Teil eins: Offline-Domänenbeitritt
Erfordern
[Exklusiver Artikel von IT Expert Network] Djoin ist in allen Windows 7- und Windows Server 2008 R2-Versionen verfügbar. Benutzer müssen die Leistungsstufe ihrer Active Directory-Domänen nicht auf Windows Server R2 aktualisieren und Benutzer müssen keine R2-Domänencontroller verwenden, da djoin mit früheren Versionen von Domänencontrollern kompatibel ist. Da Djoin Administratorrechte erfordert, müssen Benutzer dieses Tool über eine Eingabeaufforderung mit erhöhten Rechten verwenden. Natürlich benötigen Benutzer auch ein Konto mit ausreichenden Berechtigungen, um ein Domänencomputerkonto zu erstellen.
zwei Schritte
Der Beitritt eines Computers zu einer Offline-Domäne besteht im Wesentlichen aus zwei Schritten. Zunächst erstellt der Benutzer ein Computerkonto im Active Directory. Dieser Vorgang wird als Dienstbereitstellung bezeichnet. Am einfachsten ist es, diesen Vorgang auf dem R2-Domänencontroller abzuschließen. Djoin erstellt einen 64-Bit-codierten Metadaten-Blob als Textdatei. Dieser Datenblob wird verwendet, um den Windows 7-Computer der Offlinedomäne hinzuzufügen.
Dienstleistungserbringung
Dieser Befehl bereitet ein Computerkonto auf dem R2-Domänencontroller vor, etwa so:
djoin /provision /domain <beizutretende Domäne> /machine <Name des beizutretenden Computers> /savefile blob.txt
Wenn der Benutzer keinen Windows Server 2008 R2-Domänencontroller benötigt, kann er den Befehl djoin.exe mit dem Parameter /downlevel auf einem Windows 7-Computer ausführen. Dieser Windows 7 sollte Mitglied der Domäne geworden sein.
Offline-Domänenbeitritt
Der Benutzer sollte die Datei bob.txt kopieren, die der Domäne auf dem Computer hinzugefügt werden soll, und den folgenden Befehl ausgeben:
djoin /requestODJ /loadfile blob.txt /windowspath %SystemRoot% /localos
Es ist notwendig, den Befehl djoin auf diesem Computer mit dem Parameter localos auszuführen. Sie können den Befehl djoin auch auf dem Computer ausführen, der verwendet wird, um die Windows-Pfadparameter zu ermitteln, die auf die Stammdatei des Zielcomputersystems verweisen. Wenn der Benutzer eine offline virtuelle Maschine der Domäne hinzufügen möchte, kann diese Methode verwendet werden. Auf diese Weise ist die virtuelle Maschine nach dem Start bereits Domänenmitglied und muss keinen Neustart anfordern.
Es gibt viele andere Funktionen, über die wir hier nicht gesprochen haben. Nachfolgend finden Sie die vollständige Liste aller Djoin-Parameter. Anschließend besprechen wir, wie der Offline-Domänenbeitritt ohne unbeaufsichtigte Installation funktioniert und unter welchen Umständen diese Funktion genutzt werden kann.
Befehlsbeschreibung:
djoin.exe [/OPTIONS]
/PROVISION – Bereiten Sie ein Computerkonto in der Domäne vor
/DOMAIN <Name> – der Name der Domäne, die hinzugefügt wird
/MACHINE <Name> – der Name der Startdomäne
/MACHINEOU <OU> – Die optionale (OU) ist der Ort, an dem das Konto erstellt wird
/DCNAME <DC> – optionaler <DC> sperrt die Kontoerstellung
/REUSE – Bestehendes Konto wiederverwenden, das Kontokennwort wird zurückgesetzt
/SAVEFILE <FilePath> – Bereiten Sie Daten für die Dateispeicherung in <FilePath> vor
/NOSEARCH – Kontokonfliktprüfung überspringen und schnell DCNAME anfordern
/DOWNLEVEL – unterstützt die Verwendung von Windows Server 2008 oder früheren Domänencontrollern
/PRINTBLOB – Gibt einen 64-Bit-codierten Metadaten-BLOB als Antwortdatei zurück
/DEFPWD – Standardkennwort für das Computerkonto verwenden
/REQUESTODJ – Fordern Sie beim nächsten Start einen Offline-Domänenbeitritt an
/LOADFILE <FilePath> – Geben Sie <FilePath> über /SAVEFILE vor
/WINDOWSPATH <Pfad> – Pfad zum Windows-Verzeichnis im Offline-Modus
/LOCALOS – Ermöglicht /WINDOWSSPATH, das lokal ausgeführte Betriebssystem anzugeben. Dieser Befehl muss als lokaler Administrator ausgeführt werden.
Änderungen werden erst beim Neustart übernommen.
Teil 2: Offline-Domänenbeitritt, wenn niemand in der Nähe ist
Es ist eine Sache, den ersten Teil abzuschließen, aber eine andere Sache ist es, eine große Anzahl von Computern bereitzustellen, die bereits Domänenmitglieder sind, wenn die Computer zum ersten Mal gestartet werden.
Es ist möglich, einen Computer einer Offline-Domäne hinzuzufügen, ohne dass jemand ihn installiert. Zunächst muss der Benutzer im ersten Teil zwei Schritte ausführen, z. B. das Erstellen eines Computerkontos in der Domäne und eines Metadaten-Blobs. Fügen Sie dann den folgenden Abschnitt zu unattend.xml hinzu:
<Komponente>
<Komponentenname=Microsoft-Windows-UnattendedJoin>
<Identifikation>
<Bereitstellung>
<AccountData>Base64Encoded Blob</AccountData>
</Bereitstellung>
</Identifikation>
</Komponente>
„Base64Encoded Blob“ soll durch den Inhalt der Datei blob.txt ersetzt werden. Schauen Sie sich die Screenshots unten an, um eine Vorstellung vom Metadaten-Blob zu bekommen.
Mögliche Nutzung des Offline-Domänenbeitritts
Als ich von der Offline-Domänenfunktion las, war mein erster Gedanke, dass dies eine große Verbesserung für große Unternehmen wäre, die Computer mit vorinstalliertem Windows 7 gekauft haben. Benutzer müssen lediglich ein Betriebssystem-Image, das bereits der Domäne beigetreten ist, an den Computerhersteller senden. Sobald die neuen Computer mit dem Netzwerk des Anbieters verbunden sind, können sie verwendet werden, ohne dass die neuen Computer der Active Directory-Domäne des Anbieters hinzugefügt werden müssen.
Da jedoch jeder Computer einen anderen Metadaten-Blob benötigt, kann dies nicht durch das Betriebssystem-Image selbst erfolgen. Benutzer müssen zuerst die Blob-Datei erstellen, und dann muss der Computerhersteller bestätigen, dass jeder Computer sein eigenes Metadaten-Blob erhalten hat. Das Problem liegt in der Metadatengruppe, die in unattend.xml enthalten sein muss. Daher ist der Vorgang etwas komplizierter als die automatische Namensvergabe an mehrere Computer, da Benutzer keine Nummern hintereinander angeben oder die MAC-Adresse des Computers als Namen verwenden können.
Stattdessen benötigen Benutzer einen zentralen Speicher für alle Blobdateien, um sicherzustellen, dass jeder Computer die richtige unattend.xml erhält. Deshalb müssen sich Computerhersteller auf diesen Prozess vorbereiten – und das scheint noch nicht realistisch zu sein.
Dennoch hoffe ich, dass es bald eine Drittanbieterlösung gibt, die dieses Problem lösen kann. Natürlich können Benutzer auch selbst eine Lösung schreiben, um den Offline-Domänenbeitritt für neu installierte Computer zu implementieren.
Kleine Unternehmen führen natürlich manuelle Vorgänge durch. Der Vorteil des Offline-Domänenbeitritts besteht darin, dass Administratoren bei der Bereitstellung neuer Computer keine Vorgänge lokal durchführen müssen und keine Netdom-Skripts mit expliziten Textkennwörtern erforderlich sind.
Ein weiterer Anwendungsfall für die Verwendung der Offline-Domänenbeitrittsfunktion ist die automatische Bereitstellung virtueller Maschinen. Wie bereits erwähnt, müssen Benutzer lediglich eine virtuelle Festplatte bereitstellen, um eine virtuelle Maschine der Domäne hinzuzufügen. Auf diese Weise können Benutzer Skripts verwenden, um die Bereitstellung einer großen Anzahl virtueller Maschinen abzuschließen, ohne dass sie während des Bereitstellungsprozesses ständig neu starten müssen.
Zusammenfassen
Diese Funktion ist genauso nützlich wie die neue Offline-Domänenfunktion, aber ich hätte mir eine Lösung gewünscht, die keinen speziellen Blob pro Computer erfordert. Dies ist technisch möglich. Computernamen können hinzugefügt werden, wenn niemand arbeitet. Außerdem kann nach dem ersten Start des Computers das Computerkonto im Active Directory erstellt werden. Auf diese Weise kann der im ersten Teil erwähnte Bereitstellungsschritt verworfen werden.
Der Autor glaubt, dass eine solche Lösung die Art und Weise verbessern kann, wie neue Computer zu Active Directory hinzugefügt werden. Wenn man bedenkt, dass die neue Kartentechnologie die Benutzer in der Vergangenheit dazu gedrängt hat, Computer mit vorinstalliertem Vista zu kaufen, scheint eine solche Lösung einen Versuch wert zu sein. Allerdings ist Microsoft möglicherweise nicht daran interessiert, solche technischen Verbesserungen vorzunehmen, nachdem Vista in den Medien negativ publiziert wurde.