount 함수에 대 한 자세한 내용은 참조NetProvisionComputerAccount 함수(http://go.microsoft.com/fwlink/?LinkId=162426). 대상 컴퓨터에서 로컬로 실행 하는 NetRequestOfflineDomainJoin 함수에 대 한 자세한 내용은 참조NetRequestOfflineDomainJoin 함수(http://go.microsoft.com/fwlink/?LinkId=162427).

오프 라인 도메인 가입 프로세스에는 다음 단계가 포함 됩니다.

  1. 각 원격 클라이언트에 대 한 새 컴퓨터 계정을 만들고 프로 비전에서 Djoin.exe 명령을 사용 하 여 패키지를 생성 한 이미 도메인 회사 네트워크의 컴퓨터를 조인 합니다.

  2. DirectAccessClients 보안 그룹에 클라이언트 컴퓨터를 추가 합니다.

  3. 원격 컴퓨터 (s)은 도메인에 가입 됩니다에 안전 하 게 프로비저닝 패키지를 전송 합니다.

  4. 프로비저닝 패키지를 적용 하 고 클라이언트를 도메인에 가입 합니다.

  5. 도메인 가입을 완료 하 고 연결을 설정 하려면 클라이언트를 다시 부팅 합니다.

두 옵션은 클라이언트에 대 한 프로 비전 패킷을 만들 때 고려 해야할 사항이 있습니다. 시작 마법사를 사용 하는 PKI 없이 DirectAccess를 설치할 경우 1 아래 옵션을 사용 해야 합니다. 고급 설치 마법사를 사용 하는 PKI와 DirectAccess를 설치할 경우 아래의 옵션 2를 사용 해야 합니다.

오프 라인 도메인 가입을 수행 하려면 다음 단계를 완료 합니다.

옵션 1: PKI 없이 클라이언트에 대 한 프로 비전 패키지 만들기

  1. 원격 액세스 서버의 명령 프롬프트에서 컴퓨터 계정을 프로 비전 하려면 다음 명령을 입력 합니다.

    Djoin /provision /domain <your domain name> /machine <remote machine name> /policynames DA Client GPO name /rootcacerts /savefile c:\files\provision.txt /reuse
    

옵션 2: PKI 사용 하 여 클라이언트에 대 한 프로 비전 패키지 만들기

  1. 원격 액세스 서버의 명령 프롬프트에서 컴퓨터 계정을 프로 비전 하려면 다음 명령을 입력 합니다.

    Djoin /provision /machine <remote machine name> /domain <Your Domain name> /policynames <DA Client GPO name> /certtemplate <Name of client computer cert template> /savefile c:\files\provision.txt /reuse 
    
    

DirectAccessClients 보안 그룹에 클라이언트 컴퓨터를 추가 합니다.

  1. 도메인 컨트롤러에서에서시작화면에서 입력활성선택 하 고Active Directory 사용자 및 컴퓨터에서화면입니다.

  2. 사용자 도메인 트리를 확장 하 고 선택 된사용자컨테이너입니다.

  3. 세부 정보 창에서 마우스 오른쪽 단추로 클릭DirectAccessClients를 클릭 하 고속성.

  4. 구성원 탭에서 추가를 클릭합니다.

  5. 클릭 하 여개체 유형...선택,컴퓨터를 클릭 하 고확인.

  6. 클라이언트 이름을 추가 하 고, 클릭 한 다음 입력확인.

  7. 클릭 하 여확인를 닫으려면는DirectAccessClients속성 대화 상자를 닫은 다음Active Directory 사용자 및 컴퓨터.

복사 하 고 클라이언트 컴퓨터에 프로비저닝 패키지를 적용 한 다음

  1. 원격 액세스 서버의 위치에 저장 될 당시, 클라이언트 컴퓨터에서 c:\provision\provision.txt c:\files\provision.txt에서 프로비저닝 패키지를 복사 합니다.

  2. 클라이언트 컴퓨터에서 관리자 권한 명령 프롬프트를 열고 도메인 가입을 요청 하려면 다음 명령을 입력 합니다.

    Djoin /requestodj /loadfile C:\provision\provision.txt /windowspath %windir% /localos 
    
    
  3. 클라이언트 컴퓨터를 다시 부팅 합니다. 컴퓨터가는 도메인에 가입 됩니다. 다시 부팅 한 다음 클라이언트 도메인에 가입 됩니다와 DirectAccess 사용 하 여 회사 네트워크에 연결 합니다.

표시: