CertBase Community
Die Lernplattform für Ihren Erfolg
Offline-Domänenbeitritt

Windows 7 und Windows Server 2008 R2 können einer Domäne beitreten ohne, dass eine Verbindung mit einem Domänencontroller hergestellt werden muss. Dieser Vorgang wird als Offline-Domänenbeitritt (Offline Domain Join, ODJ) bezeichnet.

Interessant kann die neue Möglichkeit beispielsweise in Zweigstellenszenarien sein, wo Clientcomputer an einem neuen Standort aufgestellt werden, der noch nicht mit dem Firmennetz verbunden ist und über keinen eigenen Domänencontroller verfügt. Auch denkbar wäre das Übermitteln der erforderlichen Blob (Binary Large Objekt) Dateien an einen Händler, der im Rahmen der Auslieferung auch mit der Vorinstallation von Clientcomputern betraut ist. Der Händler kann die Clientcomputer offline zur Domäne hinzufügen und dem technischen Support so einen Arbeitsschritt sparen. Die Domänenbenutzer können sich nach Erhalt des neuen Gerätes sofort an der Domäne anmelden und müssen keine weitere Wartezeit in Kauf nehmen.

Der gesamte Prozess des Offline-Domänenbeitritts besteht aus zwei einfachen Schritten:

  • 1. Bereitstellen eines Computerkontos in Active Directory durch Ausführen von Djoin.exe /Provision
  • 2. Einfügen der Computerkonto-Metadateien in das Windows-Verzeichnis des Zielcomputers durch Ausführen des Befehls Djoin.exe /RequestODJ

Wissenswertes:

  • Odj.exe ist Bestandteil von Windows 7 und Windows Server 2008 R2 und kann nur unter diesen Betriebssystemen verwendet werden.
  • Wenn DJoin.exe verwendet werden soll, um ein Computerkonto auf einem Domänencontroller unter einem früheren Betriebssystem als Windows Server 2008 R2 zu erstellen, kann der Parameter /Downlevel angegeben werden.
  • Der Computername des Clientcomputers, der durch Einlesen der Blob Datei zur Domäne hinzugefügt wird. Wird automatisch in den Namen des vorbereiteten Computerkontos geändert.
  • Der Offline-Domänenbeitritt ist auch im Rahmen einer Antwortdatei für die unbeaufsichtigte Installation (Unattend.xml) möglich.

Bereitstellen eines Computerkontos in Active Directory

Der in der Abbildung gezeigte Befehlsaufruf erstellt ein Computerkonto mit dem Namen Desktop4 in der Organisationseinheit OU=CB_Desktops,OU=CB_Alle_Computer,DC=cblabs,DC=de. Wenn die Option /MachineOU nicht angegeben ist, wird das Computerkonto im Standardcontainer Computers erstellt.

Der Parameter /DCName übergibt einen Domänencontroller, der für die Erstellung des Computerkontos verwendet werden soll. Wenn ein Domänencontroller mit einem Betriebssystem vor Windows Server 2008 R2 verwendet werden soll, muss zusätzlich der Parameter /DownLevel angegeben werden.

Der Befehl kann direkt auf einem Windows Server 2008 R2 Domänencontroller oder auf einem Windows 7 Mitgliedscomputer ausgeführt werden.

 

Die Ausgabedatei (Desktop4.txt) enthält ein Base-64 codiertes Blob (Binary large Object), mit den Metadaten des erstellten Computerkontos.

 Offline-Domänenbeitritt auf einem Windows 7 Clientcomputer durchführen

Wenn Sie die Datei mit den Metadaten auf den Clientcomputer kopiert haben können Sie den Befehlsaufruf Djoin.exe /RequestODJ starten, um den Clientcomputer zur Domäne hinzuzufügen ohne, dass eine Netzwerkverbindung mit einem Domänencontroller hergestellt werden muss.

Der Name des Clientcomputer muss nicht mit dem Namen des bereitgestellten Computerkontos übereinstimmen. Der Name des Clientcomputers wird automatisch angepasst.

 

Das Befehlszeilenprogramm Djoin.exe kann auch in Verbindung mit Offlineabbildern verwendet werden. In diesen Fällen gibt der Parameter /Windowspath den Pfad zum Windows-Verzeichnis des Offlineabbildes an. Wenn die lokale Betriebssysteminstallation (/LocalOS) als Ziel für den Domänenbeitritt festgelegt wird, kann die Variable %systemroot% oder alternativ auch %windir% verwendet werden.


Eingetragen Sun, 20. Feb 2011 12:47 von Maik

Comments

thatsright wrote re: Offline-Domänenbeitritt
on Sat, 11. Feb 2012 20:53

Super ding das mit dem Offline Djoin :-)

Wie aber könnte man folgendes Szenario bewerksteligen?

Szenario:

Freelancer in Tunesien braucht einen neuen Laptop (natürlich eine Domänen Laptop)+(Hardware wird vor Ort gekauft) dh. wir brauchen ein Boot Medium.

Hat keine stabile Internetverbindung, geschweige denn eine Fixe Leitung.

OK... kein problem...

USB oder DVD BootMedium erstellen. Unatendett.xml file mit ver. Parametern generieren - plus das mit dem Djoin.

SO... wir haben ein Boot Medium für die Automatische Installation, mit Offline Domain Join.

Wie aber soll sich der User dann in Tunesien anmelden?

Um beispielsweise eine SSL - VPN verbindung zu starten (um das AD zu erreichen) müsste er sich anmelden können.

Irgend wie habe ich da noch einen Knopf im Kopf...

Habt Ihr irgend welche schlauen Ideen?

Freue mich auf jede Konsturktive Meldung.

THX

Phil

CertBase - IT-Prüfungsvorbereitung Online