工作区是云桌面工作环境配置的集合,AD工作区即账号类型为企业AD账号的工作区。用户账号为企业AD类型时,创建工作区时需要先对接企业AD获取账号。本文主要介绍如何创建并配置一个AD工作区。

前提条件

  • 已搭建企业AD。
    说明
    • 如果AD和DNS部署在同一台服务器上,请确保该服务器的DNS指向127.0.0.1。
    • 如果AD和DNS部署在不同服务器上,请确保AD域控服务器的DNS已指向DNS服务器的IP地址。
  • 确保已有可用的云企业网实例,如果没有您需要创建云企业网并将企业AD所属的VPC加入云企业网实例。具体操作,请参见创建云企业网实例步骤二:连接VPC实例
    重要 无影云桌面对接企业AD时,需确保企业AD所属的VPC与创建工作区时设置的安全办公网络能通过云企业网实现网络互通。如果AD域控服务器和DNS服务器部署在本地数据中心IDC,需要先通过SAG、专线或者VPN打通本地与云上网络。
  • 已配置AD域控服务器和DNS服务器所属的专有网络VPC的安全组规则,并开放相关网络端口。
    1. 登录专有网络控制台
    2. 专有网络页面,找到目标VPC,单击实例ID。
    3. 资源管理页签下,单击安全组对应的数字。
    4. 安全组页面,找到目标安全组,单击安全组ID。
    5. 根据下表信息配置安全组的入方向规则。具体操作,请参见添加安全组规则
      协议类型端口或端口范围授权对象描述
      自定义UDP53AD工作区对应的IPv4网段,例如:192.168.XX.XX/24。DNS
      88Kerberos
      123Windows Time
      137NETBIOS
      138NETBIOS
      389LDAP
      445CIFS
      464Kerberos change/set password
      自定义TCP53AD工作区对应的IPv4网段,例如:192.168.XX.XX/24。DNS
      88Kerberos
      135Replication
      389LDAP
      443HTTPS
      445SMB/CIFS
      636LDAP SSL
      9389PowerShell
      49152~65535范围的全部端口RPC
      3268~3269LDAP GC & LDAP GC SSL

背景信息

  • 无影云桌面支持基于ASP协议或HDX协议创建AD工作区,AD工作区创建成功后,您无法直接使用,需要完成AD域配置才能正常使用。ASP协议的AD工作区和HDX协议的AD工作区在创建和配置AD时步骤略有差异,业务中请根据实际情况选择操作步骤。如果配置账号系统时无法选择协议类型则默认为ASP协议,建议您使用ASP协议创建AD工作区。关于ASP协议的优势,请参见ASP协议
  • 桌面本地管理员
    桌面本地管理员可以下载安装软件或执行需桌面本地管理员才有权限操作的任务。您可以在创建AD工作区或者在AD域控中进行本地桌面管理员权限设置。
    说明 两种方式在配置方式和权限管控上略有差异,业务中请根据实际情况选择合适的方式。
    设置本地管理员的方式优势不足
    创建AD工作区时设置桌面本地管理员创建工作区时选中桌面本地管理员,一次性将该AD工作区下所有云桌面设置为桌面本地管理员权限,操作简单。工作区维度设置桌面本地管理员权限,工作区下的云桌面均具有本地管理员权限,设置桌面本地管理员后不支持修改。
    在AD域控设置桌面本地管理员用户维度设置桌面本地管理员权限,可按需为用户授予桌面本地管理员权限,实现精细化权限管控。需要手动在AD域控中配置桌面本地管理员权限,操作相对繁琐。

    如何在AD域控设置桌面本地管理员的具体操作,请参见怎么在AD域设置桌面本地管理员?

操作步骤

ASP
  1. 设置安全办公网络。
    1. 登录无影云桌面控制台
    2. 在左侧导航栏,选择桌面 > 工作区
    3. 工作区页面单击创建工作区
    4. 设置安全办公网络面板配置网络,配置项说明如下表所示。
      配置项描述
      地域工作区所属的地域,无影云桌面支持的地域请参见地域
      工作区名称用于标识工作区。根据页面要求,输入工作区名称。
      IPv4网段根据需要设置IPv4网段。避免网段冲突您需要合理规划网段,更多信息,请参见规划网段
      连接方式客户端允许使用的网络接入方式,支持的接入方式如下:
      • 公网连接:只允许客户端通过公网连接云桌面,默认为公网连接。
      • VPC连接:只允许客户端通过VPC连接云桌面。
      • 公网和VPC都允许:不限制网络接入方式。使用客户端连接云桌面时可按需选择。
      说明 VPC连接方式依赖于阿里云私网连接(PrivateLink)服务,该服务免费。选择VPC连接或者公网和VPC都允许时,系统将自动为您开通私网连接服务。
      云企业网无影云桌面对接企业AD时,必须将工作区VPC加入云企业网中,以实现安全办公网络和企业AD的网络互通。
      1. 单击加入
      2. 根据实际情况选择以下一种方式完成操作。
        1. 选择账号。

          当前开通无影云桌面服务的阿里云账号与开通CEN的阿里云账号相同时,选择同账号;不同时选择不同账号

        2. 选择云企业网实例ID。
          • 同账号:选择该账号下已经创建的云企业网实例ID。
          • 不同账号:输入目标加入的云企业网实例ID及该实例所属的阿里云账号,然后获取并输入验证。
      3. 单击提交验证
        说明 校验所填云企业网实例ID与所属阿里云账号ID是否正确以及云企业网是否与工作区IPv4网段存在冲突。单击获取验证码后,系统将发送验证码到该阿里云账号关联的邮箱
    5. 单击下一步:配置账号系统
  2. 配置账号系统。
    1. 配置账号系统页面,选择企业AD账号,然后设置相关配置项的参数。
      相关配置项说明如下表所示。
      配置项描述
      DNS地址输入企业AD对应DNS的IP地址(私网IP地址)。
      说明 如果AD域控服务器和DNS服务器为同一台,您可以直接输入该服务器的IP地址。请确保该IP地址在上一步设置的安全办公网络下可以访问。
      域名称输入企业AD的域名,如:example.com。
      说明 如果提示域名称无效,请提交工单
      域控主机名(选填)如果AD域控服务器和DNS服务器不是同一台(即分开部署AD域控和DNS服务器),建议您设置域控主机名,以便系统明确可连接的域控服务器,提高工作区创建成功率。
      桌面本地管理员(选填)是否为云桌面授予桌面本地管理员的权限。选中后,该工作区下的所有云桌面均具有桌面本地管理员权限,可下载安装软件或者执行需本地桌面管理员权限才有操作的任务。设置桌面本地管理员后不支持修改。
      说明

      根据云桌面的操作系统类型,终端用户的权限说明如下:

      • 对于Windows云桌面,终端用户将拥有本地桌面管理员权限,但具体具备哪些权限仍由企业AD的设置决定。
      • 对于Linux云桌面,终端用户将拥有执行所有命令的权限。使用sudo执行命令时,需要输入企业AD用户的密码。

      您也可以在AD域控中设置桌面本地管理员,此方式可实现精细化的权限管控。具体操作,请参见怎么在AD域设置桌面本地管理员?

      选择AD Connector规格请根据预估的桌面数量选择合适的规格。AD Connector采用按量付费,不同规格的AD Connector计费不同。
      • 通用型:用于桌面数量较少(不超过500台)的工作区。
      • 高级型:用于桌面数量较多(高于500台)的工作区。
    2. 单击立即创建工作区
      工作区状态变为创建成功后,方可配置AD域。
      说明 如果状态变为创建失败,请根据提示信息重试,或者提交工单
  3. 配置AD域。
    1. 无影云桌面控制台概览页面单击上一步创建的工作区ID,在工作区的基础信息面板单击工作区状态右侧的去配置
    2. AD域配置面板,填写域用户名称和密码。
    3. 单击验证获取OU信息
    4. 可选:验证成功后,单击下拉列表并选择AD域中组织单元OU。
      重要 AD域中的组织单元支持修改。

      入口:在无影云桌面控制台工作区的AD设置面板,找到指定的组织单元OU,然后单击后面的图标图标,根据需要重新选择目标组织单元OU。

    5. 单击确定

配置条件转发器和信任关系

HDX
  1. 配置条件转发器。
    配置条件转发器页面,按照页面提示,登录AD域对应的DNS服务器,配置条件转发器。
    重要
    • 如果您的企业AD为单个域,或者多个域(父子域)对应同一个DNS,则需要为该DNS配置条件转发器。
    • 如果您的企业AD为多个域(父子域),且对应多个不同的DNS,则需要为每个DNS分别配置条件转发器。
    1. 打开DNS管理器。
      此处以Windows Server 2016为例介绍打开DNS管理器的步骤,如果您的服务器为其它操作系统,请以实际为准。
      1. 打开服务器管理器,在左侧导航栏中选择DNS
      2. 在右侧服务器列表中,右键单击服务器,在弹出菜单中选择DNS管理器
    2. DNS管理器对话框中,右键单击条件转发器,在弹出菜单中选择新建条件转发器
    3. 输入域名和IP地址,选中在Active Directory中存储此条件转发器,并按如下方式复制它,然后选择此域中的所有DNS服务器
      域名为ecd.acs,IP地址为连接地址。
      说明 您可以在无影云桌面控制台工作区的AD设置面板,找到连接地址并获取IP地址。
      条件转发
    4. 单击确定
    5. 在cmd中执行以下命令,验证网络是否互通。
      nslookup ecd.acs
      • 如果返回的IP地址是连接地址,则表示已成功配置条件转发器。
      • 如果返回报错信息,请检查条件转发器是否配置正确,然后清理DNS缓存,关于如何清理DNS缓存,请参见创建AD工作区常见问题
  2. 在无影云桌面控制台的配置条件转发器页面,单击下一步
  3. 配置信任关系。
    说明 如果AD工作区未配置信任关系,则仅支持创建ASP协议类型的云桌面。只有配置信任关系的AD工作区,才支持创建ASP协议或HDX协议的云桌面。
    配置信任关系页面,按照界面提示,登录AD域控服务器,配置信任关系。
    1. 打开服务器管理器。
    2. 在右上角的菜单栏选择工具 > Active Directory 域和信任关系
    3. 在弹出的对话框中,右键单击域,选择属性
    4. 在域属性对话框中,单击信任页签,然后单击新建信任
    5. 按照向导完成信任配置。
      需要注意的配置项如下,其他配置保持默认即可。
      • 信任名称:输入ecd.acs。信任关系
      • 信任类型:选择外部信任
        说明 如果无法选择外部信任,在cmd中执行以下命令,验证网络是否互通。
        nslookup ecd.acs
        • 如果返回AD Connector的IP地址(即连接地址),则表示已成功配置条件转发器。
        • 如果返回报错信息,请检查条件转发器是否配置正确,然后清理DNS缓存,关于如何清理DNS缓存,请参见创建AD工作区常见问题
        外部信任
      • 信任密码:您可以自定义设置,该密码在下一步云桌面侧配置AD域时需要输入,您需要牢记该密码。信任密码
    6. 确认配置完成的信任,然后单击确定
      信任关系
    7. 在无影云桌面控制台的配置信任关系页面,输入配置信任关系时设置的信任密码,然后单击完成所有配置

查看AD工作区

创建并配置完成后,您可以通过以下方式查看AD工作区:
  • 无影云桌面控制台工作区页面,找到创建的工作区,单击工作区ID打开工作区详情页面,您可以看到工作区的状态为已注册
  • 在无影云桌面控制台的安全办公网络页面,找到工作区对应的网络,您可以看到网络的状态为已注册

后续步骤

如果您不再需要某个AD工作区,可以把AD工作区下云桌面资源完全释放后将其删除,删除后将不再收取AD Connector的费用。
警告 销毁工作区后,工作区相关资源和数据将无法恢复。请谨慎操作。
操作如下:
  1. 工作区页面,单击目标工作区ID。
  2. 在工作区详情页面,单击底部的销毁工作区
  3. 阅读提示信息,然后单击确认销毁