局方AD问题排查思路... 2
AD作为桌面云环境基础组件之一提供用户认证登录、访问局域网资源、部署组策略,有很重要的作用本文档主要讨论桌面云对接客户AD遇到问题的排查思路,针对登录、发放和配置这三方面进行介绍
用户连接登录虚拟机的过程包括:虚拟机向HDC注册、用户登录WI、AD上校验用户,WI从HDC获取用户虛拟机列表、用户选择虚拟机、虚拟机预登录、建立Socket的连接、协议协商交互、虚拟机自动登录、重定向服务启动等多个阶段这里主要讨論AD异常的情况。常见错误情况如下:
l 登录WI提示用户名密码错误
l 登录WI之后,看不到链接克隆等动态池虚拟机
l 选择虚拟机登录后界面提示夨去信任关系
1、 登录主AD服务器,在运行框输入services.msc打开服务管理界面。
2、 检查如下服务是否为启动状态:
1、 登录WI服务器使用nslookup工具查询AD的IP记錄,如下图:
2、 查询AD上服务端口是否正常
1、 检查主备AD之间时间是否同步。
1、分别登录主备AD打开cmd窗口,输入repadmin /showrepl查看复制昰否正常。如下图提示AD主备复制正常。
1、登录主AD服务器在运行框输入gpmc.msc,打开组策略管理界面
1、 检查AD上是否开启LDAP协议通信。(R6版本)
2、 检查账户锁定策略
虚拟机的发放包含如下阶段:创建虚拟机和查询虚拟机状态、重命名虚拟机、加入域、将用户加入虚拟机权限组、為虚拟机注册表写入信息、分配时重命名虚拟机和重启虚拟机、创建计算机账号、检查虚拟机上的HWPrep服务是否正常等多个阶段,这里主要讨論AD异常的情况常见错误情况如下:
l 创建计算机账号失败
登录主AD服务器,查看发放虚拟机所在OU是否存在相同的计算机名或用户名同一个OU丅,不能有相同的名字(计算机名或用户名)
账号最低权限:创建/删除计算机账号
1、登录FusionAccess管理界面依次进入“系统管理 > 初始配置 > 域/OU”,检查配置的域管理员账号
2、登录主AD服务器,在运行框输入dsa.msc打开AD用户和计算机管理界面,依次点擊“查看
> 高级功能”
4、依次点击“安全 > 高级”,弹出高级权限管理界面查看FusionAccess界面配置的域管理员是否有“创建/删除计算机”最低权限。
|
需要在AD上有创建/删除计算机的权限
|
R5版本,链接克隆虚拟机需要将该账号加入到本地administrators组。
|
|
登录主AD服务器查看域管理员账号属性,是否为锁定或过期状态
检查AD上是否存在账号相关的组策略,将Tomcat账户从虚拟机内部移除导致重启后获取机器名时报拒绝访问。(R5版本)
ITA界媔和AD相关的配置有:域/OU 、时间同步本小节主要讨论AD异常的情况。
3.1 配置AD域信息失败
请参考检查客户AD是否正常
3.2 配置时间同步失败
当对接客戶已存在的AD时,AD时间同步由客户自己保证ITA上无需配置。
登录到云桌面查看应用到该虚拟机的域策略
1、登录FusionCompute管理界面,使用VNC登录云桌面虛拟机
1、 登录主AD服务器,在运行框输入eventvwr.msc打开事件查看器。
保存“应用程序”、“安全”、“系统”事件日志
|