本文记录创建AD工作区的常见问题。

怎么检查企业AD和AD工作区的网络通不通?

企业AD和AD工作区的网络如果不通,则无法成功创建和配置工作区。您可以按照以下方法检查网络通不通。
说明 如果AD域服务器和DNS服务器部署在本地IDC,需要先通过SAG、专线或者VPN打通本地与云上网络。
  • 检查企业AD的私网网络与AD工作区的安全办公网络是否已通过云企业网CEN实现网络互通。
    1. 登录AD域服务器。
    2. 在cmd中执行以下命令验证网络是否互通。
      ping 连接地址

      连接地址获取入口:无影云桌面控制台安全办公网络页面的AD设置面板获取。

      • 如果ping通,则说明网络互通。
      • 如果无法ping通,请将AD域服务器和DNS服务器所属VPC,以及AD工作区安全办公网络对应的VPC,加入到云企业网实例中。
        操作如下:
        • AD域服务器和DNS服务器所属VPC

          云企业网控制台云企业网实例页面,单击目标加入的云企业网实例ID,然后单击VPC后面的加号图标,在弹出的页面中按照提示完成相关配置。

        • AD工作区安全办公网络对应的VPC

          无影云桌面控制台安全办公网络页面,单击加入云企业网,在弹出的对话框中完成相关配置。

  • 检查AD域服务器和DNS服务器所属VPC的安全组规则,是否已开放相关网络端口。
    1. 登录专有网络控制台
    2. 专有网络页面,找到目标VPC,单击实例ID。
    3. 资源管理页签下,单击安全组对应的数字。
    4. 安全组页面,找到目标安全组,单击安全组ID。
    5. 根据下表信息配置安全组的入方向规则。具体操作,请参见添加安全组规则
      协议类型 端口或端口范围 授权对象 描述
      自定义UDP 53 AD工作区对应的IPv4网段,例如:192.168.XX.XX/24。 DNS
      88 Kerberos
      123 Windows Time
      137 NETBIOS
      138 NETBIOS
      389 LDAP
      445 CIFS
      464 Kerberos change/set password
      自定义TCP 53 AD工作区对应的IPv4网段,例如:192.168.XX.XX/24。 DNS
      88 Kerberos
      135 Replication
      389 LDAP
      443 HTTPS
      445 SMB/CIFS
      636 LDAP SSL
      9389 PowerShell
      49152~65535范围的全部端口 RPC
      3268~3269 LDAP GC & LDAP GC SSL

工作区状态一直是注册中该怎么办?

工作区状态一直是注册中可能是创建工作区的时候参数填写错误,您可以排查以下配置项的参数。
  • 检查创建AD工作区时参数配置是否正确。
    1. 无影云桌面控制台工作区页面,找到目标工作区,单击工作区ID。
    2. 在工作区详情页面,检查参数信息是否正确。
      需要检查的参数信息如下,如果参数配置错误,请重新创建工作区完成相关对接配置。
      • 域名称的格式填写正确,例如:example.com。
      • DNS地址填写私网IP地址,例如:192.168.XX.XX。
  • 检查AD域服务器是否已配置正确的DNS服务器。
    下文以Windows Server 2016为例介绍查看DNS配置的步骤,如果您的服务器为其它操作系统,请以实际为准。
    1. 登录企业AD域服务器。
    2. 打开网络和共享中心。
    3. 单击当前使用的网络连接,在弹出的对话框中单击属性以太网状态
    4. 双击Internet 协议版本 4(TCP/IPv4),打开对应的属性对话框。
    5. 查看是否已指定DNS服务器,并确认IP地址是否正确。
      如果AD和DNS部署在同一台服务器上,请确保该服务器的DNS指向127.0.0.1;如果AD和DNS部署在不同服务器上,请确保AD域服务器的DNS已指向DNS服务器的IP地址。网络属性
  • 检查DNS条件转发器是否配置正确(仅HDX协议的AD工作区需检查该项)。
    1. 登录DNS服务器。
    2. 在cmd中执行以下命令进行检查
      nslookup ecd.acs
      • 如果返回AD Connector的IP地址(即连接地址),则表示已正确配置条件转发器。
      • 如果返回报错信息,请重新配置条件转发器。
    说明 如果上述方式无法解决问题,请提交工单

提示请刷新DNS缓存该怎么办?

配置过程中,您可以单击工作区详情页面右上角的查询注册日志了解报错信息。如果检查配置无误且网络互通仍然提示请刷新DNS缓存,您可以重启AD域控服务器,或者登录DNS服务器,在PowerShell中执行以下命令清除DNS缓存。

  • 清除DNS服务器中的资源记录
    Clear-DnsServerCache -Force
  • 清除DNS客户端的缓存内容
    Clear-DnsClientCache

怎么在AD域设置桌面本地管理员?

桌面本地管理员可以下载安装软件或执行需桌面本地管理员才有权限操作的任务。您可以在创建AD工作区时将该工作区下的云桌面设置为桌面本地管理员,您也可以在AD域控中按需设置本地管理员权限。您可以根据需要选择一下一种方式设置桌面本地管理员:
  • 创建工作区时选中桌面本地管理员具体操作,请参见创建并配置AD工作区
  • 创建工作区时不选中桌面本地管理员,在AD域控中设置桌面本地管理员。
    说明 下文以Windows Server 2022为例介绍如何在AD域控新建组织单元并将组织单元中的用户设置为桌面本地管理员,业务中请以实际的操作系统为准。
    1. 打开服务器管理器
    2. 服务器管理器页面,单击右上角的工具,然后选择Active Directory用户和计算机
    3. 新建组织单元。例如:新建名为test的组织单元。

      Active Directory用户和计算机面板,右键单击域名,然后选择新建 > 组织单元,在新建对象-组织单元对话框中输入test并单击确定

    4. 在组织单元中新建用户组。例如:新建名为Admin Group的组。
      右键单击test,然后选择新建 > ,在新建对象-组对话框中设置以下配置项的信息然后单击确定
      • 组名:Admin Group
      • 组名(Windows 2000以前版本):Admin Group
      • 组作用域:全局。
      • 组类型:安全组。
      说明 您可以按需将目标设置为桌面本地管理员的账号加入该组。
    5. 无影云桌面控制台工作区的AD设置面板,找到指定的组织单元OU,然后单击后面的图标图标,选择目标组织单元OU。例如:选择test 。
    6. 在AD域的组策略管理中新建GPO。例如:名为User GPO。
      1. 服务器管理器页面,单击右上角的工具,然后选择组策略管理
      2. 组策略管理对话框找到test并右键单击,然后选择在这个域中创建 GPO 并在处链接
      3. 在弹出的对话框中输入User GPO并单击确定
    7. 为用户组添加桌面本地管理员权限。
      1. 右键单击新建的GPO。即右键单击User GPO,然后选择编辑
      2. 组策略管理编辑器面板,选择计算机配置 > 首选项 > 控制面板设置 > 本地用户和组,然后右键单击本地用户和组并选择新建 > 本地组
      3. 新建本地组属性面板,选择本地组页签,然后设置一下配置项的参数并选中添加当前用户
        • 操作:更新。
        • 组名:Administrators(内置)
      4. 单击添加
  • 单击应用
  • 重启云桌面,本地桌面管理员权限生效。