Как завести компьютер в домен из другой подсети
Обновлено: 02.07.2024
В этом руководстве описаны действия по выполнению автономного присоединение к домену с DirectAccess. Во время присоединения к автономному домену компьютер настраивается для присоединения к домену без физического или VPN-подключения.
Ниже перечислены разделы данного руководства.
Обзор автономного присоединение к домену
Требования к присоединению автономного домена
Процесс присоединение к домену вне сети
Действия по выполнению автономного присоединение к домену
Обзор автономного присоединение к домену
контроллеры домена, появившиеся в Windows Server 2008 R2, включают функцию, называемую автономным присоединением к домену. Программа командной строки с именем Djoin.exe позволяет присоединить компьютер к домену, не подключаясь к контроллеру домена при выполнении операции приподключения к домену. Ниже приведены общие действия по использованию Djoin.exe.
Запустите Djoin/провисион , чтобы создать метаданные учетной записи компьютера. Выходными данными этой команды является файл .txt, который содержит большой двоичный объект с кодировкой Base-64.
запустите djoin/рекуестодж , чтобы вставить метаданные учетной записи компьютера из .txtного файла в каталог Windows конечного компьютера.
Перезагрузите конечный компьютер, и компьютер будет присоединен к домену.
Обзор сценария автономного присоединение к домену с помощью политик DirectAccess
автономное присоединение к домену directaccess — это процесс, в котором компьютеры под управлением Windows Server 2016, Windows Server 2012, Windows 10 и Windows 8 могут использовать для присоединения к домену без физического соединения с корпоративной сетью или подключения через VPN. Это позволяет присоединять компьютеры к домену из расположений, в которых нет подключения к корпоративной сети. Присоединение автономного домена для DirectAccess предоставляет клиентам политики DirectAccess, разрешающие удаленную подготовку.
присоединение к домену создает учетную запись компьютера и устанавливает доверительные отношения между компьютером с операционной системой Windows и Active Directoryным доменом.
Подготовка к автономному присоединению домена
Создайте учетную запись компьютера.
Инвентаризация членства всех групп безопасности, к которым принадлежит учетная запись компьютера.
Соберите необходимые сертификаты компьютеров, групповые политики и объекты групповой политики, которые будут применяться к новым клиентам.
. В следующих разделах описаны требования к операционной системе и требования к учетным данным для выполнения автономного присоединение к домену DirectAccess с помощью Djoin.exe.
Требования к операционной системе
Djoin.exe для directaccess можно выполнять только на компьютерах, на которых выполняется Windows Server 2016, Windows Server 2012 или Windows 8. компьютер, на котором выполняется Djoin.exe для предоставления данных учетных записей компьютеров в AD DS, должен работать под управлением Windows Server 2016, Windows 10, Windows Server 2012 или Windows 8. компьютер, который требуется присоединить к домену, также должен работать под Windows Server 2016, Windows 10, Windows Server 2012 или Windows 8.
Требования к учетным данным
Для выполнения автономного присоединение к домену необходимы права, необходимые для приподключения рабочих станций к домену. Члены группы "Администраторы домена" по умолчанию имеют эти права. Если вы не являетесь членом группы "Администраторы домена", член группы "Администраторы домена" должен выполнить одно из следующих действий, чтобы обеспечить присоединение рабочих станций к домену.
Используйте групповая политика, чтобы предоставить необходимые права пользователя. Этот метод позволяет создавать компьютеры в контейнере Компьютеры по умолчанию и в любом подразделении (OU), которое создается позже (если запрещены записи управления доступом (ACE)).
Измените список управления доступом (ACL) контейнера Компьютеры по умолчанию для домена, чтобы делегировать правильные разрешения.
Создайте подразделение и измените список ACL в этом подразделении, чтобы предоставить вам разрешение Создание дочернего элемента — разрешить . Передайте параметр /мачинеау в команду Djoin/провисион .
В следующих процедурах показано, как предоставить права пользователя с помощью групповая политика и делегировать правильные разрешения.
Предоставление пользователям прав на присоединение рабочих станций к домену
Можно использовать консоль управления групповыми политиками (GPMC) для изменения политики домена или создания новой политики с параметрами, предоставляющими права пользователя на добавление рабочих станций в домен.
Членство в группах "Администраторы домена" или "эквивалентное" является минимальным требованием для предоставления прав пользователя. Просмотрите сведения об использовании соответствующих учетных записей и членстве в группах в локальной среде и группах домена по умолчанию ( ).
Предоставление прав на присоединение рабочих станций к домену
Дважды щелкните имя леса, дважды щелкните домены, дважды щелкните имя домена, в котором необходимо присоединить компьютер, щелкните правой кнопкой мыши Политика домена по умолчаниюи выберите команду изменить.
в дереве консоли дважды щелкните конфигурация компьютера, дважды щелкните политики, дважды щелкните Windows Параметры, дважды щелкните безопасность Параметры, дважды щелкните локальные политики, а затем дважды щелкните назначение прав пользователя.
В области сведений дважды щелкните Добавить рабочие станции в домен.
Установите флажок определить эти параметры политики и нажмите кнопку Добавить пользователя или группу.
Введите имя учетной записи, которой необходимо предоставить права пользователя, а затем дважды нажмите кнопку ОК .
Процесс присоединение к домену вне сети
Запустите Djoin.exe в командной строке с повышенными привилегиями, чтобы подготавливать метаданные учетной записи компьютера. При выполнении команды подготовки метаданные учетной записи компьютера создаются в двоичном файле, указанном в качестве части команды.
Дополнительные сведения о функции Нетпровисионкомпутераккаунт, которая используется для предоставления учетной записи компьютера во время приподключения к автономному домену, см. в разделе функция нетпровисионкомпутераккаунт ( ). Дополнительные сведения о функции Нетрекуестоффлинедомаинжоин, которая выполняется локально на конечном компьютере, см. в разделе функция нетрекуестоффлинедомаинжоин ( ).
Действия по выполнению автономного присоединение к домену DirectAccess
Процесс автономного присоединение к домену включает следующие шаги.
Создайте новую учетную запись компьютера для каждого удаленного клиента и создайте пакет подготовки с помощью команды Djoin.exe из компьютера, присоединенного к домену в корпоративной сети.
Добавление клиентского компьютера в группу безопасности Директакцессклиентс
Безопасно перенесите пакет подготовки на удаленные компьютеры, которые будут присоединены к домену.
Примените пакет подготовки и присоедините клиент к домену.
Перезагрузите клиент, чтобы завершить присоединение к домену и установить подключение.
При создании пакета подготовки для клиента необходимо учитывать два варианта. Если для установки DirectAccess без PKI используется мастер начало работы, следует использовать вариант 1 ниже. Если для установки DirectAccess с помощью PKI использовался мастер расширенной установки, следует использовать вариант 2 ниже.
Чтобы выполнить автономное присоединение к домену, выполните следующие действия.
Параметр1: создание пакета подготовки для клиента без PKI
В командной строке сервера удаленного доступа введите следующую команду для подготовки учетной записи компьютера:
Параметр2: создание пакета подготовки для клиента с помощью PKI
В командной строке сервера удаленного доступа введите следующую команду для подготовки учетной записи компьютера:
Добавление клиентского компьютера в группу безопасности Директакцессклиентс
На начальном экране контроллера домена введите активный и выберите Active Directory пользователи и компьютеры из приложений .
Разверните дерево в своем домене и выберите контейнер Пользователи .
В области сведений щелкните правой кнопкой мыши директакцессклиентси выберите пункт свойства.
На вкладке Члены группы щелкните Добавить.
Щелкните типы объектов, выберите Компьютеры, а затем нажмите кнопку ОК.
Введите имя добавляемого клиента и нажмите кнопку ОК.
Скопируйте и примените пакет подготовки к клиентскому компьютеру.
Скопируйте пакет подготовки из c:\files\provision.txt на сервере удаленного доступа, где он был сохранен, чтобы c:\provision\provision.txt на клиентском компьютере.
На клиентском компьютере откройте командную строку с повышенными привилегиями и введите следующую команду, чтобы запросить присоединение к домену:
Перезагрузите клиентский компьютер. Компьютер будет присоединен к домену. После перезагрузки клиент будет присоединен к домену и иметь возможность подключения к корпоративной сети с DirectAccess.
Для того, чтобы рабочие станции могли взаимодействовать с контроллером домена необходимо выполнить операцию присоединения компьютера к домену. Предварительно в Вашей локальной сети должен быть поднят минимум один контроллер домена. Как это сделать описано в нашей инструкции.
Кроме того, на машине, которая будет вводиться в домен в качестве одного из серверов DNS необходимо указать DNS, которому известно про этот домен, например ip-адрес контроллера домена.
Сама операция присоединения компьютера к домену выполняется достаточно просто. Необходимо открыть Панель управления, выбрать раздел “Система и безопасность” и в нем открыть “Система”.
В открывшемся окне выбрать раздел “Имя компьютера, имя домена и параметры рабочей группы” и нажать кнопку “Изменить параметры”.
В открывшемся окне нажимаем кнопку “Изменить”.
При желании меняем сетевое имя компьютера, после чего ставим переключатель в положение “Домен” и вводим имя домена к которому хотим присоединиться (контроллер домена должен быть доступен для этой рабочей станции). Нажимаем “ОК”.
Вводим имя и пароль учетной записи, которая имеет право добавлять компьютеры в домен (обычно это администратор домена) и нажимаем “ОК”.
Теперь можно закрыть окно свойств системы.
Будет предложено перезагрузить компьютер сразу или позже. После перезагрузки Ваш компьютер станет полноправным членом домена.
(9) "Даже если в КД1 удалить, а потом заново создать юзверя. "
Конечно другой, но проверку проходить будет, если явно не указываешь домен тобишь не пишешь что то типа user@MyDomen то при совпадении имя и пароля аутентификация будет проходить.
Следующая команда настраивает интерфейс с именем Подключение к локальной сети, статическим IP-адресом 10.0.5.99, маской подсети 255.255.255.0 и основным шлюзом 10.0.5.1:
netsh
set address name="Подключение к локальной сети" source=static addr=10.0.5.99 mask=255.255.255.0 gateway=10.0.5.1 (9) так проконсультировали в магазине:(.
как достучаться до Домена 2 если он даже не пингуется с домена1. (при обеих задействованных сетевых)
на втором домене установлены проги, пользователь с домена 2 копирует себе ярлыки и пользует ресурс сервера2 (проги на SQL)
я готова рассмотреть любой вариант, не требующий денег :) (9) Только ненадо кабель на прямую в КД2 тыркать, как я понял физическая сеть одна, все крутятся через один же свич?
Если да, тогда и кабель из второй сетевой КД1 тоже в свич. сорри инет тормозит.
получается имя подключения будет уже "подключение по локальной сети 2"? а IP я пишу именно такой 10.0.5.99 и шлюз? (14) серверы да. воткнуты в один свитч, только порты программирует почему-то провайдер у себя. я так поняла этот свитч непрограммируемый D-Link DES 1228 (17) Почему?
(15) С такой постановкой вопроса я к сожалению точно не смогу помочь, так как физически не знаю ни параметров ваших серверов ни параметры сетей.
В кратце - дорого (CAL'ы), неэффективно (каждый домен админится отдельно), .
-------------
Как настроишь маршрутизацию - просто попробуй для ресурсов в каждом из доменов использовать учетки из этих же доменов.
Тебе главное добится запроса на аутентификацию от другого домена и ввести валидные логин с паролем. Вопрос в том, захочет ли SBS идентифицировать кого-то чужого не через vpn/rwp.
Как вариант, вывести скуль из домена вообще. Пусть будет ничей :) А как действует вариант минибэка с Transition Pack?
пропиши второй адрес на интерфейсе (если в свиче не виланы конечно) и все
если необходимо постоянное взаимодействие доменов настрой доверие
если нужно простое подключение то
net use \\комп\шара /user:доменюзера\юзер пароль /persistent:no
тут могут быть траблы с требованием цыфровой подписи, если шибко параноики делали домены, но обычно все ок
(маршрутизация тут совершенно не причем)
если нет интерфейсов (8), но похоже ты путаешь подключение и окружение, то убей сетевые в оборудовании и перегрузи, или как рекомендовали netsh, только сперва reset
Для того, чтобы можно было управлять компьютером под управлением операционной системы Windows, необходимо провести операцию добавления ПК в домен. Тогда с помощью семейства Windows Server появится возможность проводить различные операции управления, в том числе и с помощью групповой политики. Операция подключения к домену ПК несложная.
Добавление компьютера в домен.
Начало процедуры подключения к домену семейства операционных систем Windows начинается с настройки сетевого соединения и проверки связи между сервером и ПК.
1. Нажимаем комбинацию клавиш Win+R и в открывшемся окне набираем ncpa.cpl.
2. В открывшемся окне выбираем нужный сетевой контроллер (на обычном комьютере он как правило один) и нажимаем правой клавишей мышки на этом интерфейсе. Далее в появившемся меню выбираем "Свойства".
3. Затем в новом окне выделяем "Протокол Интернета версии 4 (TCP/IPv4 IP)". Далее "Свойства".
4. В открывшемся окне появится возможность настройки сетевого интерфейса. Если в домене имеется DHCP сервер и клиентам не надо настраивать статические адреса, то проверяем, что чекбоксы стоят напротив "Получить IP-адрес автоматически" и "Получить адрес DNS-сервера автоматически". Нажимаем "ОК" и можно закрывать все открытые окна.
5. Если в домене не используется DHCP сервер или для клиентов настраивают статические адреса, то надо прописать необходимые сетевые настройки (например как на рисунке).
После того, как прописали IP-адрес, Маска подсети, Основной шлюз (если есть), Предпочитаемый DNS-сервер, Альтернативный DNS-сервер (если есть), нажимаем "ОК" и закрываем все окна.
6. После того, как настроили сеть, появится окно "Настройка сетевого размещения". Выбираем "Сеть предприятия".
7. Появится подтверждение сети о том, что "Расположение сети изменилось на "Предприятия".
8. Снова нажимаем комбинацию клавиш Win+R и набираем cmd для того, чтобы открылась командная строка.
9. В командной строке проверяем связь с сервером. Для этого набираем ping и IP-адрес сервера (например ping 192.168.56.10). Получаем ответ от сервера.
10. На клиентском компьютере правой клавишей мыши нажимаем на "Компьютер", далее "Свойства".
11. В открывшемся окне выбираем "Изменить параметры".
12. Затем нажимаем "Изменить".
13. Выбираем "Является членом домена:" и вписываем имя домена (например syst.local), нажимаем "ОК".
14. Для изменения имени компьютера или домена необходимо ввести логин и пароль (доменный пользователь должен иметь права для добавления компьютера в домен), далее "ОК".
16. Если открыть контроллер домена, то в остнастке "Пользователи и компьютеры Active Directory" в контейнере Computers появится ПК, который был введен в домен.
Читайте также: