Microsoft Lync Server
Header

Cómo unir un equipo a un dominio sin conexión y además configurarlo para DirectAccess

marzo 18th, 2014 | Posted by Santiago Buitrago in Directivas de Grupo

Cuando queremos desplegar DirectAccess (Windows Server 2012: DirectAccess (Actualizado 15-02-2013)) y tenemos usuarios itinerantes en nuestra organización, que no tienen contacto con el Directorio Activo durante meses nos encontramos con "pequeño problema" ….. pero con fácil solución:

  1. Configurar una VPN de Acceso Remoto
    1. Windows Server 2012, Configuración VPN con PPTP
    2. Windows Server 2012, Configuración VPN con SSTP
    3. Otras tecnologías: Cisco, SonicWall, 3Com, HP, Juniper, F5, etc…
  2. Unir los equipos al dominio con DJOIN

La primera opción requiere cierta configuración sencilla, pero si queremos hacerlo en tiempo record lo haremos con la opción de unir los equipos a un dominio si conexión. Además, nos permitirá que se le aplique de forma automatica la configuración de DirectAccess, por lo que acto seguido a unirse al dominio ya tendremos las máquinas preparadas para conectarse vía DirectAccess.

Como esquema rápido y pasos a seguir para la configuración, os dejo aquí esta imagen:

DirectAccess_Dominio_Offline.png
Voy a dividir la configuración en tres grandes pasos (por decir algo), pero que son muy fáciles. Lo primero que debemos hacer es provisionar los equipos que queremos añadir al dominio, para ello lo primero será crear las cuentas de equipo en nuestro dominio:

Desde la consola de Usuarios y Equipos de Active Directory, nos vamos a la OU en donde queremos crear las nuevas cuentas de equipos y pulsamos con el botón secundario del ratón y vamos a Nuevo – Equipo

DirectAccess_Dominio_Offline_13.png

Completamos los datos que nos solicita, básicamente el nombre del equipo

DirectAccess_Dominio_Offline_1.png

Si hemos configurado un grupo de seguridad para filtrar en DirectAcces a que equipos se les aplica la directiva de cliente, debemos modificar la membresía del equipo para que sea miembro del grupo al cual se le aplica la directiva de grupo

DirectAccess_Dominio_Offline_2.png

Esta es la GPO que se aplicará a los equipos que sean miembro del grupo ACL DA Equipos Remotos

DirectAccess_Dominio_Offline_4.png

En cuanto a la provisión del equipo ya estaría todo listo, ahora tendremos que hacer esto para todos los equipos que queramos añadir al dominio y aplicar la configuración de DirectAccess:

DirectAccess_Dominio_Offline_3.png

Ahora debemos ejecutar Djoin.exe en el controlador de dominio con derechos administrativos desde una línea de comandos, con esto crearemos un archivo .txt con los metadatos de la cuenta del equipo:

djoin /provision /domain <domain name> /machine <machine name of client> /policynames <Group Policy name for client settings> /rootcacerts /savefile <path for text file> /reuse

DirectAccess_Dominio_Offline_5.png

Con esto ya tenemos la mitad del proceso, ya tenemos nuestro fichero de texto con los metadatos necesarios para enviárselo a los usuarios itinerantes:

DirectAccess_Dominio_Offline_6.png

DirectAccess_Dominio_Offline_7.png

Ahora debemos enviar el fichero a los usuarios por algúna vía, pero busquemos algún método seguro para ello. Antes de que el usuario final pueda aplicar esta configuración, debe cumplir los siguientes requisitos:

  • El nombre del equipo se debe corresponder con el que hemos puesto en la provisión con Djoin.exe
  • Debe tener un usuario con derechos administrativos para poder aplicar la configuración con Djoin

Si vemos las opciones del Sistema, vemos que tenemos unido a ningún dominio pero el nombre del equipo ya establecido para ejecutar el Djoin.exe:

DirectAccess_Dominio_Offline_9.png

Y si vemos nuestra conexión de red, podemos obsevar que no tenemos conexión de DirectAccess (obvio)

DirectAccess_Dominio_Offline_8.png
Sí cumplimos con los requisitos, únicamente debemos ejecutar Djoin.exe desde una línea de comandos con privilegios:

djoin /requestodj /loadfile <path for text file> /windowspath c:\windows /localos

DirectAccess_Dominio_Offline_10.png

Una vez que hemos hecho esto, debemos reiniciar el equipo y ya tenemos nuestro equipo en el dominio y con la configuración de DirectAccess prepara para conectarse a la red de la empresa. Una vez que te se haya conectado mediante DirectAccess ya tenemos acceso a todos los servicios de la compañia. Si ahora volvemos a ver las opciones del Sistema podemos observar que ya estamos en el dominio:

DirectAccess_Dominio_Offline_12.png
Y que en nuestras conexiones de red ya vemos que tenemos DirectAccess y conectado!!!

DirectAccess_Dominio_Offline_11.png

De esta forma podemos unir al dominio todas las máquinas las cuales no tienen acceso al dominio de alguna forma (VPN, Red Local), un proceso sencillo y rápido.

Os dejo también otro enlace de como configurar DirectAccess en balanceo de carga con NLB:

Espero que os sea de utilidad!!!

You can follow any responses to this entry through the RSS 2.0 You can leave a response, or trackback.

Leave a Reply

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *