Windows Server 2008 R2之离线加域实战

自从Contoso公司将基础架构平台升级到Windows Server 2008 R2上以后，小赵就被其全新的特性彻底吸引住了，正埋头于电脑前研究呢， 经理路过说道：小赵呀，新到的20台电脑，你给加到域里吧，还有一个给陈总的笔记本，他着急要出差，加好域赶忙给他。小赵拍拍胸脯：没问题。

没想到小赵刚打开笔记本，准备折腾的时候，陈总的助理跑了过来，说陈总要走了，问笔记本配置好了吗。小赵赶忙看了一眼计算机名称，便递给了助理，助理一愣：你都给弄完了？小赵狡黠的一笑：嘿嘿，我自有办法。

其实小赵想：笔记本软件都已经准备好了，就差加到域环境了，既然陈总着急，那就让他拿走吧，正好能够试试Windows Server 2008 R2的新功能Offline Domain Join，嘿嘿。

1、 离线加入域概述

离线加入域或脱机加入域是Windows Server 2008 R2和Windows 7带来的新特性，它将容许Windows Server 2008 R2或Windows 7的计算机无需链接域控制器，就能够将计算机加入到域环境中，特别是在部署大规模的域环境时，显得尤其便捷。

1. 向活动目录提供一个计算机帐号，相关加入域的信息通过加密存储在一个基于base64编码的二进制文件中，这个文件须要在目标计算机中导入。

2. 目标计算机使用生成的配置文件配置本地系统，加入域。

3. 从新启动目标计算机完成加入域的操做，若是须要登陆域，此时须要与DC进行通讯。

2、 功能需求

" 操做系统需求

离线加入域功能只能在Windows Server 2008 R2或Windows 7上使用，由于该功能须要使用Djoin.exe命令，而且使用时默认指向Windows Server 2008 R2的域控制器。

注意：若是当前使用的域控制器是Windows Server 2008 R2如下级别的操做系统，能够在一台安装有Windows Server 2008 R2或Windows 7的计算机中使用具备Domain Admins权限的帐户生成计算机帐户信息。

" 用户凭据需求

离线加入域一样须要操做用户拥有Domain admins权限。不过也能够经过组策略，授予Domain users用户相应的权限。

经过组策略进行受权：

打开组策略管理控制台，能够建立一条名为【容许计算机加域用户组】的策略，而且编辑它。依次展开【计算机配置】-【策略】-【Windows 设置】-【安全设置】-【本地策略】-【用户权限分配】，选择【将工做站添加到域】，定义该策略，添加受权用户。如图1

图1

3、 离线加入域过程

1． 使用Djoin命令生成配置文件

在Windows Server 2008 R2或Windows中，使用具备将计算机加入域权限的用户登陆，打开命令行。

能够先键入Djoin / ?进行命令语法的查询，如图2

图2

参照示例，能够这样写：Djoin /PROVISION /DOMAIN Contoso.com /MACHINE WIN7 /SAVEFILE C:\WIN7.TXT

注意：若是域内域控制器版本低于Windows Server 2008 R2，须要添加/DOWNLEVEL参数。

其中/MACHINE后面指定的计算机名必须和须要离线加入域的计算机名一致，不然操做将失败。图3为操做成功内容。

图3

这时，观察活动目录中，win7这台计算机已经被成功加入，打开属性发现，由于它并无于域控制器进行通讯，因此还没法得知加入计算机的相关信息。如图4

图4

2. 在目标计算机上导入配置文件

在目标计算机中，先将以前获取的配置文件使用存储介质或其余方法转移到目标计算机磁盘中。而后使用管理员权限运行命令提示符，根据Djoin的帮助命令，这里要键入：

Djoin /REQUESTODJ /LOADFILE C:\WIN7.TXT /WINDOWSPATH C:\WINDOWS /LOCALOS

图5为已经成功导入配置文件信息，但此时该计算机并无正式加入到域中，只是修改了计算机全名。

图5

3. 重启目标计算机

在将目标计算机重启后，此时它若是想登录到域中，须要接入到企业内网中来，而且能够与域控制器进行通讯。由于它只是使用离线加域的方式加入到域，并无缓存登录域帐户信息，因此没法直接使用域帐户进行登录。

在正常使用域帐户登录后，能够发现win7这台计算机已经正式属于Contoso.com这个域，而且活动目录中，关于这台计算机的相关信息也已经补全。如图6

图6

通过一番折腾，小赵将离线加域配置文件制做成批处理发送给陈总后，嘱咐陈总运行一下，等到陈总出差回来，就能够直接使用使用域内资源而不用配置了。小赵正乐呢，经理走过来讲：还有20个台式机呢。小赵听了，灵机一动，想到在Windows Server 2008 R2中无人值守安装文件里多了一个组件，叫作：Microsoft-Windows-UnattendJoin/Identification/Provisioning，它能够在安装操做系统以后的初始启动过程当中加入域，而不须要另外从新启动，缩短了部署时间。

组件结构以下：

<Component>
<Component name=Microsoft-Windows-UnattendedJoin>
      <Identification>
           <Provisioning>
                <AccountData>Base64二进制代码</AccountData>
           </Provisioning>
      </Identification>
</Component>

其中，  <AccountData> </AccountData>中间值即为申请离线加域的二进制加密信息。

下面是无人值守文件的示例：

- <componentname="Microsoft-Windows-UnattendedJoin" processorArchitecture="x86" publicKeyToken="31bf3856ad364e35" language="neutral" versionScope="nonSxS" xmlns:wcm="http://schemas.microsoft.com/WMIConfig/2002/State" xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance">
- <Identification>
- <Credentials>
   <Domain>contoso</Domain>
   <Password>38277842</Password>
   <Username>user1</Username>
   </Credentials>
- <Provisioning>
   <AccountData>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</AccountData>
   </Provisioning>
   <JoinDomain>contoso</JoinDomain>
   </Identification>
   </component>

小赵依葫芦画瓢，迅速作好20个须要离线加域的Windows 7无人值守文件，而且使用setup /unattend: unattend.xml将20个台式机装好系统，只用了不到一天的时间，小赵就完成了这些往日须要好久才能完成的工做，一种成就感油然而生，不由对Windows Server 2008 R2系统平台更加着迷了。

结束语：本文主要针对Windows Server 2008 R2平台内新提供的离线加入域功能进行了详细的描述。想必各位已经火烧眉毛的想去尝试一下了，不过Windows Server 2008 R2带来的改变不只仅如此，还有像Active Directory回收站、Server Core的强化、IIS7.五、HYPER-V 2.0等等，还有和Windows 7配合使用的Direct Access、BranchCache等关键技术确实有助于企业IT部门知足他们的业务创新需求，助力企业快速发展。