DirectAccess offline tartományhoz való csatlakozás

Ez az útmutató bemutatja az offline tartományhoz való csatlakozás a DirectAccess szolgáltatással való végrehajtásának lépéseit. Offline tartományhoz való csatlakozás során a számítógép úgy van konfigurálva, hogy fizikai vagy VPN-kapcsolat nélküli tartományhoz csatlakozzon.

Ez az útmutató a következő szakaszokat tartalmazza:

• Offline tartományhoz való csatlakozás áttekintése

• Az offline tartományhoz való csatlakozás követelményei

• Kapcsolat nélküli tartományhoz való csatlakozás folyamata

• Offline tartományhoz való csatlakozás végrehajtásának lépései

Offline tartományhoz való csatlakozás áttekintése

A Windows Server 2008 R2-ben bevezetett tartományvezérlők közé tartozik az offline tartományhoz való csatlakozás nevű funkció. A Djoin.exe nevű parancssori segédprogram lehetővé teszi a számítógép tartományhoz való csatlakoztatását anélkül, hogy fizikailag kapcsolatba lépne egy tartományvezérlővel a tartománybeléptetési művelet végrehajtása közben. A Djoin.exe használatának általános lépései a következők:

1. Futtassa a djoin /provision parancsot a számítógépfiók metaadatainak létrehozásához. A parancs kimenete egy .txt fájl, amely egy base-64 kódolású blobot tartalmaz.

2. A djoin /requestODJ parancs futtatásával szúrja be a számítógépfiók metaadatait a .txt fájlból a célszámítógép Windows könyvtárába.

3. Indítsa újra a célszámítógépet, és a számítógép csatlakozik a tartományhoz.

Offline tartományhoz való csatlakozás DirectAccess-szabályzatokkal – áttekintés

A DirectAccess offline tartományhoz való csatlakoztatása olyan folyamat, amellyel a Windows Server 2016, a Windows Server 2012, a Windows 10 és a Windows 8 rendszert futtató számítógépek anélkül csatlakozhatnak tartományhoz, hogy fizikailag csatlakoznak a vállalati hálózathoz, vagy VPN-en keresztül csatlakoznak. Ez lehetővé teszi a számítógépek tartományhoz való csatlakoztatását olyan helyekről, ahol nincs kapcsolat a vállalati hálózathoz. A DirectAccess offline tartományhoz való csatlakoztatása DirectAccess-szabályzatokat biztosít az ügyfeleknek a távoli kiépítés engedélyezéséhez.

A tartományhoz való csatlakozás létrehoz egy számítógépfiókot, és megbízhatósági kapcsolatot létesít egy Windows operációs rendszert futtató számítógép és egy Active Directory-tartomány között.

Felkészülés offline tartományhoz való csatlakozásra

1. Hozza létre a gépfiók fiókot.

2. Leltározza az összes olyan biztonsági csoport tagságát, amelyhez a gépfiók tartozik.

3. Gyűjtse össze az új ügyfél(ek)hez alkalmazni kívánt számítógéptanúsítványokat, csoportházirendeket és csoportházirend-objektumokat.

A következő szakaszok ismertetik az operációs rendszer követelményeit és a DirectAccess offline tartományhoz való csatlakozásának hitelesítő adatait Djoin.exehasználatával.

Az operációs rendszer követelményei

A DirectAccess Djoin.exe csak Windows Server 2016, Windows Server 2012 vagy Windows 8 rendszerű számítógépeken futtatható. A számítógépfiókadatok AD DS-be való kiépítéséhez Djoin.exe futtató számítógépnek Windows Server 2016, Windows 10, Windows Server 2012 vagy Windows 8 rendszert kell futtatnia. A tartományhoz csatlakozni kívánt számítógépnek Windows Server 2016, Windows 10, Windows Server 2012 vagy Windows 8 rendszert is futtatnia kell.

Hitelesítő adatokra vonatkozó követelmények

Offline tartományhoz való csatlakozáshoz rendelkeznie kell a munkaállomások tartományhoz való csatlakoztatásához szükséges jogosultságokkal. A Tartománygazdák csoport tagjai alapértelmezés szerint rendelkeznek ezekkel a jogosultságokkal. Ha ön nem tagja a Tartománygazdák csoportnak, a Tartománygazdák csoport tagjának végre kell hajtania az alábbi műveletek egyikét, hogy munkaállomásokat csatlakozzon a tartományhoz:

• A csoportházirend használatával adja meg a szükséges felhasználói jogosultságokat. Ezzel a módszerrel számítógépeket hozhat létre az alapértelmezett Számítógépek tárolóban és bármely később létrehozott szervezeti egységben, feltéve, hogy nem adunk hozzá hozzáférés-megtagadási bejegyzéseket (ACEs).

• Szerkessze a tartomány alapértelmezett Számítógépek tárolójának hozzáférés-vezérlési listáját (ACL) a megfelelő engedélyek ön számára történő delegálásához.

• Hozzon létre egy szervezeti egységet, és szerkessze az adott szervezeti egység ACL-ét a gyermek létrehozása – Engedélyezés engedély megadásához. Adja át a /machineOU paramétert a djoin /provision parancsnak.

Az alábbi eljárások bemutatják, hogyan biztosíthat felhasználói jogosultságokat a csoportházirendnek, és hogyan delegálhatja a megfelelő engedélyeket.

Felhasználói jogosultságok biztosítása munkaállomások tartományhoz való csatlakoztatásához

A csoportházirend-kezelési konzol (GPMC) használatával módosíthatja a tartományházirendet, vagy létrehozhat egy új házirendet, amely olyan beállításokkal rendelkezik, amelyek a felhasználói jogosultságokat biztosítják munkaállomások tartományhoz való hozzáadásához.

A Domain Admins csoportban vagy azzal egyenértékű csoportban való tagság a felhasználói jogosultságok megadásához szükséges minimum. Tekintse át a megfelelő fiókok és csoporttagságok helyi és tartományi alapértelmezett csoportokban (https://go.microsoft.com/fwlink/?LinkId=83477) való használatával kapcsolatos részleteket.

Munkaállomások tartományhoz való csatlakoztatásának engedélyezése

1. Kattintson a Start menüFelügyeleti eszközök parancsára, majd a Csoportházirend kezelése parancsra.

2. Kattintson duplán az erdő nevére, kattintson duplán a Tartományok elemre, kattintson duplán annak a tartománynak a nevére, amelyben csatlakozni szeretne egy számítógéphez, kattintson a jobb gombbal az Alapértelmezett tartományházirend elemre, majd kattintson a Szerkesztés parancsra.

3. A konzolfán kattintson duplán a Számítógép konfigurációja elemre, kattintson duplán a Házirendek elemre, kattintson duplán a Windows beállításai elemre, kattintson duplán a Biztonsági beállítások elemre, kattintson duplán a Helyi házirendek elemre, majd kattintson duplán a Felhasználói jogok hozzárendelése elemre.

4. A részletek panelen kattintson duplán a Munkaállomások hozzáadása tartományhoz elemre.

5. Jelölje be a Szabályzatbeállítások megadása jelölőnégyzetet, majd kattintson a Felhasználó vagy csoport hozzáadása elemre.

6. Írja be annak a fióknak a nevét, amelyhez a felhasználói jogosultságokat meg szeretné adni, majd kattintson kétszer az OK gombra .

Kapcsolat nélküli tartományhoz való csatlakozás folyamata

Futtassa a Djoin.exe egy megmagasított parancssorban a számítógépfiók metaadatainak előállításához. A kiépítési parancs futtatásakor a számítógépfiók metaadatai a parancs részeként megadott bináris fájlban jönnek létre.

További információ a NetProvisionComputerAccount függvényről, amely a számítógépfiók offline tartományhoz való csatlakozás során történő kiépítéséhez használatos, lásd: NetProvisionComputerAccount függvény (https://go.microsoft.com/fwlink/?LinkId=162426). A célszámítógépen helyileg futó NetRequestOfflineDomainJoin függvényről további információt a NetRequestOfflineDomainJoin függvény (https://go.microsoft.com/fwlink/?LinkId=162427) című témakörben talál.

A DirectAccess offline tartományhoz való csatlakoztatásának lépései

Az offline tartomány csatlakoztatási folyamata a következő lépéseket tartalmazza:

1. Hozzon létre egy új számítógépfiókot minden távoli ügyfélhez, és hozzon létre egy kiépítési csomagot a vállalati hálózaton lévő, már tartományhoz csatlakoztatott számítógép Djoin.exe parancsával.

2. Az ügyfélszámítógép hozzáadása a DirectAccessClients biztonsági csoporthoz

3. A kiépítési csomag biztonságos átvitele a tartományhoz csatlakozó távoli számítógépekre.

4. Alkalmazza a kiépítési csomagot, és csatlakoztassa az ügyfelet a tartományhoz.

5. Indítsa újra az ügyfelet a tartományhoz való csatlakozás befejezéséhez és a kapcsolat létesítéséhez.

Az ügyfél kiépítési csomagjának létrehozásakor két lehetőség közül választhat. Ha az Első lépések varázslót használta a DirectAccess PKI nélküli telepítéséhez, akkor az alábbi 1. lehetőséget kell használnia. Ha a Speciális telepítővarázslóval telepítette a DirectAccesst a PKI-vel, akkor használja az alábbi 2. lehetőséget.

Az offline tartományhoz való csatlakozás végrehajtásához hajtsa végre az alábbi lépéseket:

1. lehetőség: Kiépítési csomag létrehozása az ügyfél számára PKI nélkül

1. A távelérési kiszolgáló parancssorában írja be a következő parancsot a számítógépfiók kiépítéséhez:

   Djoin /provision /domain <your domain name> /machine <remote machine name> /policynames DA Client GPO name /rootcacerts /savefile c:\files\provision.txt /reuse
   

2. lehetőség: Kiépítési csomag létrehozása az ügyfél számára a PKI használatával

1. A távelérési kiszolgáló parancssorában írja be a következő parancsot a számítógépfiók kiépítéséhez:

   Djoin /provision /machine <remote machine name> /domain <Your Domain name> /policynames <DA Client GPO name> /certtemplate <Name of client computer cert template> /savefile c:\files\provision.txt /reuse
   

Az ügyfélszámítógép hozzáadása a DirectAccessClients biztonsági csoporthoz

1. A tartományvezérlő kezdőképernyőjén írja be az Active billentyűt, és válassza az Active Directory – Felhasználók és számítógépeklehetőséget az Alkalmazások képernyőről.

2. Bontsa ki a fát a tartománya alatt, és válassza ki a Felhasználók konténert.

3. A részletek panelen kattintson a jobb gombbal a DirectAccessClients elemre, és kattintson a Tulajdonságok parancsra.

4. Kattintson a Tagok lapon a hozzáadása gombra.

5. Kattintson az Objektumtípusok elemre, válassza a Számítógépek lehetőséget, majd kattintson az OK gombra.

6. Írja be a hozzáadni kívánt ügyfélnevet, majd kattintson az OK gombra.

7. Kattintson az OK gombra a DirectAccessClients tulajdonságai párbeszédpanel bezárásához, majd zárja be az Active Directory – felhasználók és számítógépek párbeszédpanelt.

Másolja ki, majd alkalmazza a kiépítési csomagot az ügyfélszámítógépre

1. Másolja a kiépítési csomagot a c:\files\provision.txt-ról a Távelérési Kiszolgálógépen, ahol mentve lett, a c:\provision\provision.txt címre az ügyfélszámítógépen.

2. A kliens számítógépen nyisson meg egy emelt szintű parancssort, majd írja be a következő parancsot a tartományhoz való csatlakozás kezdeményezéséhez.

   Djoin /requestodj /loadfile C:\provision\provision.txt /windowspath %windir% /localos
   

3. Indítsa újra az ügyfélszámítógépet. A számítógép csatlakozik a tartományhoz. Az újraindítást követően az ügyfél csatlakozik a tartományhoz, és a DirectAccess szolgáltatással csatlakozik a vállalati hálózathoz.

Lásd még:

NetProvisionComputerAccount függvényNetRequestOfflineDomainJoin függvény