更新时间:2024-07-11 GMT+08:00

配置云桌面和Windows AD网络互通

操作场景

Windows AD部署在企业内网或和云桌面在同一个VPC内的情况下,如果云桌面使用Windows AD进行认证,需要先配置云桌面和Windows AD网络互通。

前提条件

已获取域管理员的帐号和密码。

操作步骤

场景一:Windows AD部署在客户数据中心内网

图1 Windows AD部署在客户数据中心内网
  1. 首先需要通过云专线或者IPsec VPN连接客户数据中心与VPC之间的网络。参考云专线服务的《快速入门》或者虚拟专用网络VPN服务的《管理员指南》进行配置。
  2. 如果Windows AD与云桌面之间部署了防火墙,则需要在防火墙上给云桌面开启以下端口供云桌面连接Windows AD,如表1所示。

    表1 端口列表

    角色

    端口

    协议

    描述

    AD

    135

    TCP

    RPC协议(LDAP、分布式文件系统和分布式文件复制需要使用该端口)

    137

    UDP

    NetBIOS名称解析(网络登录服务需要使用该端口)

    138

    UDP

    NetBIOS数据包服务(分布式文件系统、网络登录等服务需要使用该端口)

    139

    TCP

    NetBIOS-SSN服务(网络基本输入输出接口)

    445

    TCP

    NetBIOS-SSN服务(网络基本输入输出接口)

    445

    UDP

    NetBIOS-SSN服务(网络基本输入输出接口)

    49152-65535

    TCP

    RPC动态端口(AD未加固开放的端口。如果AD已加固,需要开放端口50152-51151)

    49152-65535

    UDP

    RPC动态端口(AD未加固开放的端口。如果AD已加固,需要开放端口50152-51151)

    88

    TCP

    Kerberos密钥分发中心服务

    88

    UDP

    Kerberos密钥分发中心服务

    123

    UDP

    NTP服务使用的端口

    389

    UDP

    LDAP服务器

    389

    TCP

    LDAP服务器

    464

    TCP

    Kerberos认证协议

    464

    UDP

    Kerberos认证协议

    500

    UDP

    isakmp

    593

    TCP

    RPC over HTTP

    636

    TCP

    LDAP SSL

    DNS

    53

    TCP

    DNS服务器

    53

    UDP

    DNS服务器

  3. 配置完成之后,请参考验证方法进行对接的验证,以确认网络和端口是否正常工作。

场景二:Windows AD部署在云桌面所在VPC的另一个子网

在此场景中,需要为Windows AD添加安全组规则,将Windows AD的一些端口开放给云桌面,使云桌面能够与Windows AD连接。
图2 Windows AD部署在云桌面所在VPC的另一个子网
  1. 在VPC中创建一个安全组,具体操作请参考创建安全组
  2. 添加一条入方向规则,具体操作请参考添加安全组规则
  3. 安全组创建成功后,将该安全组应用于AD管理服务器实例,使云桌面能够与AD正常通讯。

    如果需要将开放的端口和协议控制在最小的范围内,可以在安全组内添加多条入方向规则,只开放如表1所示的端口和协议即可。

  4. 配置完成之后,请参考验证方法进行网络互通的验证,以确认网络和端口是否正常工作。

验证方法

  1. 检查AD服务器防火墙或安全组设置,确保已开启表1端口。

  2. 通过ECS服务,在与用户桌面相同的VPC中创建一台Windows OS的实例,并将该实例加入已有域。

    ECS相关配置与操作请参考《弹性云服务器用户指南》,使用RDP客户端工具(例如 “mstsc”)或VNC方式登录Windows实例。

  3. 使用RDP客户端工具(例如 “mstsc”)或VNC方式登录Windows实例。

    1. 将ADTest.zip下载到Windows实例,然后解压。
    2. “ADTest.exe”所在文件夹空白区域中,按住“Shift”,单击右键,选择“在此处打开命令窗口”
    3. 在打开的“命令提示符”中,输入以下命令检查AD管理服务器连通性。

      ADTest.exe -file ADTest.cfg -ip AD的IP地址 -domain AD的域名 -user 域管理员账号

      命令示例:

      ADTest.exe -file ADTest.cfg -ip 192.168.161.78 -domain abc.com -user vdsadmin

    4. 输入“vdsadmin”的密码。
    5. 检查返回的测试结果是否全部为“SUCCEEDED”,如果包含“FAILED”,请根据提示信息检查AD管理服务器配置或防火墙端口。