[Windows] オフラインドメイン参加

8月 30, 2009

Windows7 およびWindows Server 2008 R2では「オフラインドメイン参加」という追加機能が搭載されたらしい。というわけで試した。

以下のようなケースで有効と言われているらしい。

そのメンバサーバとなるものにとってアクセス可能なドメインコントローラがRODC（Read Only Domain Controller)の場合。
- ドメインへの参加という作業には、ドメインコントローラに対する書き込み処理が発生するのだけど、相手がRODCしかいないとその肝心な書き込み処理が行えない。これは、WindowsNTのBDCしか存在しない状態ではドメイン参加ができないというのと同じような現象と考えていいのではないかと。
- たとえば、ブランチオフィスでPCを急きょ追加しなければならない場合、PCの追加ぐらいはブランチオフィスにてローカル対応してほしい場合なんかに有効かと。
サーバ出荷の効率化
- 顧客側の既存ドメインに参加する場合、通常だと顧客側にOSだけ入れた状態としておき、それを顧客先に持って行ってドメイン参加、後続作業を行う必要がある。ドメイン参加作業自体が再起動を伴うため台数が多いとそれなりに手間が発生するのだけど、これをオフラインで行うことにより、例えば工場でドメイン参加作業をとっとと終わらせ、現地ではドメインメンバアカウントでのログオンを持ってテスト完了とさせ、後続の作業に早めに入れるようにすることが可能であろうかと。
- ただし、さすがにドメインアカウントでのログオンはドメインコントローラがいないと話にならないので注意。

このオフラインドメイン参加には、djoin.exeという標準コマンドを使用する。

上図のようにWindows Server 2003 R2で構成されているドメインが存在するとする。すでにWindows Server 2008 R2のサーバが存在しており、これがメンバサーバとしてドメインに参加している。この環境下で、Windows7のクライアントマシンをドメインに参加させたい。だがしかし、このWindows7はまだドメインにつながるネットワークの接続が許可されていない・・・こんな場合を想定する。

大まかな流れは以下の通り。

djoinコマンドを使用して、ドメイン参加証となるファイルの生成を行う。(1)今回のケースでは、参加ドメインがWindows Server 2003 R2ベースであるため、引数として/downlevelが必須となる。ここでは生成したファイル名は「BLOB-200908291759-CLIENTDEVICE.txt」とした。

C:\>djoin /provision /downlevel /domain BLUECORE /machine CLIENTDEVICE /savefile C:\BLOB-200908291759-CLIENTDEVICE.txt

コンピューターアカウントをプロビジョニングしています…
[CLIENTDEVICE] はドメイン [BLUECORE] に正常にプロビジョニングされました。
プロビジョニングデータは [C:\BLOB-200908291759-CLIENTDEVICE.txt] に正常に保存さ
れました。

コンピューターアカウントのプロビジョニングが正常に完了しました。
この操作を正しく終了しました。

C:\>

この時点で、以下画面のようにメンバサーバはドメイン参加申請を代行してドメインコントローラに働きかけ、ドメイン上ではコンピュータアカウントが生成された状態となる。

生成したファイルを、ドメイン参加させたいサーバにコピーする。CDに焼くなり、USBメモリでコピーするなり・・になると思われる(2)。
コピーしたファイルを使用して、オフラインドメイン参加を行う。ここでは、Cドライブ直下に参加証ファイルを置いた。また、申請を出したサーバのOSはWindows Server 2008であり、実際に参加するPCはWindows 7であることから、バージョンが異なるということになる。そこで、引数として/localosを追加する必要が出てくる。(3)　なお、このコマンドをWindows7で打つ際はかならずコマンドプロンプトを「管理者として実行」すること。しないとコマンド実行が失敗してしまう。

C:\Windows\system32>djoin /requestODJ /loadfile C:\BLOB-200908291759-CLIENTDEVICE.txt /downlevel /localos /windowspath %systemroot%
プロビジョニングデータを次のファイルから読み込んでいます: [C:\BLOB-200908291759
-CLIENTDEVICE.txt]。

オフラインドメイン参加要求は正常に完了しました。
変更を適用するには、再起動する必要があります。
この操作を正しく終了しました。

サーバを再起動する。この時点でドメイン参加は完了した扱いとなる。ただし、まだドメインコントローラとの疎通がとれないので、ドメインアカウントでの認証は当然できない。以下はそれをやろうとして失敗した画面。「現在、ログオン要求を処理できるログオンサーバーはありません」と出力される。

この状況下でドメインコントローラとのアクセス可能なセグメントにPCを接続すると、正常にドメインログオンが行えるようになる。そして、以下の通り無事にドメイン参加できていることも確認ができる。(4)

何となくWindows7やWindows Server 2008 R2を見てて思うのだけど、Windows Vista/2008においては、そのBasisとなる部分が作られ、Win7/2008R2でそれらBasisを活用した様々な機能が登場し、それが表面に現れて飛躍的向上が行われているように見えるのでは？と思う。また、Vista/2008においては試験的に実装した機能も多々あると見受けられ、その中で不評だったものは素直に削って軽量化したようなところも一部垣間見られるような気が。

いずれにせよ、ようやく2008アーキテクチャのOSもぼちぼち使えるレベルに達したというところか。もう少しこれら機能はまじめに見ていきたいと思う。

Tags: domain controller

Tags:

domain controller

No responses yet

コメントを残すコメントをキャンセル

このサイトはスパムを低減するために Akismet を使っています。コメントデータの処理方法の詳細はこちらをご覧ください。

Cookie	期間	説明
cookielawinfo-checbox-analytics	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Analytics".
cookielawinfo-checbox-functional	11 months	The cookie is set by GDPR cookie consent to record the user consent for the cookies in the category "Functional".
cookielawinfo-checbox-others	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Other.
cookielawinfo-checkbox-necessary	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookies is used to store the user consent for the cookies in the category "Necessary".
cookielawinfo-checkbox-performance	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Performance".
viewed_cookie_policy	11 months	The cookie is set by the GDPR Cookie Consent plugin and is used to store whether or not user has consented to the use of cookies. It does not store any personal data.