BpFile(id=304, bpId=183, name=远程办公-AD管控下的弹性云桌面, author=null, keyword=云桌面,远程办公,IPSec,目录服务,CEN,VPN, description=本最佳实践适用于员工通过弹性云桌面客户端连接到弹性云桌面进行日常操作。企业用户账户、共享文件服务、及IDC资源,通过微软Active Directory(以下简称AD)集中管控。云桌面的创建和分配通过云桌面管理控制台完成。主要解决企业基础办公环境在弹性云桌面上的部署问题。, position=null, ossUrl=bp-JW906NSIGZ125BIM.pdf, tags=null, level=null, tagList=null, products=null, productList=null, hotspot=null, oneClick=1, createTime=null, modifiedTime=null, timeConsuming=null, status=1, pdfDescription=
在弹性云桌面中部署企业基础办公环境时,IT人员通常会面临以下问题,本文希望通过场景实践的方式,示范如何结合使用不同阿里云产品,来解决这些问题:用户如何管理?企业已有AD用户如何上云?云上共享文件服务权限怎么管?数据安全问题有保障吗?该如何设置?云桌面能使用本地机房或IDC中的服务吗?
本文使用的应用场景:
场景1:客户A在云上新建Windows ActiveDirectory(以下简称AD);弹性云桌面,和NAS文件存储服务部署在AD所在的VPC内。场景2:客户B在阿里云上已有AD和NAS。弹性云桌面创建在与AD不同的VPC中。AD与云桌面的VPC通过CEN连接。场景3:客户C在云下IDC有自建AD和文件服务。弹性云桌面创建在阿里云上。云下机房与阿里云弹性云桌面所在VPC通过IPsec VPN连接。
方案优势:
易部署:弹性云桌面支持快速便捷的桌面环境创建、部署、统一管控与运维。
CEN和VPN网关服务开通即用,配置实时生效,快速完成部署。
低成本:弹性云桌面无需前期传统硬件投资,帮您快速构建安全、高性能、低成本的桌面办公体系。可广泛应用于具有高数据安全管控、高性能计算等要求的金融、设计、视频、教育等领域。VPN网关基于Internet建立加密通道,比建立专线更便宜,快速实现混合云。
安全性:VPN网关使用IKE(秘钥交换协议)和IPSec对传输数据或进行加密,保证数据安全可靠。云桌面自带的安全策略保证数据不落地。
集中管控:通过Windows AD对云桌面用户和共享文件服务进行统一权限管控。可实现AD用户自动同步上云,和文件级别的权限管控。
, templateId=RK6WQ43B5A658I5J, freetry=, visitTime=null, visitCount=null, video_url=https://yqh.aliyun.com/live/detail/21785, buttonName=null, buttonUrl=null, targetId=RK6WQ43B5A658I5J, partner=null, partnerUrl=null, partnerLogo=null, cooperation=, cooperationList=null)
1
远程办公 - AD管控下的弹性云桌面 最佳实践
云桌面接入方式:弹性云桌面客户端 云桌面和企业 IDC互联:IPSec或者物理专线
员工通过弹性云桌面客户端,可从任何网络安全地登 通过 IPSec VPN或物理专线将云桌面 VPC网络和企
录云桌面实例进行远程办公。 业 IDC网络连通,员工在云桌面中可以使用公司内
部应用和资源。
集成现有 Active Directory
解决的问题
对企业现有 AD,可在云桌面目录服务中进行注册,
创建微软 AD目录类型的云桌面目录。在 AD中维护
⚫ 使用者无法在公司办公场所现场办公的问题
⚫ 使用者远程办公时无法安全快速的访问到企业
云桌面用户。
IDC内部应用和资源的问题
共享 NAS文件存储
⚫ 云桌面用户和资源使用权限管控。
用阿里云 NAS作为共享文件存储,在云桌面中进行
产品列表
挂载。可通过 AD在文件粒度对访问权限进行管控。
弹性云桌面,VPN网关,VPC,CEN,NAS
2云服务器 ECS(产品名称) 文档模板(手册名称)/文档版本信息
阿里云
远程办公
AD管控下的弹性云桌面
最佳实践
文档版本:20201221
文档版本:20150122(发布日期) II
3远程办公 - AD管控下的弹性云桌面最佳实践 文档版本信息
文档版本信息
文本信息
属性 内容
文档名称 远程办公 - AD管控下的弹性云桌面最佳实践
文档编号 183
文档版本 V1.2
版本日期 2020-12-21
文档状态 对外发布
制作人 天裵
审阅人 阿瑟 云魁 旗云
文档变更记录
版本编号 日期 作者 审核人 说明
V1.0 2020-12-01 天裵 阿瑟 云魁 旗云 创建
1.修改标题
V1.1 2020-12-10 天裵 阿瑟 云魁 2.增加通过 CADT
创建资源部分
补充 CADT 官方
V1.2 2020-12-21 天裵 模板 ,增加
SampleCode
联系我们
如果您在使用本最佳实践时遇到问题,欢迎通过钉钉扫描二维码联系方案负责人获取
进一步帮助:
文档版本:20201221 I
4远程办公 - AD管控下的弹性云桌面最佳实践 前言
前言
概述
本最佳实践适用于员工通过弹性云桌面客户端连接到弹性云桌面进行日常操作。企
业用户账户、共享文件服务、及 IDC资源,通过微软 Active Directory(以下简称
AD)集中管控。云桌面的创建和分配通过云桌面管理控制台完成。主要解决企业
基础办公环境在弹性云桌面上的部署问题。
名词解释
⚫ 弹性云桌面
弹性云桌面 (Elastic Cloud Desktop),是一种易用、安全、高效的云上桌面服
务。它支持快速便捷的桌面环境创建、部署、统一管控与运维。无需前期传统
硬件投资,帮您快速构建安全、高性能、低成本的企业桌面办公体系。可广泛
应用于具有高数据安全管控、高性能计算等要求的安全办公、金融、设计、影
视、教育等领域。详情请查看: https://www.aliyun.com/product/ecs/gws
⚫ VPN网关
VPN网关是一款基于 Internet的网络连接服务,通过加密通道的方式实现企业
数据中心、企业办公网络或 Internet终端与阿里云专有网络(VPC)安全可靠
的连接。VPN网关提供 IPsec-VPN连接和 SSL-VPN连接。详情请查看:
https://www.aliyun.com/product/vpn
⚫ IPSec VPN
基于路由的 IPsec-VPN,不仅可以更方便的配置和维护 VPN策略,而且还提供
了灵活的流量路由方式。您可以使用 IPsec-VPN功能将本地数据中心与 VPC
或不同的 VPC之间进行连接。IPsec-VPN支持 IKEv1和 IKEv2协议。只要支
持这两种协议的设备都可以和阿里云 VPN网关互连,比如华为、华三、山石、
深信服、Cisco ASA、Juniper、SonicWall、Nokia、IBM 和 Ixia等。
⚫ NAT网关
NAT 网关是一款企业级的 VPC 公网网关,提供 NAT 代理(SNAT、
DNAT)、10Gbps 级别的转发能力、以及跨可用区的容灾能力。NAT 网关与
共享带宽包配合使用,可以组合成为高性能、配置灵活的企业级网关。详情请
查看:https://www.aliyun.com/product/network/nat
文档版本:20201221 III
5远程办公 - AD管控下的弹性云桌面最佳实践 前言
⚫ EIP
弹性公网 IP(EIP)是独立的公网 IP资源,可以与阿里云专有网络 VPC类型的
ECS、NAT网关、ENI网卡、私网负载均衡 SLB绑定,并可以动态解绑,实现
公网 IP与 ECS、NAT网关、ENI网卡、SLB的解耦,满足灵活管理的要求。
详情请查看:https://www.aliyun.com/product/eip
⚫ NAS
阿里云文件存储 NAS是一个可共享访问,弹性扩展,高可靠,高性能的分布式
文件系统。广泛应用于容器存储、大数据分析、Web 服务和内容管理、应用程
序开发和测试、媒体和娱乐工作流程、数据库备份。支持冷热数据分级存储。
详情请查看:https://www.aliyun.com/product/nas
⚫ CEN
云企业网(Cloud Enterprise Network)提供一种能够快速构建混合云和分布式
业务系统的全球网络,帮助用户打造一张具有企业级规模和通信能力的云上网
络。详情请查看:https://www.aliyun.com/product/cbn
⚫ CADT
CADT是一款为上云应用提供自助式云架构管理的产品,显著地降低应用云上
管理的难度和时间成本。本产品提供丰富的预制应用架构模板,同时也支持自
助拖拽方式定义应用云上架构;支持较多阿里云服务的配置和管理。用户可以
方便的对云上架构方案的成本、部署、运维、回收进行全生命周期的管理。详
情请查看:https://www.aliyun.com/product/developerservices/cadt
文档版本:20201221 IV
6远程办公 - AD管控下的弹性云桌面最佳实践 目录
目录
文档版本信息 .................................................................... I
法律声明 ....................................................................... II
前言 .......................................................................... III
目录 ............................................................................ V
最佳实践概述 .................................................................... 1
前置条件 ........................................................................ 4
1. 部署最佳实践所需资源 ......................................................... 5
1.1. 规划资源 ............................................................. 5
1.1.1. 场景 1资源规划 ................................................... 5
1.1.2. 场景 2资源规划 ................................................... 7
1.1.3. 场景 3资源规划 ................................................... 8
1.2. 通过CADT创建架构图 ................................................. 11
1.3. 通过CADT部署资源 ................................................... 14
2. 场景1:新建云上 AD并在同一VPC中部署云桌面 ................................ 16
2.1. 部署AD服务器 ....................................................... 16
2.1.1. 登录 ADshanghai服务器 ........................................... 16
2.1.2. 安装 DNS服务和Active Directory 域服务 .......................... 19
2.1.3. 创建域用户 ...................................................... 30
2.2. 部署NAS共享文件服务 ................................................ 32
2.2.1. 添加 NAS文件系统挂载点 .......................................... 32
2.2.2. 开启 SMB ACL .................................................... 33
2.2.3. AD 服务器挂载 NAS ............................................... 37
2.2.4. 用Windows文件资源管理器查看和编辑 ACL .......................... 39
2.3. 部署弹性云桌面 ...................................................... 44
2.3.1. 注册目录服务 .................................................... 44
2.3.2. 检查 AD目录用户同步 ............................................. 50
2.3.3. 为用户 1创建基础办公型云桌面 .................................... 52
2.3.4. 为用户 2创建图形型云桌面 ........................................ 53
2.3.5. 配置网络(可选步骤) ............................................ 54
2.4. 通过客户端访问云桌面 ................................................ 56
2.4.1. 安装弹性云桌面客户端 ............................................ 56
2.4.2. 登录云桌面 ...................................................... 57
2.4.3. 挂载 NAS共享文件存储 ............................................ 59
2.4.4. 验证文件访问权限 ................................................ 60
2.4.5. 验证公网访问 .................................................... 61
2.4.6. 验证云桌面成功加入 AD域 ......................................... 62
3. 场景2:云上现有 AD与弹性云桌面集成 ........................................ 63
3.1. 创建企业云上模拟环境 ................................................ 63
3.1.1. 部署北京 AD服务器 ............................................... 63
3.1.2. 部署北京 NAS共享文件服务 ........................................ 63
3.2. 使用CEN将北京和上海的VPC连通 ...................................... 64
文档版本:20201221 V
7远程办公 - AD管控下的弹性云桌面最佳实践 目录
3.2.1. 查看云企网实例 .................................................. 64
3.2.2. 设置跨地域带宽 .................................................. 64
3.2.3. 网络互通测试 .................................................... 67
3.3. 为北京AD用户部署弹性云桌面 ......................................... 68
3.3.1. 为北京的 AD在上海注册云桌面目录 ................................. 68
3.3.2. 使用北京 AD创建云桌面 ........................................... 68
3.4. 通过客户端访问云桌面 ................................................ 69
4. 场景3:云下IDC中的AD与弹性云桌面集成 .................................... 70
4.1. 创建企业 IDC模拟环境 ................................................ 70
4.1.1. 部署杭州 AD服务器 ............................................... 70
4.1.2. 部署杭州文件服务 ................................................ 70
4.2. 使用IPSec-VPN将杭州和上海的网络打通 ................................ 78
4.2.1. 创建上海区域的 IPSec VPN连接 .................................... 78
4.2.2. 创建企业 IDC的VPN网关和隧道 .................................... 83
4.2.3. 在企业 IDC添加到上海云桌面集群 VPC的路由 ........................ 85
4.2.4. 验证云桌面所在网段和企业 IDC的连通性 ............................ 87
4.3. 部署弹性云桌面 ...................................................... 88
4.4. 通过客户端访问云桌面 ................................................ 88
4.4.1. 通过客户端访问云桌面 ............................................ 88
4.4.2. 挂载共享文件夹并验证访问权限 .................................... 88
附录1:验证桌面使用场景 ....................................................... 92
场景1:基础办公 ........................................................... 92
场景2:图形工作站 ......................................................... 94
附录2:用NAT为云桌面配置网络 ................................................. 98
附录3:管理策略 – 数据不落地 ................................................ 103
创建新策略 ................................................................ 104
为用户关联策略 ............................................................ 105
验证策略 .................................................................. 107
附录4:云桌面相关API ......................................................... 110
创建云桌面 ................................................................ 110
删除云桌面 ................................................................ 113
文档版本:20201221 VI
8远程办公 - AD管控下的弹性云桌面最佳实践 最佳实践概述
最佳实践概述
本最佳实践要回答的问题
在弹性云桌面中部署企业基础办公环境时,IT人员通常会面临以下问题,本文希望
通过场景实践的方式,示范如何结合使用不同阿里云产品,来解决这些问题:
⚫ 用户如何管理?企业已有 AD用户如何上云?
⚫ 云上共享文件服务权限怎么管?
⚫ 数据安全问题有保障吗?该如何设置?
⚫ 云桌面能使用本地机房或 IDC中的服务吗?
本文结构逻辑
⚫ 部署场景模拟环境。
⚫ 不同网络环境的打通。
⚫ 部署弹性云桌面。
⚫ 用户访问云桌面。
⚫ 附录:功能补充介绍,使用场景验证。
本文使用的应用场景
以下各场景中,通过 AD对云桌面用户和文件存储进行权限管控,员工在任意网络
环境下统一使用弹性云桌面客户端登录。
注意:以下三个场景相互独立互不影响,本文中为篇幅简洁,描述方便,在场景 2
和 3中复用了场景 1中建立的云桌面环境。
场景 1:客户 A在云上新建 Windows ActiveDirectory(以下简称 AD);弹性云桌
面,和 NAS文件存储服务部署在 AD所在的 VPC内。
场景 2:客户 B在阿里云上已有 AD和 NAS。弹性云桌面创建在与 AD不同的 VPC
中。AD与云桌面的 VPC通过 CEN连接。
场景 3:客户 C在云下 IDC有自建 AD和文件服务。弹性云桌面创建在阿里云上。
云下机房与阿里云弹性云桌面所在 VPC通过 IPsec VPN连接。
文档版本:20201221 1
