cloudy
23.08.2016
view1887
view2
0
Goto Top

Domäne über VPN und WAN

FrageMicrosoftWindows 7
Hallo,

ich versuche gerade einen größeren Domain join zu planen.
Es handelt sich um ca. 300 Geräte mit je 2-3 Geräten pro Standort. Diese möchte ich in eine neue Domäne joinen.
Dabei bin ich auf die folgenden Probleme gestoßen:
  1. Herstellen der VPN? => Macht jeder Client (Win7 mit OpenVPN als Service), kein Site-to-Site-VPN!
  2. Software Installationen (GPO)? => VPN müsste hier bereits stehen, wie kann ich das Sicherstellen?
  3. Ändern des Computerkennworts? => Funktioniert das über die VPN Strecke? Und wie kann ich das Testen?
  4. Die Geräte sollen sich weiterhin automatisch lokal anmelden. => Muss ich das nach dem Domänen beitritt neu konfigurieren?
  5. Automatisches Beitreten => Wie kann ich den Domain join weitestgehend automatisch ablaufen lassen?
ShareTeilen
Auf Facebook teilen Auf Twitter teilen Auf Reddit teilen Auf Linkedin teilen

Content-ID: 313368

Url: https://administrator.de/contentid/313368

Ausgedruckt am: 22.11.2024 um 00:11 Uhr

2 Kommentare
Neuester Kommentar
Goto Top
Pjordorf
Pjordorf 23.08.2016 um 18:28:03 Uhr
Goto Top
Hallo,

Zitat von @Cloudy:
  1. Herstellen der VPN? => Macht jeder Client (Win7 mit OpenVPN als Service), kein Site-to-Site-VPN!
Tödlich. Warum kein Standort zu Standort VPN? Mit ein Client to Server VPN wirst du deine Clients nicht in der Domäne aufnehmen können. Dein (Domänen)DNS muss zwingend sauber eingerichtet und Verfügbar sein.

# Software Installationen (GPO)? => VPN müsste hier bereits stehen, wie kann ich das Sicherstellen?
Indem du deine (VPN) Hardware und Treiber dazu bringst diesen VPN Tunnel schon vor der Benutzeranmeldung, besser noch vor der Computeranmeldung aufzubauen.

# Ändern des Computerkennworts? => Funktioniert das über die VPN Strecke? Und wie kann ich das Testen?
Ja (STRG+Alt+Del)

# Die Geräte sollen sich weiterhin automatisch lokal anmelden. => Muss ich das nach dem Domänen beitritt neu konfigurieren?
Warum dann überhaupt 600 - 900 Rechner/Computer in einer Domäne aufnehmen?

# Automatisches Beitreten => Wie kann ich den Domain join weitestgehend automatisch ablaufen lassen?
Skripten und ausgiebig vorher testen?

Gruß,
Peter
agowa338
agowa338 23.08.2016 um 18:50:24 Uhr
Goto Top
Zitat von @Cloudy:

Hallo,
Hallo,
ich versuche gerade einen größeren Domain join zu planen.
Es handelt sich um ca. 300 Geräte mit je 2-3 Geräten pro Standort. Diese möchte ich in eine neue Domäne joinen.
Dabei bin ich auf die folgenden Probleme gestoßen:
1. Herstellen der VPN? => Macht jeder Client (Win7 mit OpenVPN als Service), kein Site-to-Site-VPN!
Setze den OpenVPN Service auf Autostart? Oder besser noch, nutze Site-to-Site...
2. Software Installationen (GPO)? => VPN müsste hier bereits stehen, wie kann ich das Sicherstellen?
Müsstest du ausprobieren.
3. Ändern des Computerkennworts? => Funktioniert das über die VPN Strecke? Und wie kann ich das Testen?
Naja, das müsstest du ausprobieren. Einfach die Policy: "Computer Configuration\Windows Settings\Security Settings\Local Policies\Security Options" auf z. B. 1 Tag stellen. Anschließend solltest du am Zeitstempel des AD Objects sehen ob sich das Passwort geändert hat.
Falls es nicht funktioniert, könntest du dem "Netlogon" Service eine Dependency auf "OpenVPNService" hinzufügen:
sc config Netlogon depend= OpenVPNService
Leerzeichen nach "depend=" nicht vergessen face-wink
4. Die Geräte sollen sich weiterhin automatisch lokal anmelden. => Muss ich das nach dem Domänen beitritt neu konfigurieren?
$Username = "Administrator";  
$Password = "123456";  
$ComputerName = "WS0001";  

New-ItemProperty -Path "HKLM:\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon" -Name DefaultUserName -Value $Username  
New-ItemProperty -Path "HKLM:\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon" -Name AutoAdminLogon -Value 1  
New-ItemProperty -Path "HKLM:\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon" -Name DefaultPassword -Value $Password  
New-ItemProperty -Path "HKLM:\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon" -Name DefaultDomainName -Value $ComputerName
5. Automatisches Beitreten => Wie kann ich den Domain join weitestgehend automatisch ablaufen lassen?
$Domain = "contoso.com";  
$Username = "Administrator";  
$Password = "123456";  
$NewName = "WS0001";  
Add-Computer -DomainName $Domain -Credential $(New-Object System.Management.Automation.PSCredential("$Domain\$Username", $(ConvertTo-SecureString "$Password" -AsPlainText -Force))) -NewName $NewName -Force -Restart;
Wenn die Clients bereits in einer anderen Domain sind und du sie in diese Umziehen möchtest, musst du noch den Parameter: "UnjoinDomainCredential" ergänzen.
FrageMicrosoftWindows 7
Mehr von CloudyCloudyOrdner VerteilenCloudy - 12 KommentareCloudySQL Server Best PracticeCloudy - 13 KommentareCloudyGPO Software Deployment Pfade ändernCloudy - 6 KommentareCloudyDesktop bescheidenCloudy - 5 Kommentare
Heiß diskutiert
superfun2k24Sophos SFOS 20 DNAT funktioniert nichtsuperfun2k24 - 26 Kommentareuser217Kaufberatung Hardware - Hyper-V Cluster 3 Nodesuser217 - 25 KommentarePharaunIntel-E810 QSFP28 to Mikrotik QSPF+ mit 40Gbit VerbindungPharaun - 23 KommentarecseLaufwege erfassen in großer Hallecse - 20 Kommentareprplemk2Testumgebung bauen (Grundlegend)prplemk2 - 19 KommentareaufdemmarsHP Z620 USB hat kein Strom beim Startenaufdemmars - 17 KommentareYan2021Nachricht an mehrere PCs im Netzwerk sendenYan2021 - 17 KommentareTJ.Hooker74Dom.Admin-Passwort ändern - Auswirkungen auf EX, HCW, AADCTJ.Hooker74 - 14 KommentareJudgelgZertifikate in die Exchange Online GAL hochladenJudgelg - 13 KommentareadmtechEntwicklertagebuch: Release 6.4 - Filteradmtech - 13 KommentaremaisenkaiserSwitch ohne STP ins Netzwerkmaisenkaiser - 13 KommentareleberkaeseFB7590 ISDN Fax-Funktionleberkaese - 12 Kommentare