Tags: Active Directory, Windows Server 2016, Nano Server
Der superschlanke Nano-Server beschreitet auch beim Domain Join eigene Wege, weil er dafür die gewohnten Werkzeuge nicht mitbringt. Am einfachsten ist es, schon bei der Bereitstellung der VHD einer Domäne beizutreten. Die Aufgabe lässt sich aber auch nachträglich über die Kommandozeile erledigen.
Egal für welche Methode man sich entscheidet, es läuft immer auf einen Offline-Beitritt zu einer Domäne hinaus, auch wenn der Server online ist. Die GUI-Variante über die Systemsteuerung oder die App Einstellungen scheidet nämlich beim Nano Server aus. Und der Aufruf von Add-Computer in einer Remote-Session scheitert schon daran, dass das Module Active Directory auf einem frisch installierten Nano Server fehlt.
Domänenbeitritt bei der Installation
Wer sich jetzt noch nicht geschlagen gibt und versucht, Add-Computer mit dem Parameter ComputerName remote auszuführen, erhält von PowerShell die Fehlermeldung, dass diese Anforderung nicht unterstützt wird.
Wenn man schon bei der Installation von Nano Server in einer VHD weiß, dass die Maschine Mitglied in einer Domäne werden soll, dann ruft man das zuständige Cmdlet New-NanoServerImage zusätzlich mit dem Parameter DomainName auf, also beispielsweise
New-NanoServerImage
-Edition Standard `
-DeploymentType Guest `
-Media Path L:\ `
-TargetPath 'E:\Hyper-V\Nano Server 2016 TP5\Virtual Hard Disks\nano-AD.vhdx' `
-ComputerName nano-AD `
-DomainName Contoso
Es ist darauf zu achten, dass dieses Kommando von einer PowerShell-Session mit administrativen Rechten ausgeführt wird, und zwar von einem Rechner, der selbst Mitglied in der betreffenden Domäne ist.
Nachträglich zu einer Domäne beitreten
In diesem Szenario muss man den Offline-Beitritt ebenfalls von einem Rechner aus initiieren, welcher der betreffenden Domäne schon angehört:
djoin.exe /provision /domain <Domänen-Name> /machine <Name-Nano-Server> /savefile .\odjblob
Anschließend überträgt man die Datei odjblob auf den Nano Server, hierzu bietet sich das Einrichten einer Freigabe an.
Dies erfordert jedoch, dass man erst die Firewall des Nano Server konfiguriert. Am einfachsten geht das, indem man seine Wiederherstellungskonsole öffnet und dort unter Inbound Firewall Rules die Regel Datei- und Druckerfreigabe (SMB eingehend) aktiviert.
Anschließend gibt man auf dem lokalen Rechner
net use z: \\<IP-Nano-Server>\c$
ein und kopiert die Datei odjblob in ein temporäres Verzeichnis auf z:
Im nächsten Schritt führt man gleich noch auf der Kommandozeile von cmd.exe den Befehl
winrm set winrm/config/client @{TrustedHosts="IP-des-Nano-Servers"}
aus, um den Server zur Liste der Trusted Hosts für WinRM hinzufügen. Andernfalls kann man mit PowerShell keine Remote-Session aufbauen. Diese startet man mit
Enter-PSSession -ComputerName <IP-des-Nano-Servers> -Credential Administrator
Am Prompt wechselt man in das Verzeichnis, in das man zuvor odjblob kopiert hat, und ruft dort djoin.exe auf, um die Datei zu importieren:
djoin /requestodj /loadfile .\odjblob /windowspath c:\windows /localos
Nach der erfolgreichen Ausführung des Befehls ist ein Neustart des Servers erforderlich.
Die naheliegende Idee, gleich auf der Eingabeaufforderung zu bleiben und statt PowerShell eine WinRS-Sitzung zu öffnen, scheitert in der Technical Preview 5 leider an Problemen mit der Codepage.
Täglich Know-how für IT-Pros mit unserem Newsletter
Verwandte Beiträge
- Radius-Server mit NPS in Windows Server 2016 installieren und konfigurieren
- Windows Server 2016: Temporäre Mitgliedschaft in administrativen Gruppen konfigurieren
- Just-In-Time Administration (JIT) in Windows Server 2016
- Update für Windows Server 2016: Reduzierter Nano Server, RDMA in VMs, Dedup für ReFS, PowerShell 6
- Defender in Windows Server 2016 installieren und konfigurieren
Weitere Links