パート 1: オフラインでのドメイン参加
必要とする
[IT Expert Network 限定記事] Djoin は、すべての Windows 7 および Windows Server 2008 R2 にあります。ユーザーは、Active Directory ドメインのパフォーマンス レベルを Windows Server R2 にアップグレードする必要はありません。また、djoin は以前のバージョンのドメイン コントローラーと互換性があるため、ユーザーは R2 ドメイン コントローラーを使用する必要もありません。 Djoin には管理者権限が必要なため、ユーザーは管理者特権のコマンド プロンプトからこのツールを使用する必要があります。もちろん、ユーザーには、ドメイン コンピューター アカウントを作成するための十分なアクセス許可を持つアカウントも必要です。
二段階
コンピューターをオフライン ドメインに参加させるには、主に 2 つの手順があります。まず、ユーザーは Active Directory にコンピュータ アカウントを作成します。このプロセスはサービス プロビジョニングと呼ばれます。最も簡単な方法は、R2 ドメイン コントローラーでこのプロセスを完了することです。 Djoin は、64 ビットでエンコードされたメタデータ BLOB をテキスト ファイルとして作成します。このデータ BLOB は、Windows 7 コンピューターをオフライン ドメインに参加させるために使用されます。
サービスの提供
このコマンドは、次のように R2 ドメイン コントローラー上にコンピューター アカウントを準備します。
djoin /provision /domain <参加するドメイン> /machine <参加するコンピューターの名前> /savefile blob.txt
ユーザーが Windows Server 2008 R2 ドメイン コントローラーを必要としない場合は、Windows 7 コンピューター上で /downlevel パラメーターを指定して djoin.exe コマンドを実行できます。この Windows 7 はドメイン メンバーになっている必要があります。
オフラインでのドメイン参加
ユーザーは、コンピュータ上のドメインに追加する bob.txt ファイルをコピーし、次のコマンドを発行する必要があります。
djoin /requestODJ /loadfile blob.txt /windowspath %SystemRoot% /localos
localos パラメーターを使用して、そのコンピューター上で djoin コマンドを実行する必要があります。ターゲット コンピュータ システムのルート ファイルを指す Windows パス パラメータを決定するために使用されるコンピュータ上で djoin コマンドを実行することもできます。ユーザーがオフラインの仮想マシンをドメインに参加させたい場合は、この方法を使用できます。この方法では、仮想マシンが起動されると、その仮想マシンはすでにドメイン メンバーとなるため、再起動を要求する必要はありません。
ここでは説明しなかった機能が他にもたくさんあります。以下は、すべての djoin パラメータの完全なリストです。その後、無人インストールを行わずにオフラインでのドメイン参加がどのように機能するか、およびこの機能が使用できる状況について説明します。
コマンドの説明:
djoin.exe [/OPTIONS]
/PROVISION – ドメイン内にコンピューター アカウントを準備します。
/DOMAIN <名前> – 追加されるドメインの名前
/MACHINE <名前> – 開始ドメインの名前
/MACHINEOU <OU> – オプション (OU) はアカウントが作成される場所です。
/DCNAME <DC> – オプションの <DC> はアカウント作成をロックします
/REUSE - 既存のアカウントを再利用します。アカウントのパスワードはリセットされます。
/SAVEFILE <FilePath> – <FilePath> にファイルを保存するためのデータを準備します。
/NOSEARCH - アカウントの競合チェックをスキップし、すぐに DCNAME をリクエストします
/DOWNLEVEL – Windows Server 2008 以前のドメイン コントローラーの使用をサポートします。
/PRINTBLOB – 64 ビットでエンコードされたメタデータ BLOB を応答ファイルとして返します
/DEFPWD – デフォルトのコンピュータ アカウントのパスワードを使用します
/REQUESTODJ – 次回起動時にオフライン ドメインへの参加を要求します
/LOADFILE <ファイルパス> – /SAVEFILE 経由で <ファイルパス> を事前に指定します
/WINDOWSPATH <パス> – オフライン時の Windows ディレクトリへのパス
/LOCALOS – /WINDOWSSPATH でローカルで実行されているオペレーティング システムを指定できるようにします。このコマンドはローカル管理者として実行する必要があります。
変更は再起動するまで適用されません。
パート 2: 誰もいないときにオフラインでドメインに参加する
最初の部分を完了することと、コンピューターの最初の起動時に既にドメイン メンバーになっている多数のコンピューターを展開することは別のことです。
誰もインストールしなくても、コンピュータをオフライン ドメインに参加させることができます。まず、ユーザーは、ドメイン内のコンピューター アカウントとメタデータ BLOB の作成など、最初の部分の 2 つの手順を完了する必要があります。次に、次のセクションを unattend.xml に追加します。
<コンポーネント>
<コンポーネント名=Microsoft-Windows-UnattendedJoin>
<識別>
<プロビジョニング>
<AccountData>Base64 エンコードされた BLOB</AccountData>
</プロビジョニング>
</識別>
</コンポーネント>
「Base64Encoded Blob」は、blob.txt ファイルの内容に置き換えられます。メタデータ BLOB について理解するには、以下のスクリーンショットを確認してください。
オフラインドメイン参加の使用の可能性
オフライン ドメイン機能について読んだとき、最初に思ったのは、Windows 7 がプレインストールされたコンピューターを購入する大企業にとって、これは大きな改善になるだろうということでした。ユーザーは、ドメインに参加済みのオペレーティング システム イメージをコンピュータの製造元に送信するだけで済みます。新しいコンピュータがベンダーのネットワークに接続されると、新しいコンピュータをベンダーの Active Directory ドメインに参加させることなく使用できるようになります。
ただし、コンピューターごとに異なるメタデータ BLOB が必要なため、オペレーティング システム イメージ自体ではこれを行うことができません。ユーザーは最初に BLOB ファイルを作成する必要があります。次に、コンピューターの製造元は、各コンピューターが独自のメタデータ BLOB を受信したことを確認する必要があります。問題は、unattend.xml に含める必要があるメタデータ グループにあります。したがって、ユーザーが数字を連続して指定したり、コンピュータの MAC アドレスを名前として使用したりできないため、このプロセスは複数のコンピュータに自動的に名前を割り当てるよりも少し複雑になります。
代わりに、各コンピューターが正しい unattend.xml を確実に受信できるように、すべての BLOB ファイルを保持する中央ストアが必要です。したがって、コンピュータメーカーはこのプロセスに備える必要がありますが、これはまだ現実的ではないようです。
それでも、この問題を解決できるサードパーティのソリューションがすぐに登場することを願っています。もちろん、ユーザーは、新しくインストールされたコンピューターにオフライン ドメイン参加を実装するためのソリューションを自分で作成することもできます。
中小企業では、当然のことながら手作業で業務を行っています。オフライン ドメイン参加の利点は、新しいコンピュータを展開するときに管理者がローカルで操作を実行する必要がないことです。つまり、明示的なテキスト パスワードを使用した netdom スクリプトが必要ないことです。
オフライン ドメイン参加機能を使用するもう 1 つのユースケースは、仮想マシンを自動的に展開する場合です。前述したように、ユーザーは仮想ディスクをマウントするだけで仮想マシンをドメインに参加させることができます。このように、ユーザーはスクリプトを使用して、展開プロセス中に頻繁に再起動することなく、多数の仮想マシンの展開を完了できます。
要約する
この機能は、新しいオフライン ドメイン機能と同じくらい便利ですが、コンピューターごとに特別な BLOB を必要としないソリューションが欲しかったです。これは技術的には可能です。誰も操作していないときにコンピュータ名を追加できます。また、コンピュータを初めて起動すると、Active Directory にコンピュータ アカウントを作成できます。このようにして、最初の部分で説明したプロビジョニング手順を破棄できます。
著者は、このようなソリューションによって、新しいコンピュータを Active Directory に追加する方法を改善できると考えています。過去に新しいマッピング技術のせいで、ユーザーが Vista がプレインストールされたコンピュータを購入するようになったということを考えると、このようなソリューションは試してみる価値があるように思えます。しかし、Vista がメディアから否定的な評判を受けた後、Microsoft はそのような技術的な改善に興味がないかもしれません。