すべてのプロダクト
Search

このプロダクト

    Elastic Desktop Service:ADオフィスネットワークに関するFAQ

    ドキュメントセンター

    Elastic Desktop Service:ADオフィスネットワークに関するFAQ

    最終更新日:Dec 17, 2024
    説明

    解決策を試した後に次の問題が続く場合は、次の問題を実行できます。チケットを起票

    し、Alibaba Cloudテクニカルサポートにお問い合わせください。

    このトピックでは、Active Directory (AD) オフィスネットワークの作成に関するよくある質問に対する回答を提供します。

    ADオフィスネットワークを作成するときに次の図に示すようなエラーが発生した場合はどうすればよいですか?

    • 問題の説明

      オフィスネットワークを作成すると、図に示すようなエラーが表示されます。 AD办公网络常见问题-zh.png

    • 原因

      • オフィスネットワークを作成すると、[ドメイン名][ドメインホスト名] 、または [DNSアドレス] パラメーターの値が無効になります。

      • エンタープライズADドメインコントローラーとADオフィスネットワークのネットワークは、互いに通信しません。

    • 解決策

      1. オフィスネットワークの作成に関連するパラメーターの値が有効かどうかを確認してください。

        • ドメイン名の確認

          ドメイン名の形式が有効かどうかを確認してください。 形式: example.com。

        • ドメインコントローラーのホスト名を確認する

          ドメインコントローラーのホスト名が有効かどうかを確認します。

        • DNSアドレスの確認

          DNSアドレス設定で入力したプライベートIPアドレスが有効かどうかを確認します。 形式: 192.168.XX.XX.

      2. エンタープライズADシステムの仮想プライベートクラウド (VPC) とADオフィスネットワークのVPCが、同じcloud enterprise network (CEN) インスタンスに基づいて互いに通信できるかどうかを確認します。

        説明

        ADドメインサーバーとDNSサーバーがデータセンターにデプロイされている場合は、Smart Access Gateway (SAG) 、Express connect、またはVPN Gatewayを使用して、オンプレミスネットワークをオフプレミスネットワークに接続する必要があります。

        1. 企業のADドメインコントローラーにログインします。

        2. [Administrator: コマンドプロンプト] ウィンドウで、次のコマンドを実行して、VPCが接続されているかどうかを確認します。 

          ping <Connection address>
          説明

          接続アドレスを実際のIPアドレスに置き換えます。 ADオフィスネットワークの詳細ページの [AD設定] セクションで、実際のIPアドレスを取得するには、[接続アドレス] を確認できます。

          • アドレスをpingできる場合、ネットワーク接続は正常です。

          • IPアドレスのpingに失敗した場合は、ADドメインサーバーが属するVPCとADオフィスネットワークが属するVPCを同じCENインスタンスに接続します。

            ADドメインコントローラーとDNSサーバーが異なるデバイスにデプロイされている場合は、ADドメインコントローラーとDNSサーバーが属するVPCとADオフィスネットワークが属するVPCが、通信のために同じCENインスタンスに接続されていることを確認してください。

            これを行うには、次の操作を実行します。

            • ADドメインコントローラーとDNSサーバーがCENインスタンスに属しているVPCをアタッチする

              CEN コンソールにログインします。 [CENインスタンス] ページで、管理するインスタンスのIDをクリックし、VPCの横にある [加号] アイコンをクリックして、昇格に従って設定を完了します。

            • ADオフィスネットワークが属するVPCをCENインスタンスにアタッチする

              Elastic Desktop Serviceコンソールにログインします。 [Officeネットワーク (旧ワークスペース)] ページで、CENインスタンスに接続するADオフィスネットワークを見つけ、[操作] 列の [CENに接続] をクリックします。 表示されるダイアログボックスで、プロンプトに従って設定を完了します。 詳細については、CENインスタンスへのオフィスネットワークのアタッチとデタッチ」をご参照ください。

      3. ネットワークポートが開いているかどうかを確認します。

        ADオフィスネットワークのVPCは、次のポートを介してADドメインコントローラーにアクセスする必要があります。 ADドメインコントローラー、DNSサーバー、またはセキュリティソフトウェアで次のポートが開いていることを確認してください。 次の表では、ポートについて説明します。

        プロトコル

        ポート /ポート範囲

        説明

        権限付与オブジェクト

        カスタム UDP

        53

        DNS

        オフィスネットワークのIPv4 CIDRブロック。 例: 192.168.XX.XX/24.

        88

        Kerberos

        123

        Windowsの時間

        137

        NETBIOS

        138

        NETBIOS

        389

        LDAP

        445

        CIFS

        464

        Kerberosに基づくパスワードの変更またはリセット

        カスタマイズTCP

        53

        DNS

        オフィスネットワークのIPv4 CIDRブロック。 例: 192.168.XX.XX/24.

        88

        Kerberos

        135

        レプリケーション

        389

        LDAP

        443

        HTTPS

        445

        SMB/CIFS

        636

        LDAP SSL

        9389

        PowerShell

        65535 49152のポート

        RPC

        3268 ~ 3269

        Lightweight Directory Access Protocol (LDAP) グローバルカタログ (GC) およびLDAP GC Secure Sockets Layer (SSL)

    ADドメインコントローラーでローカル管理者権限を設定するにはどうすればよいですか?

    管理者権限を持つエンドユーザーは、ソフトウェアをダウンロードして、管理者権限を必要とするタスクを実行できます。 ADオフィスネットワークを作成するとき、または企業のADドメインコントローラーで管理者権限を設定できます。 次のいずれかの方法を選択して、管理者権限を設定できます。

    • ADオフィスネットワークを作成するときに、ローカル管理者権限を設定します。 詳細については、エンタープライズADオフィスネットワークの作成と管理」をご参照ください。

    • ADドメインコントローラーでローカル管理者権限を設定します。

      説明

      次のセクションでは、ADドメインコントローラーの組織単位 (OU) を作成する方法と、OUの管理者権限をユーザーに付与する方法について説明します。 この例では、Windows Server 2022が使用されます。 使用する実際のOSが優先されます。

      1. サーバーマネージャーを起動します。

      2. [サーバーマネージャー] ページの右上隅にある [ツール] をクリックし、[Active Directoryユーザーとコンピューター] を選択します。

      3. OUを作成します。 この例では、testという名前のOUが作成されます。

        [Active Directoryユーザーとコンピューター] パネルで、管理するドメイン名を右クリックし、[新規] > [組織単位] を選択します。 [組織ユニットの作成] ダイアログボックスで、名前テストを入力し、[OK] をクリックします。

      4. OUにユーザーグループを作成します。 この例では、Admin groupという名前のユーザーグループが作成されます。

        テストを右クリックし、[新規] > [グループ] を選択します。 [グループの作成] ダイアログボックスで、次のパラメーターを設定し、[OK] をクリックします。

        • グループ名: 管理者グループ

        • グループ名 (旧バージョンのWindows 2000): 管理グループ

        • グループスコープ: global

        • グループタイプ: セキュリティ

        説明

        グループに管理者権限を付与するADユーザーアカウントを追加できます。

      5. Elastic Desktop Serviceコンソールの [AD設定] パネルで、[指定されたOU] を見つけ、图标アイコンをクリックして、ターゲットのOUを選択します。 たとえば、testを選択します。

      6. ADドメインコントローラーの設定で、グループポリシー管理コンソールに移動し、グループポリシーオブジェクト (GPO) を作成します。 この例では、User GPOという名前のGPOが作成されます。

        1. [サーバーマネージャー] ページの右上隅にある [ツール] をクリックし、[グループポリシー管理] をクリックします。

        2. [グループポリシー管理] ダイアログボックスで、[テスト] を右クリックし、[このドメインでGPOを作成し、ここにリンク] を選択します。

        3. 表示されるダイアログボックスで、User GPOと入力し、[OK] をクリックします。

      7. グループ内のユーザーに管理者権限を付与します。

        1. 新しいGPOを右クリックします。 User GPOを右クリックし、[編集] をクリックします。

        2. [グループポリシー管理エディター] パネルで、[コンピューターの構成] > [環境設定] > [コントロールパネルの設定] > [ローカルユーザーとグループ] を選択し、[ローカルユーザーとグループ] を右クリックし、[新規 > ローカルグループ] を選択します。

        3. [新しいローカルグループのプロパティ] パネルで、[ローカルグループ] タブをクリックしてパラメーターを設定し、[メンバー] セクションからユーザーを選択します。

          • アクション: 更新

          • グループ名: Administrators (組み込み)

        4. [追加] をクリックします。

      8. [申請] をクリックします。

      9. オフィスネットワークにあるクラウドコンピューターを再起動します。 クラウドコンピューターのローカル管理者権限が有効になります。

    HDXベースのADオフィスネットワークを作成するときに問題が発生した場合はどうすればよいですか?

    ほとんどの場合、新しいADオフィスネットワークは、デフォルトで適応ストリーミングプロトコル (ASP) プロトコルを使用します。 Alibaba CloudアカウントにHDX (High-definition Experience) プロトコルを使用するADオフィスネットワークがある場合は、HDXベースのADオフィスネットワークを作成または設定する際に、次のセクションを実行して問題をトラブルシューティングします。

    説明

    折りたたみパネルの下拉箭头.png横にあるアイコンをクリックして、詳細を表示します。

    HDXベースおよびASPベースのADオフィスネットワークに関する一般的な問題

    条件付きフォワーダと信頼関係を設定するにはどうすればよいですか?

    HDXベースおよびASPベースのADオフィスネットワークを作成した後、ADオフィスネットワークを期待どおりに使用するには、条件付きフォワーダと信頼関係を設定する必要があります。 詳細については、条件付きフォワーダと信頼関係の設定」をご参照ください。

    ADオフィスネットワークの状態がTrust Configuration Failedの場合はどうすればよいですか。

    HDXベースのオフィスネットワークのADドメイン、条件付きフォワーダ、および信頼関係を設定しており、オフィスネットワークが [信頼設定に失敗しました] 状態のままである場合は、ADドメインコントローラーにログインして、次の手順を実行してローカルセキュリティポリシーを設定する必要があります。

    1. [ADドメインの設定] パネルに移動し、[信頼関係の設定] ページを開き、指示に従ってADドメインコントローラーにログインします。

    2. [Administrator: Command Prompt] ウィンドウで、次のコマンドを実行して [Local Security Policy] ページを開きます。 

      secpol.msc

    3. [ローカルセキュリティポリシー] ページの左側のナビゲーションウィンドウで、[ローカルポリシー] > [セキュリティ設定] を選択します。

    4. [ポリシー] パネルで、[ネットワークアクセス: 匿名でアクセスできる名前付きパイプ] ポリシーを見つけ、ポリシーを右クリックして、[プロパティ] を選択します。

    5. [ネットワークアクセス: 匿名でアクセスできる名前付きパイプ] パネルの [ローカルポリシーの設定] タブで、次の内容をコピーしてテキストボックスに貼り付け、画面の指示に従って後続の操作を完了します。 

      netlogon
samr
lsarpc

    6. 宛先ADオフィスネットワークを見つけ、オフィスネットワークIDをクリックして、オフィスネットワークが [登録済み] 状態かどうかを確認します。 登録済み状態が表示された場合、問題は解決されます。

    設定中にDNSキャッシュをクリーンアップするように求められた場合はどうすればよいですか?

    ADオフィスネットワークを設定するときに、オフィスネットワークの詳細ページの右上隅にある [登録ログの表示] をクリックして、エラーメッセージを表示できます。 設定を確認してネットワーク接続の問題をトラブルシューティングした後でも、DNSキャッシュをクリアするように求められる場合は、ADドメインサーバーを再起動します。 DNSサーバーにログインし、PowerShellで次のコマンドを実行してDNSキャッシュをクリアすることもできます。

    • DNSサーバーキャッシュからリソースレコードを消去する

      Clear-DnsServerCache -Force

    • DNSクライアントキャッシュのクリア

      Clear-DnsClientCache

    DNS条件フォワーダーが有効かどうかを確認するにはどうすればよいですか?

    1. DNSサーバーにログオンします。

    2. Administrator: command Promptウィンドウで次のコマンドを実行します。

      3. nslookup ecd.acs

      • ADコネクタのIPアドレスが返された場合、DNS条件付きフォワーダは有効です。

        [接続アドレス] は、ADオフィスネットワークの詳細ページの [AD設定] で実際のIPアドレスを取得します。

      • エラーメッセージが返された場合は、条件付きフォワーダを再構成します。 条件付きフォワーダの設定方法の詳細については、「条件付きフォワーダの設定」をご参照ください。