工作区用于容纳云桌面,包括安全办公网络划分、用户账号系统和互联网访问等相关设置。其中,用户账号系统分为便捷账号和企业AD账号,企业AD账号需要对接企业AD获取。本文介绍如何对接企业AD,创建一个账号系统类型为企业AD账号的工作区。

前提条件

  • 已完成企业AD搭建。
    说明
    • 如果AD和DNS部署在同一台服务器上,请确保该服务器的DNS指向127.0.0.1。
    • 如果AD和DNS部署在不同服务器上,请确保AD域服务器的DNS已指向DNS服务器的IP地址。
  • 已创建云企业网实例,并已将企业AD所属的网络加入到云企业网实例中。具体操作,请参见创建云企业网实例加载网络实例
    注意 对接企业AD时,需确保企业AD的私网网络与创建工作区时设置的安全办公网络能通过云企业网CEN实现网络互通。如果AD域服务器和DNS服务器部署在本地IDC,需要先通过SAG、专线或者VPN打通本地与云上网络。

背景信息

工作区用于容纳云桌面,是云桌面工作环境配置的集合,更多信息,请参见工作区概述

创建账号系统类型为企业AD账号的工作区时,需要对接企业AD。除了在无影云桌面控制台创建工作区外,您需要在企业AD域以及对应的DNS服务器中完成相关配置。配置流程如下:
  1. 步骤一:创建工作区
    1. 无影云桌面控制台:创建AD工作区。
    2. 云服务器ECS控制台:配置安全组规则。
  2. 步骤二:配置AD域
    1. DNS服务器:配置条件转发器。
    2. AD域服务器:配置信任关系。
    3. 无影云桌面控制台:录入信任密码,然后选择组织单元OU。
说明 对接企业AD需要支付AD Connector的费用,关于AD Connector如何计费,请参见AD Connector计费

步骤一:创建工作区

  1. 登录无影云桌面控制台
  2. 在左侧导航栏,单击总览
  3. 总览页面,单击创建工作区
  4. 设置安全办公网络页面完成网络相关配置,然后单击下一步:配置账号系统
    相关配置说明如下表所示:
    参数 描述
    地域 工作区所属的地域。支持的地域及相关限制,请参见地域
    工作区名称 自定义,便于识别工作区。名称规范要求请参考页面提示。
    IPv4网段 系统将根据输入的IPv4网段,自动创建一个专有网络VPC。建议您使用10.0.0.0/12,172.16.0.0/12,192.168.0.0/16及其子网作为IPv4网段。如果设置了10或者172网段,掩码有效范围为12~24位,如果设置了192网段,掩码有效范围为16~24位。
    说明 在工作区下创建云桌面时,系统将自动从设置的网段中给云桌面分配IP地址。请根据业务需要设置合适的网段,避免与云企业网实例中的其它网络实例造成网段冲突,同时确保IP地址数量能够满足云桌面创建需求(掩码数值越大,工作区内包含的IP地址数量越少,则该工作区内可创建的桌面数量越少)。
    连接方式 连接云桌面时允许使用的接入方式,可选项如下:
    • 公网连接:只允许客户端通过公网连接云桌面。
    • VPC连接:只允许客户端通过VPC连接云桌面。
    • 公网和VPC都允许:不限制方式。使用客户端连接云桌面时可以自行选择连接方式。
    说明 VPC连接方式依赖于阿里云私网连接(PrivateLink)服务,该服务不收取费用。选择VPC连接或者公网和VPC都允许时,系统将自动为您开通私网连接服务。
    云企业网 对接企业AD时,必须要将工作区网络加入到云企业网中,以实现安全办公网络和企业AD的网络互通。请选择加入,然后选择云企业网实例,单击提交验证校验网段是否存在冲突。
    说明 支持选择本阿里云账号或者其它阿里云账号下的云企业网实例。选择其它阿里云账号下的云企业网实例时,需进行验证码校验,单击获取验证码后,系统将发送验证码到该阿里云账号关联的邮箱
    桌面本地管理员 选中后,基于该工作区创建的云桌面分配给终端用户时,根据云桌面的操作系统类型,终端用户的权限情况如下:
    • 对于Windows云桌面,终端用户将拥有本地管理员权限,但具体具备哪些权限仍由AD设置决定。
    • 对于Linux云桌面,终端用户将拥有执行所有命令的权限。使用sudo执行命令时,需要输入AD用户密码。
  5. 配置账号系统页面,选择账号类型为企业AD账号,并完成相关参数配置,然后单击立即创建工作区
    相关参数说明如下表所示。
    参数 描述
    DNS地址 输入企业AD对应DNS的IP地址(私网IP地址)。
    说明 如果AD域控制器和DNS服务器为同一台,您可以直接输入该服务器的IP地址。请确保该IP地址在您上一步设置的安全办公网络下可以访问。
    域名称 输入企业AD的域名,如:example.com。
    说明 如果提示域名称无效,请提交工单。
    子域管理员连接AD 如果企业AD搭建了父子域,且您需要使用子域来连接管理AD目录,可以选中该选项。选中后,您需要输入子域名称和子域DNS:
    • 子域名称:企业AD子域的域名。
    • 子域DNS:企业AD子域对应DNS的IP地址,可以和父域的DNS相同。
  6. 单击进入工作区详情页面,在工作区详情页面记录AD Connector的IP地址(即连接地址)。
    此时,工作区状态为待配置,您需要参考步骤二完成DNS条件转发器和信任关系等配置。AD工作区
  7. 配置AD域服务器和DNS服务器所属VPC的安全组规则,开放相关网络端口。
    1. 登录专有网络控制台
    2. 专有网络页面,找到目标VPC,单击实例ID。
    3. 资源管理页签下,单击安全组对应的数字。
    4. 安全组页面,找到目标安全组,单击安全组ID。
    5. 配置安全组规则。
      请按下表设置安全组的入方向规则。
      协议类型 端口或端口范围 授权对象
      自定义UDP 53、88、123、137、138、389、445、464
      • AD Connector的IP地址,即连接地址,例如:172.16.XX.XX/32。
      • AD工作区对应的IPv4网段,例如:192.168.XX.XX/24。
      自定义TCP
      • 53
      • 88~65535范围的全部端口
      • AD Connector的IP地址,即连接地址,例如:172.16.XX.XX/32。
      • AD工作区对应的IPv4网段,例如:192.168.XX.XX/24。

步骤二:配置AD域

  1. 在无影云桌面控制台的工作区详情页面,单击工作区状态右侧的点击配置
  2. 参考AD域配置面板中的操作提示,登录AD域对应的DNS服务器,完成条件转发器配置。
    说明
    • 如果您的企业AD为单个域,或者多个域(父子域)对应同一个DNS,则需要为该DNS配置条件转发器。
    • 如果您的企业AD为多个域(父子域),且对应多个不同的DNS,则需要为每个DNS分别配置条件转发器。
    1. 打开DNS管理器。
      此处以Windows Server 2016为例介绍打开DNS管理器的步骤,如果您的服务器为其它操作系统,请以实际为准。
      1. 打开服务器管理器,在左侧导航栏中选择DNS
      2. 在右侧服务器列表中,右键单击服务器,在弹出菜单中选择DNS管理器
    2. DNS管理器对话框中,右键单击条件转发器,在弹出菜单中选择新建条件转发器
    3. 输入域名和IP地址,选中在Active Directory中存储此条件转发器,并按如下方式复制,然后选择此域中的所有DNS服务器
      域名为ecd.acs,IP地址为AD Connector的IP地址(即连接地址)。您可以从步骤1打开的AD域配置面板中获取。条件转发
    4. 单击确定
    5. 在cmd中执行以下命令,验证网络是否互通。
      nslookup ecd.acs

      如果返回AD Connector的IP地址(即连接地址),则表示已成功配置条件转发器;如果返回报错信息,请检查条件转发器是否配置正确,然后清理DNS缓存,关于如何清理DNS缓存,请参见常见问题

  3. 在无影云桌面控制台的AD域配置面板中,单击配置完成,进入下一步
  4. 参考AD域配置面板中的操作提示,登录AD域服务器,完成信任关系配置。
    1. 打开服务器管理器。
    2. 在右上角的菜单栏选择工具 > Active Directory 域和信任关系
    3. 在弹出的对话框中,右键单击域,选择属性
    4. 在域属性对话框中,单击信任页签,然后单击新建信任
    5. 按照向导完成信任配置。
      需要注意的配置项如下,其他配置保持默认即可。
      • 信任名称:输入ecd.acs。信任关系
      • 信任类型:选择外部信任外部信任
      • 信任密码:您可以自定义设置,该密码在下一步云桌面侧配置AD域时需要输入。信任密码
    6. 确认配置完成的信任,然后单击确定
      信任关系
  5. 在无影云桌面控制台的AD域配置面板中,输入配置信任关系时设置的信任密码,然后单击配置完成,进入下一步
  6. 选择OU。
    1. 选择AD域中的组织单元OU。
    2. 输入用户名及其密码。
      此处配置的用户需具备将计算机加入域的权限。配置成功后,在该工作区下创建的云桌面将加入到选择的OU中。
    3. 单击配置完成

执行结果

配置完成后,您可以通过以下方式查看AD工作区是否已经配置成功:
  • 在无影云桌面控制台的总览页面,找到创建的工作区,单击工作区ID打开工作区详情页面,您可以看到工作区的状态为已注册
  • 在无影云桌面控制台的安全办公网络页面,找到工作区对应的网络,您可以看到网络的状态为已注册

常见问题

配置过程中,您可以单击工作区详情页面右上角的查询注册日志来了解报错信息。如果提示请刷新DNS缓存,您可以重启AD域服务器,或者登录DNS服务器,在Powershell中执行以下命令清除DNS缓存。
  • 清除DNS服务器中的资源记录
    Clear-DnsServerCache -Force
  • 清除DNS客户端的缓存内容
    Clear-DnsClientCache
说明 如果AD工作区的状态一直为注册中,则表示注册失败,请排查AD工作区、AD域服务器、以及DNS服务器的配置是否正确。更多信息,请参见AD工作区无法注册怎么办?