创建AD工作区常见问题

企业AD和AD工作区的网络如果不通，则无法成功创建和配置工作区。您可以按照以下方法检查网络通不通。

• 检查企业AD的私网网络与AD工作区的安全办公网络是否已通过云企业网CEN实现网络互通。

  1. 登录AD域服务器。

  2. 在cmd中执行以下命令，验证网络是否互通。

     ping 连接地址

     连接地址获取入口：在无影云桌面控制台的安全办公网络页面的AD设置面板获取。

     • 如果ping通，则说明网络互通。

     • 如果无法ping通，请将AD域服务器和DNS服务器所属VPC，以及AD工作区安全办公网络对应的VPC，加入到云企业网实例中。

       操作如下：

       • AD域服务器和DNS服务器所属VPC

         在云企业网控制台的云企业网实例页面，单击目标加入的云企业网实例ID，然后单击VPC后面的图标，在弹出的页面中按照提示完成相关配置。

       • AD工作区安全办公网络对应的VPC

         在无影云桌面控制台的安全办公网络页面，单击加入云企业网，在弹出的对话框中完成相关配置。

• 检查AD域服务器和DNS服务器所属VPC的安全组规则，是否已开放相关网络端口。

  1. 登录专有网络控制台。
  2. 在专有网络页面，找到目标VPC，单击实例ID。
  3. 在资源管理页签下，单击安全组对应的数字。
  4. 在安全组页面，找到目标安全组，单击安全组ID。
  5. 根据下表信息配置安全组的入方向规则。具体操作，请参见添加安全组规则。

     协议类型	端口或端口范围	授权对象	描述
     自定义UDP	53	AD工作区对应的IPv4网段，例如：192.168.XX.XX/24。	DNS
     	88		Kerberos
     	123		Windows Time
     	137		NETBIOS
     	138		NETBIOS
     	389		LDAP
     	445		CIFS
     	464		Kerberos change/set password
     自定义TCP	53	AD工作区对应的IPv4网段，例如：192.168.XX.XX/24。	DNS
     	88		Kerberos
     	135		Replication
     	389		LDAP
     	443		HTTPS
     	445		SMB/CIFS
     	636		LDAP SSL
     	9389		PowerShell
     	49152~65535范围的全部端口		RPC
     	3268~3269		LDAP GC & LDAP GC SSL

工作区状态一直是注册中可能是创建工作区的时候参数填写错误，您可以排查以下配置项的参数。

• 检查创建AD工作区时参数配置是否正确。

  1. 在无影云桌面控制台的工作区页面，找到目标工作区，单击工作区ID。

  2. 在工作区详情页面，检查参数信息是否正确。

     需要检查的参数信息如下，如果参数配置错误，请重新创建工作区完成相关对接配置。

     • 域名称的格式填写正确，例如：example.com。

     • DNS地址填写私网IP地址，例如：192.168.XX.XX。

• 检查AD域服务器是否已配置正确的DNS服务器。

  下文以Windows Server 2016为例介绍查看DNS配置的步骤，如果您的服务器为其它操作系统，请以实际为准。

  1. 登录企业AD域服务器。

  2. 打开网络和共享中心。

  3. 单击当前使用的网络连接，在弹出的对话框中单击属性。

  4. 双击Internet 协议版本 4(TCP/IPv4)，打开对应的属性对话框。

  5. 查看是否已指定DNS服务器，并确认IP地址是否正确。

     如果AD和DNS部署在同一台服务器上，请确保该服务器的DNS指向127.0.0.1；如果AD和DNS部署在不同服务器上，请确保AD域服务器的DNS已指向DNS服务器的IP地址。

• 检查DNS条件转发器是否配置正确（仅HDX协议的AD工作区需检查该项）。

  1. 登录DNS服务器。

  2. 在cmd中执行以下命令进行检查

     nslookup ecd.acs

     • 如果返回AD Connector的IP地址（即连接地址），则表示已正确配置条件转发器。

     • 如果返回报错信息，请重新配置条件转发器。

  说明

  如果上述方式无法解决问题，请提交工单。

桌面本地管理员可以下载安装软件或执行需桌面本地管理员才有权限操作的任务。您可以在创建AD工作区时将该工作区下的云桌面设置为桌面本地管理员，您也可以在AD域控中按需设置本地管理员权限。您可以根据需要选择一下一种方式设置桌面本地管理员：

• 创建工作区时选中桌面本地管理员。具体操作，请参见，创建并配置AD工作区。

• 创建工作区时不选中桌面本地管理员，在AD域控中设置桌面本地管理员。

  说明

  下文以Windows Server 2022为例介绍如何在AD域控新建组织单元并将组织单元中的用户设置为桌面本地管理员，业务中请以实际的操作系统为准。

  1. 打开服务器管理器。

  2. 在服务器管理器页面，单击右上角的工具，然后选择Active Directory用户和计算机。

  3. 新建组织单元。例如：新建名为test的组织单元。

     在Active Directory用户和计算机面板，右键单击域名，然后选择新建 > 组织单元，在新建对象-组织单元对话框中输入test并单击确定。

  4. 在组织单元中新建用户组。例如：新建名为Admin Group的组。

     右键单击test，然后选择新建 > 组，在新建对象-组对话框中设置以下配置项的信息然后单击确定。

     • 组名：Admin Group

     • 组名（Windows 2000以前版本）：Admin Group

     • 组作用域：全局。

     • 组类型：安全组。

     说明

     您可以按需将目标设置为桌面本地管理员的账号加入该组。

  5. 在无影云桌面控制台工作区的AD设置面板，找到指定的组织单元OU，然后单击后面的图标，选择目标组织单元OU。例如：选择test 。

  6. 在AD域的组策略管理中新建GPO。例如：名为User GPO。

     1. 在服务器管理器页面，单击右上角的工具，然后选择组策略管理。

     2. 在组策略管理对话框找到test并右键单击，然后选择在这个域中创建 GPO 并在处链接。

     3. 在弹出的对话框中输入User GPO并单击确定。

  7. 为用户组添加桌面本地管理员权限。

     1. 右键单击新建的GPO。即右键单击User GPO，然后选择编辑。

     2. 在组策略管理编辑器面板，选择计算机配置 > 首选项 > 控制面板设置 > 本地用户和组，然后右键单击本地用户和组并选择新建 > 本地组。

     3. 在新建本地组属性面板，选择本地组页签，然后设置一下配置项的参数并选中添加当前用户。

        • 操作：更新。

        • 组名：Administrators（内置）

     4. 单击添加。

• 单击应用。

• 重启云桌面，本地桌面管理员权限生效。

基于HDX协议创建的AD工作区，创建完AD工作区后配置AD域、条件转发器和信任关系后，查看工作区的状态为配置信任失败。此时您需要登录AD域控服务器，配置本地安全策略。相关操作如下：

1. 在AD域配置面板的配置信任关系页面，按照界面提示登录AD域控服务器。

2. 在cmd中执行以下命令，打开本地安全策略页面。

   secpol.msc

3. 在本地安全策略页面，在左侧导航栏选择本地策略 > 安全选项。

4. 在本地安全策略页面右侧的策略面板中，找到网络访问:可匿名访问的命名管道并右键网络访问:可匿名访问的命名管道，然后选择属性。

5. 在网络访问:可匿名访问的命名管道 属性面板的本地策略设置页签下，在输入框中输入以下内容并按照提示完成后续操作。

   netlogon
   samr
   lsarpc

6. 登录无影云桌面控制台。

7. 找到目标AD工作区，并单击工作区ID，然后查看工作区的状态为已注册，则说明问题已经解决。