Hallo interessierter Leser,

heute möchte ich euch einmal die Möglichkeiten mit den aktuellen Serverbetriebssystemen aufzeigen. Ich habe mich nochmal mit DirectAccess beschäftigt und die Möglichkeit einen Client mit in die Active Directory Domäne aufzunehmen.

Seit Windows Server 2008 R2 & Windows 7 gibt es die Möglichkeit eines Offline Domain Joins, sprich den Computer in die AD aufzunehmen ohne das dieser Kontakt zum Domaincontroller hat.

Ein Offline-Domänenbeitritt ist ein neuer Prozess, bei dem Computer unter Windows® 7 oder Windows Server® 2008 R2 einer Domäne beitreten, ohne mit einem Domänencontroller Kontakt aufnehmen zu müssen. So können Computer auch dann einer Domäne beitreten, wenn keine Verbindung mit einem Unternehmensnetzwerk besteht. (Quelle: TechNet)

Der Beitritt funktioniert mit Hilfe des Kommandozeilenbasierten Befehls „djoin.exe“ der entweder auf dem DC oder DirectAccess Server ausgeführt wird. Der Befehl erstellt eine Textdatei die dann, wiederum mit Hilfe des identischen Befehls, auf dem Client ausgelesen wird. Nach erfolgreichem Neustart gehört der Client dann der Domäne an.

Ich möchte jedoch das der Enterprise Client direkt mit der DirectAccess Funktionalität ausgestattet ist und eine entsprechende Verbindung zum internen Netzwerk erhält. Dafür muss ich folgenden Voraussetzungen erfüllen:

  • OS ist mindestens Windows 7 / Server 2008 R2
  • DirectAccess ist funktionstüchtig konfiguriert
  • Zertifikatsvorlage für Computerkonten
  • Berechtigung zum hinzufügen von Clients in die Domäne

Diese Anleitung baut auf folgenden Beitrag auf: Server 2012 R2: DirectAccess mit Windows 7, 8.1 & 10

Schritt 1 – Informationen suchen

Ich wähle für den Vorgang die Vorlage „Sichel IT DA-Client IPSec“ aus. In der Zertifizierungsstelle kann die Vorlage gesichtet werden (Bild 1)

Damit aber der in Schritt 3 angegeben Befehl funktioniert muss ich den „TemplatePropCommonName“ herausfinden:

certutil -template

In meinem fall also: SichelITDA-ClientIPSec (Bild 2)

Zudem benötige ich den Korrekten Namen der DirectAccess Clientrichtlinie – Den kann ich im Gruppenrichtlinienverwaltungseditor abrufen.

In meinem fall also: „DirectAccess-Clienteinstellungen“ (Bild 3)

Schritt 2 – Computerkonto erstellen

Anschließend erstelle ich im AD ein Computerkonto in meiner für diesen Computer bevorzugten OU:

  1. OU wählen
  2. Rechtsklick –> Neu –> Computer –> Namen vergeben –> OK
  3. Bei mir „Win10ODJ“ (Bild 4)

Schritt 3 – „Provision-File“ erstellen

Da ich den Offline Domain Join mit DirectAccess kombinieren möchte, führe ich den Befehle auf dem DirectAccess Server aus:

  1. CMD oder PowerShell öffnen (Bild 5)
  2. djoin.exe /provision /machine Win10ODJ /domain sichel.loc /policynames "DirectAccess-Clienteinstellungen" /certtemplate "SichelITDA-ClientIPSec" /savefile T:\ODJ\ODJ_DA.txt /reuse
  3. Ich habe nun eine Bereitstellungsdatei auf meinen Laufwerk T:\ die ich auf meinen Client transferieren muss. Ich lege diese auf dem Client in dem Ordner „C:\ODJ\“ ab.
[notify_box font_size=“13px“ style=“yellow“]Ist das Computerkonto zuvor nicht angelegt worden, so wird es automatisch in dem Standardbehälter für Computer erzeugt! [/notify_box]

Schritt 4 – Offline Domain Join

Nun kann ich zu dem eigentlichem Offline Domain Join kommen. Ich habe mir die Bereitstellungsdatei auf meinen client kopiert. Der Client ist ein Notebook mit Windows 10 Enterprise Installation an einem anderem Standort. Die Verbindung zum Internet wird über eine Tethering-Verbindung über das iPad realisiert.

  1. PowerShell oder CMD öffnen, vor dem ausführen des Befehls heisst der Client „Client1“ und gehört zur Arbeitsgruppe „Test1“
  2. djoin.exe /requestodj /loadfile c:\ODJ\ODJ_DA.txt /windowspath C:\Windows /localos
  3. Neustart (Bild 6)

Der Client ist nun Mitglied der Active Directory Domäne und trägt den Namen „Win10ODJ“. Eine Anmeldung mit Domänenbenutzern ist selbstverständlich möglich, da der Client über DirectAccess mit dem Domänennetzwerk verbunden ist. (Bild 7)

Ich kann nun sagen: Genial! Alle Bilder in der Übersicht:

Ich würde mich für euch freuen wenn Ihr das aufgezeigte Szenario verwenden könnt, viel Spass :)

Liken, teilen, Kommentieren nicht vergessen und bis zum nächsten Mal – Andi