本文中含有需要您注意的重要提示信息,忽略該信息可能對您的業務造成影響,請務必仔細閱讀。
無影云電腦支持便捷賬號和企業AD賬號。創建辦公網絡(原工作區)時,可以基于便捷賬號或企業AD賬號。本文介紹如何創建基于企業AD賬號的辦公網絡。
計費說明
基于企業AD賬號的辦公網絡通過AD Connector對接企業AD,其中AD Connector需要收費,采用按量付費方式,費用由使用時長和單價確定。AD Connector的單價因規格而異,詳細信息,請參見AD Connector價格。
如需停止計費,需刪除辦公網絡。具體操作,請參見刪除辦公網絡。
前提條件
已搭建企業AD。如果AD域控服務器和DNS服務器部署在不同服務器上,請確保AD域控服務器的DNS已指向DNS服務器的IP地址。
已創建云企業網實例,并將企業AD所屬VPC和辦公網絡VPC加入同一個云企業網實例。關于如何創建云企業網實例,請參見創建云企業網實例。
說明如果AD域控服務器和DNS服務器部署在本地數據中心IDC,您需要先通過高速通道(Express Connect)(專線)、智能接入網關 SAG(Smart Access Gateway)或者VPN 網關(VPN Gateway)等產品來打通本地網絡和云上網絡。詳細信息,請參見如何選擇私網類產品?。
已開放所需網絡端口。基于企業AD賬號的辦公網絡VPC需要訪問AD域控的以下網絡端口,因此您需要確保在AD域控服務器、DNS服務器或者安全軟件中開放以下端口。
協議類型
端口號或端口號范圍
描述
授權對象
自定義UDP
53
DNS
辦公網絡的IPv4網段,例如:192.168.XX.XX/24。
88
Kerberos
123
Windows Time
137
NETBIOS
138
NETBIOS
389
LDAP
445
CIFS
464
Kerberos修改或重置密碼
自定義TCP
53
DNS
辦公網絡的IPv4網段,例如:192.168.XX.XX/24。
88
Kerberos
135
Replication
389
LDAP
443
HTTPS
445
SMB/CIFS
636
LDAP SSL
9389
PowerShell
49152~65535范圍的全部端口
RPC
3268~3269
LDAP GC和LDAP GC SSL
創建辦公網絡
登錄無影云電腦企業版控制臺。
在左側導航欄,選擇。
在頂部菜單欄左上角處選擇目標地域。
在辦公網絡頁面上單擊創建辦公網絡。
在創建辦公網絡面板上,選擇高級辦公網絡,完成其他配置,并單擊下一步:配置賬號系統。
配置項
說明
選擇地域
辦公網絡所屬的地域。關于支持的地域及相關限制,請參見開服地域列表。
辦公網絡名稱
辦公網絡名稱用于標識并快速查找辦公網絡。
IPv4網段
在辦公網絡中創建云電腦時,系統將自動從辦公網絡VPC包含的網段中分配一個IP地址作為云電腦的IP地址。VPC網段內的IP地址數量決定其可容納的云電腦最大數量,請合理規劃網段,詳細信息,請參見規劃網段。
默認情況下,您可以將辦公網絡VPC設置為以下IPv4網段及其IPv4網段的子網段:
192.168.0.0/16
10.0.0.0/12
172.16.0.0/12
如需使用其他自定義IPv4網段,您可以提交工單以獲取阿里云技術支持。。
云電腦連接方式
決定云電腦終端用戶可以通過哪種方式連接辦公網絡內的云電腦。支持的選項包括:
公網連接:只允許通過互聯網連接(默認選項)。如需選用此方式,則運行云電腦的本地設備必須能夠訪問互聯網。
VPC連接:只允許通過專有網絡VPC連接。如需選用此方式,則需要將辦公網絡加入云企業網 CEN(Cloud Enterprise Network)實例,同時選擇高速通道(Express Connect)(專線)、智能接入網關 SAG(Smart Access Gateway)或者VPN 網關(VPN Gateway)等產品來打通本地網絡和云上網絡。詳細信息,請參見加入與解綁云企業網、如何選擇私網類產品?。
公網和VPC都允許:同時支持上述兩種方式。
說明VPC連接依賴于阿里云私網連接(PrivateLink)服務,該服務不收取費用。選擇VPC連接或者公網和VPC都允許時,系統將自動為您開通私網連接服務。
云企業網
若要使用VPC連接方式,則選擇加入。您可以按需選擇同賬號或者跨賬號的云企業網實例ID。
說明如果本地網絡通過智能接入網關、高速通道(專線)或VPN 網關接入云上網絡,則辦公網絡需要加入同一個云企業網實例。
為保障辦公網絡內云電腦正常使用,選擇云企業網實例ID之后,請單擊校驗,以校驗所選云企業網實例的路由和辦公網絡IPv4網段是否有沖突。若校驗未通過,則單擊查看沖突詳情和推薦網段,并根據建議重新設置IPv4網段或云企業網實例。
在配置賬號系統頁簽的云電腦賬號類型區域選擇企業AD賬號,完成以下配置,并單擊完成創建。
配置項
說明
域名稱
企業自有的AD域名。例如example.com。
如果界面提示域名無效,您可以提交工單以獲取阿里云技術支持。。
域控主機名
域控主機名是您在AD域控設置的主機名稱。
如果AD域控服務器和DNS服務器不是同一臺設備(即分開部署AD域控和DNS),您必須填寫域控主機名,以便系統明確可連接的域控服務器,提高辦公網絡創建成功率。
如果AD域控服務器和DNS服務器部署在同一臺設備,您可以按需填寫。
DNS地址
企業自有AD對應的DNS服務器IP地址。
如果AD域控服務器和DNS服務器為同一臺,您可以直接輸入AD域控服務器的IP地址。請確保該IP地址在上一步設置的辦公網絡下可以訪問。
備用域控主機名/備用DNS地址
單擊添加備用域控主機名/DNS地址,可再配置一個備用域控主機名和備用DNS地址。
該配置項的作用是確保高可用性,即便其中一臺域控關機,也不影響創建云電腦、為AD賬號分配云電腦、終端登錄等場景的成功率。
云電腦本地管理員
云電腦本地管理員可以下載安裝軟件或執行需要本地管理員權限才可以操作的任務。
如果選中設置企業AD賬號為云電腦本地管理員,則辦公網絡內已授權使用云電腦的用戶均具有本地管理員的權限。
另外,您也可以在AD域控服務器中設置本地管理員。詳細信息,請參見設置云電腦本地管理員。
AD Connector規格
可以根據預估的云電腦數量選擇AD Connector規格:
通用型:適用于云電腦數量不超過1000臺的情況。
高級型:適用于云電腦數量超過1000臺的情況。
創建完畢后,請在辦公網絡頁面查看辦公網絡的狀態:
若狀態為請配置用戶,說明創建成功。
若狀態一直為注冊中,您需要在辦公網絡詳情頁的基礎信息區域查看狀態。若狀態顯示為創建失敗,您需要檢查辦公網絡和AD域服務器的網絡是否連通、創建辦公網絡時填寫的參數是否正確,以及為AD域服務器配置的DNS服務器是否正確,確保上述信息均無誤后單擊點擊重試可重新嘗試創建。具體操作,請參見AD辦公網絡常見問題。
配置用戶
在左側導航欄,選擇。
在頂部菜單欄左上角處選擇目標地域。
在辦公網絡頁面上,單擊目標辦公網絡的辦公網絡ID。
在辦公網絡詳情頁的基礎信息區域,單擊狀態右側的去配置。
在AD域配置面板,按照界面提示填寫域用戶名及其密碼。
說明您輸入的域用戶需要具有添加AD域權限和讀取AD域上用戶屬性的權限,以便系統將該辦公網絡下的云電腦加入AD域服務器并分配給用戶。
單擊驗證獲取OU信息。
驗證通過后,選擇組織單元OU。
確認無誤后,單擊關閉。
此時辦公網絡的狀態變為已注冊,可以正常在該辦公網絡下創建云電腦或云電腦池。
設置云電腦本地管理員
云電腦本地管理員可以下載安裝軟件,或執行需要本地管理員權限才可以操作的任務。您可以在創建辦公網絡時開啟云電腦本地管理員,也可以在AD域控服務器中設置本地管理員。
設置本管理員的方式 | 優勢 | 劣勢 |
創建辦公網絡時設置本地管理員 | 創建AD辦公網絡時設置本地管理員,一次性將該AD辦公網絡內所有授權使用云電腦的用戶均設置為本地管理員,操作簡單。 | 辦公網絡維度設置云電腦本地管理員權限,設置后辦公網絡內的云電腦均具有本地管理員權限,權限控制不精細。 |
在AD域控設置云電腦本地管理員 | 用戶維度設置云電腦本地管理員權限,可按需為用戶授予云電腦本地管理員權限,實現精細化權限管控。 | 需要手動在AD域控中配置云電腦本地管理員權限,操作相對繁瑣。 |
關于如何在AD域控設置本地管理員,請參見怎么在AD域設置本地管理員?。
管理辦公網絡
創建好辦公網絡之后,您可以執行以下常用管理操作:
刪除辦公網絡
將辦公網絡內的云電腦資源完全釋放后方可將其刪除。刪除基于企業AD賬號的辦公網絡后,AD Connector停止計費。
刪除辦公網絡前,請確保辦公網絡內的重要資源和數據已經備份,刪除后相關資源和數據無法恢復,請謹慎操作。
在左側導航欄,選擇。
在頂部菜單欄左上角處選擇目標地域。
在辦公網絡頁面上,找到目標辦公網絡,在其操作列單擊刪除。
在確認對話框中,閱讀提示信息并單擊確定刪除。
配置條件轉發器和信任關系
新建的辦公網絡默認采用ASP協議。對于存量的采用HDX協議的辦公網絡,需要配置條件轉發器和信任關系后方可正常使用。
配置條件轉發器。
在配置條件轉發器頁面,按界面提示,登錄AD域對應的DNS服務器,配置條件轉發器。
說明如果您的企業AD為單個域,或者多個域(父子域)對應同一個DNS,則需要為該DNS配置條件轉發器。
如果您的企業AD為多個域(父子域),且對應多個不同的DNS,則需要為每個DNS分別配置條件轉發器。
打開DNS管理器。
此處以Windows Server 2016為例介紹打開DNS管理器的步驟,如果您的服務器為其他操作系統,請以實際為準。
打開服務器管理器,在左側導航欄中選擇DNS。
在右側服務器列表中,右鍵單擊服務器,在彈出菜單中選擇DNS管理器。
在DNS管理器對話框中,右鍵單擊條件轉發器,在彈出菜單中選擇新建條件轉發器。
輸入域名和IP地址,選中在Active Directory中存儲此條件轉發器,并按如下方式復制它,然后選擇此域中的所有DNS服務器,并單擊確定。
域名為
ecd.acs,IP地址為連接地址。說明您可以在辦公網絡詳情頁面的AD 設置區域,找到連接地址并獲取IP地址。
在AD域服務器中的管理員:命令提示符窗口執行以下命令,驗證網絡是否互通。
nslookup ecd.acs如果返回的IP地址是連接地址,則表示已成功配置條件轉發器。
如果返回報錯信息,請檢查條件轉發器是否配置正確,然后清理DNS緩存。關于如何清理DNS緩存,請參見AD辦公網絡常見問題。
登錄AD域控服務器,配置信任關系。
如果未配置信任關系,該辦公網絡內僅支持創建與辦公網絡協議類型相同的云電腦,配置信任關系后,支持創建ASP協議或HDX協議的云電腦。請按照以下步驟為采用HDX協議的辦公網絡配置信任關系。
說明如需為采用ASP協議的辦公網絡配置信任關系,您可以提交工單以獲取阿里云技術支持。
打開服務器管理器。
在右上角的菜單欄選擇工具Active Directory 域和信任關系。
在彈出的對話框中,右鍵單擊域,選擇屬性。
在域屬性對話框中,單擊信任頁簽,然后單擊新建信任。
按照向導完成信任配置。
需要注意的配置項如下,其他配置保持默認即可。
信任名稱:輸入
ecd.acs。
信任類型:選擇外部信任。
說明如果無法選擇外部信任,在管理員:命令提示符窗口執行以下命令,驗證網絡是否互通。
nslookup ecd.acs如果返回AD Connector的IP地址(即連接地址),則表示已成功配置條件轉發器。
如果返回報錯信息,請檢查條件轉發器是否配置正確,然后清理DNS緩存,關于如何清理DNS緩存,請參見AD辦公網絡常見問題。
信任密碼:您可以自定義設置,該密碼在下一步云電腦側配置AD域時需要輸入,您需要牢記該密碼。
確認配置完成的信任,然后單擊確定。
在無影云電腦控制臺的配置信任關系頁面,輸入配置信任關系時設置的信任密碼,然后單擊完成所有配置。
后續操作
創建好辦公網絡后,您可以執行以下常用操作: