怎麼配置AD辦公網路 - Elastic Desktop Service

無影雲電腦支援便捷帳號和企業AD帳號。建立辦公網路（原工作區）時，可以基於便捷帳號或企業AD帳號。本文介紹如何建立基於企業AD帳號的辦公網路。

計費說明

基於企業AD帳號的辦公網路通過AD Connector對接企業AD，其中AD Connector需要收費，採用隨用隨付方式，費用由使用時間長度和單價確定。AD Connector的單價因規格而異，詳細資料，請參見AD Connector價格。

如需停止計費，需刪除辦公網路。具體操作，請參見刪除辦公網路。

前提條件

已搭建企業AD。如果AD域控伺服器和DNS伺服器部署在不同伺服器上，請確保AD域控伺服器的DNS已指向DNS伺服器的IP地址。
已建立Cloud Enterprise Network執行個體，並將企業AD所屬VPC和辦公網路VPC加入同一個Cloud Enterprise Network執行個體。關於如何建立Cloud Enterprise Network執行個體，請參見建立雲企業網執行個體。
說明
如果AD域控伺服器和DNS伺服器部署在本機資料中心IDC，您需要先通過Express Connect（專線）、Smart Access Gateway (SAG)或者VPN Gateway等產品來打通本網和雲上網路。詳細資料，請參見如何選擇私網類產品？。

已開放所需網路連接埠。基於企業AD帳號的辦公網路VPC需要訪問AD域控的以下網路連接埠，因此您需要確保在AD域控伺服器、DNS伺服器或者安全軟體中開放以下連接埠。

協議類型	連接埠號碼或連接埠號碼範圍	描述	授權對象
自訂UDP	53	DNS	辦公網路的IPv4網段，例如：192.168.XX.XX/24。
	88	Kerberos
	123	Windows Time
	137	NETBIOS
	138	NETBIOS
	389	LDAP
	445	CIFS
	464	Kerberos修改或重設密碼
自訂TCP	53	DNS	辦公網路的IPv4網段，例如：192.168.XX.XX/24。
	88	Kerberos
	135	Replication
	389	LDAP
	443	HTTPS
	445	SMB/CIFS
	636	LDAP SSL
	9389	PowerShell
	49152~65535範圍的全部連接埠	RPC
	3268~3269	LDAP GC和LDAP GC SSL

建立辦公網路

登入無影雲電腦企業版控制台。
在左側導覽列，選擇網路與儲存 > 辦公網路。
在頂部功能表列左上方處選擇目標地區。
在辦公網路頁面上單擊建立辦公網路。

在建立辦公網路面板上，選擇進階辦公網路，完成其他配置，並單擊下一步：配置帳號系統。

配置項說明

配置項	說明
選擇地區	辦公網路所屬的地區。關於支援的地區及相關限制，請參見開服地區列表。
辦公網路名稱	辦公網路名稱用於標識並快速尋找辦公網路。
IPv4網段	在辦公網路中建立雲電腦時，系統將自動從辦公網路VPC包含的網段中分配一個IP地址作為雲電腦的IP地址。VPC網段內的IP地址數量決定其可容納的雲電腦最大數量，請合理規劃網段，詳細資料，請參見規劃網段。預設情況下，您可以將辦公網路VPC設定為以下IPv4網段及其IPv4網段的子網段： 192.168.0.0/16 10.0.0.0/12 172.16.0.0/12 如需使用其他自訂IPv4網段，您可以提交工單以擷取阿里雲支援人員。。
雲電腦串連方式	決定雲電腦終端使用者可以通過哪種方式串連辦公網路內的雲電腦。支援的選項包括：公網串連：只允許通過互連網串連（預設選項）。如需選用此方式，則運行雲電腦的本地裝置必須能夠訪問互連網。 VPC串連：只允許通過Virtual Private Cloud串連。如需選用此方式，則需要將辦公網路加入Cloud Enterprise Network (CEN)執行個體，同時選擇Express Connect（專線）、Smart Access Gateway (SAG)或者VPN Gateway等產品來打通本網和雲上網路。詳細資料，請參見加入與解除綁定雲企業網、如何選擇私網類產品？。公網和VPC都允許：同時支援上述兩種方式。說明 VPC串連依賴於阿里雲PrivateLink服務，該服務不收取費用。選擇VPC串連或者公網和VPC都允許時，系統將自動為您開通PrivateLink服務。
雲企業網	若要使用VPC串連方式，則選擇加入。您可以按需選擇同帳號或者跨帳號的Cloud Enterprise Network執行個體ID。說明如果本網通過Smart Access Gateway、Express Connect（專線）或VPN Gateway接入雲上網路，則辦公網路需要加入同一個Cloud Enterprise Network執行個體。為保障辦公網路內雲電腦正常使用，選擇Cloud Enterprise Network執行個體ID之後，請單擊校正，以校正所選Cloud Enterprise Network執行個體的路由和辦公網路IPv4網段是否有衝突。若校正未通過，則單擊查看衝突詳情和推薦網段，並根據建議重新設定IPv4網段或雲企業網執行個體。

在配置帳號系統頁簽的雲電腦帳號類型地區選取項目企業AD帳號，完成以下配置，並單擊完成建立。

配置項說明

配置項	說明
網域名稱稱	企業自有的AD網域名稱。例如example.com。如果介面提示網域名稱無效，您可以提交工單以擷取阿里雲支援人員。。
域控主機名稱	域控主機名稱是您在AD域控設定的主機名稱。如果AD域控伺服器和DNS伺服器不是同一台裝置（即分開部署AD域控和DNS），您必須填寫域控主機名稱，以便系統明確可串連的域控伺服器，提高辦公網路建立成功率。如果AD域控伺服器和DNS伺服器部署在同一台裝置，您可以按需填寫。
DNS地址	企業自有AD對應的DNS伺服器IP地址。如果AD域控伺服器和DNS伺服器為同一台，您可以直接輸入AD域控伺服器的IP地址。請確保該IP地址在上一步設定的辦公網路下可以訪問。
雲電腦本地管理員	雲電腦本地管理員可以下載安裝軟體或執行需要本地管理員權限才可以操作的任務。如果選中設定企業AD帳號為雲電腦本地管理員，則辦公網路內已授權使用雲電腦的使用者均具有本地管理員的許可權。另外，您也可以在AD域控伺服器中設定本地管理員。詳細資料，請參見設定雲電腦本地管理員。
AD Connector規格	可以根據預估的雲電腦數量選擇AD Connector規格：通用型：適用於雲電腦數量較少（不超過500台）的情況。進階型：適用於雲電腦數量較多（大於或等於500台）的情況。

建立完畢後，請在辦公網路頁面查看辦公網路的狀態：

若狀態為請配置使用者，說明建立成功。
若狀態一直為註冊中，您需要在辦公網路詳情頁的基礎資訊地區查看狀態。若狀態顯示為建立失敗，您需要檢查辦公網路和AD網域服務器的網路是否連通、建立辦公網路時填寫的參數是否正確，以及為AD網域服務器配置的DNS伺服器是否正確，確保上述資訊均無誤後單擊點擊重試可重新嘗試建立。具體操作，請參見AD辦公網路常見問題。

配置使用者

在左側導覽列，選擇網路與儲存 > 辦公網路。
在頂部功能表列左上方處選擇目標地區。
在辦公網路頁面上，單擊目標辦公網路的辦公網路ID。
在辦公網路詳情頁的基礎資訊地區，單擊狀態右側的去配置。
在AD網域設定面板，按照介面提示填寫域使用者名稱及其密碼。
說明
您輸入的域使用者需要具有添加AD域許可權和讀取AD域上使用者屬性的許可權，以便系統將該辦公網路下的雲電腦加入AD網域服務器並分配給使用者。
單擊驗證擷取OU資訊。
驗證通過後，選擇組織單元OU。
確認無誤後，單擊關閉。
此時辦公網路的狀態變為登入，可以正常在該辦公網路下建立雲電腦或雲電腦池。

設定雲電腦本地管理員

雲電腦本地管理員可以下載安裝軟體，或執行需要本地管理員權限才可以操作的任務。您可以在建立辦公網路時開啟雲電腦本地管理員，也可以在AD域控伺服器中設定本地管理員。

設定本管理員的方式	優勢	劣勢
建立辦公網路時設定本地管理員	建立AD辦公網路時設定本地管理員，一次性將該AD辦公網路內所有授權使用雲電腦的使用者均設定為本地管理員，操作簡單。	辦公網路維度設定雲電腦本地管理員權限，設定後辦公網路內的雲電腦均具有本地管理員權限，許可權控制不精細。
在AD域控設定雲電腦本地管理員	使用者維度設定雲電腦本地管理員權限，可按需為使用者授予雲電腦本地管理員權限，實現精微調權限管控。	需要手動在AD域控中配置雲電腦本地管理員權限，操作相對繁瑣。

關於如何在AD域控設定本地管理員，請參見怎麼在AD網域設定本地管理員？。

管理辦公網路

建立好辦公網路之後，您可以執行以下常用管理操作：

刪除辦公網路

將辦公網路內的雲電腦資源完全釋放後方可將其刪除。刪除基於企業AD帳號的辦公網路後，AD Connector停止計費。

警告

刪除辦公網路前，請確保辦公網路內的重要資源和資料已經備份，刪除後相關資源和資料無法恢複，請謹慎操作。

在左側導覽列，選擇網路與儲存 > 辦公網路。
在頂部功能表列左上方處選擇目標地區。
在辦公網路頁面上，找到目標辦公網路，在其操作列單擊刪除。
在確認對話方塊中，閱讀提示資訊並單擊確定刪除。

配置條件轉寄站和信任關係

建立的辦公網路預設採用ASP協議。對於存量的採用HDX協議的辦公網路，需要配置條件轉寄站和信任關係後方可正常使用。

配置條件轉寄站和信任關係的操作步驟

配置條件轉寄站。
在配置條件轉寄站頁面，按介面提示，登入AD域對應的DNS伺服器，配置條件轉寄站。
說明
- 如果您的企業AD為單個域，或者多個域（父子域）對應同一個DNS，則需要為該DNS配置條件轉寄站。
- 如果您的企業AD為多個域（父子域），且對應多個不同的DNS，則需要為每個DNS分別配置條件轉寄站。
1. 開啟DNS管理器。
  此處以Windows Server 2016為例介紹開啟DNS管理器的步驟，如果您的伺服器為其他動作系統，請以實際為準。
  1. 開啟伺服器管理員，在左側導覽列中選擇DNS。
  2. 在右側伺服器列表中，按右鍵伺服器，在快顯功能表中選擇DNS管理器。
2. 在DNS管理器對話方塊中，按右鍵條件轉寄站，在快顯功能表中選擇建立條件轉寄站。
3. 輸入欄位名和IP地址，選中在Active Directory中儲存此條件轉寄站，並按如下方式複製它，然後選擇此域中的所有DNS伺服器，並單擊確定。
  網域名稱為ecd.acs，IP地址為串連地址。
  說明
  您可以在辦公網路詳情頁面的AD 設定地區，找到串連地址並擷取IP地址。
4. 在AD網域服務器中的管理員：命令提示字元視窗執行以下命令，驗證網路是否互連。
```
nslookup ecd.acs
```
  - 如果返回的IP地址是串連地址，則表示已成功配置條件轉寄站。
  - 如果返回報錯資訊，請檢查條件轉寄站是否配置正確，然後清理DNS緩衝。關於如何清理DNS緩衝，請參見AD辦公網路常見問題。
登入AD域控伺服器，配置信任關係。
如果未配置信任關係，該辦公網路內僅支援建立與辦公網路協議類型相同的雲電腦，配置信任關係後，支援建立ASP協議或HDX協議的雲電腦。請按照以下步驟為採用HDX協議的辦公網路配置信任關係。
說明
如需為採用ASP協議的辦公網路配置信任關係，您可以提交工單以擷取阿里雲支援人員。
1. 開啟伺服器管理員。
2. 在右上方的功能表列選擇工具Active Directory 域和信任關係。
3. 在彈出的對話方塊中，按右鍵域，選擇屬性。
4. 在域屬性對話方塊中，單擊信任頁簽，然後單擊建立信任。
5. 按照嚮導完成信任配置。
  需要注意的配置項如下，其他配置保持預設即可。
  - 信任名稱：輸入ecd.acs。
  - 信任類型：選擇外部信任。
    說明
    如果無法選擇外部信任，在管理員：命令提示字元視窗執行以下命令，驗證網路是否互連。
    nslookup ecd.acs
    如果返回AD Connector的IP地址（即串連地址），則表示已成功配置條件轉寄站。
    如果返回報錯資訊，請檢查條件轉寄站是否配置正確，然後清理DNS緩衝，關於如何清理DNS緩衝，請參見AD辦公網路常見問題。
  - 信任密碼：您可以自訂設定，該密碼在下一步雲電腦側配置AD域時需要輸入，您需要牢記該密碼。
6. 確認配置完成的信任，然後單擊確定。
7. 在無影雲電腦控制台的配置信任關係頁面，輸入配置信任關係時設定的信任密碼，然後單擊完成所有配置。

後續操作

建立好辦公網路後，您可以執行以下常用操作：