cloudy
23.08.2016
view1878
view2
0
Goto Top

Domäne über VPN und WAN

FrageMicrosoftWindows 7
Hallo,

ich versuche gerade einen größeren Domain join zu planen.
Es handelt sich um ca. 300 Geräte mit je 2-3 Geräten pro Standort. Diese möchte ich in eine neue Domäne joinen.
Dabei bin ich auf die folgenden Probleme gestoßen:
  1. Herstellen der VPN? => Macht jeder Client (Win7 mit OpenVPN als Service), kein Site-to-Site-VPN!
  2. Software Installationen (GPO)? => VPN müsste hier bereits stehen, wie kann ich das Sicherstellen?
  3. Ändern des Computerkennworts? => Funktioniert das über die VPN Strecke? Und wie kann ich das Testen?
  4. Die Geräte sollen sich weiterhin automatisch lokal anmelden. => Muss ich das nach dem Domänen beitritt neu konfigurieren?
  5. Automatisches Beitreten => Wie kann ich den Domain join weitestgehend automatisch ablaufen lassen?
ShareTeilen
Auf Facebook teilen Auf Twitter teilen Auf Reddit teilen Auf Linkedin teilen

Content-ID: 313368

Url: https://administrator.de/contentid/313368

Ausgedruckt am: 05.11.2024 um 12:11 Uhr

2 Kommentare
Neuester Kommentar
Goto Top
Pjordorf
Pjordorf 23.08.2016 um 18:28:03 Uhr
Goto Top
Hallo,

Zitat von @Cloudy:
  1. Herstellen der VPN? => Macht jeder Client (Win7 mit OpenVPN als Service), kein Site-to-Site-VPN!
Tödlich. Warum kein Standort zu Standort VPN? Mit ein Client to Server VPN wirst du deine Clients nicht in der Domäne aufnehmen können. Dein (Domänen)DNS muss zwingend sauber eingerichtet und Verfügbar sein.

# Software Installationen (GPO)? => VPN müsste hier bereits stehen, wie kann ich das Sicherstellen?
Indem du deine (VPN) Hardware und Treiber dazu bringst diesen VPN Tunnel schon vor der Benutzeranmeldung, besser noch vor der Computeranmeldung aufzubauen.

# Ändern des Computerkennworts? => Funktioniert das über die VPN Strecke? Und wie kann ich das Testen?
Ja (STRG+Alt+Del)

# Die Geräte sollen sich weiterhin automatisch lokal anmelden. => Muss ich das nach dem Domänen beitritt neu konfigurieren?
Warum dann überhaupt 600 - 900 Rechner/Computer in einer Domäne aufnehmen?

# Automatisches Beitreten => Wie kann ich den Domain join weitestgehend automatisch ablaufen lassen?
Skripten und ausgiebig vorher testen?

Gruß,
Peter
agowa338
agowa338 23.08.2016 um 18:50:24 Uhr
Goto Top
Zitat von @Cloudy:

Hallo,
Hallo,
ich versuche gerade einen größeren Domain join zu planen.
Es handelt sich um ca. 300 Geräte mit je 2-3 Geräten pro Standort. Diese möchte ich in eine neue Domäne joinen.
Dabei bin ich auf die folgenden Probleme gestoßen:
1. Herstellen der VPN? => Macht jeder Client (Win7 mit OpenVPN als Service), kein Site-to-Site-VPN!
Setze den OpenVPN Service auf Autostart? Oder besser noch, nutze Site-to-Site...
2. Software Installationen (GPO)? => VPN müsste hier bereits stehen, wie kann ich das Sicherstellen?
Müsstest du ausprobieren.
3. Ändern des Computerkennworts? => Funktioniert das über die VPN Strecke? Und wie kann ich das Testen?
Naja, das müsstest du ausprobieren. Einfach die Policy: "Computer Configuration\Windows Settings\Security Settings\Local Policies\Security Options" auf z. B. 1 Tag stellen. Anschließend solltest du am Zeitstempel des AD Objects sehen ob sich das Passwort geändert hat.
Falls es nicht funktioniert, könntest du dem "Netlogon" Service eine Dependency auf "OpenVPNService" hinzufügen:
sc config Netlogon depend= OpenVPNService
Leerzeichen nach "depend=" nicht vergessen face-wink
4. Die Geräte sollen sich weiterhin automatisch lokal anmelden. => Muss ich das nach dem Domänen beitritt neu konfigurieren?
$Username = "Administrator";  
$Password = "123456";  
$ComputerName = "WS0001";  

New-ItemProperty -Path "HKLM:\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon" -Name DefaultUserName -Value $Username  
New-ItemProperty -Path "HKLM:\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon" -Name AutoAdminLogon -Value 1  
New-ItemProperty -Path "HKLM:\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon" -Name DefaultPassword -Value $Password  
New-ItemProperty -Path "HKLM:\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon" -Name DefaultDomainName -Value $ComputerName
5. Automatisches Beitreten => Wie kann ich den Domain join weitestgehend automatisch ablaufen lassen?
$Domain = "contoso.com";  
$Username = "Administrator";  
$Password = "123456";  
$NewName = "WS0001";  
Add-Computer -DomainName $Domain -Credential $(New-Object System.Management.Automation.PSCredential("$Domain\$Username", $(ConvertTo-SecureString "$Password" -AsPlainText -Force))) -NewName $NewName -Force -Restart;
Wenn die Clients bereits in einer anderen Domain sind und du sie in diese Umziehen möchtest, musst du noch den Parameter: "UnjoinDomainCredential" ergänzen.
FrageMicrosoftWindows 7
Mehr von CloudyCloudyOrdner VerteilenCloudy - 12 KommentareCloudySQL Server Best PracticeCloudy - 13 KommentareCloudyGPO Software Deployment Pfade ändernCloudy - 6 KommentareCloudyDesktop bescheidenCloudy - 5 Kommentare
Heiß diskutiert
SeekuhrittyOPNSense im Unternehmen (2024)Seekuhritty - 47 KommentareMysticFoxDESERVER 2025 - HARDWAREANFORDERUNGEN - Ich habe da einige FragenMysticFoxDE - 39 KommentareNordicMikeDefender soll eine SMB Freigabe scannenNordicMike - 37 KommentareUeba3baI7 12700K vs Xeon Gold 6246Ueba3ba - 25 KommentareYan2021PDF-Dokument - Meldung für PflichtfelderYan2021 - 23 Kommentaremabue88Kurzzeitige Netzwerkaussetzer bei VM, wenn ESX-Host redundant am Netz hängtmabue88 - 22 KommentareDumpfbackeFirewall ersetzenDumpfbacke - 22 KommentarekpunktSmartphones Außendienst (Freitagsfrage)kpunkt - 19 KommentareDjDomXOPNsense mit Azure verbinden IPsecDjDomX - 16 KommentareRoadrunner74Haken "Immer diese Anwendung zum Öffnen." fehlt in "Öffnen mit"Roadrunner74 - 14 KommentarechristosmistosSuche Systemadministratoren für Remote- oder Hybrid-Arbeit im Raum Münsterchristosmistos - 14 KommentareU08154711Nginx Proxy Manager mit Crowdsec sichernU08154711 - 14 Kommentare