Aracılığıyla paylaş

DirectAccess Çevrimdışı Etki Alanına Katılma

Bu kılavuzda DirectAccess ile çevrimdışı etki alanına katılma gerçekleştirme adımları açıklanmaktadır. Çevrimdışı etki alanına katılma sırasında, bir bilgisayar fiziksel veya VPN bağlantısı olmadan bir etki alanına katılacak şekilde yapılandırılır.

Bu kılavuz aşağıdaki bölümleri içerir:

  • Çevrimdışı etki alanına katılıma genel bakış

  • Çevrimdışı etki alanına katılma gereksinimleri

  • Çevrimdışı etki alanına katılma işlemi

  • Etki Alanına Çevrimdışı Katılma Adımları

Çevrimdışı etki alanına katılıma genel bakış

Windows Server 2008 R2'de kullanıma sunulan etki alanı denetleyicileri Çevrimdışı Etki Alanına Katılma adlı bir özellik içerir. Djoin.exe adlı komut satırı yardımcı programı, etki alanına katılma işlemini tamamlarken bir etki alanı denetleyicisiyle fiziksel olarak iletişim kurmadan bir bilgisayarı etki alanına eklemenizi sağlar. Djoin.exe kullanmanın genel adımları şunlardır:

  1. Bilgisayar hesabı meta verilerini oluşturmak için djoin /provision komutunu çalıştırın. Bu komutun çıktısı, base-64 kodlanmış blobu içeren bir .txt dosyasıdır.

  2. .txt dosyasındaki bilgisayar hesabı meta verilerini hedef bilgisayarın Windows dizinine eklemek için djoin /requestODJ komutunu çalıştırın.

  3. Hedef bilgisayarı yeniden başlatın; bilgisayar etki alanına katılır.

DirectAccess ilkeleriyle çevrimdışı etki alanına katılma senaryosuna genel bakış

DirectAccess çevrimdışı etki alanına katılma, Windows Server 2016, Windows Server 2012, Windows 10 ve Windows 8 çalıştıran bilgisayarların şirket ağına fiziksel olarak katılmadan veya VPN aracılığıyla bağlanmadan bir etki alanına katılmak için kullanabileceği bir işlemdir. Bu, bilgisayarları bir şirket ağına bağlantı olmayan konumlardan bir etki alanına birleştirmeyi mümkün kılar. DirectAccess için çevrimdışı etki alanına katılma, istemcilere uzaktan sağlama yapabilmeleri için DirectAccess ilkelerini sunar.

Etki alanına katılma, bir bilgisayar hesabı oluşturur ve Windows işletim sistemi çalıştıran bir bilgisayar ile Active Directory etki alanı arasında güven ilişkisi kurar.

Çevrimdışı etki alanına katılma için hazırlanma

  1. Makine hesabını oluşturun.

  2. Makine hesabının ait olduğu tüm güvenlik gruplarının üyeliğinin envanterini oluşturun.

  3. Yeni istemcilere uygulanacak gerekli bilgisayar sertifikalarını, grup ilkelerini ve grup ilkesi nesnelerini toplayın.

Aşağıdaki bölümlerde, Djoin.exekullanarak DirectAccess çevrimdışı etki alanına katılma gerçekleştirmeye yönelik işletim sistemi gereksinimleri ve kimlik bilgileri gereksinimleri açıklanmaktadır.

İşletim sistemi gereksinimleri

DirectAccess için Djoin.exe yalnızca Windows Server 2016, Windows Server 2012 veya Windows 8 çalıştıran bilgisayarlarda çalıştırabilirsiniz. AD DS'ye bilgisayar hesabı verileri sağlamak için Djoin.exe çalıştırdığınız bilgisayarın Windows Server 2016, Windows 10, Windows Server 2012 veya Windows 8 çalıştırıyor olması gerekir. Etki alanına katılmak istediğiniz bilgisayarın Windows Server 2016, Windows 10, Windows Server 2012 veya Windows 8 çalıştırıyor olması gerekir.

Kimlik bilgisi gereksinimleri

Çevrimdışı etki alanına katılma gerçekleştirmek için, iş istasyonlarını etki alanına katmak için gereken haklara sahip olmanız gerekir. Domain Admins grubunun üyeleri varsayılan olarak bu haklara sahiptir. Domain Admins grubunun üyesi değilseniz, Etki Alanı Yöneticileri grubunun bir üyesi, iş istasyonlarını etki alanına katabilmeniz için aşağıdaki eylemlerden birini tamamlamalıdır:

  • Gerekli kullanıcı haklarını vermek için Grup İlkesi'ni kullanın. Bu yöntem, varsayılan Bilgisayarlar kapsayıcısında ve daha sonra oluşturulan herhangi bir kuruluş biriminde (OU) bilgisayar oluşturmanıza olanak tanır (Erişim denetimi girdilerini reddet (ACL' ler) eklenmediyse).

  • Size doğru izinleri vermek için etki alanı için varsayılan Bilgisayarlar kapsayıcısının erişim denetim listesini (ACL) düzenleyin.

  • Bir OU oluşturun ve size "Alt öğe oluşturma - İzin ver" iznini vermek için OU'daki ACL'yi düzenleyin. /machineOU parametresini djoin /provision komutuna geçirin.

Aşağıdaki yordamlarda, Grup İlkesi ile kullanıcı haklarının nasıl verileceği ve doğru izinlerin nasıl atanacağı gösterilmektedir.

İş istasyonlarını etki alanına katmak için kullanıcı hakları verme

Grup İlkesi Yönetim Konsolu'nu (GPMC) kullanarak etki alanı ilkesini değiştirebilir veya kullanıcıdan etki alanına iş istasyonları ekleme hakkı veren ayarlara sahip yeni bir ilke oluşturabilirsiniz.

Etki Alanı Yöneticileri veya eşdeğeri üyelik, kullanıcı hakları vermek için gereken en düşük üyeliktir. Yerel ve Etki Alanı Varsayılan Grupları()https://go.microsoft.com/fwlink/?LinkId=83477 bölümünde uygun hesapları ve grup üyeliklerini kullanma hakkındaki ayrıntıları gözden geçirin.

İş istasyonlarını bir etki alanına ekleme hakları vermek için

  1. Başlat'a, Yönetimsel Araçlar'a ve ardından Grup İlkesi Yönetimi'ne tıklayın.

  2. Ormanın adına çift tıklayın, Etki Alanları'na çift tıklayın, bilgisayara katılmak istediğiniz etki alanının adına çift tıklayın, Varsayılan Etki Alanı İlkesi'ne sağ tıklayın ve ardından Düzenle'ye tıklayın.

  3. Konsol ağacında Bilgisayar Yapılandırması'na çift tıklayın, İlkeler'e çift tıklayın, Windows Ayarları'na çift tıklayın, Güvenlik Ayarları'na çift tıklayın, Yerel İlkeler'e çift tıklayın ve ardından Kullanıcı Hakları Ataması'na çift tıklayın.

  4. Ayrıntılar bölmesinde etki alanına iş istasyonlarını ekleme öğesine çift tıklayın.

  5. Bu ilke ayarlarını tanımla onay kutusunu seçin ve ardından Kullanıcı veya Grup Ekle'ye tıklayın.

  6. Kullanıcı hakları vermek istediğiniz hesabın adını yazın ve ardından iki kez Tamam'a tıklayın.

Çevrimdışı etki alanına katılma işlemi

Bilgisayar hesabı meta verilerini sağlamak için yükseltilmiş bir komut isteminde Djoin.exe çalıştırın. Sağlama komutunu çalıştırdığınızda, bilgisayar hesabı meta verileri komutun bir parçası olarak belirttiğiniz bir ikili dosyada oluşturulur.

Çevrimdışı etki alanına katılma sırasında bilgisayar hesabını sağlamak için kullanılan NetProvisionComputerAccount işlevi hakkında daha fazla bilgi için bkz. NetProvisionComputerAccount İşlevi (https://go.microsoft.com/fwlink/?LinkId=162426). Hedef bilgisayarda yerel olarak çalışan NetRequestOfflineDomainJoin işlevi hakkında daha fazla bilgi için bkz. NetRequestOfflineDomainJoin İşlevi (https://go.microsoft.com/fwlink/?LinkId=162427).

DirectAccess çevrimdışı etki alanına katılma işlemini gerçekleştirme adımları

Çevrimdışı etki alanına katılma işlemi aşağıdaki adımları içerir:

  1. Uzak istemcilerin her biri için yeni bir bilgisayar hesabı oluşturun ve şirket ağındaki zaten etki alanına katılmış bir bilgisayardan Djoin.exe komutunu kullanarak bir sağlama paketi oluşturun.

  2. İstemci bilgisayarı DirectAccessClients güvenlik grubuna ekleme

  3. Sağlama paketini, etki alanına katılacak uzak bilgisayarlara güvenli bir şekilde aktarın.

  4. Sağlama paketini uygulayın ve istemciyi etki alanına ekleyin.

  5. Etki alanına katılımı tamamlamak ve bağlantı kurmak için istemciyi yeniden başlatın.

İstemci için sağlama paketini oluştururken göz önünde bulundurmanız gereken iki seçenek vardır. DirectAccess'i PKI olmadan yüklemek için Başlarken Sihirbazı'nı kullandıysanız aşağıdaki 1. seçeneği kullanmanız gerekir. PKI ile DirectAccess'i yüklemek için Gelişmiş Kurulum Sihirbazı'nı kullandıysanız aşağıdaki 2 seçeneğini kullanmanız gerekir.

Çevrimdışı etki alanına katılma işlemini gerçekleştirmek için aşağıdaki adımları tamamlayın:

Option1: PKI olmadan istemci için bir sağlama paketi oluşturma

  1. Uzaktan Erişim sunucunuzun komut isteminde, bilgisayar hesabını sağlamak için aşağıdaki komutu yazın:

    Djoin /provision /domain <your domain name> /machine <remote machine name> /policynames DA Client GPO name /rootcacerts /savefile c:\files\provision.txt /reuse
Option2: PKI ile istemci için bir sağlama paketi oluşturma

  1. Uzaktan Erişim sunucunuzun komut isteminde, bilgisayar hesabını sağlamak için aşağıdaki komutu yazın:

    Djoin /provision /machine <remote machine name> /domain <Your Domain name> /policynames <DA Client GPO name> /certtemplate <Name of client computer cert template> /savefile c:\files\provision.txt /reuse
İstemci bilgisayarı DirectAccessClients güvenlik grubuna ekleme

  1. Etki Alanı Denetleyicinizde, Başlangıç ekranında Etkin yazın ve Uygulamalarekranından Active Directory Kullanıcıları ve Bilgisayarları'nı seçin.

  2. Etki alanınızın altındaki ağacı genişletin ve Kullanıcılar kapsayıcısını seçin.

  3. Ayrıntılar bölmesinde DirectAccessClients'a sağ tıklayın ve Özellikler'e tıklayın.

  4. Üyeler sekmesinde Ekleöğesine tıklayın.

  5. Nesne Türleri'ne tıklayın, Bilgisayarlar'ı seçin ve ardından Tamam'a tıklayın.

  6. Eklenecek istemci adını yazın ve Tamam'a tıklayın.

  7. Tamam'a tıklayarak DirectAccessClients Özellikleri iletişim kutusunu kapatın ve ardından Active Directory Kullanıcıları ve Bilgisayarları'nı kapatın.

Sağlama paketini kopyalayıp istemci bilgisayara uygulayın

  1. Sağlama paketinin kaydedildiği Uzaktan Erişim Sunucusundaki c:\files\provision.txt'den istemci bilgisayardaki c:\provision\provision.txt konumuna kopyalayın.

  2. İstemci bilgisayarda yükseltilmiş bir komut istemi açın ve ardından etki alanına katılma isteğinde bulunmak için aşağıdaki komutu yazın:

    Djoin /requestodj /loadfile C:\provision\provision.txt /windowspath %windir% /localos

  3. İstemci bilgisayarı yeniden başlatın. Bilgisayar etki alanına katılacak. Yeniden başlatmanın ardından istemci etki alanına katılır ve DirectAccess ile şirket ağına bağlanır.

Ayrıca Bkz.

NetProvisionComputerAccount İşleviNetRequestOfflineDomainJoin İşlevi