在測試環境中我準備了3臺Windows Servre 2008 R2
1、DC(IP:192.168.1.2)
2、中間機器(SCVMM2008)【用來操作離線加域的機器】
3、目標機器(HypervServer)【離線加域的測試機】
首先,DC可以是Windows 2003或Windows 2008;但中間機器必須是Windows Server 2008R2或Winodws 7;
命令是:djoin,詳細命令行解釋如下:
我們在中間機器上執行離線加域命令:
![2009-09-07_00352]( "2009-09-07_00352")
在離線加域的過程中會生產一個加密的配置文件,它將用於目標機器的離線加域,我們用記事本打開查看如下(那位大俠解個密):
![2009-09-07_00353]( "2009-09-07_00353")
在中間機器上執行完離線加域命令之後,我們打開域控,可以發現HypervServer 的信息已經在AD用戶和計算機MSC中:
![2009-09-07_00354]( "2009-09-07_00354")
通過AD編輯器,我們可以發現,加域的過程,已經爲HypervServer分配了SID:
![2009-09-07_00355]( "2009-09-07_00355")
呵呵,我們在這裏覈對一下HypervServer離線加域的時間:
![2009-09-07_00357]( "2009-09-07_00357")
接下來我們將之前生成的加密文件拷貝到目標機器上,然後把網卡給禁用了:
![2009-09-07_00359]( "2009-09-07_00359")
在命令行中執行以下命令:
![2009-09-07_00361]( "2009-09-07_00361")
在下面目錄我們可以找加域的日誌NetSetup.Log:
![2009-09-07_00362]( "2009-09-07_00362")
檢查日誌內容,如下:
![]()
加域成功:
![2009-09-07_00364]( "2009-09-07_00364")
在離線加域的過程中會生產一個加密的配置文件,它將用於目標機器的離線加域,我們用記事本打開查看如下(那位大俠解個密):
在中間機器上執行完離線加域命令之後,我們打開域控,可以發現HypervServer 的信息已經在AD用戶和計算機MSC中:
通過AD編輯器,我們可以發現,加域的過程,已經爲HypervServer分配了SID:
呵呵,我們在這裏覈對一下HypervServer離線加域的時間:
接下來我們將之前生成的加密文件拷貝到目標機器上,然後把網卡給禁用了:
在命令行中執行以下命令:
在下面目錄我們可以找加域的日誌NetSetup.Log:
檢查日誌內容,如下:
加域成功:
重啓之後,保持斷網的狀態,使用域管理員登陸:
![2009-09-07_00367]( "2009-09-07_00367")
![2009-09-07_00368]( "2009-09-07_00368")
很明顯,那個加密的文件,只是保存了加域過程所需要用的信息,並沒有保存任何的賬戶信息。
很明顯,那個加密的文件,只是保存了加域過程所需要用的信息,並沒有保存任何的賬戶信息。
綜述:
離線加域實際上是將加域過程分解成了兩段:
1、由域中的一臺機器(可以是客戶端也可以是域控),來完成機器在域中信息的添加,並將過程信息保存在加密文件中。完成該過程之後,需要離線加域的機器,實際上已經完成了再域中的信息加載
2、需要離線加域的機器,通過加載加域過程信息的加密文件,完成加密過程。不過由於沒有域中其他的信息,實際上有很多和域帳戶相關的操作是根本沒有辦法做的。。。。(也就是說,你加域之後還是可以用本地帳戶,實在的說,俺暫時沒有想到離線加域的實際意義。。。域帳戶根本就沒法用嘛~)
1、由域中的一臺機器(可以是客戶端也可以是域控),來完成機器在域中信息的添加,並將過程信息保存在加密文件中。完成該過程之後,需要離線加域的機器,實際上已經完成了再域中的信息加載
2、需要離線加域的機器,通過加載加域過程信息的加密文件,完成加密過程。不過由於沒有域中其他的信息,實際上有很多和域帳戶相關的操作是根本沒有辦法做的。。。。(也就是說,你加域之後還是可以用本地帳戶,實在的說,俺暫時沒有想到離線加域的實際意義。。。域帳戶根本就沒法用嘛~)