Hinzufügen eines Computers zu einer Domäne

Das Verknüpfen eines Server- oder Clientgeräts zu einer Domäne ist ein wesentlicher Schritt, um eine zentrale Verwaltung und eine verbesserte Sicherheit im Netzwerk einer Organisation zu erreichen. Unabhängig davon, ob Sie ein neues Gerät konfigurieren oder Ihr Netzwerksetup optimieren, folgen Sie diesem Leitfaden, um eine nahtlose Integration in Ihre Domänenumgebung zu erhalten.

Von Bedeutung

KB5020276 ist ein Microsoft-Update, das die Sicherheit des Domänenbeitrittsprozesses stärkt. Dieses Update führt eine erweiterte Überprüfung und Authentifizierung ein, um zu verhindern, dass nicht autorisierte Geräte einer Windows-Domäne beitreten, um sicherzustellen, dass nur vertrauenswürdige Geräte zu Ihrem Netzwerk hinzugefügt werden können. Weitere Informationen finden Sie unter KB5020276 – Netjoin: Verbesserungen bei der Absicherung des Domänenbeitritts.

Voraussetzungen

Serveranforderungen

Ihr Windows Server-Gerät muss die Active Directory-Domänendienste-Rolle installiert sein, um das Tool "Active Directory-Benutzer und -Computer (ADUC)" zu verwenden. Weitere Informationen finden Sie unter Installieren oder Deinstallieren von Rollen, Rollendiensten oder Features.

Sie müssen Mitglied der Gruppe "Administratoren" sein oder über Administratorrechte für das lokale Konto und das Domänenkonto verfügen.

Clientanforderungen

Das Benutzerkonto muss über Administratorrechte auf dem lokalen Computer verfügen, um einer Domäne beizutreten.

Ihr Clientgerät muss eine der folgenden Versionen von Windows installiert haben:

• Unternehmen
• Enterprise N
• Vorteil
• Pro N
• Pro Education
• Pro Education N
• Pro für Arbeitsstationen
• Pro N für Arbeitsstationen

Hinweis

Um die Zeit synchron zu halten, verwenden Organisationen häufig den Windows-Zeitdienst oder einen NTP-Server (Network Time Protocol). In einer Domäne synchronisieren Computer in der Regel ihre Uhren mit dem an einer zuverlässigen Zeitquelle ausgerichteten Domänencontroller. Dieser Prozess stellt konsistente Zeiteinstellungen für alle Geräte in der Domäne sicher, wodurch potenzielle Probleme mit der Kerberos-Authentifizierung minimiert werden.

Vorkonfigurieren eines Geräts mit ADUC

Dieser Schritt ist optional und nicht obligatorisch, um ein Gerät mit einer Domäne zu verknüpfen. Das Vorabstagieren eines Geräts in Active Directory kann den Prozess jedoch optimieren, indem das Computerkonto der entsprechenden Organisationseinheit (OU) vorab zugewiesen und sichergestellt wird, dass die richtigen Berechtigungen vorhanden sind, bevor das Gerät der Domäne beitritt.

1. Wählen Sie im Server-Manager die Schaltfläche "Extras " im oberen rechten Menü aus.

2. Wählen Sie im Dropdownmenü Active Directory-Benutzer und -Computer aus.

3. Navigieren Sie im linken Bereich zu der entsprechenden Organisationseinheit (OU), und wählen Sie sie aus.

4. Wählen Sie die Registerkarte "Aktionen " und dann " Neu" und dann " Computer" aus.

5. Geben Sie den Computernamen ein, und konfigurieren Sie, zu welchem Benutzer oder welcher Gruppe das Gerät gehören soll.

6. Wählen Sie "OK " aus. Dies kann beim Vorbereiten helfen, wenn der Client bereit ist, der Domäne beizutreten.

Verbinden eines Geräts mit einer Domäne

Das Verknüpfen eines Geräts zu einer Domäne kann entweder mithilfe von GUI-Methoden (Grafische Benutzeroberfläche) oder Befehlszeilentools erfolgen, je nach Ihren Vorlieben und den Anforderungen Ihrer Umgebung. Beide Ansätze sorgen für die Integration in die Domäne.

Server-Manager-Methode

1. Im Server-Manager wählen Sie Lokaler Server und unter Arbeitsgruppe den Hyperlink für den Arbeitsgruppen- oder Domänennamen aus.

2. Wählen Sie auf der Registerkarte " Computername " die Option "Ändern" aus.

3. Wählen Sie unter "Mitglied von" die Option "Domäne" aus, geben Sie den Namen der Domäne ein, der der Computer beitreten soll, und wählen Sie dann "OK" aus.

4. Geben Sie die zum Beitreten zur Domäne erforderlichen Anmeldeinformationen ein, und wählen Sie dann "OK" aus.

5. Nachdem das Gerät erfolgreich der Domäne beigetreten ist, bestätigt eine Benachrichtigung die Domänenmitgliedschaft des Geräts. Wählen Sie "OK" aus, und Sie werden aufgefordert, Ihr Gerät neu zu starten.

Control Panel-Methode

1. Wählen Sie "Start" aus, geben Sie die Systemsteuerung ein, und drücken Sie dann die EINGABETASTE.

2. Stellen Sie sicher, dass im Dropdownmenü "Ansicht nach" oben rechts die Option auf "Kategorie" festgelegt ist.

3. Navigieren Sie zu System und Sicherheit, und wählen Sie dann "System" aus.

4. Wählen Sie "Domäne" oder "Arbeitsgruppe" unter der Registerkarte " Computername " die Option "Ändern" aus.

5. Wählen Sie unter "Mitglied von" die Option "Domäne" aus, geben Sie den Namen der Domäne ein, der der Computer beitreten soll, und wählen Sie dann "OK" aus.

6. Geben Sie die zum Beitreten zur Domäne erforderlichen Anmeldeinformationen ein, und wählen Sie dann "OK" aus.

7. Nachdem das Gerät erfolgreich der Domäne beigetreten ist, bestätigt eine Benachrichtigung die Domänenmitgliedschaft des Geräts. Wählen Sie "OK" aus, und Sie werden aufgefordert, Ihr Gerät neu zu starten.

1. Wählen Sie "Start" aus, geben Sie die Systemsteuerung ein, und drücken Sie dann die EINGABETASTE.

2. Stellen Sie sicher, dass im Dropdownmenü "Ansicht nach" oben rechts die Option auf "Kategorie" festgelegt ist.

3. Navigieren Sie zu System und Sicherheit, und wählen Sie dann "System" aus.

4. Wählen Sie "Erweiterte Systemeinstellungen" und dann " Einstellungen ändern" aus.

5. Wählen Sie auf der Registerkarte " Computername " die Option "Ändern" aus. '

6. Wählen Sie unter "Mitglied von" die Option "Domäne" aus, geben Sie den Namen der Domäne ein, der der Computer beitreten soll, und wählen Sie dann "OK" aus.

7. Geben Sie die zum Beitreten zur Domäne erforderlichen Anmeldeinformationen ein, und wählen Sie dann "OK" aus.

8. Nachdem das Gerät erfolgreich der Domäne beigetreten ist, bestätigt eine Benachrichtigung die Domänenmitgliedschaft des Geräts. Wählen Sie "OK" aus, und Sie werden aufgefordert, Ihr Gerät neu zu starten.

1. Wählen Sie "Start" aus, geben Sie die Systemsteuerung ein, und drücken Sie dann die EINGABETASTE.

2. Stellen Sie sicher, dass im Dropdownmenü "Ansicht nach" oben rechts die Option auf "Kategorie" festgelegt ist.

3. Navigieren Sie zu System und Sicherheit, und wählen Sie dann "System" aus.

4. Wählen Sie unter "Computername", "Domäne" und "Arbeitsgruppeneinstellungen" die Option "Einstellungen ändern" aus.

5. Wählen Sie auf der Registerkarte " Computername " die Option "Ändern" aus. '

6. Wählen Sie unter "Mitglied von" die Option "Domäne" aus, geben Sie den Namen der Domäne ein, der der Computer beitreten soll, und wählen Sie dann "OK" aus.

7. Geben Sie die zum Beitreten zur Domäne erforderlichen Anmeldeinformationen ein, und wählen Sie dann "OK" aus.

8. Nachdem das Gerät erfolgreich der Domäne beigetreten ist, bestätigt eine Benachrichtigung die Domänenmitgliedschaft des Geräts. Wählen Sie "OK" aus, und Sie werden aufgefordert, Ihr Gerät neu zu starten.

Einstellungs-App-Methode

1. Wählen Sie "Start" und dann " Einstellungen" und dann " Konten" aus.

2. Wählen Sie "Zugriff auf Arbeits- oder Schulkonto" und dann "Verbinden" aus.

3. Wählen Sie "Dieses Gerät mit einer lokalen Active Directory-Domäne verbinden" aus.

4. Geben Sie den Domänennamen ein, wählen Sie "Weiter" und die Kontoanmeldeinformationen aus, und wählen Sie dann "OK" aus.

5. Starten Sie das Gerät neu.

Befehlszeilenmethode

Das Hinzufügen eines Geräts zu einer Domäne kann über die Eingabeaufforderung oder PowerShell ausgeführt werden.

Eingabeaufforderung

1. Öffnen Sie ein Eingabeaufforderungsfenster mit erhöhten Rechten.

2. Führen Sie den folgenden Befehl aus und ersetzen Sie YourDomainName und DomainUsername durch Ihre Werte.

   netdom join %COMPUTERNAME% /domain:YourDomainName /userd:DomainUsername /passwordd:*
   

3. Das System fordert Sie auf, das Kennwort für das angegebene Domänenbenutzerkonto einzugeben.

4. Starten Sie Ihr Gerät neu. Sobald Sie sich angemeldet haben, sind Sie der Domäne beigetreten.

PowerShell

1. Öffnen Sie ein PowerShell-Fenster mit erhöhten Rechten.

2. Führen Sie den folgenden Befehl aus und ersetzen Sie YourDomainName durch Ihren Wert:

   Add-Computer -DomainName "YourDomainName" -Credential (Get-Credential)
   Restart-Computer
   

3. Sie werden aufgefordert, die Domänenanmeldeinformationen einzugeben.

Ihr Gerät wird neu gestartet, nachdem die Domänenanmeldeinformationen eingegeben wurden, um der Domäne beizutreten.

Erneutes Verbinden eines getrennten Geräts mit einer Domäne

In Fällen, in denen ein Client- oder Servergerät von der Domäne getrennt ist, können Sie die Vertrauensstellung wiederherstellen, indem Sie das Gerät aus der Domäne entfernen und dann erneut beitreten. Dieser Prozess stellt die Verbindung zwischen dem Gerät und der Domäne erneut her. Der Vorgang beim Verlassen einer Domäne ähnelt dem Beitritt zu einer Domäne.

Erneut einer Domäne beitreten mit dem Server-Manager

Um eine Domäne mit dem Server-Manager zu verlassen, führen Sie die vorherigen Schritte aus, um der Domäne beizutreten, bis Sie das Fenster "Systemeigenschaften " erreicht haben.

1. Wählen Sie unter "Mitglied derArbeitsgruppe" den Namen einer Arbeitsgruppe ein, die vorübergehend beitreten soll, und wählen Sie dann "OK" aus.

2. Wählen Sie "OK" erneut aus, und starten Sie das Gerät dann neu.

3. Nachdem Sie sich wieder beim lokalen Konto angemeldet haben, wiederholen Sie die Schritte, um Ihr Gerät mit der Domäne zu verbinden, von der sie zuvor getrennt wurde.

Erneuter Beitritt eines Servers zu einer Domäne mithilfe der Systemsteuerung

Wenn Sie eine Domäne über die Systemsteuerung verlassen möchten, führen Sie die vorherigen Schritte aus, um der Domäne beizutreten, bis Sie das Fenster "Systemeigenschaften " erreicht haben.

1. Wählen Sie unter "Mitglied derArbeitsgruppe" den Namen einer Arbeitsgruppe ein, die vorübergehend beitreten soll, und wählen Sie dann "OK" aus.

2. Wählen Sie "OK" erneut aus, und starten Sie das Gerät dann neu.

3. Nachdem Sie sich wieder beim lokalen Konto angemeldet haben, wiederholen Sie die Schritte, um Ihr Gerät mit der Domäne zu verbinden, von der sie zuvor getrennt wurde.

Einen Client mithilfe der Systemsteuerung wieder zu einer Domäne hinzufügen

Wenn Sie eine Domäne über die Systemsteuerung verlassen möchten, führen Sie die vorherigen Schritte aus, um der Domäne beizutreten, bis Sie das Fenster "Systemeigenschaften " erreicht haben.

1. Wählen Sie unter "Mitglied derArbeitsgruppe" den Namen einer Arbeitsgruppe ein, die vorübergehend beitreten soll, und wählen Sie dann "OK" aus.

2. Wählen Sie "OK" erneut aus, und starten Sie das Gerät dann neu.

3. Nachdem Sie sich wieder beim lokalen Konto angemeldet haben, wiederholen Sie die Schritte, um Ihr Gerät erneut an der Domäne anzumelden, von der sie zuvor getrennt wurde.

Erneutes Beitreten zu einer Domäne mithilfe von Einstellungen

Um eine Domäne mit der Einstellungs-App zu verlassen, führen Sie die vorherigen Schritte aus, um der Domäne beizutreten, bis Sie das Access-Geschäfts- oder Schulfenster erreicht haben.

1. Wählen Sie unter Ihrem Konto "Trennen" und dann "Ja" aus.

2. Starten Sie Ihr Gerät neu.

3. Nachdem Sie sich wieder beim lokalen Konto angemeldet haben, wiederholen Sie die Schritte, um Ihr Gerät erneut an der Domäne anzumelden, von der sie zuvor getrennt wurde.

Erneutes Beitreten zu einer Domäne mithilfe der Kommandozeile

Führen Sie die folgenden Schritte aus, um eine Domäne über die Befehlszeile zu verlassen:

Eingabeaufforderung

1. Öffnen Sie ein Eingabeaufforderungsfenster mit erhöhten Rechten.

2. Führen Sie den folgenden Befehl aus und ersetzen Sie YourDomainName und DomainUsername durch Ihre Werte.

   netdom remove %COMPUTERNAME% /domain:YourDomainName /userd:DomainUsername /passwordd:*
   

3. Das System fordert Sie auf, das Kennwort für das angegebene Domänenbenutzerkonto einzugeben.

4. Melden Sie sich nach dem Neustart des Geräts beim lokalen Konto an.

5. Führen Sie die in der Befehlszeilenmethode bereitgestellten Schritte aus, um der Domäne wieder beizutreten.

PowerShell

1. Öffnen Sie ein PowerShell-Fenster mit erhöhten Rechten.

2. Führen Sie den folgenden Befehl aus:

   Remove-Computer -UnjoinDomainCredential (Get-Credential) -PassThru -Verbose -Restart
   

3. Sie werden aufgefordert, die Domänenanmeldeinformationen einzugeben. Ihr Gerät wird nach dem Eingeben der Domänenanmeldeinformationen neu gestartet.

4. Melden Sie sich bei Ihrem Gerät an, und führen Sie die in der Befehlszeilenmethode bereitgestellten Schritte aus, um sich erneut an der Domäne anzumelden.

Reparieren der Domänenvertrauensstellung

Möglicherweise tritt der folgende Fehler auf, wenn der sichere Kanal zwischen einem in die Domäne eingebundenen Computer und dem Domänencontroller unterbrochen wird:

The trust relationship between this workstation and the primary domain failed.

Dieser Fehler tritt in der Regel auf, wenn das Kennwort des Computers nicht mit der Domänendatenbank synchronisiert wird. Es kann auch passieren, wenn das Computerkonto in der Domäne gelöscht oder beschädigt wurde. Sie können das Vertrauensstellungsproblem zwischen dem Gerät und der Domäne mithilfe der Befehlszeile beheben.

Eingabeaufforderung

1. Melden Sie sich mit dem lokalen Administratorkonto an.

2. Öffnen Sie ein Eingabeaufforderungsfenster mit erhöhten Rechten.

3. Testen Sie den sicheren Kanal, indem Sie den folgenden Befehl ausführen und dabei ComputerName und YourDomainName durch Ihre Werte ersetzen.

   netdom verify ComputerName /domain:YourDomainName
   

4. Setzen Sie das Maschinenkennwort zurück, indem Sie den folgenden Befehl ausführen und DomainControllerName sowie Domain\Username durch Ihre Werte ersetzen.

   netdom resetpwd /server:DomainControllerName /userd:Domain\Username /passwordd:*
   

   Sie werden aufgefordert, das Kennwort für das Konto anzugeben.

5. Führen Sie den folgenden Befehl aus, indem Sie YourDomainName und DomainUsername mit Ihren Werten ersetzen, um den sicheren Kanal zurückzusetzen.

   netdom reset /domain:YourDomainName /userd:DomainUsername /passwordd:*
   

   Sie werden aufgefordert, das Kennwort für das Konto anzugeben.

6. Starten Sie Ihr Gerät neu, damit Änderungen wirksam werden. Führen Sie die in der Befehlszeilenmethode bereitgestellten Schritte aus, um der Domäne wieder beizutreten.

PowerShell

1. Melden Sie sich mit dem lokalen Administratorkonto an.

2. Öffnen Sie ein PowerShell-Fenster mit erhöhten Rechten.

3. Testen Sie den sicheren Kanal, indem Sie den folgenden Befehl ausführen:

      Test-ComputerSecureChannel
   

   Wenn der Test zurückgegeben wird True, ist der sichere Kanal intakt, und das Problem kann sich an anderer Stelle befinden, z. B. mit dem Domain Name System (DNS) oder einem anderen Netzwerkproblem. Wenn False, fahren Sie mit den nächsten Schritten fort.

4. Versuchen Sie, den sicheren Kanal direkt mithilfe des folgenden Befehls zu reparieren, und geben Sie die Anmeldeinformationen an, wenn Sie dazu aufgefordert werden:

   Test-ComputerSecureChannel -Repair -Credential (Get-Credential)
   

5. Führen Sie den folgenden Befehl aus, um das Kennwort für das Computerkonto zurückzusetzen und die Domänenanmeldeinformationen einzugeben, wenn Sie dazu aufgefordert werden:

   $credential = Get-Credential
   Reset-ComputerMachinePassword -Credential $credential
   Restart-Computer -Force
   

6. Nachdem Ihr Gerät neu gestartet wurde, führen Sie die Schritte der Command line method aus, um erneut der Domäne beizutreten.