Offline Domain Join для клиентов DirectAccess | Windows для системных администраторов

Offline Domain Join для клиентов DirectAccess

Технология DirectAccess, представленная в Windows Server 2008 R2 позволяет организовать удаленный доступ к корпоративной сети без необходимости устанавливать классический VPN тоннель. Для того, чтобы компьютер мог работать в корпоративной сети с помощью  DirectAccess, он должен быть обязательно включен в домен Windows (должны действовать определенные групповые политики и иметься необходимые сертификаты).  Это означает, что компьютер, которые в дальнейшем будет подключаться к корпоративной сети через  DirectAccess необходимо хотя бы раз физически доставить на площадку, на которой имеется подключение к контроллеру домена, что не всегда возможно.

Примечание. DirectAccess работает на компьютерах с ОС не ниже Windows 7 (редакции Enterprise и Ultimate), которые включены в домен Windows.

Казалось бы,  эту проблему должна решить функция Offline Domain Join, однако первоначальная ее реализации не позволяла переносить на клиент необходимые сертификаты и политики DirectAccess.

Примечание. Функция Offline Domain Join, позволяющая ввести компьютер в домен при отсутствии физического (или VPN) сетевого подключения к доменным службам AD, впервые была  представлена в Windows Server 2008 R2. Первоначально воспользоваться этой функцией можно было только на компьютерах с Windows 7/ Server 2008 R2.

После выхода Windows Server 2012 функционал Offline Domain Join пополнился новым сценарием использования – возможностью «офлайн» включения в домен клиентов DirectAccess. Благодаря расширению возможностей Offline Domain Join администратор с помощью команды Djoin может экспортировать в текстовый файл метаданные  о настройках групповых политик DirectAccess, сертификатов компьютера и Root CA. Таким образом, в домен можно включить любой компьютер (соответствующий критериям) без необходимости физически приносить его в офис и подключать к локальной сети.

В этой статье мы рассмотрим сценарий использования Offline Domain Join для клиентов, которые будут подключаться к корпоративной сети через DirectAccess. Вся процедура выгладит следующим образом

  1. Создаем учетную запись ПК в домене, добавляем ее в нужные группы доступа (для DirectAccess).
  2. С помощью команды Djoin.exe создается текстовый файл, содержащий всю информацию, необходимую для включения компьютера в домен (в том числе нужные сертификаты и политики)
  3. Файл передается (любым способом) на клиент и импортируется той же Djoin.exe
  4. После перезагрузки клиент должен автоматически подключится к домену посредством DirectAccess

Предполагаем, что у нас уже имеется домен AD и сервером с развернутой службой DirectAccess (и контроллер домена и сервер DirectAccess работают на Windows Server 2012).

В качестве клиента будет выступать компьютер с Windows 8 Enterprise . Клиентский компьютер с именем win8-02 состоит в рабочей группе (не включен в домен), и не имеет сетевого подключения с нашим доменом.

Создадим учетную запись компьютера win8-02 в домене Active Directory и включим созданную учетную запись в группу безопасности, позволяющую подключаться к домену через DirectAccess (в нашем примере это группа DirectAccessComputers). windows 8 offline domain join для клиентов directaccess

Добавляем компьютер в группу DirectAccessComputers

Создадим файл с данными для Offline Domain Join (provisioning file).Делается это с помощью команды djoin, общий синтаксис команды:

Djoin /provision /domain <domain-name> /machine <remote-pc- name> /policynames <direct-access-gpo-name> /rootcacerts /savefile <path-to-text-file> /reuse
В нашем тестовом домене команда генерации файла будет выглядеть так:
Djoin.exe /provision /domain testlab.local /machine win8-02 /policyname “DirectAccess Client Settings” /rootcacerts /savefile c:\domainjoin\provisionwin8-02.txt /reuse
djoin экспорт настроек DirectAccess

Где, testlab.local – имя нашего домена, win8-02 – имя ПК для которого генерируется файл, «DirectAccess Client Settings» - групповая политика для клиентов DirectAccess, c:\domainjoin\provisionwin8-02.txt – путь к файлу, в который будут импортированы необходимые настройки, параметры GPO и сертификаты.
Осталось перенести сгенерированный файл на клиент (win8-02) и импортировать из него настройки:

djoin /requestodj /loadfile C:\provisionwin8-02.txt /windowspath %windir% /localos
djoin импорт политик и сертификатов directaccess

Осталось перезагрузить компьютер. При запуске системы компьютер автоматически подключится к корпоративной сети через DirectAccess, завершит настройку ПК и применит все положенные доменные групповые политики. После этого на компьютере можно авторизоваться на компьютере с доменной учётной записью.

directacess окно входа в windows 8

С этого компьютера теперь можно пользоваться всеми доменными ресурсами, а администратор домена может управлять им так, как будто компьютер находится непосредственно в корпоративной сети.

Еще записи по теме: Windows Server 2012
Понравилась статья? Скажи спасибо и расскажи друзьям!
Назад:
Вперед:
Полные правила комментирования на сайте winitpro.ru. Вопросы, не связанные с содержимым статьи или ее обсуждением удаляются.

Сказать Спасибо! можно на этой странице или (еще лучше) поделиться с друзями ссылкой на понравившуюся статью в любимой социальной сети(специально для этого на сайте присуствуют кнопки популярных соц. сетей).

Ваш e-mail не будет опубликован. Обязательные поля помечены *

Я не робот( Обязательно отметьте)



MAXCACHE: 0.24MB/0.00158 sec