Legge til maskin i AD-domene fra hjemmekontor

 Wed 2021-12-22    SysAdm

I en hjemmekontorsituasjon er det fort gjort at en maskin blir utsatt for større påkjenninger enn i en kontorsituasjon, og etter at laptopen plutselig hadde seg en tur i oppvaskmaskinen er det på tide med en ny.

Påtvunget hjemmekontor medfører dog noen utfordringer for sysadmins - hvordan får man joinet en maskin til bedriftens AD-domene uten å være fysisk til stede på kontoret?

Enkelt. Det forutsetter at noen kriterier er oppfylt:

1. Man må ha en fungerende VPN-løsning på plass. Alle har det i disse dager, og hvis bedriften ikke har det er det på tide at de får det.
2. Man må ha en gyldig VPN-bruker.
3. Man må ha en aktiv og gyldig domeneadmin-bruker.
4. Man må vite IP-adressen til AD-domenekontrolleren.
5. Man må vite IP-adressen til VPN-endpoint hos bedriften.
6. En maskin som er ferdig satt opp med en lokal administratorbruker.

Punktene 1-5 bør være på plass som en del av implementasjonen av VPN-server i bedriften. Punkt 6 ordner seg selv når maskinen settes opp.

For å joine maskinen til AD-domenet hjemmefra, gjør som følger:

1. Logg på maskinen som lokal administrator.
2. Koble til VPN-serveren i bedriften:
   1. 1. Gå til Control Panel -> Network and Sharing Center (WIN+R-> skriv "ncpa.cpl", trykk enter) og sett velg "Set up a new connection or network". Ikke bruk den vanlige "Add VPN connection" i de moderne (og ubrukelige) Settings, da den måten ikke vil la deg koble til med VPN-forbindelsen.
         
      2. Velg "Connect to a workplace"
         
      3. Velg "No, create a new connection":
         
      4. Velg "Use my Internet connection (VPN)" for hvordan du skal koble deg til bedriftsnettet:
         
      5. Adresse for tilkobling:
         1. I feltet "Internet address", skriv inn IP-adressen til VPN-serveren. Det er viktig å bruke IP-adressen og ikke servernavnet (f.eks. vpn.bedrift.no) da vi senere skal endre DNS-innstillingene for nettverkskortet, og da vil ikke DNS-oppslag fungere lenger.
         2. Gi forbindelsen et beskrivende navn.
         3. Huk av for "Allow other people to use this connection". Dette er viktig for at domeneadministrator for domenet du kobler deg til skal kunne gjøre endringer på maskinen. Uten dette valget vil ikke domenejoin fungere.
         4. Trykk deretter Create.
            
      6. Tilbake i Network Connections. 1. Høyreklikk VPN-tilkoblingen du nettopp opprettet og 2. Velg Properties.
         
      7. Gå til "Security"-tabben og velg hvilken type VPN-tilkobling dette er. Under, velg "Allow these protocols", og huk av for CHAP og MS-CHAPv2 og klikk OK:
         
      8. Gå til "Sharing"-tabben og 1. huk av for "Allow other network users...", velg den aktive tilkoblingen (Ethernet eller Wi-Fi, som regel), og 2. huk av for "Allow other network users to control the shared Internet connection". Dette er viktig for at domenejoin skal fungere. Klikk deretter OK:
         
      9. Vi må nå endre DNS-server for den aktive tilkoblingen, slik at domenejoin-funksjonen faktisk klarer å finne DNS-serveren for AD-domenet. Vi er tilbake i Network Connections. Høyreklikk den aktive nettverkstilkoblingen, og velg Properties (i dette eksempelet er det en Wifi-tilkobling):
         
      10. Velg IPv4 og deretter Properties:
          
      11. Klikk på "Use the following DNS server addresses" og skriv inn IP-adressen til domenekontrolleren. Du skal kun angi én IP-adresse, i "Preferred DNS server". Klikk deretter OK. På dette tidspunktet er det mulig at du mister nettverksforbindelsen. Det er ikke tilfelle; du kan fremdeles nå ressurser lokalt og på internett via IP-adresser.
          
      12. Nå er det på tide å joine AD-domenet. Trykk WIN+R og skriv inn "sysdm.cpl" i feltet, trykk Enter (eller OK, for dere musefanatikere):
          
      13. I fanen "Computer Name", klikk knappen merket "Change":
          
      14. Gi maskinen et navn som harmonerer med bedriftens retningslinjer for maskinnavn, klikk "Domain" under "Member of" og skriv inn navnet på bedriftens AD-domene. Både kortform og langform aksepteres her.
          
      15. Skriv inn brukernavn og passord for en domeneadministrator som har rettigheter til å joine maskiner til AD. Du må angi domenenavnet før brukernavnet på formen BEDRIFTSDOMENE\Administrator.
          
      16. Gratulerer, du har nå joinet maskinen til bedriftsdomenet hjemmefra. Start maskinen på nytt og du skal få mulighet til å koble deg direkte til domenet via VPN-forbindelse med din egen domenebruker.
          
      17. På innloggingsskjermen skal det nå ha dukket opp et nytt ikon. Klikk på dette...
          
      18. ...og du kan nå logge inn direkte på bedriftsnettet via VPN-forbindelsen du har satt opp. Neste gang vil brukernavn og passord være cachet, slik at man kan logge inn på "vanlig" måte og deretter starte VPN-forbindelsen manuelt.
          
      19. Gitt at alle bedriftsapplikasjoner er installert, så er maskinen nå klar til deployment hos brukeren. Det eneste som gjenstår er å flytte maskinobjektet til riktig OU i AD.