Fusion Access配置多域环境发放虚拟机

发布时间:  2015-10-29 浏览次数:  324 下载次数:  0
问题描述
FA环境配置了AD域,现场客户有自己的AD域(只能在此AD域上创建了用户),2个AD域之间配置了互信。在FA上用客户的AD域上用户发放虚拟机提示不能检测到域用户。
处理过程

一、多森林域互信配置方法(来fusion cloud 标准桌面云解决方案产品文档--配置域间互通章节)
配置森林间根域与根域DNS之间的正向查找关系
1. 在根域A所在虚拟机选择“Start > Administrative Tools > DNS”。
弹出“DNS Manager”窗口。
2. 展开“DNS > 计算机名称 > Conditional Forwarders”。
3. 右键单击“Conditional Forwarders”,在快捷菜单中选择“New Conditional Forwarder”。
显示“New Conditional Forwarder”窗口。
4. 配置如下参数,如图1所示。
• DNS Domain:根域B的域名全称,例如:“vdesktop.huawei.com”。
• IP Address:根域B主DNS服务器的业务平面IP地址。
图1 New Conditional Forwarder

5. 单击“OK”。
在“Conditional Forwarders”下新增一条记录。
6. 登录根域B的DNS服务器,配置其“Conditional Forwarders”。
操作方法参考步骤 1~步骤 5。不同的是,步骤 4的配置参数如下:
• DNS Domain:根域A的域名全称,例如:“vdesktop.huawei.com”。
• IP Address:根域A的DNS服务器的业务平面IP地址。
配置根域A和根域B域控制器间信任关系
7. 在根域A的AD服务器上,选择“Start > Administrative Tools > Active Directory Domains and Trusts”。
弹出“Active Directory Domains and Trusts”窗口。
8. 在“根域A域名全称”节点右键菜单中选择“Properties”。
弹出根域A属性窗口。
9. 选择“Trusts”页签。
10. 单击“New Trust”。
弹出“New Trust Wizard”窗口。
11. 单击“Next”。
进入“Trust Name”界面。
12. 填写根域B的域名全称,例如“vdesktop.huawei.com”,如图2所示。
图2 New Trust Wizard

13. 单击“Next”。
进入“Trust Type”界面。
14. 选中“Forest Trust”,单击“Next”。
进入“Trust of Trust”界面。
15. 选中“Two-way”,单击“Next”。
进入“Transitivity of Trust”界面。
16. 选中“Both this domain and the specified domain”,单击“Next”。
进入“User Name and Password”界面。
17. 填写根域B服务器的帐户“SWMaster”和密码,如图3所示。
图3 User Name and Password

18. 单击“Next”。
进入“Outgoing Trust Authentication Level-Local Forest”界面。
19. 选中“Forest-wide authentication”,单击“Next”。
进入“Outgoing Trust Authentication Level-Specified Forest”界面。
20. 选中“Forest-wide authentication”,单击“Next”。
进入“Trust Selections Complete”界面。
21. 单击“Next”。
进入“Trust Creation Complete”界面。
22. 单击“Next”。
进入“Confirm Outgoing Trust”界面。
23. 选中“Yes, confirm the outgoing trust”,单击“Next”。
进入“Confirm Incoming Trust”界面。
24. 选中“Yes, confirm the incoming trust”,单击“Next”。
进入“Completing the New Trust Wizard”界面提示安装成功,如图4所示。
图4 Completing the New Trust Wizard

25. 单击“Finish”完成配置。
弹出“Active Directory Domain Services”的提示框。
26. 单击“OK”。
关闭“Active Directory Domain Services”的提示框,同时在域名Properties窗口,显示根域B的信任信息,如图5所示。
图5 Domain name Properties

27. 单击“OK”。
关闭属性窗口。
  说明:
此配置完成后,在根域B域控制器的域名Properties窗口,自动同步显示根域A的信任信息。
28. 关闭“Active Directory Domains and Trusts”窗口。
验证根域A和根域B域控制器间信任关系
29. 如图5所示,在“Domains trusted by this domain (outgoing trust):”列表中选中域名,单击“Properties...”
进入根域B域控制器的域名Properties窗口,如图6所示。
图6 Domain name Properties

30. 在“General”页签,单击“Validate”。
进入“Active Directory Domain Services”界面,如图7所示。
图7 Active Directory Domain Services

31. 输入根域B的管理员帐号和密码,单击“OK”。弹出如图8所示的提示框,表示根域A和根域B域控制器间的信任关系建立成功。
图8 Active Directory Domain Services

设置连通性
32. 在根域A的AD服务器上,打开“Server Manager”窗口。
33. 在“Server Manager”窗口的导航树中,依次展开“Roles > DNS Server > DNS > 计算机名称 > Forward Lookup Zones”节点。
显示“GlobalNames”节点。
34. 选中“GlobalNames”,单击右键。在弹出的快捷菜单中,选择“New Alias (CNAME)”
弹出“New Resource Record”窗口,如图9所示。
图9 New Resource Record

35. 在“Alias name”中填写根域B的NetBIOS域名。
例如域名为“user.huawei.com”,则输入“user”。
36. 单击“Browse”。
弹出“Browse”窗口,如图10所示。
图10 Browse

37. 依次双击“根域A计算机名称 > Forward Lookup Zones > 根域A域名 > 主AD服务器所在的计算机名称”。
返回“New Resource Record”窗口,如图11所示。
图11 New Resource Record

38. 单击“OK”。
在“GlobalNames”区域,看到新增的连通信息。
39. 右键单击空白处,在快捷菜单中选择“Refresh”。
新增的连通信息“Timestamp”列的状态变为“static”,如图12所示。
图12 GlobalNames

二、互信检测命令在AD上执行:
nltest /sc_verify:互信域的域名 例如nltest /sc_verify:klmy.gov.cn 没有error即可

三、在FA的系统管理需要创建对应的域(目前支持用户和虚拟机必须在一个域里)

四、WI配置域信息需要选择所有的域,再发放虚拟机检测域用户虚拟机通过,发放虚拟机成功。

五、WI登录下拉菜单选择对应的域

END