Bagikan melalui

DirectAccess Penyambungan Domain Offline

Panduan ini menjelaskan langkah-langkah untuk melakukan gabungan domain offline dengan DirectAccess. Selama gabungan domain offline, komputer dikonfigurasi untuk bergabung dengan domain tanpa koneksi fisik atau VPN.

Panduan ini mencakup bagian berikut:

  • Gambaran umum gabungan domain offline

  • Persyaratan untuk penyambungan domain offline

  • Proses gabungan domain offline

  • Langkah-langkah untuk melakukan penggabungan domain secara offline

Gambaran umum gabungan domain offline

Diperkenalkan di Windows Server 2008 R2, pengendali domain menyertakan fitur yang disebut Gabungan Domain Offline. Utilitas baris perintah bernama Djoin.exe memungkinkan Anda bergabung dengan komputer ke domain tanpa menghubungi pengendali domain secara fisik saat menyelesaikan operasi gabungan domain. Langkah-langkah umum untuk menggunakan Djoin.exe adalah:

  1. Jalankan djoin /provision untuk membuat metadata akun komputer. Output dari perintah ini adalah file .txt yang menyertakan blob yang dikodekan base-64.

  2. Jalankan djoin /requestODJ untuk menyisipkan metadata akun komputer dari file .txt ke direktori Windows komputer tujuan.

  3. Reboot komputer tujuan, dan komputer akan bergabung ke domain.

Gambaran umum skenario penggabungan domain offline dengan kebijakan DirectAccess

Gabungan domain offline DirectAccess adalah proses yang dapat digunakan komputer yang menjalankan Windows Server 2016, Windows Server 2012, Windows 10, dan Windows 8 untuk bergabung dengan domain tanpa bergabung secara fisik ke jaringan perusahaan, atau terhubung melalui VPN. Ini memungkinkan untuk bergabung dengan komputer ke domain dari lokasi di mana tidak ada konektivitas ke jaringan perusahaan. Penyambungan domain secara offline untuk DirectAccess menyediakan kebijakan DirectAccess kepada klien agar memungkinkan provisi jarak jauh.

Gabungan domain membuat akun komputer dan membuat hubungan kepercayaan antara komputer yang menjalankan sistem operasi Windows dan domain Direktori Aktif.

Persiapkan untuk bergabung dengan domain secara offline

  1. Buat akun komputer.

  2. Inventarkan keanggotaan semua grup keamanan tempat akun komputer berada.

  3. Kumpulkan sertifikat komputer, kebijakan grup, dan objek kebijakan grup yang diperlukan untuk diterapkan ke klien baru.

Bagian berikut menjelaskan persyaratan sistem operasi dan persyaratan kredensial untuk melakukan gabungan domain offline DirectAccess menggunakan Djoin.exe.

Persyaratan sistem operasi

Anda dapat menjalankan Djoin.exe untuk DirectAccess hanya pada komputer yang menjalankan Windows Server 2016, Windows Server 2012 atau Windows 8. Komputer tempat Anda menjalankan Djoin.exe untuk menyediakan data akun komputer ke AD DS harus menjalankan Windows Server 2016, Windows 10, Windows Server 2012 atau Windows 8. Komputer yang ingin Anda gabungkan ke domain juga harus menjalankan Windows Server 2016, Windows 10, Windows Server 2012 , atau Windows 8.

Persyaratan kredensial

Untuk melakukan bergabung dengan domain secara offline, Anda harus memiliki hak yang diperlukan untuk menyambungkan stasiun kerja ke domain. Anggota grup Admin Domain memiliki hak ini secara default. Jika Anda bukan anggota grup Admin Domain, anggota grup Admin Domain harus menyelesaikan salah satu tindakan berikut untuk memungkinkan Anda bergabung dengan stasiun kerja ke domain:

  • Gunakan Kebijakan Grup untuk memberikan hak pengguna yang diperlukan. Metode ini memungkinkan Anda membuat komputer di kontainer Komputer default dan di unit organisasi (OU) apa pun yang dibuat nanti (jika tidak ada entri kontrol akses Tolak (ASE) yang ditambahkan).

  • Edit daftar kontrol akses (ACL) kontainer Komputer default untuk domain guna mendelegasikan izin yang benar kepada Anda.

  • Buat unit organisasi dan edit ACL pada unit organisasi tersebut untuk memberi Anda izin Buat anak - Izinkan . Masukkan parameter /machineOU ke dalam perintah djoin /provision.

Prosedur berikut menunjukkan cara memberikan hak pengguna dengan Kebijakan Grup dan cara mendelegasikan izin yang benar.

Memberikan hak pengguna untuk bergabung dengan komputer kerja dalam domain

Anda dapat menggunakan Konsol Manajemen Kebijakan Grup (GPMC) untuk mengubah kebijakan domain atau membuat kebijakan baru yang memiliki pengaturan yang memberikan hak pengguna untuk menambahkan stasiun kerja ke domain.

Keanggotaan di Admin Domain, atau yang setara, adalah minimum yang diperlukan untuk memberikan hak pengguna. Ulaslah rincian mengenai penggunaan akun dan keanggotaan grup yang sesuai di Grup Default Lokal dan Domain (https://go.microsoft.com/fwlink/?LinkId=83477).

Untuk memberikan akses bergabung ke komputer kerja dalam domain

  1. Klik Mulai, klik Alat Administratif, lalu klik Manajemen Kebijakan Grup.

  2. Klik dua kali nama hutan, klik dua kali Domain, klik dua kali nama domain tempat Anda ingin menambahkan komputer, klik kanan Kebijakan Domain Default, lalu klik Edit.

  3. Di pohon konsol, klik dua kali Konfigurasi Komputer, klik dua kali Kebijakan, klik dua kali Pengaturan Windows, klik dua kali Pengaturan Keamanan, klik dua kali Kebijakan Lokal, lalu klik dua kali Penetapan Hak Pengguna.

  4. Di panel rincian, klik dua kali "Tambahkan stasiun kerja ke domain".

  5. Pilih kotak centang Tentukan pengaturan kebijakan ini, lalu klik Tambahkan Pengguna atau Grup.

  6. Ketik nama akun yang ingin Anda berikan hak pengguna, lalu klik OK dua kali.

Proses gabungan domain offline

Jalankan Djoin.exe pada prompt perintah dengan hak akses administrator untuk menyediakan metadata akun komputer. Saat Anda menjalankan perintah provisi, metadata akun komputer dibuat dalam file biner yang Anda tentukan sebagai bagian dari perintah.

Untuk informasi selengkapnya tentang fungsi NetProvisionComputerAccount yang digunakan untuk menyediakan akun komputer selama gabungan domain offline, lihat Fungsi NetProvisionComputerAccount (https://go.microsoft.com/fwlink/?LinkId=162426). Untuk informasi selengkapnya tentang fungsi NetRequestOfflineDomainJoin yang berjalan secara lokal di komputer tujuan, lihat Fungsi NetRequestOfflineDomainJoin (https://go.microsoft.com/fwlink/?LinkId=162427).

Langkah-langkah untuk melakukan penggabungan domain offline DirectAccess

Proses gabungan domain offline mencakup langkah-langkah berikut:

  1. Buat akun komputer baru untuk setiap klien jarak jauh dan hasilkan paket provisi menggunakan perintah Djoin.exe dari komputer yang sudah bergabung dengan domain di jaringan perusahaan.

  2. Menambahkan komputer klien ke grup keamanan DirectAccessClients

  3. Transfer paket provisi dengan aman ke komputer jarak jauh yang akan bergabung dengan domain.

  4. Terapkan paket provisi dan gabungkan klien ke domain.

  5. Reboot klien untuk menyelesaikan gabungan domain dan membangun konektivitas.

Ada dua opsi yang perlu dipertimbangkan saat membuat paket provisi untuk klien. Jika Anda menggunakan Wizard Memulai untuk menginstal DirectAccess tanpa PKI, maka Anda harus menggunakan opsi 1 di bawah ini. Jika Anda menggunakan Panduan Penyetelan Tingkat Lanjut untuk menginstal DirectAccess dengan PKI, maka Anda harus menggunakan opsi 2 di bawah ini.

Selesaikan langkah-langkah berikut untuk melakukan gabungan domain offline:

Opsi1: Membuat paket provisi untuk klien tanpa PKI

  1. Pada perintah server Akses Jarak Jauh Anda, ketik perintah berikut untuk menyediakan akun komputer:

    Djoin /provision /domain <your domain name> /machine <remote machine name> /policynames DA Client GPO name /rootcacerts /savefile c:\files\provision.txt /reuse
Opsi2: Membuat paket provisi untuk klien dengan PKI

  1. Pada perintah server Akses Jarak Jauh Anda, ketik perintah berikut untuk menyediakan akun komputer:

    Djoin /provision /machine <remote machine name> /domain <Your Domain name> /policynames <DA Client GPO name> /certtemplate <Name of client computer cert template> /savefile c:\files\provision.txt /reuse
Menambahkan komputer klien ke grup keamanan DirectAccessClients

  1. Di Pengendali Domain Anda, dari layar Mulai , ketik Aktif dan pilih Pengguna Direktori Aktif dan Komputer dari layar Aplikasi .

  2. Perluas pohon di bawah domain Anda, dan pilih kontainer Pengguna .

  3. Pada panel detail, klik kanan DirectAccessClients, dan klik Properti.

  4. Pada tab Anggota , klik Tambahkan.

  5. Klik Tipe Objek, pilih Komputer, lalu klik OK.

  6. Ketik nama klien yang akan ditambahkan, lalu klik OK.

  7. Klik OK untuk menutup dialog Properti DirectAccessClients , lalu tutup Pengguna Direktori Aktif dan Komputer.

Salin lalu terapkan paket provisi ke komputer klien

  1. Salin paket provisi dari c:\files\provision.txt di Server Akses Jarak Jauh, tempat paket disimpan, ke c:\provision\provision.txt di komputer klien.

  2. Di komputer klien, buka prompt perintah yang ditingkatkan, lalu ketik perintah berikut untuk meminta gabungan domain:

    Djoin /requestodj /loadfile C:\provision\provision.txt /windowspath %windir% /localos

  3. Reboot komputer klien. Komputer akan bergabung ke dalam domain. Setelah reboot, klien akan bergabung ke domain dan memiliki konektivitas ke jaringan perusahaan dengan DirectAccess.

Lihat Juga

NetProvisionComputerAccount FungsiNetRequestOfflineDomainJoin Fungsi