怎么配置AD办公网络 - 无影云电脑

无影云电脑（专业版）支持便捷账号和企业AD账号。创建办公网络（原工作区）时，可以基于便捷账号或企业AD账号。本文介绍如何创建基于企业AD账号的办公网络。

计费说明

基于企业AD账号的办公网络通过AD Connector对接企业AD，其中AD Connector需要收费，采用按量付费方式，费用由使用时长和单价确定。AD Connector的单价因规格而异，详细信息，请参见AD Connector价格。

如需停止计费，需删除办公网络。具体操作，请参见删除办公网络。

前提条件

已搭建企业AD。如果AD域控服务器和DNS服务器部署在不同服务器上，请确保AD域控服务器的DNS已指向DNS服务器的IP地址。
已创建云企业网实例，并将企业AD所属VPC和办公网络VPC加入同一个云企业网实例。关于如何创建云企业网实例，请参见创建云企业网实例。
说明
如果AD域控服务器和DNS服务器部署在本地数据中心IDC，您需要先通过高速通道（Express Connect）（专线）、智能接入网关 SAG（Smart Access Gateway）或者VPN 网关（VPN Gateway）等产品来打通本地网络和云上网络。详细信息，请参见如何选择私网类产品？。

已开放所需网络端口。基于企业AD账号的办公网络VPC需要访问AD域控的以下网络端口，因此您需要确保在AD域控服务器、DNS服务器或者安全软件中开放以下端口。

协议类型	端口号或端口号范围	描述	授权对象
自定义UDP	53	DNS	办公网络的IPv4网段，例如：192.168.XX.XX/24。
	88	Kerberos
	123	Windows Time
	137	NETBIOS
	138	NETBIOS
	389	LDAP
	445	CIFS
	464	Kerberos修改或重置密码
自定义TCP	53	DNS	办公网络的IPv4网段，例如：192.168.XX.XX/24。
	88	Kerberos
	135	Replication
	389	LDAP
	443	HTTPS
	445	SMB/CIFS
	636	LDAP SSL
	9389	PowerShell
	49152~65535范围的全部端口	RPC
	3268~3269	LDAP GC和LDAP GC SSL

创建办公网络

登录无影云电脑（专业版）控制台。
在左侧导航栏，选择网络与存储 > 办公网络（原工作区）。
在顶部菜单栏左上角处选择目标地域。
在办公网络（原工作区）页面上单击创建办公网络。

在创建办公网络面板上，选择高级办公网络，完成其他配置，并单击下一步：配置账号系统。

配置项说明

配置项	说明
选择地域	办公网络所属的地域。关于支持的地域及相关限制，请参见地域。
办公网络名称	办公网络名称用于标识并快速查找办公网络。
IPv4网段	在办公网络中创建云电脑时，系统将自动从办公网络VPC包含的网段中分配一个IP地址作为云电脑的IP地址。VPC网段内的IP地址数量决定其可容纳的云电脑最大数量，请合理规划网段，详细信息，请参见规划网段。默认情况下，您可以将办公网络VPC设置为以下IPv4网段及其IPv4网段的子网段： 192.168.0.0/16 10.0.0.0/12 172.16.0.0/12 如需使用其他自定义IPv4网段，您可以提交工单以获取阿里云技术支持。。
连接方式	决定云电脑终端用户可以通过哪种方式连接办公网络内的云电脑。支持的选项包括：公网连接：只允许通过互联网连接（默认选项）。如需选用此方式，则运行云电脑的本地设备必须能够访问互联网。 VPC连接：只允许通过专有网络VPC连接。如需选用此方式，则需要将办公网络加入云企业网 CEN（Cloud Enterprise Network）实例，同时选择高速通道（Express Connect）（专线）、智能接入网关 SAG（Smart Access Gateway）或者VPN 网关（VPN Gateway）等产品来打通本地网络和云上网络。详细信息，请参见加入与解绑云企业网、如何选择私网类产品？。公网和VPC都允许：同时支持上述两种方式。说明 VPC连接依赖于阿里云私网连接（PrivateLink）服务，该服务不收取费用。选择VPC连接或者公网和VPC都允许时，系统将自动为您开通私网连接服务。
云企业网	若要使用VPC连接方式，则选择加入。您可以按需选择同账号或者跨账号的云企业网实例ID。说明如果本地网络通过智能接入网关、高速通道（专线）或VPN 网关接入云上网络，则办公网络需要加入同一个云企业网实例。为保障办公网络内云电脑正常使用，选择云企业网实例ID之后，请单击校验，以校验所选云企业网实例的路由和办公网络IPv4网段是否有冲突。若校验未通过，则单击查看冲突详情和推荐网段，并根据建议重新设置IPv4网段或云企业网实例。

在账号类型区域选择企业AD账号，完成以下配置，并单击完成创建。

配置项说明

配置项	说明
域名称	企业自有的AD域名。例如example.com。如果界面提示域名无效，您可以提交工单以获取阿里云技术支持。。
域控主机名	域控主机名是您在AD域控设置的主机名称。如果AD域控服务器和DNS服务器不是同一台设备（即分开部署AD域控和DNS），您必须填写域控主机名，以便系统明确可连接的域控服务器，提高办公网络创建成功率。如果AD域控服务器和DNS服务器部署在同一台设备，您可以按需填写。
DNS地址	企业自有AD对应的DNS服务器IP地址。如果AD域控服务器和DNS服务器为同一台，您可以直接输入AD域控服务器的IP地址。请确保该IP地址在上一步设置的办公网络下可以访问。
云电脑本地管理员	云电脑本地管理员可以下载安装软件或执行需要本地管理员权限才可以操作的任务。如果选中设置企业AD账号为云电脑本地管理员，则办公网络内已授权使用云电脑的用户均具有本地管理员的权限。另外，您也可以在AD域控服务器中设置本地管理员。详细信息，请参见设置云电脑本地管理员。
AD Connector规格	可以根据预估的云电脑数量选择AD Connector规格：通用型：适用于云电脑数量较少（不超过500台）的情况。高级型：适用于云电脑数量较多（大于或等于500台）的情况。

创建完毕后，请在办公网络（原工作区）页面查看办公网络的状态：

若状态为请配置用户，说明创建成功。
若状态一直为注册中，您需要在办公网络详情页的基础信息区域查看状态。若状态显示为创建失败，您需要检查办公网络和AD域服务器的网络是否连通、创建办公网络时填写的参数是否正确，以及为AD域服务器配置的DNS服务器是否正确，确保上述信息均无误后单击点击重试可重新尝试创建。具体操作，请参见AD办公网络常见问题。

配置用户

在左侧导航栏，选择网络与存储 > 办公网络（原工作区）。
在顶部菜单栏左上角处选择目标地域。
在办公网络（原工作区）页面上，单击目标办公网络的办公网络ID。
在办公网络详情页的基础信息区域，单击状态右侧的去配置。
在AD域配置面板，按照界面提示填写域用户名及其密码。
说明
您输入的域用户需要具有添加AD域权限和读取AD域上用户属性的权限，以便系统将该办公网络下的云电脑加入AD域服务器并分配给用户。
单击验证获取OU信息。
验证通过后，选择组织单元OU。
确认无误后，单击关闭。
此时办公网络的状态变为已注册，可以正常在该办公网络下创建云电脑或云电脑池。

设置云电脑本地管理员

云电脑本地管理员可以下载安装软件，或执行需要本地管理员权限才可以操作的任务。您可以在创建办公网络时开启云电脑本地管理员，也可以在AD域控服务器中设置本地管理员。

设置本管理员的方式	优势	劣势
创建办公网络时设置本地管理员	创建AD办公网络时设置本地管理员，一次性将该AD办公网络内所有授权使用云电脑的用户均设置为本地管理员，操作简单。	办公网络维度设置云电脑本地管理员权限，设置后办公网络内的云电脑均具有本地管理员权限，权限控制不精细。
在AD域控设置云电脑本地管理员	用户维度设置云电脑本地管理员权限，可按需为用户授予云电脑本地管理员权限，实现精细化权限管控。	需要手动在AD域控中配置云电脑本地管理员权限，操作相对繁琐。

关于如何在AD域控设置本地管理员，请参见怎么在AD域设置本地管理员？。

管理办公网络

创建好办公网络之后，您可以执行以下常用管理操作：

删除办公网络

将办公网络内的云电脑资源完全释放后方可将其删除。删除基于企业AD账号的办公网络后，AD Connector停止计费。

警告

删除办公网络前，请确保办公网络内的重要资源和数据已经备份，删除后相关资源和数据无法恢复，请谨慎操作。

在左侧导航栏，选择网络与存储 > 办公网络（原工作区）。
在顶部菜单栏左上角处选择目标地域。
在办公网络（原工作区）页面上，找到目标办公网络，在其操作列单击删除。
在确认对话框中，阅读提示信息并单击确定删除。

配置条件转发器和信任关系

新建的办公网络默认采用ASP协议。对于存量的采用HDX协议的办公网络，需要配置条件转发器和信任关系后方可正常使用。

配置条件转发器和信任关系的操作步骤

配置条件转发器。
在配置条件转发器页面，按界面提示，登录AD域对应的DNS服务器，配置条件转发器。
说明
- 如果您的企业AD为单个域，或者多个域（父子域）对应同一个DNS，则需要为该DNS配置条件转发器。
- 如果您的企业AD为多个域（父子域），且对应多个不同的DNS，则需要为每个DNS分别配置条件转发器。
1. 打开DNS管理器。
  此处以Windows Server 2016为例介绍打开DNS管理器的步骤，如果您的服务器为其他操作系统，请以实际为准。
  1. 打开服务器管理器，在左侧导航栏中选择DNS。
  2. 在右侧服务器列表中，右键单击服务器，在弹出菜单中选择DNS管理器。
2. 在DNS管理器对话框中，右键单击条件转发器，在弹出菜单中选择新建条件转发器。
3. 输入域名和IP地址，选中在Active Directory中存储此条件转发器，并按如下方式复制它，然后选择此域中的所有DNS服务器，并单击确定。
  域名为ecd.acs，IP地址为连接地址。
  说明
  您可以在办公网络详情页面的AD 设置区域，找到连接地址并获取IP地址。
4. 在AD域服务器中的管理员：命令提示符窗口执行以下命令，验证网络是否互通。
```
nslookup ecd.acs
```
  - 如果返回的IP地址是连接地址，则表示已成功配置条件转发器。
  - 如果返回报错信息，请检查条件转发器是否配置正确，然后清理DNS缓存。关于如何清理DNS缓存，请参见AD办公网络常见问题。
登录AD域控服务器，配置信任关系。
如果未配置信任关系，该办公网络内仅支持创建与办公网络协议类型相同的云电脑，配置信任关系后，支持创建ASP协议或HDX协议的云电脑。请按照以下步骤为采用HDX协议的办公网络配置信任关系。
说明
如需为采用ASP协议的办公网络配置信任关系，您可以提交工单以获取阿里云技术支持。
1. 打开服务器管理器。
2. 在右上角的菜单栏选择工具Active Directory 域和信任关系。
3. 在弹出的对话框中，右键单击域，选择属性。
4. 在域属性对话框中，单击信任页签，然后单击新建信任。
5. 按照向导完成信任配置。
  需要注意的配置项如下，其他配置保持默认即可。
  - 信任名称：输入ecd.acs。
  - 信任类型：选择外部信任。
    说明
    如果无法选择外部信任，在管理员：命令提示符窗口执行以下命令，验证网络是否互通。
    nslookup ecd.acs
    如果返回AD Connector的IP地址（即连接地址），则表示已成功配置条件转发器。
    如果返回报错信息，请检查条件转发器是否配置正确，然后清理DNS缓存，关于如何清理DNS缓存，请参见AD办公网络常见问题。
  - 信任密码：您可以自定义设置，该密码在下一步云电脑侧配置AD域时需要输入，您需要牢记该密码。
6. 确认配置完成的信任，然后单击确定。
7. 在无影云电脑（专业版）控制台的配置信任关系页面，输入配置信任关系时设置的信任密码，然后单击完成所有配置。

后续操作

创建好办公网络后，您可以执行以下常用操作：