Offline Domain Join mit Windows und djoin.exe

Der Softwarehersteller Microsoft hat mit Windows 7 und Windows Server 2008 R2 ein nettes Feature eingeführt: Einen Offline Domain Join in eine Domäne. Das bedeutet Administratoren haben die Möglichkeit einen Computer offline einer Domäne hinzufügen zu können, obwohl derzeit keine Verbindung zum Domain-Controller besteht. Natürlich gehört schon ein wenig mehr dazu. Hier hilft uns das kleine Tool djoin.exe, welches von Microsoft bereit gestellt wird.

mohamed_hassan / Pixabay

 

Warum einen Offline Domain Join?

In manchen Fällen ist es so, dass keine Netzwerkverbindung mit dem Domain-Controller besteht. Bei Mitarbeitern die nur mobil arbeiten, oder an einem neues Standort sitzen, der noch nicht angebunden ist kann dies von großen Vorteil sein. Auch die neuen Nano-Server von Microsoft müssen nachträglich der Domäne hinzugefügt werden, da diese keine andere Methode unterstützen.

 

Offline Domain Join mit djoin.exe

Natürlich kann man nicht einfach den Computer in die Dömane joinen, ohne ein paar Schritte auszuführen. Das wäre ein großes Sicherheitsrisiko. Deswegen müssen Vorbereitungen zum Offline Domain Join getroffen werden. Außerdem sind natürlich ein-zwei Schritte auf dem Domain-Controller notwendig. Zuerst muss men ein neues Computer-Konto anlegen und speichert das Beitritts-Ergebnis ein einer Datei. Diese Datei muss man am Ziel-Computer importieren.

 

Vorbereitungen

Um den Domänen-Beitritt offline zu bewerkstelligen zu können, müssen ein paar Vorbereitungen getroffen werden:

  • Der Computer, auf dem man den offline Domänen-Beitritt für einen anderen Computer vorbereitet, muss bereits Mitglied der Domäne sein
  • Der Computer der den Join vorbereitet, muss eine Verbindung zum Domain-Controller haben
  • Man benötigt einen Domänen-Benutzer, der Berechtigungen hat einen Computer in die Domäne aufzunehmen

 

Computer-Konto im Active Directory anlegen

Damit das ganze Prozedere funktioniert, benötigen wir als erstes ein Computer-Konto für den Offline-PC im Active Directory. Aber dieses wird nicht einfach angelegt, sondern wir benötigen hier das Microsoft-Tool DJOIN.exe. Diesem Tool kann man Parameter übergeben, die für unser Vorhaben von Bedeutung sind. Hier führen wir folgenden Befehl auf dem Computer aus, welcher bereits in der Domäne ist und eine Verbindung zum DC hat:

djoin /provision /domain your.domain /machine YourComputerName /savefile YourComputerName.odj

  • /provision = Legt das Konto mit den anhängenden Parametern im AD an
  • /domain = Domäne, in der das Computerkonto angelegt werden soll
  • /machine = Name des Computer-Objektes
  • /savefile = Pfad zur odj-Datei

Nach dem Ausführen ist das Objekt angelegt und die Ausgabe-Datei erzeugt.

 

Computer Offline Domain Join ausführen

Das Computer-Objekt ist nun angelegt, aber der Computer der keine Verbindung zum DomainController hat, weiß noch nichts von seinem Glück. Auf diesem Computer muss nun die ODJ-Datei importiert werden. Hierzu benötigen wir ebenfalls das Tool djoin.exe. Für den Beitritt in die Domäne mit einer ODJ-Datei benötigen wir folgenden Aufruf des Tools:

djoin /requestodj /loadfile .\YourComputerName.odj /windowspath c:\windows /localos

  • /requestodj = Domänen-Beitritt mit weiteren Parametern
  • /loadfile = Pfad zur .odj-Datei
  • /windowspath = Pfad zur Windows Installation
  • /localos = lokales Betriebssystem zur Domäne hinzufügen

Nach dem Ausführen des Befehls wird der Computer nun lokal und ohne Verbindung zum Active Directory zur Windows-Domäne hinzugefügt. Wenn man diese Schritte befolgt, ist ein Offline Domain Join eines Computers kein Problem. Ich hoffe wir konnten euch die Vorgehensweise einfach und verständlich erklären.

 

DJOIN Parameter

Natürlich hat das Tool noch mehr Funktionen als die, die wir hier nutzen. Es gibt eine ganze Liste an DJOIN Parametern, die man mit folgendem Hilfe-Befehl ausgeben lassen kann:

djoin /?

offline domain join djoin parameter

Nun werden eine ganze Liste an Parametern und dessen Erklärung ausgegeben. Wir versuchen diese verständlich in folgender Liste zu erklären.

Befehl

Erklärung

/provision

Erstellt ein Computerobjekt in der Domäne

/domain

Name der Domäne, in der das Objekt angelegt werden soll

/machine

Hostname, welcher vergeben werden soll

/machineou

OU, in der das Objekt erstellt werden soll

/dcname

Spezieller DC, auf dem das Objekt erstellt werden soll

/reuse

Verwendet ein bereits vorhandenes Konto

/savefile

Speichert die Infos in einer ODJ-Datei

/nosearch

Kontokonflikterkennung wird übersprungen

/downlevel

Unterstützt Domain-Controller mit Server 2008 oder niedriger

/printblob

Gibt einen Metadatenblob zurück

/defpwd

Verwendet das Passwort des Standard-Computerkontos

/rootcacerts

Nutzt Zertifikate der CA

/certtemplate

Name der Computer-Zertifikat-Vorlage

/policynames

Namen der Richtlinien durch Semikolon getrennt

/policypaths

Liste der Richtlinienpfade durch Semikolon getrennt

/netbios

NetBios Name des Computers

/psite

Name der statischen Site, der der Computer zugeordnet wird

/dsite

Name der dynamischen Site, der der Computer zugeordnet wird

/primarydns

Primäre DNS Domäne des Computers

/requestodj

Offline-Beitritt in die Domäne

/loadfile

Pfad zur ODJ Datei

/windowspath

Pfad zum Windows Verzeichnis

/localos

Ermöglicht die Angabe des lokalen Betriebssystems

Johannes Huber
 

In seiner Freizeit macht Johannes nichts lieber, als für ITnator Beiträge zu schreiben. Input bekommt er hierfür von Problemen in der IT Administration von Servern, Clients und vielen weiteren IT Komponenten.

Click Here to Leave a Comment Below 0 comments