Mit Nano Server 2016 einer Domäne beitreten

    Nano Server LogoDer super­schlanke Nano-Server beschreitet auch beim Domain Join eigene Wege, weil er dafür die gewohnten Werk­zeuge nicht mit­bringt. Am einfach­sten ist es, schon bei der Bereit­stellung der VHD einer Domäne beizutreten. Die Aufgabe lässt sich aber auch nach­träglich über die Kommando­zeile erledigen.

    Egal für welche Methode man sich entscheidet, es läuft immer auf einen Offline-Beitritt zu einer Domäne hinaus, auch wenn der Server online ist. Die GUI-Variante über die Systemsteuerung oder die App Einstellungen scheidet nämlich beim Nano Server aus. Und der Aufruf von Add-Computer in einer Remote-Session scheitert schon daran, dass das Module Active Directory auf einem frisch installierten Nano Server fehlt.

    Domänenbeitritt bei der Installation

    Wer sich jetzt noch nicht geschlagen gibt und versucht, Add-Computer mit dem Parameter ComputerName remote auszuführen, erhält von PowerShell die Fehlermeldung, dass diese Anforderung nicht unterstützt wird.

    Wenn man schon bei der Installation von Nano Server in einer VHD weiß, dass die Maschine Mitglied in einer Domäne werden soll, dann ruft man das zuständige Cmdlet New-NanoServerImage zusätzlich mit dem Parameter DomainName auf, also beispielsweise

    New-NanoServerImage -Edition Standard `
    -DeploymentType Guest `
    -Media Path L:\ `
    -TargetPath 'E:\Hyper-V\Nano Server 2016 TP5\Virtual Hard Disks\nano-AD.vhdx' `
    -ComputerName nano-AD `
    -DomainName Contoso

    Es ist darauf zu achten, dass dieses Kommando von einer PowerShell-Session mit administrativen Rechten ausgeführt wird, und zwar von einem Rechner, der selbst Mitglied in der betreffenden Domäne ist.

    Gleich beim ersten Start zeigt der Nano Server, dass er bereits Mitglied in der Domäne ist.

    Nachträglich zu einer Domäne beitreten

    In diesem Szenario muss man den Offline-Beitritt ebenfalls von einem Rechner aus initiieren, welcher der betreffenden Domäne schon angehört:

    djoin.exe /provision /domain <Domänen-Name> /machine <Name-Nano-Server> /savefile .\odjblob

    Anschließend überträgt man die Datei odjblob auf den Nano Server, hierzu bietet sich das Einrichten einer Freigabe an.

    Der Offline-Beitritt eines Nano Servers beginnt mit dem Aufruf von djoin auf einem PC, der Mitglied der Domäne ist.

    Dies erfordert jedoch, dass man erst die Firewall des Nano Server konfiguriert. Am einfachsten geht das, indem man seine Wiederher­stellungs­konsole öffnet und dort unter Inbound Firewall Rules die Regel Datei- und Druckerfreigabe (SMB eingehend) aktiviert.

    Die Firewall-Regeln kann man auf der Konsole der Nano Servers bearbeiten.

    Anschließend gibt man auf dem lokalen Rechner

    net use z: \\<IP-Nano-Server>\c$

    ein und kopiert die Datei odjblob in ein temporäres Verzeichnis auf z:

    Im nächsten Schritt führt man gleich noch auf der Kommandozeile von cmd.exe den Befehl

    winrm set winrm/config/client @{TrustedHosts="IP-des-Nano-Servers"}

    aus, um den Server zur Liste der Trusted Hosts für WinRM hinzufügen. Andernfalls kann man mit PowerShell keine Remote-Session aufbauen. Diese startet man mit

    Enter-PSSession -ComputerName <IP-des-Nano-Servers> -Credential Administrator

    Am Prompt wechselt man in das Verzeichnis, in das man zuvor odjblob kopiert hat, und ruft dort djoin.exe auf, um die Datei zu importieren:

    djoin /requestodj /loadfile .\odjblob /windowspath c:\windows /localos

    Nach der erfolgreichen Ausführung des Befehls ist ein Neustart des Servers erforderlich.

    In der PowerShell-Sitzung importiert man die Datei odjblob mit Hilfe von djoin.exe

    Die naheliegende Idee, gleich auf der Eingabeauf­forderung zu bleiben und statt PowerShell eine WinRS-Sitzung zu öffnen, scheitert in der Technical Preview 5 leider an Problemen mit der Codepage.

    Keine Kommentare