创建并配置AD工作区

步骤一：创建工作区

1. 登录无影云桌面控制台。
2. 在左侧导航栏，选择桌面 > 工作区。
3. 在工作区页面单击创建工作区。
4. 在设置安全办公网络页面选择创建云盒工作区，完成网络相关配置，然后单击下一步：配置账号系统。
   相关配置说明如下表所示：

   参数	描述
   地域	选择云盒所属的地域。支持的地域及相关限制，请参见使用限制。
   可用区名称	选择云盒所在的可用区。
   工作区名称	自定义，便于识别工作区。名称规范要求请参考页面提示。
   VPC	选择已创建的VPC。
   交换机	选择已创建的交换机。如果没有可选的交换机，单击创建交换机进行创建。
   桌面本地管理员	选中后，基于该工作区创建的云桌面分配给终端用户时，根据云桌面的操作系统类型，终端用户的权限情况如下： 对于Windows云桌面，终端用户将拥有本地管理员权限。 对于Linux云桌面，终端用户将拥有执行所有命令的权限。使用sudo执行命令时，无需输入密码。

5. 配置账号系统。
   1. 在配置账号系统页面，选择企业AD账号，然后设置相关配置项的参数。
      相关配置项说明如下表所示。

      配置项	描述
      DNS地址	输入企业AD对应DNS的IP地址（私网IP地址）。 说明 如果AD域控服务器和DNS服务器为同一台，您可以直接输入该服务器的IP地址。请确保该IP地址在上一步设置的安全办公网络下可以访问。
      域名称	输入企业AD的域名，如：example.com。 说明 如果提示域名称无效，请提交工单。
      域控主机名（选填）	如果AD域控服务器和DNS服务器不是同一台（即分开部署AD域控和DNS服务器），建议您设置域控主机名，以便系统明确可连接的域控服务器，提高工作区创建成功率。
      桌面本地管理员（选填）	是否为云桌面授予桌面本地管理员的权限。选中后，该工作区下的所有云桌面均具有桌面本地管理员权限，可下载安装软件或者执行需本地桌面管理员权限才有操作的任务。设置桌面本地管理员后不支持修改。 说明 根据云桌面的操作系统类型，终端用户的权限说明如下： 对于Windows云桌面，终端用户将拥有本地桌面管理员权限，但具体具备哪些权限仍由企业AD的设置决定。 对于Linux云桌面，终端用户将拥有执行所有命令的权限。使用sudo执行命令时，需要输入企业AD用户的密码。 您也可以在AD域控中设置桌面本地管理员，此方式可实现精细化的权限管控。具体操作，请参见，怎么在AD域设置桌面本地管理员？。
      选择AD Connector规格	请根据预估的桌面数量选择合适的规格。AD Connector采用按量付费，不同规格的AD Connector计费不同。更多信息，请参见计费项。 通用型：用于桌面数量较少（不超过500台）的工作区。 高级型：用于桌面数量较多（高于500台）的工作区。

   2. 单击立即创建工作区。
      工作区状态变为创建成功后，方可配置AD域。
      说明 如果状态变为创建失败，请根据提示信息重试，或者提交工单。

步骤二：配置AD域

如果是基于ASP协议创建的AD工作区，您需要按照下文配置AD域。如果是基于HDX协议创建AD工作区，AD工作区创建成功后，您无法直接使用，需要完成DNS条件转发器和信任关系等配置才能正常使用。下文为您介绍具体的操作步骤，实际业务中请根据实际情况选择相应的操作完成AD域配置。

ASP协议的AD工作区配置AD域

1. 单击进入工作区详情页面，在工作区详情页面记录AD Connector的IP地址（即连接地址）。
2. 配置AD域。
   1. 在无影云桌面控制台的概览页面单击上一步创建的工作区ID，在工作区的基础信息面板单击工作区状态右侧的去配置。
   2. 在AD域配置面板，填写域用户名称和密码。
   3. 单击验证获取OU信息。
   4. 可选：验证成功后，单击下拉列表并选择AD域中组织单元OU。
      重要 AD域中的组织单元支持修改。

      入口：在无影云桌面控制台工作区的AD设置面板，找到指定的组织单元OU，然后单击后面的图标，根据需要重新选择目标组织单元OU。

   5. 单击确定。

HDX协议的AD工作区配置条件转发器和信任关系

1. 配置条件转发器。
   在配置条件转发器页面，按照页面提示，登录AD域对应的DNS服务器，配置条件转发器。

   重要

   • 如果您的企业AD为单个域，或者多个域（父子域）对应同一个DNS，则需要为该DNS配置条件转发器。
   • 如果您的企业AD为多个域（父子域），且对应多个不同的DNS，则需要为每个DNS分别配置条件转发器。
   1. 打开DNS管理器。
      此处以Windows Server 2016为例介绍打开DNS管理器的步骤，如果您的服务器为其它操作系统，请以实际为准。

      1. 打开服务器管理器，在左侧导航栏中选择DNS。
      2. 在右侧服务器列表中，右键单击服务器，在弹出菜单中选择DNS管理器。
   2. 在DNS管理器对话框中，右键单击条件转发器，在弹出菜单中选择新建条件转发器。
   3. 输入域名和IP地址，选中在Active Directory中存储此条件转发器，并按如下方式复制它，然后选择此域中的所有DNS服务器。
      域名为ecd.acs，IP地址为连接地址。

      说明 您可以在无影云桌面控制台工作区的AD设置面板，找到连接地址并获取IP地址。

      
   4. 单击确定。
   5. 在cmd中执行以下命令，验证网络是否互通。

      nslookup ecd.acs

      • 如果返回的IP地址是连接地址，则表示已成功配置条件转发器。
      • 如果返回报错信息，请检查条件转发器是否配置正确，然后清理DNS缓存，关于如何清理DNS缓存，请参见创建AD工作区常见问题。
2. 在无影云桌面控制台的配置条件转发器页面，单击下一步。
3. 配置信任关系。
   说明 如果AD工作区未配置信任关系，则仅支持创建ASP协议类型的云桌面。只有配置信任关系的AD工作区，才支持创建ASP协议或HDX协议的云桌面。

   在配置信任关系页面，按照界面提示，登录AD域控服务器，配置信任关系。
   1. 打开服务器管理器。
   2. 在右上角的菜单栏选择工具 > Active Directory 域和信任关系。
   3. 在弹出的对话框中，右键单击域，选择属性。
   4. 在域属性对话框中，单击信任页签，然后单击新建信任。
   5. 按照向导完成信任配置。
      需要注意的配置项如下，其他配置保持默认即可。

      • 信任名称：输入ecd.acs。
      • 信任类型：选择外部信任。
        说明 如果无法选择外部信任，在cmd中执行以下命令，验证网络是否互通。

        nslookup ecd.acs

        • 如果返回AD Connector的IP地址（即连接地址），则表示已成功配置条件转发器。
        • 如果返回报错信息，请检查条件转发器是否配置正确，然后清理DNS缓存，关于如何清理DNS缓存，请参见创建AD工作区常见问题。
        
      • 信任密码：您可以自定义设置，该密码在下一步云桌面侧配置AD域时需要输入，您需要牢记该密码。
   6. 确认配置完成的信任，然后单击确定。
      
   7. 在无影云桌面控制台的配置信任关系页面，输入配置信任关系时设置的信任密码，然后单击完成所有配置。

查看AD工作区