Een computer toevoegen aan een domein

Het toevoegen van een server of clientapparaat aan een domein is een essentiële stap voor gecentraliseerd beheer en verbeterde beveiliging binnen het netwerk van een organisatie. Volg deze handleiding voor een naadloze integratie in uw domeinomgeving, ongeacht of u een nieuw apparaat configureert of uw netwerkinstallatie optimaliseert.

Belangrijk

KB5020276 is een Microsoft-update die de beveiliging van het domeindeelnameproces versterkt. Deze update introduceert verbeterde validatie en verificatie om te voorkomen dat niet-geautoriseerde apparaten lid worden van een Windows-domein, zodat alleen vertrouwde apparaten kunnen worden toegevoegd aan uw netwerk. Zie voor meer informatie KB5020276 - Netjoin: domeindeelname-verhardingswijzigingen.

Vereiste voorwaarden

Serververeisten

Op uw Windows Server-apparaat moet de active Directory Domain Services-functie zijn geïnstalleerd om het hulpprogramma Active Directory: gebruikers en computers (ADUC) te kunnen gebruiken. Voor meer informatie, zie Rollen, Rollendiensten of Functies installeren of verwijderen.

U moet lid zijn van de groep Administrators of beheerdersbevoegdheden hebben voor zowel het lokale account als het domeinaccount.

Clientvereisten

Het gebruikersaccount moet beheerdersbevoegdheden hebben op de lokale computer om lid te worden van een domein.

Op uw clientapparaat moet een van de volgende versies van Windows zijn geïnstalleerd:

• Onderneming
• Enterprise N
• PRO
• Pro N
• Pro Education
• Pro Education N
• Pro voor Workstations
• Pro N voor werkstations

Opmerking

Om tijd gesynchroniseerd te houden, gebruiken organisaties vaak de Windows Time Service of een NTP-server (Network Time Protocol). Binnen een domein synchroniseren computers hun klokken meestal met de domeincontroller, die moeten worden afgestemd op een betrouwbare tijdbron. Dit proces zorgt voor consistente tijdsinstellingen voor alle apparaten in het domein, waardoor potentiële problemen met Kerberos-verificatie worden geminimaliseerd.

Een apparaat voorbereiden met ADUC

Deze stap is optioneel en niet verplicht voor het toevoegen van een apparaat aan een domein. Het voorbereiden van een apparaat in Active Directory kan het proces echter stroomlijnen door het computeraccount vooraf toe te wijzen aan de juiste organisatie-eenheid (OE) en ervoor te zorgen dat de juiste machtigingen aanwezig zijn voordat het apparaat lid wordt van het domein.

1. Selecteer in Serverbeheer de knop Extra in het menu rechtsboven.

2. Selecteer in de vervolgkeuzelijst Active Directory Gebruikers en Computers.

3. Navigeer in het linkerdeelvenster naar en selecteer de juiste organisatie-eenheid (OE).

4. Selecteer het tabblad Acties , selecteer Nieuw en selecteer Vervolgens Computer.

5. Voer de computernaam in en configureer tot welke gebruiker of groep het apparaat behoort.

6. Selecteer OK . Hiermee kunt u zich voorbereiden wanneer de client klaar is om lid te worden van het domein.

Een apparaat toevoegen aan een domein

U kunt een apparaat toevoegen aan een domein met behulp van grafische gebruikersinterfacemethoden (GUI) of opdrachtregelprogramma's, afhankelijk van uw voorkeur en de behoeften van uw omgeving. Beide benaderingen zorgen voor integratie in het domein.

Methode Serverbeheer

1. Selecteer in Serverbeheerde optie Lokale server, onder Werkgroep, selecteer de hyperlink werkgroep of domeinnaam.

2. Selecteer Wijzigen op het tabblad Computernaam.

3. Selecteer bij Lid van, selecteer Domein, typ de naam van het domein dat u wilt dat de computer toetreedt, en selecteer vervolgens OK.

4. Geef de referenties op die nodig zijn om lid te worden van het domein en selecteer VERVOLGENS OK.

5. Nadat het apparaat is toegevoegd aan het domein, bevestigt een melding het domeinlidmaatschap van het apparaat. Selecteer OK en u wordt gevraagd uw apparaat opnieuw op te starten.

Configuratieschermmethode

1. Selecteer Start, typ Configuratiescherm en druk op Enter.

2. Zorg ervoor dat in de vervolgkeuzelijst Weergave rechtsboven is ingesteld op Categorie.

3. Navigeer naar Systeem en Beveiliging en selecteer Systeem.

4. Selecteer Domein of werkgroep op het tabblad Computernaam en selecteer Wijzigen.

5. Selecteer bij Lid van, selecteer Domein, typ de naam van het domein dat u wilt dat de computer toetreedt, en selecteer vervolgens OK.

6. Geef de referenties op die nodig zijn om lid te worden van het domein en selecteer VERVOLGENS OK.

7. Nadat het apparaat is toegevoegd aan het domein, bevestigt een melding het domeinlidmaatschap van het apparaat. Selecteer OK en u wordt gevraagd uw apparaat opnieuw op te starten.

1. Selecteer Start, typ Configuratiescherm en druk op Enter.

2. Zorg ervoor dat in de vervolgkeuzelijst Weergave rechtsboven is ingesteld op Categorie.

3. Navigeer naar Systeem en Beveiliging en selecteer Systeem.

4. Selecteer Geavanceerde systeeminstellingen en selecteer Instellingen wijzigen.

5. Selecteer Wijzigen op het tabblad Computernaam. '

6. Selecteer bij Lid van, selecteer Domein, typ de naam van het domein dat u wilt dat de computer toetreedt, en selecteer vervolgens OK.

7. Geef de referenties op die nodig zijn om lid te worden van het domein en selecteer VERVOLGENS OK.

8. Nadat het apparaat is toegevoegd aan het domein, bevestigt een melding het domeinlidmaatschap van het apparaat. Selecteer OK en u wordt gevraagd uw apparaat opnieuw op te starten.

1. Selecteer Start, typ Configuratiescherm en druk op Enter.

2. Zorg ervoor dat in de vervolgkeuzelijst Weergave rechtsboven is ingesteld op Categorie.

3. Navigeer naar Systeem en Beveiliging en selecteer Systeem.

4. Selecteer Instellingen wijzigen onder Computernaam, domein en werkgroepinstellingen.

5. Selecteer Wijzigen op het tabblad Computernaam. '

6. Selecteer bij Lid van, selecteer Domein, typ de naam van het domein dat u wilt dat de computer toetreedt, en selecteer vervolgens OK.

7. Geef de referenties op die nodig zijn om lid te worden van het domein en selecteer VERVOLGENS OK.

8. Nadat het apparaat is toegevoegd aan het domein, bevestigt een melding het domeinlidmaatschap van het apparaat. Selecteer OK en u wordt gevraagd uw apparaat opnieuw op te starten.

App-methode Instellingen

1. Selecteer Start, selecteer Instellingen en selecteer Accounts.

2. Selecteer Werk of school openen, en selecteer vervolgens verbinding maken.

3. Selecteer Dit apparaat toevoegen aan een lokaal Active Directory-domein.

4. Voer de domeinnaam in, selecteer Volgende en de accountreferenties en selecteer VERVOLGENS OK.

5. Start het apparaat opnieuw op.

Opdrachtregelmethode

Het toevoegen van een apparaat aan een domein kan worden uitgevoerd via de opdrachtprompt of PowerShell.

Opdrachtprompt

1. Open een opdrachtpromptvenster met verhoogde bevoegdheid.

2. Voer de volgende opdracht uit waarbij u YourDomainName en DomainUsername vervangt door uw eigen waarden:

   netdom join %COMPUTERNAME% /domain:YourDomainName /userd:DomainUsername /passwordd:*
   

3. Het systeem vraagt u om het wachtwoord voor het opgegeven domeingebruikersaccount in te voeren.

4. Start uw apparaat opnieuw op. Zodra u zich hebt aangemeld, bent u lid van het domein.

PowerShell

1. Open een PowerShell-venster met verhoogde bevoegdheid.

2. Voer de volgende opdracht uit en vervang YourDomainName door uw waarde.

   Add-Computer -DomainName "YourDomainName" -Credential (Get-Credential)
   Restart-Computer
   

3. U wordt gevraagd om de domeinreferenties in te voeren.

Uw apparaat wordt opnieuw opgestart nadat u de domeinreferenties hebt ingevoerd om lid te worden van het domein.

Een niet-aaneengekoppeld apparaat opnieuw toevoegen aan een domein

In gevallen waarin een client- of serverapparaat niet wordt gekoppeld aan het domein, kunt u de vertrouwensrelatie herstellen door het apparaat uit het domein te verwijderen en vervolgens opnieuw lid te worden. Met dit proces wordt de verbinding tussen het apparaat en het domein opnieuw tot stand gebracht. Het proces bij het verlaten van een domein is vergelijkbaar met het toevoegen van een domein.

Opnieuw deelnemen aan een domein met Serverbeheer

Als u een domein wilt verlaten met Serverbeheer, volgt u de vorige stappen om lid te worden van het domein totdat u het venster Systeemeigenschappen bereikt.

1. Onder Lid van selecteer Werkgroep, typ de naam van een werkgroep om tijdelijk lid te worden en selecteer vervolgens OK.

2. Selecteer OPNIEUW OK en start het apparaat opnieuw op.

3. Zodra u zich weer aanmeldt bij het lokale account, herhaalt u de stappen om uw apparaat toe te voegen aan het domein dat het eerder is ontkoppeld.

Een server opnieuw toevoegen aan een domein met behulp van het Configuratiescherm

Als u een domein wilt verlaten via het Configuratiescherm, volgt u de vorige stappen om lid te worden van het domein totdat u het venster Systeemeigenschappen bereikt.

1. Onder Lid van selecteer Werkgroep, typ de naam van een werkgroep om tijdelijk lid te worden en selecteer vervolgens OK.

2. Selecteer OPNIEUW OK en start het apparaat opnieuw op.

3. Zodra u zich weer aanmeldt bij het lokale account, herhaalt u de stappen om uw apparaat toe te voegen aan het domein dat het eerder is ontkoppeld.

Een client opnieuw toevoegen aan een domein met behulp van het Configuratiescherm

Als u een domein wilt verlaten via het Configuratiescherm, volgt u de vorige stappen om lid te worden van het domein totdat u het venster Systeemeigenschappen bereikt.

1. Onder Lid van selecteer Werkgroep, typ de naam van een werkgroep om tijdelijk lid te worden en selecteer vervolgens OK.

2. Selecteer OPNIEUW OK en start het apparaat opnieuw op.

3. Zodra u zich weer aanmeldt bij het lokale account, herhaalt u de stappen om uw apparaat opnieuw aan te sluiten bij het domein dat het eerder is losgekoppeld.

Opnieuw deelnemen aan een domein via de instellingen

Als u een domein wilt verlaten met de app Instellingen, volgt u de vorige stappen om lid te worden van het domein totdat u het werk- of schoolvenster van Access bereikt.

1. Selecteer Onder uw account de optie Verbinding verbreken en selecteer vervolgens Ja.

2. Start uw apparaat opnieuw op.

3. Zodra u zich weer aanmeldt bij het lokale account, herhaalt u de stappen om uw apparaat opnieuw aan te sluiten bij het domein dat het eerder is losgekoppeld.

Opnieuw deelnemen aan een domein met behulp van de opdrachtregel

Als u een domein wilt verlaten met behulp van de opdrachtregel, voert u de volgende stappen uit:

Opdrachtprompt

1. Open een opdrachtpromptvenster met verhoogde bevoegdheid.

2. Voer de volgende opdracht uit waarbij u YourDomainName en DomainUsername vervangt door uw eigen waarden:

   netdom remove %COMPUTERNAME% /domain:YourDomainName /userd:DomainUsername /passwordd:*
   

3. Het systeem vraagt u om het wachtwoord voor het opgegeven domeingebruikersaccount in te voeren.

4. Nadat uw apparaat opnieuw is opgestart, meldt u zich aan bij het lokale account.

5. Volg de stappen in de opdrachtregelmethode om opnieuw lid te worden van het domein.

PowerShell

1. Open een PowerShell-venster met verhoogde bevoegdheid.

2. Voer de volgende opdracht uit:

   Remove-Computer -UnjoinDomainCredential (Get-Credential) -PassThru -Verbose -Restart
   

3. U wordt gevraagd om de domeinreferenties in te voeren. Uw apparaat wordt opnieuw opgestart nadat u de domeinreferenties hebt ingevoerd.

4. Meld u aan bij uw apparaat en volg de stappen in de opdrachtregelmethode om opnieuw lid te worden van het domein.

Vertrouwensrelatie van domein herstellen

Mogelijk treedt de volgende fout op wanneer het beveiligde kanaal tussen een computer die lid is van een domein en de domeincontroller wordt onderbroken:

The trust relationship between this workstation and the primary domain failed.

Deze fout treedt meestal op wanneer het wachtwoord van de computer niet wordt gesynchroniseerd met de domeindatabase. Het kan ook gebeuren als het computeraccount in het domein is verwijderd of beschadigd raakt. U kunt het probleem met de vertrouwensrelatie tussen het apparaat en het domein oplossen met behulp van de opdrachtregel.

Opdrachtprompt

1. Meld u aan met het lokale beheerdersaccount.

2. Open een opdrachtpromptvenster met verhoogde bevoegdheid.

3. Test het beveiligde kanaal door het volgende commando uit te voeren en vervang ComputerName en YourDomainName met uw waarden.

   netdom verify ComputerName /domain:YourDomainName
   

4. Stel het wachtwoord van de machine opnieuw in door het volgende commando uit te voeren waarbij u DomainControllerName en Domain\Username vervangt door uw waarden:

   netdom resetpwd /server:DomainControllerName /userd:Domain\Username /passwordd:*
   

   U wordt gevraagd het wachtwoord voor het account op te geven.

5. Voer het volgende commando uit en vervang YourDomainName en DomainUsername door uw waarden om het beveiligde kanaal opnieuw in te stellen:

   netdom reset /domain:YourDomainName /userd:DomainUsername /passwordd:*
   

   U wordt gevraagd het wachtwoord voor het account op te geven.

6. Start uw apparaat opnieuw op om wijzigingen door te voeren. Volg de stappen in de opdrachtregelmethode om opnieuw lid te worden van het domein.

PowerShell

1. Meld u aan met het lokale beheerdersaccount.

2. Open een PowerShell-venster met verhoogde bevoegdheid.

3. Test het beveiligde kanaal door de volgende opdracht uit te voeren:

      Test-ComputerSecureChannel
   

   Als de test wordt geretourneerd True, is het beveiligde kanaal intact en kan het probleem zich elders bevinden, zoals bij het Domain Name System (DNS) of een ander netwerkprobleem. Als False, ga verder met de volgende stappen.

4. Probeer het beveiligde kanaal rechtstreeks te herstellen met behulp van de volgende opdracht en geef de referenties op wanneer u hierom wordt gevraagd:

   Test-ComputerSecureChannel -Repair -Credential (Get-Credential)
   

5. Voer de volgende opdracht uit om het wachtwoord van het computeraccount opnieuw in te stellen en voer de domeinreferenties in wanneer u hierom wordt gevraagd:

   $credential = Get-Credential
   Reset-ComputerMachinePassword -Credential $credential
   Restart-Computer -Force
   

6. Nadat het apparaat opnieuw is opgestart, volgt u de stappen in de opdrachtregelmethode om opnieuw lid te worden van het domein.