Notitie
Voor toegang tot deze pagina is autorisatie vereist. U kunt proberen u aan te melden of de directory te wijzigen.
Voor toegang tot deze pagina is autorisatie vereist. U kunt proberen de mappen te wijzigen.
In deze handleiding worden de stappen uitgelegd voor het uitvoeren van een offlinedomeindeelname met DirectAccess. Tijdens een offline domeindeelname is een computer geconfigureerd om lid te worden van een domein zonder fysieke of VPN-verbinding.
Deze handleiding bevat de volgende secties:
Overzicht van offline aanmelding op domein
Vereisten voor offline domeindeelname
Offline domeindeelnameproces
Stappen voor het uitvoeren van een offlinedomeindeelname
Overzicht van offline domeinverbinding
Domeincontrollers die zijn geïntroduceerd in Windows Server 2008 R2, bevatten een functie met de naam Offline Domain Join. Met een opdrachtregelprogramma met de naam Djoin.exe kunt u een computer toevoegen aan een domein zonder fysiek contact op te nemen met een domeincontroller tijdens het voltooien van de bewerking voor domeindeelname. De algemene stappen voor het gebruik van Djoin.exe zijn:
Voer djoin /provision uit om de metagegevens van het computeraccount te maken. De uitvoer van deze opdracht is een .txt-bestand dat een met base 64 gecodeerde blob bevat.
Voer djoin /requestODJ uit om de metagegevens van het computeraccount uit het .txt bestand in te voegen in de Windows-map van de doelcomputer.
Start de doelcomputer opnieuw op en de computer wordt toegevoegd aan het domein.
Overzicht van scenario's voor offline domeindeelname met DirectAccess-beleid
DirectAccess offline domeindeelname is een proces dat computers met Windows Server 2016, Windows Server 2012, Windows 10 en Windows 8 kunnen gebruiken om lid te worden van een domein zonder fysiek lid te zijn van het bedrijfsnetwerk of verbonden via VPN. Dit maakt het mogelijk om computers aan een domein toe te voegen vanaf locaties waar er geen verbinding is met een bedrijfsnetwerk. Offline-domeindeelname voor DirectAccess biedt DirectAccess-beleid aan clients om externe provisioning toe te staan.
Een domeindeelname maakt een computeraccount en brengt een vertrouwensrelatie tot stand tussen een computer met een Windows-besturingssysteem en een Active Directory-domein.
Voorbereiden op offline domeindeelname
Maak het computeraccount.
Inventariseer het lidmaatschap van alle beveiligingsgroepen waartoe het computeraccount behoort.
Verzamel de vereiste computercertificaten, groepsbeleid en groepsbeleidsobjecten die moeten worden toegepast op de nieuwe client(s).
. In de volgende secties worden besturingssysteemvereisten en referentievereisten uitgelegd voor het uitvoeren van een directAccess-offlinedomeindeelname met behulp van Djoin.exe.
Besturingssysteemvereisten
U kunt alleen Djoin.exe uitvoeren voor DirectAccess op computers met Windows Server 2016, Windows Server 2012 of Windows 8. Op de computer waarop u Djoin.exe uitvoert om computeraccountgegevens in te richten in AD DS, moet Windows Server 2016, Windows 10, Windows Server 2012 of Windows 8 worden uitgevoerd. Op de computer die u wilt toevoegen aan het domein, moet ook Windows Server 2016, Windows 10, Windows Server 2012 of Windows 8 worden uitgevoerd.
Referentievereisten
Als u een offline domeindeelname wilt uitvoeren, moet u over de rechten beschikken die nodig zijn om werkstations aan het domein toe te voegen. Leden van de groep Domeinadministrators hebben deze rechten standaard. Als u geen lid bent van de groep Domeinadministrators, moet een lid van de groep Domeinadministrators een van de volgende acties uitvoeren om u in staat te stellen werkstations aan het domein toe te voegen:
Gebruik Groepsbeleid om de vereiste gebruikersrechten te verlenen. Met deze methode kunt u computers maken in de standaardcontainer Computers en in elke organisatie-eenheid (OE) die later wordt gemaakt (als er geen toegangsbeheervermeldingen weigeren (ACL's) worden toegevoegd).
Bewerk de toegangsbeheerlijst (ACL) van de standaardcontainer Computers voor het domein om de juiste machtigingen aan u te delegeren.
Maak een organisatie-eenheid (OU) en bewerk de ACL op die OU om de machtiging Kind maken - Toestaan aan u te verlenen. Geef de parameter /machineOU door aan de opdracht djoin/provision .
In de volgende procedures ziet u hoe u de gebruikersrechten met Groepsbeleid kunt verlenen en hoe u de juiste machtigingen kunt delegeren.
Gebruikersrechten verlenen om werkstations toe te voegen aan het domein
U kunt de Console Groepsbeleidsbeheer (GPMC) gebruiken om het domeinbeleid te wijzigen of een nieuw beleid te maken met instellingen die de gebruikersrechten verlenen om werkstations toe te voegen aan een domein.
Lidmaatschap van domeinadministratoren of gelijkwaardig is het minimum dat vereist is om gebruikersrechten te verlenen. Bekijk de details over het gebruik van de juiste accounts en groepslidmaatschappen bij lokale en domeinstandaardgroepen (https://go.microsoft.com/fwlink/?LinkId=83477).
Rechten verlenen om werkstations toe te voegen aan een domein
Klik op Start, klik op Systeembeheer en klik vervolgens op Groepsbeleidsbeheer.
Dubbelklik op de naam van het forest, dubbelklik op Domeinen, dubbelklik op de naam van het domein waarin u een computer wilt toevoegen, klik met de rechtermuisknop op Standaarddomeinbeleid en klik vervolgens op Bewerken.
Dubbelklik in de consolestructuur op Computerconfiguratie, dubbelklik op Beleid, dubbelklik op Windows-instellingen, dubbelklik op Beveiligingsinstellingen, dubbelklik op Lokaal beleid en dubbelklik vervolgens op Toewijzing van gebruikersrechten.
Dubbelklik in het detailvenster op Werkstations toevoegen aan domein.
Schakel het selectievakje Deze beleidsinstellingen definiëren in en klik vervolgens op Gebruiker of groep toevoegen.
Typ de naam van het account waaraan u de gebruikersrechten wilt toekennen en klik tweemaal op OK .
Offline domeindeelnameproces
Voer Djoin.exe uit bij een opdrachtprompt met verhoogde bevoegdheid om de metagegevens van het computeraccount in te richten. Wanneer u de inrichtingsopdracht uitvoert, worden de metagegevens van het computeraccount gemaakt in een binair bestand dat u opgeeft als onderdeel van de opdracht.
Zie De functie NetProvisionComputerAccount (https://go.microsoft.com/fwlink/?LinkId=162426) voor meer informatie over de functie NetProvisionComputerAccount die wordt gebruikt om het computeraccount in te richten tijdens een offlinedomeindeelname. Zie De functie NetRequestOfflineDomainJoin die lokaal wordt uitgevoerd op de doelcomputer voor meer informatie over de functie NetRequestOfflineDomainJoin (https://go.microsoft.com/fwlink/?LinkId=162427).
Stappen voor het uitvoeren van een offline domeindeelname van DirectAccess
Het offline domeindeelnameproces omvat de volgende stappen:
Maak een nieuw computeraccount voor elk van de externe clients en genereer een inrichtingspakket met behulp van de opdracht Djoin.exe van een computer die al lid is van een domein in het bedrijfsnetwerk.
De clientcomputer toevoegen aan de DirectAccessClients-beveiligingsgroep
Breng het voorzieningspakket veilig over naar de externe computers die lid worden van het domein.
Pas het inrichtingspakket toe en voeg de client toe aan het domein.
Start de client opnieuw op om de domeindeelname te voltooien en connectiviteit tot stand te brengen.
Er zijn twee opties waarmee u rekening moet houden bij het maken van het inrichtingspakket voor de client. Als u de wizard Aan de slag hebt gebruikt om DirectAccess zonder PKI te installeren, moet u onderstaande optie 1 gebruiken. Als u de wizard Geavanceerde installatie hebt gebruikt om DirectAccess met PKI te installeren, moet u onderstaande optie 2 gebruiken.
Voer de volgende stappen uit om de offline domeindeelname uit te voeren:
Optie1: Een inrichtingspakket maken voor de client zonder PKI
Typ bij een opdrachtprompt van uw RAS-server de volgende opdracht om het computeraccount in te richten:
Djoin /provision /domain <your domain name> /machine <remote machine name> /policynames DA Client GPO name /rootcacerts /savefile c:\files\provision.txt /reuse
Optie2: Een inrichtingspakket maken voor de client met PKI
Typ bij een opdrachtprompt van uw RAS-server de volgende opdracht om het computeraccount in te richten:
Djoin /provision /machine <remote machine name> /domain <Your Domain name> /policynames <DA Client GPO name> /certtemplate <Name of client computer cert template> /savefile c:\files\provision.txt /reuse
De clientcomputer toevoegen aan de DirectAccessClients-beveiligingsgroep
Typ Active op uw domeincontroller in het startscherm en selecteer Active Directory-gebruikers en -computers in het scherm Apps.
Vouw de structuur onder uw domein uit en selecteer de Gebruikers container.
Klik in het detailvenster met de rechtermuisknop op DirectAccessClients en klik op Eigenschappen.
Klik op het tabblad Leden op Toevoegen.
Klik op Objecttypen, selecteer Computers en klik vervolgens op OK.
Typ de clientnaam die u wilt toevoegen en klik op OK.
Klik op OK om het dialoogvenster Eigenschappen van DirectAccessClients te sluiten en sluit Vervolgens Active Directory: gebruikers en computers.
Kopieer het inrichtingspakket en pas het vervolgens toe op de clientcomputer
Kopieer het inrichtingspakket van c:\files\provision.txt op de RAS-server, waar het is opgeslagen, naar c:\provision\provision.txt op de clientcomputer.
Open op de clientcomputer een opdrachtprompt met verhoogde bevoegdheid en typ vervolgens de volgende opdracht om de domeindeelname aan te vragen:
Djoin /requestodj /loadfile C:\provision\provision.txt /windowspath %windir% /localosStart de clientcomputer opnieuw op. De computer wordt toegevoegd aan het domein. Na het opnieuw opstarten wordt de client toegevoegd aan het domein en is deze verbonden met het bedrijfsnetwerk met DirectAccess.
Zie ook
NetProvisionComputerAccount, functieNetRequestOfflineDomainJoin, functie