AD辦公網路常見問題, 建立AD辦公網路常見問題 - Elastic Desktop Service

說明

如果上述方式無法解決問題，

本文記錄建立AD辦公網路的常見問題。

建立AD辦公網路出現如圖報錯，怎麼辦？
怎麼在AD域控伺服器設定雲電腦本地管理員？
建立HDX協議AD辦公網路報錯，怎麼辦？

建立AD辦公網路出現如圖報錯，怎麼辦？

現象描述
建立辦公網路的過程中，出現如圖所示的報錯。
原因定位
造成上圖所示報錯的原因可能有：
- 建立辦公網路過程中網域名稱稱、域控主機名稱或DNS 地址填寫有誤。
- 企業AD域控伺服器和AD辦公網路的網路不互連。

解決方案

檢查建立辦公網路的相關配置項資訊填寫準確無誤。
- 檢查網域名稱稱
  檢查網域名稱稱的格式是否正確，正確格式為：example.com。
- 檢查域控主機名稱
  檢查域控主機名稱填寫是否正確。
  說明
- 檢查DNS地址
  檢查DNS地址填寫的私網IP地址是否正確，正確格式為：192.168.XX.XX。
檢查企業AD的VPC與AD辦公網路VPC是否已通過雲企業網執行個體實現網路互連。
說明
如果AD網域服務器和DNS伺服器部署在本機資料中心IDC，需要先通過Smart Access Gateway、專線或者VPN打通本地與雲上網路。
1. 登入AD域控伺服器。
2. 在管理員：命令提示字元視窗執行以下命令，驗證網路是否互連。
  Shell
```
ping <串連地址>
```
  說明
  業務中您需要將串連地址替換為實際IP地址。您可以在AD辦公網路詳情頁面的AD 設定地區，找到串連地址，擷取IP地址。
  - 如果ping通，則說明網路互連。
  - 如果無法ping通，請將AD網域服務器所屬VPC和AD辦公網路VPC，加入同一個雲企業網執行個體。
    如果AD域控伺服器和DNS服務部署在不同裝置，請將AD網域服務器和DNS伺服器所屬VPC，以及AD辦公網路VPC，加入同一個雲企業網執行個體。
    操作如下：
    - 將AD網域服務器和DNS伺服器所屬VPC加入雲企業網執行個體
      登入雲企業網管理主控台，在雲企業網執行個體頁面，單擊待加入的雲企業網執行個體ID，然後單擊VPC後面的表徵圖，在彈出的頁面中按照提示完成相關配置。
    - 將AD辦公網路VPC加入雲企業網執行個體
      登入無影雲電腦管理主控台，找到待加入雲企業網的AD辦公網路，在操作列單擊加入雲企業網，在彈出的對話方塊中完成相關配置。加入與解除綁定雲企業網。

檢查網路連接埠是否開放

AD辦公網路VPC需要訪問AD域控的以下網路連接埠，您需要確保在AD域控伺服器、DNS伺服器或者安全軟體中開放以下連接埠。

協議類型	連接埠號碼或連接埠號碼範圍	描述	授權對象
自訂UDP	53	DNS	辦公網路的IPv4網段，例如：192.168.XX.XX/24。
	88	Kerberos
	123	Windows Time
	137	NETBIOS
	138	NETBIOS
	389	LDAP
	445	CIFS
	464	Kerberos修改或重設密碼
自訂TCP	53	DNS	辦公網路的IPv4網段，例如：192.168.XX.XX/24。
	88	Kerberos
	135	Replication
	389	LDAP
	443	HTTPS
	445	SMB/CIFS
	636	LDAP SSL
	9389	PowerShell
	49152~65535範圍的全部連接埠	RPC
	3268~3269	LDAP GC和LDAP GC SSL

怎麼在AD域控伺服器設定雲電腦本地管理員？

雲電腦本地管理員可以下載安裝軟體或執行需雲電腦本地管理員才有許可權操作的任務。您可以在建立AD辦公網路時將該辦公網路下的雲電腦設定為雲電腦本地管理員，也可以在AD域控中按需設定本地管理員權限。您可以根據需要選擇以下一種方式設定雲電腦本地管理員：

在AD辦公網路設定雲電腦本地管理員。建立和管理基於企業AD帳號的辦公網路。
在AD域控中設定雲電腦本地管理員。
說明
下文以Windows Server 2022為例介紹如何在AD域控新群組織單元並將組織單元中的使用者佈建為雲電腦本地管理員，業務中請以實際的作業系統為準。
1. 開啟伺服器管理員。
2. 在伺服器管理員頁面，單擊右上方的工具，然後選擇Active Directory使用者和電腦。
3. 新群組織單元。例如：建立名為test的組織單元。
  在Active Directory使用者和電腦面板，按右鍵網域名稱，然後選擇建立 > 組織單元，在建立對象-組織單元對話方塊中輸入test並單擊確定。
4. 在組織單元中建立使用者組。例如：建立名為Admin Group的組。
  按右鍵test，然後選擇建立 > 組，在建立對象-組對話方塊中設定以下配置項的資訊然後單擊確定。
  - 組名：Admin Group
  - 組名（Windows 2000以前版本）：Admin Group
  - 組範圍：全域。
  - 群組類型：安全性群組。
  說明
  您可以按需將目標設定為雲電腦本地管理員的帳號加入該組。
5. 在WUYING Workspace管理主控台的AD 設定面板，找到指定的組織單元OU，然後單擊後面的表徵圖，選擇目標組織單元OU。例如：選擇test 。
6. 在AD域控的組策略管理中建立GPO。例如：名為User GPO。
  1. 在伺服器管理員頁面，單擊右上方的工具，然後選擇組策略管理。
  2. 在組策略管理對話方塊找到test並按右鍵，然後選擇在這個域中建立 GPO 並在處連結。
  3. 在彈出的對話方塊中輸入User GPO並單擊確定。
7. 為使用者組添加雲電腦本地管理員權限。
  1. 按右鍵建立的GPO。即按右鍵User GPO，然後選擇編輯。
  2. 在群組原則管理編輯器面板，選擇電腦配置 > 喜好設定 > 控制台設定 > 本機使用者和組，然後按右鍵本機使用者和組並選擇建立 > 本機群組。
  3. 在建立本機群組屬性面板，選擇本機群組頁簽，然後設定一下配置項的參數並選中添加目前使用者。
    - 操作：更新。
    - 組名：Administrators（內建）
  4. 單擊添加。
8. 單擊應用。
9. 重啟雲電腦，雲電腦本地管理員權限生效。

建立HDX協議AD辦公網路報錯，怎麼辦？

通常情況下，建立的AD辦公網路預設採用ASP協議。如果您的阿里雲主帳號下保有HDX協議的AD辦公網路，在建立或配置HDX協議AD辦公網路中，您可以參考下文描述解決問題。

說明

單擊摺疊面板後的下拉式箭頭.png 表徵圖可以展開查看詳細內容。

HDX協議AD辦公網路常見問題

怎麼配置條件轉寄站和信任關係？

HDX協議的AD辦公網路建立完成後，需要配置條件轉寄站和信任關係後方可正常使用。配置條件轉寄站和信任關係。

辦公網路的狀態為配置信任失敗，怎麼辦？

基於HDX協議建立的AD辦公網路，建立AD辦公網路成功並配置AD域、條件轉寄站和信任關係後，查看辦公網路的狀態為配置信任失敗。此時您需要登入AD域控伺服器，配置本地安全性原則。相關操作如下：

在AD網域設定面板的配置信任關係頁面，按照介面提示登入AD域控伺服器。
在管理員：命令提示字元視窗執行以下命令，開啟本地安全性原則頁面。
```
secpol.msc
```
在本地安全性原則頁面，在左側導覽列選擇本地策略 > 安全選項。
在本地安全性原則頁面右側的策略面板中，找到網路訪問:可匿名訪問的具名管道並右鍵網路訪問:可匿名訪問的具名管道，然後選擇屬性。
在網路訪問:可匿名訪問的具名管道屬性面板的本地原則設定頁簽下，在輸入框中輸入以下內容並按照提示完成後續操作。
```
netlogon
samr
lsarpc
```
找到目標AD辦公網路，並單擊辦公網路ID，然後查看辦公網路的狀態為登入，則說明問題已經解決。

配置過程中提示請重新整理DNS緩衝，怎麼辦？

配置過程中，您可以單擊辦公網路詳情頁面右上方的查詢註冊日誌瞭解報錯資訊。如果檢查配置無誤且網路互連仍然提示請重新整理DNS緩衝，您可以重啟AD域控伺服器，或者登入DNS伺服器，在PowerShell中執行以下命令清除DNS緩衝。

清除DNS伺服器中的資源記錄
```
Clear-DnsServerCache -Force
```
清除DNS用戶端的緩衝內容
```
Clear-DnsClientCache
```

怎麼檢查DNS條件轉寄站配置是否正確？

登入DNS伺服器。
在管理員：命令提示字元視窗執行以下命令進行檢查

nslookup ecd.acs

如果返回AD Connector的IP地址（即串連地址），則表示已正確配置條件轉寄站。
您可以在AD辦公網路詳情頁面的AD 設定地區，找到串連地址。
如果返回報錯資訊，請重新設定條件轉寄站。關於如何配置條件轉寄站，請參見配置條件轉寄站。