AD办公网络常见问题

说明

如果上述方式无法解决问题,您可以提交工单联系阿里云的技术支持获取帮助。

本文记录创建AD办公网络的常见问题。

创建AD办公网络出现如图报错,怎么办?

  • 现象描述

    创建办公网络的过程中,出现如图所示的报错。AD办公网络常见问题-zh.png

  • 原因定位

    造成上图所示报错的原因可能有:

    • 创建办公网络过程中域名称域控主机名DNS 地址填写有误。

    • 企业AD域控服务器和AD办公网络的网络不互通。

  • 解决方案

    1. 检查创建办公网络的相关配置项信息填写准确无误。

      • 检查域名称

        检查域名称的格式是否正确,正确格式为:example.com。

      • 检查域控主机名

        检查域控主机名填写是否正确。

        说明

        • 如果AD域控服务器和DNS服务器不是同一台设备(即分开部署AD域控和DNS),您必须填写域控主机名,以便系统明确可连接的域控服务器,提高办公网络创建成功率。

        • 如果AD域控服务器和DNS服务器部署在同一台设备,您可以按需填写。

      • 检查DNS地址

        检查DNS地址填写的私网IP地址是否正确,正确格式为:192.168.XX.XX。

    2. 检查企业AD的VPC与AD办公网络VPC是否已通过云企业网实例实现网络互通。

      说明

      如果AD域服务器和DNS服务器部署在本地数据中心IDC,需要先通过智能接入网关SAG、专线或者VPN打通本地与云上网络。

      1. 登录AD域控服务器。

      2. 管理员:命令提示符窗口执行以下命令,验证网络是否互通。

        ping <连接地址>
        说明

        业务中您需要将连接地址替换为实际IP地址。您可以在AD办公网络详情页面的AD 设置区域,找到连接地址,获取IP地址。

        • 如果ping通,则说明网络互通。

        • 如果无法ping通,请将AD域服务器所属VPC和AD办公网络VPC,加入同一个云企业网实例。

          如果AD域控服务器和DNS服务部署在不同设备,请将AD域服务器和DNS服务器所属VPC,以及AD办公网络VPC,加入同一个云企业网实例。

          操作如下:

          • 将AD域服务器和DNS服务器所属VPC加入云企业网实例

            登录云企业网管理控制台,在云企业网实例页面,单击待加入的云企业网实例ID,然后单击VPC后面的加号图标,在弹出的页面中按照提示完成相关配置。

          • 将AD办公网络VPC加入云企业网实例

            登录无影云电脑管理控制台办公网络(原工作区)页面找到待加入云企业网的AD办公网络,在操作列单击加入云企业网,在弹出的对话框中完成相关配置。具体操作,请参见加入与解绑云企业网

    3. 检查网络端口是否开放

      AD办公网络VPC需要访问AD域控的以下网络端口,您需要确保在AD域控服务器、DNS服务器或者安全软件中开放以下端口。

      协议类型

      端口或端口范围

      描述

      授权对象

      自定义UDP

      53

      DNS

      AD办公网络对应的IPv4网段,例如:192.168.XX.XX/24。

      88

      Kerberos

      123

      Windows Time

      137

      NETBIOS

      138

      NETBIOS

      389

      LDAP

      445

      CIFS

      464

      Kerberos修改或重置密码

      自定义TCP

      53

      DNS

      AD办公网络对应的IPv4网段,例如:192.168.XX.XX/24。

      88

      Kerberos

      135

      Replication

      389

      LDAP

      443

      HTTPS

      445

      SMB/CIFS

      636

      LDAP SSL

      9389

      PowerShell

      49152~65535范围的全部端口

      RPC

      3268~3269

      LDAP GC和LDAP GC SSL

怎么在AD域控服务器设置云电脑本地管理员?

云电脑本地管理员可以下载安装软件或执行需云电脑本地管理员才有权限操作的任务。您可以在创建AD办公网络时将该办公网络下的云电脑设置为云电脑本地管理员,也可以在AD域控中按需设置本地管理员权限。您可以根据需要选择以下一种方式设置云电脑本地管理员:

  • 在AD办公网络设置云电脑本地管理员。具体操作,请参见创建并配置AD办公网络

  • 在AD域控中设置云电脑本地管理员。

    说明

    下文以Windows Server 2022为例介绍如何在AD域控新建组织单元并将组织单元中的用户设置为云电脑本地管理员,业务中请以实际的操作系统为准。

    1. 打开服务器管理器

    2. 服务器管理器页面,单击右上角的工具,然后选择Active Directory用户和计算机

    3. 新建组织单元。例如:新建名为test的组织单元。

      Active Directory用户和计算机面板,右键单击域名,然后选择新建 > 组织单元,在新建对象-组织单元对话框中输入test并单击确定

    4. 在组织单元中新建用户组。例如:新建名为Admin Group的组。

      右键单击test,然后选择新建 > ,在新建对象-组对话框中设置以下配置项的信息然后单击确定

      • 组名:Admin Group

      • 组名(Windows 2000以前版本):Admin Group

      • 组作用域:全局。

      • 组类型:安全组。

      说明

      您可以按需将目标设置为云电脑本地管理员的账号加入该组。

    5. 无影云电脑管理控制台的AD 设置面板,找到指定的组织单元OU,然后单击后面的图标图标,选择目标组织单元OU。例如:选择test 。

    6. 在AD域控的组策略管理中新建GPO。例如:名为User GPO。

      1. 服务器管理器页面,单击右上角的工具,然后选择组策略管理

      2. 组策略管理对话框找到test并右键单击,然后选择在这个域中创建 GPO 并在处链接

      3. 在弹出的对话框中输入User GPO并单击确定

    7. 为用户组添加云电脑本地管理员权限。

      1. 右键单击新建的GPO。即右键单击User GPO,然后选择编辑

      2. 组策略管理编辑器面板,选择计算机配置 > 首选项 > 控制面板设置 > 本地用户和组,然后右键单击本地用户和组并选择新建 > 本地组

      3. 新建本地组属性面板,选择本地组页签,然后设置一下配置项的参数并选中添加当前用户

        • 操作:更新。

        • 组名:Administrators(内置)

      4. 单击添加

    8. 单击应用

    9. 重启云电脑,云电脑本地管理员权限生效。

创建HDX协议AD办公网络报错,怎么办?

通常情况下,新建的AD办公网络默认采用ASP协议。如果您的阿里云主账号下保有HDX协议的AD办公网络,在创建或配置HDX协议AD办公网络中,您可以参考下文描述解决问题。

说明

单击折叠面板后的下拉箭头.png图标可以展开查看详细内容。

HDX协议AD办公网络常见问题

怎么配置条件转发器和信任关系?

HDX协议的AD办公网络创建完成后,需要配置条件转发器和信任关系后方可正常使用。具体操作,请参见配置条件转发器和信任关系

办公网络的状态为配置信任失败,怎么办?

基于HDX协议创建的AD办公网络,创建AD办公网络成功并配置AD域、条件转发器和信任关系后,查看办公网络的状态为配置信任失败。此时您需要登录AD域控服务器,配置本地安全策略。相关操作如下:

  1. AD域配置面板的配置信任关系页面,按照界面提示登录AD域控服务器。

  2. 管理员:命令提示符窗口执行以下命令,打开本地安全策略页面。

    secpol.msc
  3. 本地安全策略页面,在左侧导航栏选择本地策略 > 安全选项

  4. 本地安全策略页面右侧的策略面板中,找到网络访问:可匿名访问的命名管道并右键网络访问:可匿名访问的命名管道,然后选择属性

  5. 网络访问:可匿名访问的命名管道 属性面板的本地策略设置页签下,在输入框中输入以下内容并按照提示完成后续操作。

    netlogon
    samr
    lsarpc
  6. 登录无影云电脑控制台

  7. 找到目标AD办公网络,并单击办公网络ID,然后查看办公网络的状态为已注册,则说明问题已经解决。

配置过程中提示请刷新DNS缓存,怎么办?

配置过程中,您可以单击办公网络详情页面右上角的查询注册日志了解报错信息。如果检查配置无误且网络互通仍然提示请刷新DNS缓存,您可以重启AD域控服务器,或者登录DNS服务器,在PowerShell中执行以下命令清除DNS缓存。

  • 清除DNS服务器中的资源记录

    Clear-DnsServerCache -Force
  • 清除DNS客户端的缓存内容

    Clear-DnsClientCache

怎么检查DNS条件转发器配置是否正确?

  1. 登录DNS服务器。

  2. 管理员:命令提示符窗口执行以下命令进行检查

  3. nslookup ecd.acs
    • 如果返回AD Connector的IP地址(即连接地址),则表示已正确配置条件转发器。

      您可以在AD办公网络详情页面的AD 设置区域,找到连接地址

    • 如果返回报错信息,请重新配置条件转发器。关于如何配置条件转发器,请参见配置条件转发器