Cyber Security

Nano Server (Teil 6): Nano Server zur Domäne hinzufügen (Domain-Join)

By on ( 9 Comments )

Nach den letzten Artikeln der Serie Nano Server, wo es darum gegangen ist eine Server-Rolle zu installieren und zu konfigurieren, geht es in diesem Beitrag um den Domänenbeitritt. Nano kann als Member-Server zu einer bestehenden Active Directory Domäne hinzugefügt werden. Dieser Teil ist Teil 6 der Serie Nano Server.

Nano Server (Teil 1): Installation in Hyper-V

Nano Server (Teil 2): Remote-Verwaltung

Nano Server (Teil 3): Nano Server als File-Server konfigurieren

Nano Server (Teil 4): Nano Server als DNS-Server konfigurieren

Nano Server (Teil 5): Nano Server als Web-Server konfigurieren

Nano Server (Teil 6): Nano zur Domäne hinzufügen (Domain-Join)

Nano Server (Teil 7): Nano mit Windows Defender absichern

Nano Server (Teil 8): Mehrere Nano Server auf einmal installieren (Bulk)

Nano Server (Teil 9): Auf Nano Windows-Updates einspielen

Ausgangssituation

Es muss sicher gestellt sein, dass Nano physisch oder virtuell installiert wurde und dass dieser remote verwaltet werden kann.

Wer möchte kann das in Nano Server (Teil 1): Installation in Hyper-V und  in Nano Server (Teil 2): Remote-Verwaltung nachholen. Weiters muss Nano auf das Internet zugreifen können. Ich bin mit der IPv4-Adresse des Nano-Servers verbunden.

5

Der Befehl djoin

Das Ausführen des Befehls djoin ermöglicht einen Offline-Domänenbeitritt. Am Domain-Controller wird eine Datei bereitgestellt und diese wird Nano von einer Workgroup in unsere Domäne befördern.

Dazu auf einem Domain-Controller anmelden und die Bereitstellung mit PowerShell durchführen. Meine Domäne nennt sich pagr.inet und mein Nano Server heißt nano500.

djoin.exe /provision /domain pagr.inet /machine nano500 /savefile .\odjblob

1.PNG

Die Datei wird am Domain-Controller auf C:\ gespeichert.

2.PNG

Diese Datei muss nun auf den Nano Server kopiert werden.

Zugriff auf Nano c$ und Kopieren der Offline-Domain-Join Datei

C$ ist eine der administrativen Freigaben auf einem Windows System. Auch Nano ist über c$ erreichbar. Jetzt auf dem Domain-Controller in Ausführen die IP-Adresse von Nano eingeben und auf c$ verbinden.

6.PNG

Anm: Falls Sie hier auf ein Problem stoßen dann finden Sie ganz unten im Artikel unter Troubleshooting einen möglichen Lösungsweg (Firewall-Regeln auf Nano)

Danach die Datei auf Nano kopieren.

7.PNG

DNS Namensauflösung testen

Bevor nun der Domain-Join erfolgt, sollte man versuchen die Domäne zu erreichen. Ein Ping (-4 steht für IPv4) zeigt, ob die Domäne erreicht werden kann.

9.PNG

Anm: Sollte das nicht funktionieren, dann ist mit hoher Wahrscheinlichkeit ein falscher DNS-Server oder kein DNS-Server gesetzt. Das wird mit folgendem Befehl am Domain-Controllers behoben. Bei ServerAddresses sollte eine IP-Adresse eines Domain-Controller angegeben werden.

Set-DnsClientServerAddress -InterfaceAlias Ethernet -ServerAddresses 192.168.0.100

8.PNG

Nano Domänenbeitritt

Alles ist hergerichtet. Nun kann Nano der Domäne beitreten. Dazu benötigen wird den Befehl djoin und die kopierte Datei.

djoin /requestodj /loadfile c:\odjblob /windowspath c:\windows /localos

10.PNG

Ein Nano Neustart steht aus.

Restart-Computer

Nach dem Login sehen wir auf Nano, dass der Join funktioniert hat.

11.PNG

In Active Directory (dsa.msc) scheint der Computer im Container Computers auf.

12.PNG

Troubleshooting Nano Domain-Join

Wie oben bereits erwähnt kann es beim Domänenbeitritt zu Problemen kommen. Die beiden häufigsten Probleme sind der DNS-Server Eintrag (ist oben beschrieben) und die Nano Firewall-Regeln. Es kann vorkommen, dass das SMB Freigabe-Protokoll nicht erlaubt ist. Dann kann auf die Freigabe nicht zugegriffen werden und die Datei nicht kopiert werden. Zum Ändern der Firewall-Regeln auf Nano einloggen und den Reiter Inbound Firewall Rules wählen.

Darauf achten, dass zwei SMB Firewall Regeln existieren. Eine für das Firewall-Profil Privat und Domäne und das andere für Public. In den meisten Fällen muss die Regel für Public geändert werden.

13.PNG

Fazit

Nano ist der Domäne beigetreten. Das erleichtert die Administration. Beispielsweise muss jetzt bei Remote-Verbindung nicht mehr das Passwort für den lokalen Administrator des Nano Servers eingegeben werden, und auch die Liste der Trusted Hosts ist hinfällig, da sich in der Domäne alle Domänen-Computer vertrauen.

14.PNG

Wie man Windows 10 Computer und Windows Server mit grafischer Oberfläche zur Domäne hinzufügt habe ich in meinem Artikel Computer zu einer Active Directory Domäne hinzufügen (Step-by-Step) beschrieben.

Weiter gehts mit Nano Server (Teil 7): Nano mit Windows Defender absichern.

Categories: Cyber Security, PowerShell, Windows Server

Tagged as: , , ,

Published by Patrick Gruenauer

Microsoft MVP on PowerShell [2018-2023], IT-Trainer, IT-Consultant, MCSE: Cloud Platform and Infrastructure, Cisco Certified Academy Instructor.

9 replies »

  1. Pingback: Nano Server (Teil 9): Auf Nano Windows-Updates einspielen « SID-500
  2. Pingback: Nano Server (Teil 8): Mehrere Nano Server auf einmal installieren (Bulk) « SID-500
  3. Pingback: Nano Server (Teil 7): Nano mit Windows Defender absichern « SID-500
  4. Pingback: Nano Server (Teil 1): Installation in Hyper-V « SID-500
  5. Pingback: Nano Server (Teil 2): Remote-Verwaltung « SID-500
  6. Pingback: Nano Server (Teil 3): Nano Server als File-Server konfigurieren « SID-500
  7. Pingback: Nano Server (Teil 4): Nano Server als DNS-Server konfigurieren « SID-500
  8. Pingback: Nano Server (Teil 5): Nano Server als Web-Server konfigurieren « SID-500
  9. Pingback: Computer zu einer Active Directory Domäne hinzufügen (Step-by-Step) « SID-500

Leave a Reply

Fill in your details below or click an icon to log in:

Gravatar
WordPress.com Logo

You are commenting using your WordPress.com account. Log Out /  Change )

Twitter picture

You are commenting using your Twitter account. Log Out /  Change )

Facebook photo

You are commenting using your Facebook account. Log Out /  Change )

Cancel

Connecting to %s

This site uses Akismet to reduce spam. Learn how your comment data is processed.