工作区用于容纳云桌面,包括安全办公网络划分,用户账号系统和互联网访问等相关设置。其中,用户账号系统分为便捷用户和企业AD用户,企业AD账号需要对接企业AD获取。本文介绍如何对接企业AD,并创建一个账号系统类型为企业AD账号的工作区。

前提条件

  • 已完成企业AD搭建。
    说明
    • 如果AD和DNS部署在同一台服务器上,请确保该服务器的DNS指向127.0.0.1。
    • 如果AD和DNS部署在不同服务器上,请确保AD域服务器的DNS已指向DNS服务器的IP地址。
  • 已创建云企业网实例,并已将企业AD所属的网络加入到云企业网实例中。具体操作,请参见创建云企业网实例加载网络实例
    说明 对接企业AD时,需确保企业AD的私网网络与创建工作区时设置的安全办公网络能通过云企业网CEN实现网络互通。

背景信息

工作区用于容纳云桌面,是云桌面工作环境配置的集合,包括安全办公网络的划分、用户账号系统和互联网访问等相关设置。更多信息,请参见工作区概述

创建账号系统类型为企业AD账号的工作区时,需要对接企业AD。除了在无影云桌面控制台创建工作区外,您需要在企业AD域对应的DNS服务器中配置DNS开启区域传送和创建条件转发器。请按照以下步骤顺序完成配置:
  1. 步骤一:创建工作区
  2. 步骤二:配置DNS开启区域传送
  3. 步骤三:配置DNS条件转发器
说明 对接企业AD需要支付AD Connector的费用,关于AD Connector如何计费,请参见AD Connector计费

步骤一:创建工作区

  1. 登录无影云桌面控制台
  2. 在左侧导航栏,单击概览
  3. 概览页面,单击创建工作区
  4. 设置安全办公网络页面,选择地域、输入工作区名称并设置IPv4网段,然后单击下一步:配置账号系统
    相关配置说如下表所示。
    参数 描述
    地域 工作区所属的地域。支持的地域及相关限制,请参见地域
    工作区名称 自定义,便于识别工作区。名称规范要求请参考页面提示。
    IPv4网段 系统将根据输入的IPv4网段,自动创建一个专有网络VPC。建议您使用10.0.0.0/12,172.16.0.0/12,192.168.0.0/16及其子网作为IPv4网段。如果设置了10或者172网段,掩码有效范围为12~24位,如果设置了192网段,掩码有效范围为16~24位。
    说明 在工作区下创建云桌面时,系统将自动从设置的网段中给云桌面分配IP地址。请根据业务需要设置合适的网段,避免与云企业网实例中的其它网络实例造成网段冲突,同时确保IP地址数量能够满足云桌面创建需求(掩码数值越大,工作区内包含的IP地址数量越少,则该工作区内可创建的桌面数量越少)。
    连接方式 连接云桌面时允许使用的接入方式,可选项如下:
    • 公网连接:只允许客户端通过公网连接云桌面。
    • VPC连接:只允许处于VPC网络内的客户端连接云桌面。
    • 公网和VPC都允许:不限制方式。使用客户端连接云桌面时可以自行选择连接方式。
    说明 VPC连接方式依赖于阿里云私网连接(PrivateLink)服务,该服务不收取费用。选择VPC连接或者公网和VPC都允许时,系统将自动为您开通私网连接服务。
    云企业网 对接企业AD时,必须要将工作区网络加入到云企业网中,以实现安全办公网络和企业AD的网络互通。请选择加入输入云企业网实例ID。
  5. 配置账号系统页面,选择账号类型为企业AD账号,并完成相关参数配置。
    相关参数说明如下表所示。
    参数 描述
    DNS地址 输入企业AD对应DNS的IP地址(私网IP地址)。
    说明 如果AD域控制器和DNS服务器为同一台,您可以直接输入该服务器的IP地址。请确保该IP地址在您上一步设置的安全办公网络下可以访问。
    域名称 输入企业AD的域名,如:example.com。
    子域管理员连接AD 如果企业AD搭建了父子域,且您需要使用子域来连接管理AD目录,可以选中该选项。选中后,您需要输入子域名称和子域DNS:
    • 子域名称:企业AD子域的域名。
    • 子域DNS:企业AD子域对应DNS的IP地址,可以和父域的DNS相同。
    管理员用户名、管理员密码、确认密码 输入域管理员的用户名和密码。如果选中了允许使用子域管理员来连接管理AD,需输入子域管理员对应的用户名和密码。
    注意 管理员用户名请使用sAMAccountName,不能使用userPrincipalName。
    桌面本地管理员 选中默认将您添加为桌面本地管理员后,基于该工作区创建的云桌面分配给终端用户时,根据云桌面的操作系统类型,终端用户的权限情况如下:
    • 对于Windows云桌面,终端用户将拥有本地管理员权限,但具体具备哪些权限仍由AD设置决定。
    • 对于Linux云桌面,终端用户将拥有执行所有命令的权限。使用sudo执行命令时,需要输入AD用户密码。
  6. 可选:单击下一步:访问公网设置,在访问互联网设置页面,完成相关配置。
    请根据需要选择是否开通互联网访问。如果选择开通,请设置带宽峰值。更多信息,请参见管理互联网访问
  7. 确认配置费用,单击立即创建
  8. 单击去安全办公网络查看,获取AD Connector的IP地址。
    安全办公网络页面找到新创建工作区对应的网络,其连接地址即为AD Connector的IP地址。如下图所示。AD连接

步骤二:配置DNS开启区域传送

您需要为企业AD域对应的DNS配置开启区域传送:
  • 如果您的企业AD为单个域,或者多个域(父子域)对应同一个DNS,则需要为该DNS配置开启区域传送。
  • 如果您的企业AD为多个域(父子域),且对应多个不同的DNS,则需要为每个DNS分别配置开启区域传送。
  1. 登录企业AD域对应的DNS服务器。
  2. 打开DNS管理器。
    1. 打开服务器管理器,在左侧导航栏中选择DNS
    2. 在右侧服务器列表中,右键单击服务器,在弹出菜单中选择DNS管理器
    说明 此处以Windows Server 2016为例介绍打开DNS管理器的步骤,如果您的服务器为其它操作系统,请以实际为准。
  3. DNS管理器对话框中,单击正向查找区域
  4. 重复以下步骤,为正向查找区域下的两个区域分别设置属性。
    1. 右键单击区域,在弹出菜单中选择属性
    2. 在属性设置对话框的区域传送页签下,选中允许区域传送后,选择到所有服务器
      说明 如果您的DNS已经配置了区域传送到指定服务器,或者出于安全考虑,您不想配置区域传送到所有服务器,则此处您可以将AD Connector的IP增加到允许的服务器列表中,即配置区域传送到AD Connector的IP。
    3. 单击确定
    配置企业AD
  5. 开放以下服务器端口。

    如果您的企业AD部署在ECS上,请按下表设置所使用安全组的入方向规则。

    协议类型 端口或端口范围 授权对象
    自定义UDP 53、88、123、137、138、389、445、464 0.0.0.0/0
    自定义TCP
    • 53
    • 88~65535范围的全部端口
    0.0.0.0/0
  6. 在cmd中执行以下命令,验证网络是否互通。
    nslookup ecd.acs

步骤三:配置DNS条件转发器

您需要为企业AD域对应的DNS配置条件转发器:
  • 如果您的企业AD为单个域,或者多个域(父子域)对应同一个DNS,则需要为该DNS配置条件转发器。
  • 如果您的企业AD为多个域(父子域),且对应多个不同的DNS,则需要为每个DNS分别配置条件转发器。
  1. 登录企业AD域对应的DNS服务器。
  2. 打开DNS管理器。
    1. 打开服务器管理器,在左侧导航栏中选择DNS
    2. 在右侧服务器列表中,右键单击服务器,在弹出菜单中选择DNS管理器
    说明 此处以Windows Server 2016为例介绍打开DNS管理器的步骤,如果您的服务器为其它操作系统,请以实际为准。
  3. DNS管理器对话框中,右键单击条件转发器,在弹出菜单中选择新建条件转发器
  4. 输入域名和IP地址。
    域名为ecd.acs,IP地址为步骤一中获得的AD Connector的IP地址。配置DNS
  5. 单击确定

执行结果

配置完成后,您可以通过以下方式查看是否已经创建成功:
  • 在无影云桌面控制台的概览页面,找到创建的工作区,单击工作区ID打开详情页面,您可以看到工作区的状态为已注册
    说明 如果状态一直为注册中,您可以单击工作区详情页右上角的查询注册日志来获取日志,了解报错信息。
  • 在无影云桌面控制台的安全办公网络页面,找到工作区对应的网络,您可以看到网络的状态为已注册