cloudy
Goto Top

Domäne über VPN und WAN

Hallo,

ich versuche gerade einen größeren Domain join zu planen.
Es handelt sich um ca. 300 Geräte mit je 2-3 Geräten pro Standort. Diese möchte ich in eine neue Domäne joinen.
Dabei bin ich auf die folgenden Probleme gestoßen:
  1. Herstellen der VPN? => Macht jeder Client (Win7 mit OpenVPN als Service), kein Site-to-Site-VPN!
  2. Software Installationen (GPO)? => VPN müsste hier bereits stehen, wie kann ich das Sicherstellen?
  3. Ändern des Computerkennworts? => Funktioniert das über die VPN Strecke? Und wie kann ich das Testen?
  4. Die Geräte sollen sich weiterhin automatisch lokal anmelden. => Muss ich das nach dem Domänen beitritt neu konfigurieren?
  5. Automatisches Beitreten => Wie kann ich den Domain join weitestgehend automatisch ablaufen lassen?

Content-ID: 313368

Url: https://administrator.de/contentid/313368

Ausgedruckt am: 22.11.2024 um 00:11 Uhr

Pjordorf
Pjordorf 23.08.2016 um 18:28:03 Uhr
Goto Top
Hallo,

Zitat von @Cloudy:
  1. Herstellen der VPN? => Macht jeder Client (Win7 mit OpenVPN als Service), kein Site-to-Site-VPN!
Tödlich. Warum kein Standort zu Standort VPN? Mit ein Client to Server VPN wirst du deine Clients nicht in der Domäne aufnehmen können. Dein (Domänen)DNS muss zwingend sauber eingerichtet und Verfügbar sein.

# Software Installationen (GPO)? => VPN müsste hier bereits stehen, wie kann ich das Sicherstellen?
Indem du deine (VPN) Hardware und Treiber dazu bringst diesen VPN Tunnel schon vor der Benutzeranmeldung, besser noch vor der Computeranmeldung aufzubauen.

# Ändern des Computerkennworts? => Funktioniert das über die VPN Strecke? Und wie kann ich das Testen?
Ja (STRG+Alt+Del)

# Die Geräte sollen sich weiterhin automatisch lokal anmelden. => Muss ich das nach dem Domänen beitritt neu konfigurieren?
Warum dann überhaupt 600 - 900 Rechner/Computer in einer Domäne aufnehmen?

# Automatisches Beitreten => Wie kann ich den Domain join weitestgehend automatisch ablaufen lassen?
Skripten und ausgiebig vorher testen?

Gruß,
Peter
agowa338
agowa338 23.08.2016 um 18:50:24 Uhr
Goto Top
Zitat von @Cloudy:

Hallo,
Hallo,
ich versuche gerade einen größeren Domain join zu planen.
Es handelt sich um ca. 300 Geräte mit je 2-3 Geräten pro Standort. Diese möchte ich in eine neue Domäne joinen.
Dabei bin ich auf die folgenden Probleme gestoßen:
1. Herstellen der VPN? => Macht jeder Client (Win7 mit OpenVPN als Service), kein Site-to-Site-VPN!
Setze den OpenVPN Service auf Autostart? Oder besser noch, nutze Site-to-Site...
2. Software Installationen (GPO)? => VPN müsste hier bereits stehen, wie kann ich das Sicherstellen?
Müsstest du ausprobieren.
3. Ändern des Computerkennworts? => Funktioniert das über die VPN Strecke? Und wie kann ich das Testen?
Naja, das müsstest du ausprobieren. Einfach die Policy: "Computer Configuration\Windows Settings\Security Settings\Local Policies\Security Options" auf z. B. 1 Tag stellen. Anschließend solltest du am Zeitstempel des AD Objects sehen ob sich das Passwort geändert hat.
Falls es nicht funktioniert, könntest du dem "Netlogon" Service eine Dependency auf "OpenVPNService" hinzufügen:
sc config Netlogon depend= OpenVPNService
Leerzeichen nach "depend=" nicht vergessen face-wink
4. Die Geräte sollen sich weiterhin automatisch lokal anmelden. => Muss ich das nach dem Domänen beitritt neu konfigurieren?
$Username = "Administrator";  
$Password = "123456";  
$ComputerName = "WS0001";  

New-ItemProperty -Path "HKLM:\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon" -Name DefaultUserName -Value $Username  
New-ItemProperty -Path "HKLM:\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon" -Name AutoAdminLogon -Value 1  
New-ItemProperty -Path "HKLM:\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon" -Name DefaultPassword -Value $Password  
New-ItemProperty -Path "HKLM:\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon" -Name DefaultDomainName -Value $ComputerName  
5. Automatisches Beitreten => Wie kann ich den Domain join weitestgehend automatisch ablaufen lassen?
$Domain = "contoso.com";  
$Username = "Administrator";  
$Password = "123456";  
$NewName = "WS0001";  
Add-Computer -DomainName $Domain -Credential $(New-Object System.Management.Automation.PSCredential("$Domain\$Username", $(ConvertTo-SecureString "$Password" -AsPlainText -Force))) -NewName $NewName -Force -Restart;  
Wenn die Clients bereits in einer anderen Domain sind und du sie in diese Umziehen möchtest, musst du noch den Parameter: "UnjoinDomainCredential" ergänzen.