云桌面 WORKSPACE-如何配置云应用和Windows AD网络互通:操作步骤

时间:2024-10-24 17:41:02

操作步骤

场景一:Windows AD部署在客户数据中心内网

图1 Windows AD部署在客户数据中心内网
  1. 首先需要通过云专线或者IPsec VPN连接客户数据中心与VPC之间的网络。参考云专线服务的《快速入门》或者 虚拟专用网络 VPN服务的《管理员指南》进行配置。
  2. 如果Windows AD与云应用之间部署了防火墙,则需要在防火墙上给云应用开启以下端口供云应用连接Windows AD,如表1所示。

    表1 端口列表

    角色

    端口

    协议

    描述

    AD

    135

    TCP

    RPC协议(LDAP、分布式文件系统和分布式文件复制需要使用该端口)

    137

    UDP

    NetBIOS名称解析(网络登录服务需要使用该端口)

    138

    UDP

    NetBIOS数据包服务(分布式文件系统、网络登录等服务需要使用该端口)

    139

    TCP

    NetBIOS-SSN服务(网络基本输入输出接口)

    445

    TCP

    NetBIOS-SSN服务(网络基本输入输出接口)

    445

    UDP

    NetBIOS-SSN服务(网络基本输入输出接口)

    49152-65535

    TCP

    RPC动态端口(AD未加固开放的端口。如果AD已加固,需要开放端口50152-51151)

    49152-65535

    UDP

    RPC动态端口(AD未加固开放的端口。如果AD已加固,需要开放端口50152-51151)

    88

    TCP

    Kerberos密钥分发中心服务

    88

    UDP

    Kerberos密钥分发中心服务

    123

    UDP

    NTP服务使用的端口

    389

    UDP

    LDAP服务器

    389

    TCP

    LDAP服务器

    464

    TCP

    Kerberos认证协议

    464

    UDP

    Kerberos认证协议

    500

    UDP

    isakmp

    593

    TCP

    RPC over HTTP

    636

    TCP

    LDAP SSL

    DNS

    53

    TCP

    DNS服务器

    53

    UDP

    DNS服务器

  3. 配置完成之后,请参考验证方法进行对接的验证,以确认网络和端口是否正常工作。

场景二:Windows AD部署在云应用所在VPC的另一个子网

在此场景中,需要为Windows AD添加安全组规则,将Windows AD的一些端口开放给云应用,使云应用能够与Windows AD连接。
图2 Windows AD部署在云应用所在VPC的另一个子网
  1. 在VPC中创建一个安全组,具体操作请参考创建安全组
  2. 添加一条入方向规则,具体操作请参考添加安全组规则
  3. 安全组创建成功后,将该安全组应用于AD管理服务器实例,使云应用能够与AD正常通讯。

    如果需要将开放的端口和协议控制在最小的范围内,可以在安全组内添加多条入方向规则,只开放如表1所示的端口和协议即可。

  4. 配置完成之后,请参考验证方法进行网络互通的验证,以确认网络和端口是否正常工作。
support.huaweicloud.com/usermanual-appstreaming/app_streaming_11_0062.html