怎么配置AD办公网络_无影云电脑-阿里云帮助中心

办公网络（原工作区）是云电脑工作环境配置的集合，AD办公网络即账号类型为企业AD账号的办公网络。本文主要介绍创建和配置AD办公网络的相关操作。

背景信息

说明

本文描述的办公网络对应原来的工作区，基础办公网络对应基础型工作区，高级办公网络对应标准型工作区。

云电脑本地管理员可以下载安装软件或执行需要本地管理员权限才可以操作的任务。您可以在创建AD办公网络时开启云电脑本地管理员或者在AD域控服务器中设置本地管理员权限。

两种方式设置云电脑本地管理员的差异如下：

设置本管理员的方式	优势	不足
创建AD办公网络时设置本地管理员权限	创建AD办公网络时设置本地管理员，一次性将该AD办公网络内所有授权使用云电脑的用户均设置为本地管理员，操作简单。	办公网络维度设置云电脑本地管理员权限，设置后办公网络内的云电脑均具有本地管理员权限，权限控制不精细。
在AD域控设置桌面本地管理员	用户维度设置桌面本地管理员权限，可按需为用户授予桌面本地管理员权限，实现精细化权限管控。	需要手动在AD域控中配置桌面本地管理员权限，操作相对繁琐。

如何在AD域控设置本地管理员权限请参见怎么在AD域设置本地管理员？。

前提条件

创建AD办公网络之前，您需要确认已经完成以下工作：

已搭建企业AD。
说明
如果AD域控服务器和DNS服务器部署在不同服务器上，请确保AD域控服务器的DNS已指向DNS服务器的IP地址。
确保企业AD已经加入云企业网实例。
首先，您需要确保已有可用的云企业网实例，如果没有需要先创建云企业网实例。关于如何创建云企业网实例请参见创建云企业网实例。
然后，您需要将企业AD所属的VPC加入云企业网实例。
重要
- 无影云电脑对接企业AD时，需确保企业AD所属的VPC与办公网络VPC能够通过云企业网实现网络互通，即您需要将企业AD所属的VPC与办公网络VPC加入同一个云企业网实例。
- 如果AD域控服务器和DNS服务器部署在本地数据中心IDC，您需要先通过智能接入网关SAG、专线或者VPN打通本地与云上网络。

开放网络端口

AD办公网络VPC需要访问AD域控的以下网络端口，您需要确保在AD域控服务器、DNS服务器或者安全软件中开放以下端口。

协议类型	端口或端口范围	描述	授权对象
自定义UDP	53	DNS	AD办公网络对应的IPv4网段，例如：192.168.XX.XX/24。
	88	Kerberos
	123	Windows Time
	137	NETBIOS
	138	NETBIOS
	389	LDAP
	445	CIFS
	464	Kerberos修改或重置密码
自定义TCP	53	DNS	AD办公网络对应的IPv4网段，例如：192.168.XX.XX/24。
	88	Kerberos
	135	Replication
	389	LDAP
	443	HTTPS
	445	SMB/CIFS
	636	LDAP SSL
	9389	PowerShell
	49152~65535范围的全部端口	RPC
	3268~3269	LDAP GC和LDAP GC SSL

计费说明

AD办公网络通过AD Connector对接企业AD，其中AD Connector需要收费，计费方式采用按量付费，费用由使用时长和单价确定。

如需停止计费，需删除AD办公网络。具体操作，请参见删除AD办公网络。

AD Connector的规格不同，收费不同。AD Connector的单价请参见AD Connector价格。

创建AD办公网络

配置账号系统时通常默认为ASP协议，您无需额外选择协议类型，按照下文操作即可创建ASP协议的AD办公网络。

配置办公网络。

登录无影云电脑控制台。
在左侧导航栏，选择网络与存储 > 办公网络（原工作区）。
在顶部菜单栏左上角，选择地域。
在办公网络（原工作区）页面，单击创建办公网络。

在创建办公网络面板，设置办公网络，完成后单击下一步：配置账号系统。

配置项及其说明

配置项	说明
选择地域	办公网络所属的地域。支持的地域及相关限制，请参见地域。
办公网络名称	办公网络名称用于标识并快速查找办公网络。名称规范请参考页面提示。
IPv4 网段	设置IPv4网段后系统将自动创建办公网络VPC。 IPv4网段决定了该办公网络内允许创建的最大云电脑数量，设置前您需要规划好网段，网段规划指导请参见规划网段。
连接方式	连接云电脑时允许使用的接入方式，支持的连接方式如下：公网连接：只允许客户端通过公网连接云电脑。 VPC连接：只允许客户端通过企业专网连接云电脑。公网和VPC都允许：不限制接入方式。终端用户通过客户端连接云电脑时可以自行选择连接方式。说明 VPC连接依赖于阿里云私网连接（PrivateLink）服务，该服务不收取费用。选择VPC连接或者公网和VPC都允许时，系统将自动为您开通私网连接服务。
云企业网	选择加入，您可以按需选择同账号或者跨账号的云企业网实例ID，具体操作请按照界面提示执行。说明当您选择跨账号的云企业网实例时，处于安全性考虑，您需要输入验证码。如果您未收到验证码，可以按照以下步骤确认接收通知的方式和联系人信息。操作入口：在无影云电脑管理控制台的顶部菜单栏，单击图标进入消息中心。在左侧导航栏，选择消息接收管理 > 基本接收管理。在基本接收管理页面，查看产品的创建、开通信息通知后查看勾选接收通知的方式并确认联系人信息。为保障办公网络内云电脑正常使用，您需要校验所选云企业网实例的路由和办公网络IPv4网段是否冲突。根据界面提示的校验结果，如果冲突，您需要重新设置IPv4网段或云企业网实例。

配置AD账号系统。

在账号类型下，选择企业 AD 账号。

设置以下配置项的参数，完成后单击完成创建。

配置项及其说明

配置项	说明
域名称	企业自有的AD域名。例如example.com。说明如果界面提示域名无效，您可以提交工单联系阿里云的技术支持获取帮助。
域控主机名	域控主机名是您在AD域控设置的主机名称。如果AD域控服务器和DNS服务器不是同一台设备（即分开部署AD域控和DNS），您必须填写域控主机名，以便系统明确可连接的域控服务器，提高办公网络创建成功率。如果AD域控服务器和DNS服务器部署在同一台设备，您可以按需填写。
DNS 地址	企业自有AD对应的DNS服务器IP地址。说明如果AD域控服务器和DNS服务器为同一台，您可以直接输入AD域控服务器的IP地址。请确保该IP地址在上一步设置的办公网络下可以访问。
云电脑本地管理员	云电脑本地管理员可以下载安装软件或执行需要本地管理员权限才可以操作的任务。如果勾选设置企业AD账号为云电脑本地管理员，该办公网络内已授权使用云电脑的用户均具有本地管理员的权限。
AD Connector 规格	您需要根据预估的云电脑数量选择AD Connector规格。支持通用型和高级型两种规格，您可以根据以下信息选择合适的规格。通用型：用于云电脑数量较少（不超过500台）的办公网络。高级型：用于云电脑数量较多（大于500台）的办公网络。

说明

如果在办公网络（原工作区）页面查看AD办公网络的状态为请配置用户，说明创建AD办公网络成功。
如果在办公网络（原工作区）页面查看AD办公网络的状态一直为注册中，此时您需要在AD办公网络详情的基础信息区域，查看AD办公网络的状态，当状态为创建失败，您需要检查AD办公网络和AD域服务器的网络是否连通、创建AD办公网络时参数填写是否正确和AD域服务器是否已配置正确的DNS服务器，确保上述信息均无误后单击点击重试重新尝试创建AD办公网络。具体操作，请参见AD办公网络常见问题。

在AD办公网络配置用户。
1. 在办公网络（原工作区）页面，找到目标AD办公网络并单击办公网络ID。
2. 在基础信息区域，在状态后单击去配置。
3. 在AD域配置面板，按照界面提示填写域用户名及其密码。
  说明
  您输入的域用户需要具有添加AD域权限和读取AD域上用户属性的权限，以便于系统将该办公网络下的云电脑加入AD域服务器并分配给用户。
4. 单击验证获取OU信息。
5. 验证通过后，选择组织单元OU。
6. 确认无误后，单击关闭。
  此时AD办公网络的状态变为已注册，可以正常在AD办公网络下创建云电脑或云电脑池。

相关步骤

相比ASP的AD办公网络，HDX的AD办公网络创建完成后需要配置条件转发器和信任关系后方可正常使用。如果是基于HDX协议创建的AD办公网络您需要按照以下步骤配置条件转发器和信任关系。

配置条件转发器和信任关系的操作步骤如下

配置条件转发器。
在配置条件转发器页面，按界面提示，登录AD域对应的DNS服务器，配置条件转发器。
重要
- 如果您的企业AD为单个域，或者多个域（父子域）对应同一个DNS，则需要为该DNS配置条件转发器。
- 如果您的企业AD为多个域（父子域），且对应多个不同的DNS，则需要为每个DNS分别配置条件转发器。
1. 打开DNS管理器。
  此处以Windows Server 2016为例介绍打开DNS管理器的步骤，如果您的服务器为其它操作系统，请以实际为准。
  1. 打开服务器管理器，在左侧导航栏中选择DNS。
  2. 在右侧服务器列表中，右键单击服务器，在弹出菜单中选择DNS 管理器。
2. 在DNS 管理器对话框中，右键单击条件转发器，在弹出菜单中选择新建条件转发器。
3. 输入域名和IP地址，选中在Active Directory中存储此条件转发器，并按如下方式复制它，然后选择此域中的所有DNS服务器。
  域名为ecd.acs，IP地址为连接地址。
  说明
  您可以在办公网络详情页面的AD 设置区域，找到连接地址并获取IP地址。
4. 单击确定。
5. 在AD域服务器中的管理员：命令提示符窗口执行以下命令，验证网络是否互通。
```
nslookup ecd.acs
```
  - 如果返回的IP地址是连接地址，则表示已成功配置条件转发器。
  - 如果返回报错信息，请检查条件转发器是否配置正确，然后清理DNS缓存，关于如何清理DNS缓存，请参见AD办公网络常见问题。
登录AD域控服务器，配置信任关系。
重要
如果AD办公网络未配置信任关系，该办公网络内仅支持创建与办公网络协议类型相同的云电脑，配置信任关系后，AD办公网络内支持创建ASP协议或HDX协议的云电脑。
- 如果您是基于ASP协议创建的AD办公网络，希望配置信任关系，您可以提交工单联系阿里云的技术支持获取帮助。
- 如果您是基于HDX协议创建的AD办公网络，您可以参考以下步骤配置信任关系。
1. 打开服务器管理器。
2. 在右上角的菜单栏选择工具Active Directory 域和信任关系。
3. 在弹出的对话框中，右键单击域，选择属性。
4. 在域属性对话框中，单击信任页签，然后单击新建信任。
5. 按照向导完成信任配置。
  需要注意的配置项如下，其他配置保持默认即可。
  - 信任名称：输入ecd.acs。
  - 信任类型：选择外部信任。
    说明
    如果无法选择外部信任，在管理员：命令提示符窗口执行以下命令，验证网络是否互通。
    nslookup ecd.acs
    如果返回AD Connector的IP地址（即连接地址），则表示已成功配置条件转发器。
    如果返回报错信息，请检查条件转发器是否配置正确，然后清理DNS缓存，关于如何清理DNS缓存，请参见AD办公网络常见问题。
  - 信任密码：您可以自定义设置，该密码在下一步云电脑侧配置AD域时需要输入，您需要牢记该密码。
6. 确认配置完成的信任，然后单击确定。
7. 在无影云电脑控制台的配置信任关系页面，输入配置信任关系时设置的信任密码，然后单击完成所有配置。

删除AD办公网络

如果您不再需要某个AD办公网络，可以将办公网络内的云电脑资源完全释放后将其删除。

警告

删除办公网络前，您需要确保办公网络内的重要资源和数据已经备份，删除后相关资源和数据无法恢复，请谨慎操作。
删除办公网络前，办公网络内的相关资源需要全部释放，否则不支持删除。
删除AD办公网络后，AD Connector停止计费。

登录无影云电脑控制台。
在左侧导航栏，选择网络与存储 > 办公网络（原工作区）。
在顶部菜单栏左上角，选择地域。
在办公网络（原工作区）页面，找到待删除的办公网络。
在操作列单击删除。
在弹出的对话框中，阅读提示信息并单击确定删除。