一.背景信息:
A公司,想在阿里云服务器上搭建一套Active Directory用于提供统一高效管理的服务(批量管理用户,部署应用,统一管理),并想实现云桌面和PC端的相互通信,并想将线下的PC端全部加入到云上AD域中,实现统一应用的管理。
二.架构设计图:
![6d0b7d1924e2a7fd688c4143c6991e9576b10bde]()
三.准备材料:
ECS服务器(用于部署主备AD),云桌面,云企业网,云连接网,智能接入网关,PC端。
四.最佳实践:
4.1创建专有网络
![5a229b7f7c53a819a2419af10610e4ca90fc1e97]()
![4571c981d638a8fffcb2188c9feecb1232c78a2a]()
![9202033610b4f54b33fd7b828916a25bfb0ba24b]()
![db0e9001ff7791664315c61611a1fb6af43b2735]()
4.2在不同可用区下创建对应的ECS实例(为了容灾起见,将两台服务器分配至不同的可用区)
![66f60be02d6880e1b07fa7a858517b1a1e87f63a]()
![d97d4833ad558b8f777e8c2b9eeda760cde9f436]()
![ca2ebfd282acdfd85807163303cb0effb9b17fb7]()
![f6c1b0e9d626b38d549c121698502167f73fd97a]()
4.3部署主AD——具体操作步骤
在开始搜索栏中搜索“dcpromo” 并运行“dcpromo”命令
![907b6769b51686d169fb1ffdf5128617d171bf40]()
![843eac55aacd65f40f1183ee2b7cd10375afc987]()
![d2eb2644f37fe24027eb8df17e471f4f1230fc67]()
![9933f5887d5755367bfe8a4d3f85d5aac8ad59f5]()
![c617ed83f156df98b2d9c2ba8a10112f675413a0]()
![76626c582f2c816551c0cb3a90f6fabe9feb65f8]()
![35ed4d29011138f94b15af5da093ed680190e4ec]()
![391820d8e04fa8159a6d4a3a5b81384f86901c7f]()
![cc43912050b81f4168c64f34c7052ec28a3a18eb]()
![591db036b84def4e795cb6a8fec9c80ff0cba1af]()
![17f9a52e58b5ff271ce34bb507c4ae096b4a1848]()
![aea68998c1a079569921ebd4ab0215e45a7a0b9e]()
![2475b0057c0b49a3d529a6ae684b338657038151]()
![13a5396dcbd75dbef67cd2158d749c186050ff71]()
![f9b0a2e37d726fbe93606467c8607bdd0ceabf2b]()
![cafebf83db0998ef5dd4a652d260ca038e70c8d0]()
![86ae8fdf743dd58222cccc1df6ab0660cf0a186c]()
![2e40e6d9138caba20ad1c8262826a8cbfa8714d6]()
![cc485dd7fdf655ee758aee52464630d76e57f27f]()
![c7cf523d60d4ad7ccaa8f47d1e03f0307c08da52]()
4.4部署主AD证书服务--操作步骤
![5124caf42ce405f5e0f5b6301feeb39a6ee086df]()
![8b8b60ae3687b0cc025f047f3f3992640d30f9a0]()
![908bfe75d1ade082f5ed95caae32d9dfaea112d9]()
![965738bb451a64769913aea1553a49895e481162]()
![020b8e1121f4f2bc653242542f363b081965feff]()
![43079226c67ecaf9fd17ebc8b74d7e94aeaaf986]()
![426ad56e8e1866f0e2644c51cc8bd0c23754faa5]()
![e47086fe99054bca77ecaa38290e1f1f80638b4a]()
![4e97ee2798989a32529bcdb8bb1d8ca829c90caf]()
![6c569ce73f4ceb46e3c87c4a4833a698e68053e3]()
![e443714ca46f307e6c4ed8caa704bd2e1c96994b]()
![fab0f3d7bc74161ef34f78d6da52763454846ee2]()
![925df0b3da943877f9d0cafccd1d93c446a50cb8]()
![b51ecc259c16bd53e403e0db9c1af6d4f699b46f]()
![8e2b4b9724688ec78e2f2cf09b687ba2f4cdacff]()
![0c6448975eb46da3cb61134e05922ff3315bf534]()
![08e3d67abc58945f8120a0ce22560f6526c8dc18]()
![d1397422dc7fc234337efe928bf131621babd4bc]()
![cc6ea5a10a21977e79454d79ef8eb4374ad8f4c3]()
![c5a0932fcb1e94ba46c5dfc6ccbd39bc8322dd0a]()
![168534794928aceaa7f6357e1c5a93b92ee65ef1]()
![25a08cec7c407397476fa1ed702c46e60c3eb857]()
4.5备域AD服务安装——具体操作步骤
4.5.1 在使用系统准备工具时,会出现以下两种情况,如出现第一种情况“尝试使用Sysprep处理计算时出现错误” 直接重启即可!
![1a86e52e186e18c2203968ef9140841be4a517a9]()
![783fa323073f4654b6ae5f1ab6338b59b8d7a993]()
![c5f7d18b832799cfcd40ac4559d15fca7087e303]()
![b57a50a7fdc1709897e6bbd3a5c503cf264c291b]()
第二种情况:
![34dc177d66ff8854da3574124e3c863ea036629b]()
![e23fc42621a5b70410cf7d4c06a2db7de30c3fcf]()
![56f4a3786e98631e79acb9e8b4924b749e3b9b20]()
![8464848b813c745807f216fac29ad83c49236b2d]()
![255fb7dd7a831794d16db6856ae6ff6f8f4dd2bf]()
4.5.2 运行"ncpa.cpl"命令,打开网络连接中心,右击”本地连接”打开属性,按照图中的步骤将DNS配置为主AD域的内网IP地址
![c4b874eef6ff29ba0841267db72273699c77c5cd]()
![b3763eb7fc12961ec2afca6288bb143cd4ce7bb9]()
![d9cb9a9ee63cc305cf71df7cbf68ad949b7b02fd]()
4.5.3 运行“dcpromo”命令打开AD域服务安装向导,按照下列操作步骤进行逐一配置。
![7eb83a4ed0c8639291f31931952ab8c3a8f7fee6]()
![d2efcd42296dd7f062079a5724c549f46478b739]()
![e7db151da6400cce5108b334ec0964c3b9a01eb7]()
![9520a50bcd3a8d16fd007c8bc3b37275d143e9a4]()
![560684e8545042fcb6ff1682bf32b8a9d189e09d]()
![fb525be1d82ba80506c1d73a6b38e5b2470ac14d]()
![a9fb3fdd787a2ae9148158834e367dc1efc6efb5]()
![7409fe506ea8980b0aa3c6ef2b4e0eafb8c28ada]()
![119fb1ce1633fb896755b770f7e35cf46499efa3]()
![4ae287c8b3125e6d137dc2b7762a9341f04f0092]()
![98e016b9819c375b967cbe5996168a0ab6c6dbd6]()
![b42eb3710a57736423d67b9753f5a0b6f5822578]()
![475286351f5449ff04a43a5ec1227b11366791d8]()
![189df5b9af5c495fb8d03dfc06f6e3ec6a5b5834]()
![e40b89db337a1b709e0ac6391808884954bbfc18]()
![80abc633df831423846b820ca3497f9b2bb7cce2]()
4.6配置备AD证书服务
![c70efd854037525d4e3866e674a687569d64914b]()
![5124caf42ce405f5e0f5b6301feeb39a6ee086df]()
![8b8b60ae3687b0cc025f047f3f3992640d30f9a0]()
![908bfe75d1ade082f5ed95caae32d9dfaea112d9]()
![965738bb451a64769913aea1553a49895e481162]()
4.7购买部署云桌面
4.7.1 登陆云桌面的控制台,选择购买的对应类型,可参考如下步骤。
4.7.2 查看目前的主备AD的IP地址,用于云桌面的环境设置
4.7.3 根据主备AD的IP地址完成以下云桌面环境的设置
4.7.4 购买创建云桌面
4.7.5 在控制台中远程输入对应的账号及密码登陆到创建的云桌面中。
4.7.6 登陆以后,查看当前是否成功加入到创建的AD中。
4.7.7 测试云桌面是否和ECS能相互通信。
4.8云桌面的一些具体功能操作步骤(附图)
4.8.1 云桌面内网OSS访问策略测试
4.8.2云桌面快照测试
4.8.3 云桌面本地管理员密码修改
4.9 配置Cbox+CCN+CEN
购买完智能接入网关以后会自动创建一个sag实例,然后需要自行创建ccn云连接网实例,把sag挂载到ccn下。
4.9.2
如需要和云上vpc ecs互通,则还需要创建云企业网cen实例(
点我进入传送门~)
4.9.3 配置线下的智能接入网关Cbox,并进行测试(已测试云上和云下内网可以互通)
4.10 在云桌面控制台中修改云桌面网络策略,如下图增加一条规则为:入方向 0.0.0.0/0 允许 的规则,并立即生效!
4.11 最后,使用本地PC端进行通信测试
4.11.1使用本地PC尝试ping云桌面的主机,看是否可以进行通信。
4.11.2 可以使用windows 自带的远程连接工具去连接云桌面
4.11.3 可以将本地的Pc直接添加到对应的AD中
