Vereinfachung im Administratoren-Tagesgeschäft

Ohne Kontakt – Offline Domain Join

| Autor / Redakteur: Frank-Michael Schlede, Thomas Bär / Andreas Donner

Mit dem Offline-Domain-Join-Tool "djoin" lassen sich Client-Systeme offline für einen Domänenbeitritt vorbereiten, was die Arbeit von Admins deutlich vereinfachen kann.
Mit dem Offline-Domain-Join-Tool "djoin" lassen sich Client-Systeme offline für einen Domänenbeitritt vorbereiten, was die Arbeit von Admins deutlich vereinfachen kann. (Bild: Schlede/Bär)

Auch ohne direkten Kontakt zur Windows-Domäne können Administratoren den Beitritt für einen neuen Computer mithilfe von Offline Domain Join (ODJ) vorbereiten. Was das soll und wie das geht, zeigen wir Ihnen hier.

In den frühen Tagen der Windows-Server war ein Client-Beitritt in die Domäne nur möglich, sofern der Server auch direkt erreichbar war. Mit Erscheinen des Windows Server 2008R2 hat sich dies geändert und wer noch niemals mit der Technik gearbeitet hat, dem wird sich der Sinn dieser Funktion zunächst vielleicht gar nicht erschließen. Denn warum sollte man ein Computerkonto offline hinzufügen wollen?

Das wird anhand eines Beispiels sehr schnell klar: Bereitet ein Techniker, beispielsweise in einem Systemhaus, ein Image für ein PC-System vor, so kann er dieses, unabhängig vom Standort, fertig vorbereiten und ausliefern. Vor Ort, dort wo die Server stehen, ist kein Administrator erforderlich, der das Konto der Domäne hinzufügen müsste.

Wer über keine eigene Deployment-Struktur verfügt, was in erster Linie bei kleineren Firmen der Fall sein dürfte, kann über diesen Weg die erforderliche Flexibilität erzielen. Aber auch in größeren Umgebungen, mit automatisierter Bereitstellung von Computern aus einem Installations-Image heraus, ist der Offline-Beitritt (ODJ = Offline Domain Join) eine durchaus hilfreiche Angelegenheit, insbesondere wenn in Außenstellen RDOC (Read Only Domain Controllers) positioniert wurden.

Grundsätzlich können alle Windows-Versionen, ab Windows 7, mit Ausnahme der Home-Editionen, einen offline Domänenbeitritt durchführen. Das gilt insbesondere auch für die Server-Editionen seit Windows Server 2008R2. Das zugehörige Dienstprogramm "djoin.exe" ist in den Versionen enthalten, die es auch benutzen können. Alle Mitglieder der Gruppe "Domänen-Admins" sind in der Standardauslieferung von Microsoft Windows in der Lage, einen Offline-Beitritt zur Domäne durchzuführen.

Zwei Arbeitsschritte

Der Vorgang selbst besteht im Wesentlichen aus zwei Arbeitsschritten. Zunächst werden das Offline-Konto in der Domäne und eine vermeintlich "sichere Datei" erzeugt. Die erzeugte Datei macht zwar den Eindruck, dass sie verschlüsselt sei, sie ist jedoch in Wahrheit lediglich Base64 kodiert. Mit einem entsprechenden Decoder-Programm ist es sehr wohl möglich einen Blick auf die Daten zu erhaschen. Wer jedoch erwartet, das Passwort für den Domänenadministrator entdecken zu können, der wird (glücklicherweise) enttäuscht werden. Lediglich der Name der Domäne und die IP-Adresse sind in dem Datensalat identifizierbar.

Im zweiten Schritt erfolgt die eigentliche Einbindung des Client-Computers in die Domäne – über die erzeugte Datei. Zunächst einmal gilt es, das Computerkonto im Active Directory anzulegen. Handelt es sich um ein größeres Netzwerk mit mehreren Domänen-Controllern, so sollte der Administrator die Replikation erzwingen. Mit Windows Server 2012 R2 kann der Administrator auf die explizite Erstellung des Kontos auch verzichten und den Computerkontonamen nur mit dem "djoin.exe"-Befehl erzeugen.

Üblicherweise erzeugt Windows ein neues Computerkonto stets in der OU "Computers". Möchte der IT-Profi einen anderen Container für den neuen Client-Computer nutzen, so kann beim Aufruf von "djoin.exe" das Argument "/Machineou" den Container benennen. Falls das Konto bereits besteht, empfiehlt sich die Verwendung des Schalters "/reuse".

Administratoren führen den "djoin.exe"-Befehl in einer Administratoreneingabeaufforderung oder in der PowerShell aus, um die Metadaten für das Computerkonto in einer Datei bereitzustellen. Die Metadaten speichert der IT-Profi entweder in einer einfachen Textdatei oder bindet das Ergebnis in eine unattended.xml-Datei ein.

Zur Erstellung der Textdatei gehen Sie wie folgt vor:

  • 1. Melden Sie sich mit einem administrationsberechtigten Konto auf einem Mitgliedscomputer der Domäne an.
  • 2. Erstellen Sie mithilfe des "djoin.exe"-Befehls eine Textdatei in einer Administrationseingabeaufforderung oder in der PowerShell nach dem Schema: "djoin /provision /domain <Domänenname> /machine <Computername> /savefile <Dateiname>", also beispielsweise: "djoin /provision /domain winitpro /machine win10 /savefile win10.txt"
  • 3. Importieren Sie die Textdatei auf dem neuen Computer, wieder mit dem "djoin" -Befehl. Geben Sie hierzu in einer Administrationseingabeaufforderung oder in der PowerShell den Befehl nach dem Schema "djoin /requestODJ /loadfile <Dateiname> /windowspath %SystemRoot% /localos", also beispielsweise: "djoin /requestODJ /loadfile win10.txt /windowspath %SystemRoot% /localos" ein
  • 4. Stellen Sie sicher, dass der neue Computer mit dem Netzwerk verbunden ist und starten Sie ihn neu. Beim Neustart wird der Computer zur Domäne hinzugefügt.

Während der Ausführung des "djoin"-Befehls auf dem neuen Computer muss dieser nicht notwendigerweise mit einem Netzwerk verbunden sein. Somit ist der Administrator in der Lage einen PC auch außerhalb der Domäne für den Beitritt vorzubereiten.

Integration in untattended.xml

Die Metadaten, also der Inhalt der erzeugten Datei, können bei Bedarf auch in die unattend.xml-Datei für die Bereitstellung hinzugefügt werden. Dazu legt der Administrator einen entsprechenden Abschnitt in der xml-Datei an, in dessen AccountData-Element der Inhalt der Textdatei einzufügen ist.

Beispielsweise:
<Component name=Microsoft-Windows-UnattendedJoin>
<Identification>
<Provisioning>
<AccountData> METADATEI-INHALT </AccountData>
</Provisioning>
</Identification>
</Component>

Sobald die "unattended.xml"-Datei erzeugt ist startet der Administrator den neuen Computer im abgesicherten Modus oder unter Windows PE (Windows Preinstallation Environment) und führt das Setup unter Nennung der Datei aus; beispielsweise:

setup /unattended: <Zielpfad zur xml-Datei>

Neuerungen mit Windows 2012

An den Basisfunktionalitäten des ODJs hat sich mit Vorstellung des Windows Server 2012 nichts geändert, jedoch haben die Entwickler in Redmond einige Features hinzugefügt, insbesondere um im Zusammenspiel mit Direct Access einen Domänenbeitritt zu ermöglichen: Root Certificates, Zertifikate und Gruppenrichtlinien. Eine grafische Oberfläche für den ODJ gibt es nach wie vor nicht.

Um die Root-Zertifikate den Metadaten hinzuzufügen verwendet der Administrator den Schalter "/RootCACerts", sollen nebst Root-Zertifikaten auch die Vorlagen mitkopiert werden, so gilt es, den Schalter "/CertTemplate" zu verwenden. Um Gruppenrichtlinien zu übergeben lautet der dazugehörige Schalter "/PolicyNames", gefolgt vom Namen der Gruppenrichtlinie.

Mythen rund um den Domänenbeitritt

Wie bei so vielen neuen Techniken, so hat sich auch rund um den ODJ ein gewisser Mythos gebildet. Beispielsweise liest man im Web immer wieder, dass die Domäne für die Nutzung des Online Domänenbeitritts erst vorbereitet werden müsse. Nein, es sind keinerlei Vorarbeiten notwendig, außer der Verfügbarkeit eines Windows Server 2008R2 oder höher mit entsprechender Domänenfunktionsebene.

Auch hinsichtlich der Rechte gibt es keine speziellen Besonderheiten zu beachten. Sobald der administrative Benutzer über das Recht "Hinzufügen zur Domäne" verfügt, so ist auch die Verwendung von "djoin.exe" möglich.

Gern, so Quellen im Internet, heißt es auch, dass ODJ kompliziert in der Anwendung sei – was es aber definitiv nicht ist. Detaillierte Informationen zum Thema Domänenbeitritt, insbesondere auch zu den Neuerungen mit Windows Server 2012 findet der interessierte Leser im Microsoft TechNet.

Kommentare werden geladen....

Kommentar zu diesem Artikel

Anonym mitdiskutieren oder einloggen Anmelden

Avatar
Zur Wahrung unserer Interessen speichern wir zusätzlich zu den o.g. Informationen die IP-Adresse. Dies dient ausschließlich dem Zweck, dass Sie als Urheber des Kommentars identifiziert werden können. Rechtliche Grundlage ist die Wahrung berechtigter Interessen gem. Art 6 Abs 1 lit. f) DSGVO.
  1. Avatar
    Avatar
    Bearbeitet von am
    Bearbeitet von am
    1. Avatar
      Avatar
      Bearbeitet von am
      Bearbeitet von am

Kommentare werden geladen....

Kommentar melden

Melden Sie diesen Kommentar, wenn dieser nicht den Richtlinien entspricht.

Kommentar Freigeben

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Freigabe entfernen

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Infos finden Sie unter www.mycontentfactory.de (ID: 43707290 / Administration)