Neuer Server soll RODC werden und kann nur offline der Domäne beitreten
Hallo zusammen,
Ich habe einen neu aufgesetzten Windows 2019 Server, der (noch) nicht Domänenmitglied ist. Dieser soll ein RODC werden. Wegen der Sicherheitsbeschränkungen innerhalb des Netzwerks funktioniert ein normaler Domänen-join nicht. Bei einem normalen Server würde ich das mittels Offline Domain Join lösen, z.B. so:
Die Anleitungen zu einrichten eines RODCs gehen aber so vor, dass das Domänenkonto zuerst auf dem DC in der Domänencontroller-OU "vorbereitet" wird und anschließend vom Server aus, der noch nicht in der Domäne ist per Assistent bzw. dcpromo online verknüpft wird. Offline beisst sich das, da das Domänenkonto des Servers einmal von djoin und einmal von RODC-VorbereitungsAssistenten "Konto für
den Schreibgeschützten Domaincontroller vorbereiten". Zu folgenden denkbaren Lösungen finde ich aber keine Dokumentation oder Diskussion in der Suchmaschine meiner Wahl:
Variante 1:
Man könnte das RODC-Konto auf dem DC "vorbereiten" und anschließend djoin /provision mit dem Schalter /reuse verwenden (ohne reuse schlägt der Befehl fehl).
Frage: funktioniert das und hätte das reuse unerwünschte Nebeneffekte?
Variante 2:
Man könnte den Server zuerst per herkömmlichen djoin offline in die Domäne aufnehmen. Anschließend die AD DS Nachkonfigurationsaufgaben ausführen und den Server als RODC einrichten. Geht das - beschrieben wird das eigentlich nicht so mit einem hochstufen zum (RO)DC wenn der Server bereits Domänenmitglied ist? Und muss das Konto vorher zwingend "vorbereitet werden" - oder ist das optional.
Oder geht das einfach nicht?
Grüße
lcer
Ich habe einen neu aufgesetzten Windows 2019 Server, der (noch) nicht Domänenmitglied ist. Dieser soll ein RODC werden. Wegen der Sicherheitsbeschränkungen innerhalb des Netzwerks funktioniert ein normaler Domänen-join nicht. Bei einem normalen Server würde ich das mittels Offline Domain Join lösen, z.B. so:
djoin /provision /domain "test.lokal.de" /machine "Server" /savefile server1.txt
und
djoin /requestodj /loadfile c:\tmp\server1.txt /windowspath c:\windows /localos
Die Anleitungen zu einrichten eines RODCs gehen aber so vor, dass das Domänenkonto zuerst auf dem DC in der Domänencontroller-OU "vorbereitet" wird und anschließend vom Server aus, der noch nicht in der Domäne ist per Assistent bzw. dcpromo online verknüpft wird. Offline beisst sich das, da das Domänenkonto des Servers einmal von djoin und einmal von RODC-VorbereitungsAssistenten "Konto für
den Schreibgeschützten Domaincontroller vorbereiten". Zu folgenden denkbaren Lösungen finde ich aber keine Dokumentation oder Diskussion in der Suchmaschine meiner Wahl:
Variante 1:
Man könnte das RODC-Konto auf dem DC "vorbereiten" und anschließend djoin /provision mit dem Schalter /reuse verwenden (ohne reuse schlägt der Befehl fehl).
Frage: funktioniert das und hätte das reuse unerwünschte Nebeneffekte?
Variante 2:
Man könnte den Server zuerst per herkömmlichen djoin offline in die Domäne aufnehmen. Anschließend die AD DS Nachkonfigurationsaufgaben ausführen und den Server als RODC einrichten. Geht das - beschrieben wird das eigentlich nicht so mit einem hochstufen zum (RO)DC wenn der Server bereits Domänenmitglied ist? Und muss das Konto vorher zwingend "vorbereitet werden" - oder ist das optional.
Oder geht das einfach nicht?
Grüße
lcer
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-Key: 3541691596
Url: https://administrator.de/contentid/3541691596
Ausgedruckt am: 19.08.2022 um 10:08 Uhr