Domainjoin

[cdelellis]

Hallo

Habe versucht mit opsi ein Domain Join zu konfigurieren mit den scripts aus wiki/userspace:windows7-64bit.

Ich bekomme immer folgende Einträge im Log, jedoch der Rechner ist nicht in der Domäne registriert.

[6] [23.05.2012 12:46:11] Key closed
[5] [23.05.2012 12:46:11]
[5] [23.05.2012 12:46:11] Set $dom$ = GetProductProperty("dom", " ")
[6] [23.05.2012 12:46:11] The value of the variable "$dom$" is now: "ovh.local"
[5] [23.05.2012 12:46:11]
[5] [23.05.2012 12:46:11] Set $user$ = GetProductProperty("user", " ")
[6] [23.05.2012 12:46:11] The value of the variable "$user$" is now: "cdelellis"
[5] [23.05.2012 12:46:11]
[5] [23.05.2012 12:46:11] Set $password$ = GetProductProperty("password", " ")
[6] [23.05.2012 12:46:11] The value of the variable "$password$" is now: "San22dra!!"
[5] [23.05.2012 12:46:11]
[5] [23.05.2012 12:46:11] Execution of PatchTextFile_Create_powershell
[5] [23.05.2012 12:46:11] FILE P:\domainjoin\join.ps1
[6] [23.05.2012 12:46:11] Info: This file does not exist and will be created
[6] [23.05.2012 12:46:11] Item Pointer set to Top (before first line)
[6] [23.05.2012 12:46:11] Added item '$secpasswd = ConvertTo-SecureString 'San22dra!!' -AsPlainText -Force'
[6] [23.05.2012 12:46:11] Added item '$mycreds = New-Object System.Management.Automation.PSCredential ("cdelellis", $secpasswd)'
[6] [23.05.2012 12:46:11] Added item 'Add-Computer -DomainName "ovh.local" -credential $mycreds'
[6] [23.05.2012 12:46:11] saveToOriginalFile = false
[4] [23.05.2012 12:46:11] Warning: file not found :c:\joinpatched.ps1 -retrying
[4] [23.05.2012 12:46:11] Warning: file not found :c:\joinpatched.ps1 -retrying
[4] [23.05.2012 12:46:12] Warning: file not found :c:\joinpatched.ps1 -retrying
[4] [23.05.2012 12:46:12] Warning: file not found :c:\joinpatched.ps1 -retrying
[4] [23.05.2012 12:46:13] Warning: file not found :c:\joinpatched.ps1 -retrying
[4] [23.05.2012 12:46:13] Warning: file not found :c:\joinpatched.ps1 -retrying
[4] [23.05.2012 12:46:13] Warning: file not found :c:\joinpatched.ps1 -retrying
[4] [23.05.2012 12:46:14] Warning: file not found :c:\joinpatched.ps1 -retrying
[4] [23.05.2012 12:46:14] Warning: file not found :c:\joinpatched.ps1 -retrying
[4] [23.05.2012 12:46:15] Warning: file not found :c:\joinpatched.ps1 -retrying
[4] [23.05.2012 12:46:15] Warning: file not found :c:\joinpatched.ps1 - giving up
[6] [23.05.2012 12:46:15] c:\joinpatched.ps1 saved back with 8 Bit system encoding
[6] [23.05.2012 12:46:15] The lines are saved to "c:\joinpatched.ps1"
[5] [23.05.2012 12:46:15]
[5] [23.05.2012 12:46:15] Execution of ShellBatch_JoinDom
[6] [23.05.2012 12:46:15] c:\opsi.org\tmp\_winstbat_1.bat saved back
[6] [23.05.2012 12:46:15] Executing "cmd.exe" /C "c:\opsi.org\tmp\_winstbat_1.bat"
[6] [23.05.2012 12:46:16] Delete "c:\opsi.org\tmp\_winstbat_*"
[6] [23.05.2012 12:46:16] Search "c:\opsi.org\tmp\"
[6] [23.05.2012 12:46:16] File "c:\opsi.org\tmp\_winstbat_1.bat"
[6] [23.05.2012 12:46:16] The file has been deleted
[1] [23.05.2012 12:46:16] ___________________
[1] [23.05.2012 12:46:16] script finished
[1] [23.05.2012 12:46:16] 0 errors
[1] [23.05.2012 12:46:16] 0 warnings
[1] [23.05.2012 12:46:16]
[1] [23.05.2012 12:46:16] installed Produkt: domainjoin Version: 1.0-1
[1] [23.05.2012 12:46:16]
[6] [23.05.2012 12:46:16] Delete "c:\opsi.org\tmp\_winstbat_*"
[6] [23.05.2012 12:46:16] Search "c:\opsi.org\tmp\"
[6] [23.05.2012 12:46:16] JSON service request https://172.16.16.242:4447/rpc productOnClient_updateObject
[6] [23.05.2012 12:46:16] Registry key [HKLM\SOFTWARE\opsi.org\winst] opened
[6] [23.05.2012 12:46:16] Variable "RebootRequested" is keeping its value "0"
[6] [23.05.2012 12:46:16] Variable "LastLogFilename" is keeping its value "c:\tmp\instlog.txt"
[6] [23.05.2012 12:46:16] Variable "ContinueLogFile" is keeping its value "0"
[6] [23.05.2012 12:46:16] Variable "NumberOfErrors" is keeping its value "0"
[6] [23.05.2012 12:46:16] Key flushed
[6] [23.05.2012 12:46:16] Key closed


Hat jemand eine Idee, was ich da falsch mache ?

Gruß
Carsten

[cdelellis]

Hallo

Ich habe zwischenzeitlich auch die Alternative mit dem vbs script versucht. Aber leider auch hier funktioniert die registrierung in der Domain nicht. Jedoch keine Fehlermeldungen im LogFile.

Hat da jemand eine Idee, wo ich ansetzen muss ?

Gruß
Carsten

[tobias]

Eventuell ist aber folgendes auch nicht Uninteressant:
http://download.uib.de/opsi4.0/products ... 1.0-1.opsi


edit: das Problem an meinem Script aus dem Wiki ist, dass keine Informationen übertragen werden warum das ganze fehlschlägt das amcht das offizielle windomain paket besser

[mdecker]

Ich habe den Domainjoin direkt ins unattended.xml eingebaut:

Code: Alles auswählen

<component name="Microsoft-Windows-UnattendedJoin" processorArchitecture="amd64" publicKeyToken="31bf3856ad364e35" language="neutral" versionScope="nonSxS" xmlns:wcm="http://schemas.microsoft.com/WMIConfig/2002/State" xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance">
  <Identification>
    <Credentials>
      <Password>#@domainjoinpw*#</Password>
      <Username>#@domainjoinuser*#</Username>
    </Credentials>
    <!--DebugJoin>true</DebugJoin-->
    <JoinDomain>#@domaintojoin*#</JoinDomain>
    <UnsecureJoin>false</UnsecureJoin>
  </Identification>
</component>

Im Installationspaket habe ich die entsprechenden Properties hinzugefügt. Funktioniert bis jetzt gut.

Michael

[Thomas_H]

Moinsens,

also den Domainjoin ins unattended.xml einzubauen hilft leider nicht. Das haben wir schon durch. Wichtig ist vorallem, dass der Domainjoin unter einem administrativen Account gemacht wird, das stellst Du in der unattended.xml ein und auch, wie lange dieser gelten soll (siehe Domainjoin with a Samba PDC) Dabei musst Du natürlich die richtige Domain angeben. Diese sollte komplett in kleinen Buchstaben gehalten werden und auch in der Gesamtkonfiguration des gesamten Systems in Kleinbuchstaben gehalten sein.
Also auch Dein Opsiserver sollte der Domain (bsp.) "meinopsi.meinedomain.local" angehören. Demzufolge steht auch in der Sambakonfiguration die Domain "meinedomain" drin. Ein Domainjoin IMHO funzt nur, wenn ein entsprechender DC dahintersteht, ansonsten ist es lediglich ein Wechsel der Arbeitsgruppe (workgroup-Eigenschaft in der unattended.xml)

Was Du im einzelnen falsch gemacht hast, ist hier nicht nachvollziehbar, weil Du die entsprechenden Dateien nicht mitgeliefert hast.
Und: wie es scheint, hast Du versucht, über die Productproperties des configed Benutzername und Passwort einzustellen. Das funktioniert auch nicht.
Wenn Du die Suche des Forums nutzt, wirst Du mehr über den Domainjoin und die damit verbundenen Probleme der Productproperties finden. Darum ist ja das Domainjoinen mit Win7 so "verquer" in der Wiki.

Wenn Du genau den Anweisungen der Wiki folgst, sollte Dein Rechner anschließend in der Domäne sich befinden.

Gruß

Thomas_H

[tobias]

schau dir einfach das fertige paket an was ich oben geposted hab das funktioniert prima

spiel es mit -p ask ein dann kannst du auch direkt default properties mitgeben.
Du kannst sogar direkt eine OE angeben in der der client landen soll

[cdelellis]

Hallo, alle zusammen

Zunächst einmal vielen Dank für die Antworten. Ich werde das mit dem Packet von tobias mal ausprobieren.

@Thomas_H:
Ich hätte da mal eine Verständnisfrage. Wenn ich die Doku richtig gelesen habe wird doch per winst das script auf der Workstation ausgeführt. Dies geschieht dort mit den Rechten des lokalen users bzw. eines Systemusers. Zum Domainjoin übergebe ich einen domainuser mit credentials. Was ich aber überhaupt nicht verstehe an Deinen Ausführungen, warum muss der opsi Server in der Domäne sein ? Er stellt doch eigentlich nur das depot mit dem script zur Verfügung. Hat also keinen Einfluß auf die Domänenzugehörigkeit. Oder habe ich da einen Denkfehler ?

Mit freundlichem Gruß
Carsten

[cdelellis]

Hallo an alle

Nur zur Info. Der Domainjoin mit dem script von Tobias, welches direkt in der unattended.xml integriert ist, hat bei mir super gefunzt.

Gruß
Carsten

@Tobias: Danke für den Tip

[Thomas_H]

Moinsens,

@Thomas_H:
Ich hätte da mal eine Verständnisfrage. Wenn ich die Doku richtig gelesen habe wird doch per winst das script auf der Workstation ausgeführt. Dies geschieht dort mit den Rechten des lokalen users bzw. eines Systemusers. Zum Domainjoin übergebe ich einen domainuser mit credentials. Was ich aber überhaupt nicht verstehe an Deinen Ausführungen, warum muss der opsi Server in der Domäne sein ? Er stellt doch eigentlich nur das depot mit dem script zur Verfügung. Hat also keinen Einfluß auf die Domänenzugehörigkeit. Oder habe ich da einen Denkfehler ?

kommt darauf an... Der Opsi-Server ist ja in aller Regel bereits ein Samba-Server, und damit vielleicht auch durchaus der Domänencontroller. Auf alle Fälle - so habe ich es gehalten - verhindert die Domänenzugehörigkeit irgendwelche Probleme. Du hast ja bei der Einrichtung des Opsi-Servers sowieso eine Domäne eingegeben, so dass die Abfrage

Code: Alles auswählen

hostname -f

eine Antwort in der Form

Code: Alles auswählen

rechnername.domäne.tld (zB: opsiserver.meinedomain.local)

ergibt. Also warum den Opsi-Server nicht in die gleiche Domäne einbinden. Wenn Du einen anderen eigenen PDC hast, ist das sicher nicht erforderlich, kann aber wieder verwirrend für den Anwender sein, wenn er im Netzwerk eine weitere Domäne sieht und ihn ausserdem zum Spielen animieren. Ist halt immer eine Frage der gesamten Infrastruktur und der Konfiguration des Opsi-Servers. Bei uns ist der auch ein Fileserver für kleine Progrämmchen und Tools, aber auch für die home-Vereichnisse

Gruß

Thomas_H

[Valentino-46]

Hi,
ich hatte vor ein paar Tagen die gleiche Fragestellung mit der Domäne. Es gibt ja viele Methoden, deshalb hier auch mal eine kleine Abwandlung von meiner Seite. Wenn über die .xml file der domjoin funktioniert oke...wenn aber nicht dann wirds irgendwann nervig. Ich hab das ganze so integriert, dass ich ein sauberes eigenständiges Domainjoin Paket gemacht hab, das ist so ähnlich wie das was hier gepostet wurde mit dem netdom.exe Tool ! Kleinigkeiten sind anders, vielleicht bringts was für irgendwen der noch Probleme hat.
Wir haben auch eine Samba Domäne, Samba 4 seit Neuem!

bei mir war wichtig, dass in dem selben Pfad wie die netdom.exe der dazugehörige de-DE Ordner noch liegt, mit Inhalt "netdom.exe.mui"
Das ist in dem paket von oben glaub nicht nötig...bei mir hats sonst nicht funktioniert!!

Mit .vbs Script mache ich gar nix...mag ich nicht

Das Paket hat eine sehr hohe Priorität, einzig der DNS Server wird davor noch eingetragen. Direkt nach der Win7 installation wird also das Paket gestartet. Das hat den Vorteil, dass ich auch ganz easy erstmal irgendwelche Registry Settings setzen kann, davor noch Rebooten kann wenn ich will usw, da es eben vollständig unabhängig vom Windows 7 Paket ist...Damit spare ich mir auch die .vbs Scripte.

Das mit dem Passwort habe ich so gemacht, dass ich eine Autohotkey exe gebastelt habe mit folgendem Code:

Code: Alles auswählen

runWait, c:\tmp\netdom\netdom.exe join %computername% /domain:Domänenname /userd:Domänenname\administrator /passwordd:Adminpw, ,UseErrorLevel

Damit kommt niemand so einfach an das Passwort ran, ausserdem lösche ich die exe Files auch wieder sofort von der Festplatte wenns fertig ist.

Bei Windows 7 sind erhöhte Rechte erforderlich, UIB arbeitet hier an einer Lösung das "sauber" anzufordern. Ich löse das aktuell noch per Aufgabenplanung von Windows 7 und rufe dann nur die domjoin.exe Autohotkey Datei auf (bzw.die domremove.exe):
erst aus domäne werfen falls er schon drin ist, dann frisch adden

Code: Alles auswählen

[Winbatch_create_task_win7_domjoin]
schtasks /create /RU system /SC once /TN domjoin /TR "C:\tmp\netdom\win7-domainjoin.exe" /ST 04:46 /F

[Winbatch_run_task_win7_domjoin]
schtasks /run /TN domjoin

[Winbatch_remove_task_domjoin]
schtasks /delete /TN domjoin /F

[Winbatch_create_task_win7_domremove]
schtasks /create /RU system /SC once /TN domremove /TR "C:\tmp\netdom\win7-domainremove.exe" /ST 04:46 /F

[Winbatch_run_task_win7_domremove]
schtasks /run /TN domremove

[Winbatch_remove_task_domremove]
schtasks /delete /TN domremove /F

Vielleicht sind hier ein paar Ansätze dabei die irgendwem noch zum Glück weiterhelfen
Grüße,
Valentino