云桌面支持接入企业AD,对接企业已有的管理体系。本文介绍如何对接企业已有AD并创建相应的AD目录。

前提条件

已完成企业AD搭建。
说明
  • 如果AD和DNS部署在同一台服务器上,请确保该服务器的DNS指向127.0.0.1。
  • 如果AD和DNS部署在不同服务器上,请确保AD域服务器的DNS已指向DNS服务器的IP地址。

背景信息

目录用于存储和管理云桌面用户的信息和权限,分为以下两种类型:
  • RAM目录:基于RAM账号体系的一种目录,适合中小规模的桌面部署。
  • AD目录:即AD连接器,用于接入企业自有AD,适合较大规模的桌面部署。对接企业AD需要支付目录费用,关于AD目录如何计费,请参见AD目录计费

更多信息,请参见用户账号权限控制

步骤一:配置DNS开启区域传送

您需要为企业AD域对应的DNS配置开启区域传送:
  • 如果您的企业AD为单个域,或者多个域(父子域)对应同一个DNS,则需要为该DNS配置开启区域传送。
  • 如果您的企业AD为多个域(父子域),且对应多个不同的DNS,则需要为每个DNS分别配置开启区域传送。
  1. 登录企业DNS服务器。
  2. 打开DNS管理器。
    1. 打开服务器管理器,在左侧导航栏中选择DNS
    2. 在右侧服务器列表中,右键单击服务器,在弹出菜单中选择DNS管理器
    说明 此处以Windows Server 2016为例介绍打开DNS管理器的步骤,如果您的服务器为其它操作系统,请以实际为准。
  3. DNS管理器对话框中,单击正向查找区域
  4. 重复以下步骤,为正向查找区域下的两个区域分别设置属性。
    1. 右键单击区域,在弹出菜单中选择属性
    2. 在属性设置对话框的区域传送页签下,选中允许区域传送后,选择到所有服务器
      说明 如果您的DNS已经配置了区域传送到指定服务器,此处您可以将AD连接器的IP增加到允许的服务器列表中,即先执行步骤二的操作获取AD连接器的IP,再执行步骤一配置区域传送到AD连接器的IP。
    3. 单击确定
    配置企业AD
  5. 开放以下服务器端口。

    如果您的企业AD部署在ECS上,请按下表设置所使用安全组的入方向规则。

    协议类型 端口或端口范围 授权对象
    自定义UDP 53、88、123、137、138、389、445、464 0.0.0.0/0
    自定义TCP
    • 53
    • 88~65535范围的全部端口
    		 0.0.0.0/0

步骤二:创建AD目录

  1. 登录弹性云桌面控制台
  2. 在顶部菜单栏左上角处,选择地域。
  3. 在左侧导航栏,单击目录服务
  4. 目录服务页面,单击创建目录
  5. 在弹出页面完成目录相关配置。
    1. 目录类型选择AD
    2. 输入目录信息。
      参数 描述
      目录名称 目录的名称,便于识别。规范要求请参考页面提示。
      DNS地址 输入企业AD对应DNS的IP地址(私网IP地址)。
      说明 如果AD域控制器和DNS服务器为同一台,您可以直接输入该服务器的IP地址。请确保该IP地址在您下一步所选的交换机网络下可以访问。
      域名称 输入企业AD的域名,如:example.com。
      连接方式 连接云桌面时允许使用的方式,可选项如下:
      • 公网连接:只允许客户端通过公网连接云桌面。
      • VPC连接:只允许处于VPC网络内的客户端连接云桌面。
      • 公网和VPC都允许:不限制方式。使用客户端连接云桌面时可以自行选择连接方式。
      说明 VPC连接方式依赖于阿里云私网连接(PrivateLink)服务,该服务不收取费用,目前仅在北京、杭州、上海和深圳地域提供。选择VPC连接或者公网和VPC都允许时,系统将自动为您开通私网连接服务。
      子域管理员连接AD 如果企业AD搭建了父子域,且您需要使用子域来连接管理AD目录,可以选中该选项。
      子域名称 输入企业AD子域的域名。
      子域DNS 企业AD子域对应DNS的IP地址,可以和父域的DNS相同。
      管理员用户名、管理员密码、确认密码 输入域管理员的用户名和密码。如果选中了允许使用子域管理员来连接管理AD,需输入子域管理员对应的用户名和密码。
      注意 管理员用户名请使用sAMAccountName,不能使用userPrincipalName。
      桌面本地管理员 选中默认将您添加为桌面本地管理员后,基于该目录创建的云桌面分配给终端用户时,根据云桌面的操作系统类型,终端用户的权限情况如下:
      • 对于Windows云桌面,终端用户将拥有本地管理员权限,但具体具备哪些权限仍由AD设置决定。
      • 对于Linux云桌面,终端用户将拥有执行所有命令的权限。使用sudo执行命令时,需要输入AD用户密码。
      是否启用MFA 选中启用MFA后,该目录下的所有AD用户在登录云桌面时,将进行两层校验,即AD用户在输入正确的密码后,还需输入MFA安全码才能登录。更多信息,请参见设置多因素认证MFA
    3. 选择专有网络VPC和相应的交换机。
      说明 选择的VPC为企业AD所在的专有网络。选择VPC和交换机后,可以保证使用该目录创建的云桌面在同一个专有网络下。新建云桌面时,系统将自动从该交换机中分配一个IP地址给云桌面。同一专有网络下的云桌面默认无法互相访问。
  6. 确认配置费用,然后单击确认订单
  7. 从返回信息中获取下一步配置所需的域名和IP地址。
    创建AD目录

步骤三:配置DNS条件转发器

您需要为企业AD域对应的DNS配置条件转发器:
  • 如果您的企业AD为单个域,或者多个域(父子域)对应同一个DNS,则需要为该DNS配置条件转发器。
  • 如果您的企业AD为多个域(父子域),且对应多个不同的DNS,则需要为每个DNS分别配置条件转发器。
  1. 登录企业DNS服务器。
  2. 打开DNS管理器。
    1. 打开服务器管理器,在左侧导航栏中选择DNS
    2. 在右侧服务器列表中,右键单击服务器,在弹出菜单中选择DNS管理器
    说明 此处以Windows Server 2016为例介绍打开DNS管理器的步骤,如果您的服务器为其它操作系统,请以实际为准。
  3. DNS管理器对话框中,右键单击条件转发器,在弹出菜单中选择新建条件转发器
  4. 输入域名和IP地址。
    域名和IP地址可以在完成步骤二后的返回信息中获取。配置DNS
  5. 单击确定

执行结果

配置完成后,在弹性云桌面控制台的目录服务页面,您可以看到对应AD目录的状态为已注册,且连接状态为运行中
说明 如果AD目录的状态异常,例如一直显示为注册中,您可以单击对应操作列中的查询注册日志来获取日志,了解报错信息。