Использование Offline Domain Join с Directaccess в Windows Server 2012 / 2012 R2

Технология Offline Domain Join впервые появилась с выходом Windows Server 2008 R2 и в связке с клиентами Windows 7, позволяла производить ввод компьютеров в домен при отсутствии сетевого подключения к доменным службам Active Directory.Весь процесс состоял из 3-х шагов:

2-1-2014 11-19-49 AM

  1. Администратор на контроллере домена либо на клиентской машине с установленным пакетом RSAT, запускал утилиту djoin. Ее задачей было формирование текстового файла который будет содержать всю нужную информацию, необходимую для ввода компьютера в домен (SID домена, информация о контроллерах домена и т. д.) Параллельно с этим, создавалась учетная запись для будущего компьютера.
  2. На втором шаге, необходимо было произвести доставку текстового файла на присоединяемый компьютер. Каким способом не важно, мне больше по душе либо собаками, либо почтовыми голубями:)
  3. На третьем шаге используя ту же утилиту djoin, производился импорт информации. И после перезагрузки, с условием того что доменные службы Active Directory доступны, компьютер полноценно входил в домен.

C Windows Server 2012 и выше стал доступен новый сценарий использования Offline Domain Join. При условии развернутых служб Directaccess, мы можем импортировать настройки Directaccess сразу на этапе создания файла данных.  После применения настроек во время первой перезагрузки, компьютер сразу же установит туннель к DA серверу и завершит конфигурацию даже при условии подключение к сети.

Для поддержки такого сценария, допускается использование только рабочих станций Windows 8 и выше, а со стороны серверной инфраструктуры – Windows Server 2012 и выше.

Теперь же приступим к практической части.

Хотя используемая мной лабораторная среда будет построена на Windows Server 2012 R2, а в качестве вводимой в домен рабочей станции – Windows 8.1. Ниже представленный пример конфигурирования справедлив к Server 2012 и Windows 8.

Первым делом необходимо подготовить файл с данными для Offline Domain Join. Для этого я буду использовать djoin. Общий синтаксис выглядет так:

Djoin /provision /domain <your domain name> /machine “имя компьютера” /policynames “название групповой политики настраивающая Directaccess” name /rootcacerts /savefile c:provision.txt /reuse

2-1-2014 1-28-47 PM

На этом шаге, групповая политика уже импортирована в файл, и он готов к транспортировке.

Далее, чтобы компьютер имел право подключится в DA серверу, его учетную запись, необходимо добавить в группу членам которой разрешено использовать Directaccess.

2-1-2014 1-32-32 PM

Теперь, на клиентской стороне нужно выполнить импортирование настроек с файла. Для этого используем:

Djoin /requestodj /loadfile C:provisionprovision.txt /windowspath %windir% /localos

2-1-2014 1-57-14 PM

Перезагружаем компьютер.

Во время перезагрузки, компьютер установил DA туннель и завершил первоначальное конфигурирование с доменными службами. На слайде видно, установленный туннель был созданный самим компьютером и время его создания как раз соответствует старту системы.

2-1-2014 1-59-37 PM

После перезагрузки, к компьютеру сразу же были применены групповые политики, и теперь можно зайти под доменной учетной записью, хотя сам компьютер не находится в пределах корпоративной сети.

<

p>2-1-2014 2-36-11 PM

Leave a Reply

Your email address will not be published. Required fields are marked *

This site uses Akismet to reduce spam. Learn how your comment data is processed.