Auf dieser Seite finden Sie Tipps und Ansätze zur Fehlerbehebung. Häufige Probleme mit Managed Service for Microsoft Active Directory.
Es kann keine Managed Microsoft AD-Domain erstellt werden
Wenn Sie keine Managed Microsoft AD-Domain erstellen können, sollten Sie die können folgende Konfigurationen helfen.
Erforderliche APIs
Für Managed Microsoft AD müssen Sie eine Gruppe von APIs aktivieren, bevor Sie eine Domain erstellen können.
Führen Sie die folgenden Schritte aus, um zu überprüfen, ob die erforderlichen APIs aktiviert sind:
Console
- Gehen Sie zur Seite APIs und Dienste in der
Google Cloud Console
Zu „APIs und Dienste“ Überprüfen Sie auf der Seite Dashboard, ob die folgenden APIs aufgelistet sind:
- Managed Service for Microsoft Active Directory API
- Compute Engine API
- Cloud DNS API
gcloud
Führen Sie den folgenden gcloud CLI-Befehl aus:
gcloud services list --available
Der Befehl gibt die Liste der aktivierten APIs zurück. Stellen Sie sicher, dass die folgenden APIs aufgelistet sind:
- Managed Service for Microsoft Active Directory API
- Compute Engine API
- Cloud DNS API
Wenn eine dieser APIs fehlt, führen Sie die folgenden Schritte aus, um sie zu aktivieren:
Console
- Gehen Sie zur
Seite API-Bibliothek in der
Google Cloud Console
Zur API-Bibliothek - Geben Sie auf der Seite API-Bibliothek im Suchfeld den Namen der fehlenden API ein.
- Klicken Sie auf der API-Informationsseite auf Aktivieren.
gcloud
Führen Sie den folgenden gcloud CLI-Befehl aus:
gcloud services enable API_NAME
Ersetzen Sie API_NAME durch den Namen der fehlenden API.
Wiederholen Sie diesen Vorgang, bis alle erforderlichen APIs aktiviert sind.
Abrechnung
Für Managed Microsoft AD müssen Sie die Abrechnung aktivieren, bevor Sie eine Domain erstellen können.
Führen Sie die folgenden Schritte aus, um zu überprüfen, ob die Abrechnung aktiviert ist:
Console
- Rufen Sie in der Google Cloud Console die Seite Abrechnung auf.
Zur Abrechnung - Stellen Sie sicher, dass für Ihre Organisation ein Abrechnungskonto eingerichtet ist.
- Klicken Sie auf den Tab My projects (Meine Projekte) und prüfen Sie, ob das in dem Sie eine Managed Microsoft AD-Domain erstellen möchten, aufgeführt sind.
gcloud
Führen Sie den folgenden gcloud CLI-Befehl aus:
gcloud billing projects describe PROJECT_ID
Wenn Sie kein gültiges Abrechnungskonto sehen, das mit dem Projekt verknüpft ist, sollten Sie die Abrechnung aktivieren.
IP-Adressbereich
Wenn beim Versuch, eine Domain zu erstellen, ein IP range overlap -Fehler angezeigt wird, bedeutet dies, dass sich der reservierte IP-Adressbereich, den Sie in der Anforderung zur Domänenerstellung angegeben haben, mit dem IP-Adressbereich des autorisierten Netzwerks überschneidet. Um dieses Problem zu beheben, sollten Sie einen anderen IP-Adressbereich oder ein anderes autorisiertes Netzwerk auswählen. Weitere Informationen finden Sie unter
Wählen Sie IP-Adressbereiche aus.
Berechtigungen
Wenn beim Versuch, eine Domain zu erstellen, eine Permission denied -Fehlermeldung angezeigt wird, sollten Sie überprüfen, ob die aufrufende Identität die Managed Microsoft AD-API aufrufen darf. Weitere Informationen zu Managed Microsoft AD-Rollen und -Berechtigungen.
Unternehmensrichtlinien
Die Domainerstellung kann aufgrund einer Organisationsrichtlinienkonfiguration fehlschlagen. Sie können beispielsweise eine Organisationsrichtlinie so konfigurieren, dass nur der Zugriff auf bestimmte Dienste wie GKE oder Compute Engine zugelassen wird. Weitere Informationen Info zur Organisationsrichtlinie Einschränkungen.
Bitten Sie Ihren Administrator, der die IAM-Rolle „Administrator für Organisationsrichtlinien“ (roles/orgpolicy.policyAdmin) für die Organisation hat, die erforderlichen Organisationsrichtlinien zu aktualisieren.
Resource Location Restriction Unternehmensrichtlinien
Diese Listeneinschränkung definiert die Gruppe von Standorten, an denen standortbasierte Google Cloud-Ressourcen erstellt werden können. Das Verweigern des Speicherorts global kann sich auf Managed Microsoft AD auswirken.
So zeigen Sie die Organisationsrichtlinie Resource Location Restriction an und aktualisieren sie:
Console
- Rufen Sie in der Google Cloud Console die Seite Organisationsrichtlinien auf.
Zu den Organisationsrichtlinien - Wählen Sie auf der Seite Organisationsrichtlinien in der Spalte Name die Richtlinie Einschränkung des Ressourcenstandorts aus, um die Zusammenfassung der Richtlinien zu öffnen. Panel.
- Überprüfen Sie im Bereich Richtlinienzusammenfassung, ob der Speicherort
globalzulässig ist. - Wenn Sie eine Änderung vornehmen müssen, wählen Sie Bearbeiten, aktualisieren Sie die Richtlinie und klicken Sie dann auf Speichern.
Erfahren Sie mehr über Einschränken der Ressourcenpositionen.
gcloud
Führen Sie den folgenden gcloud CLI-Befehl aus, um die Details für die Organisationsrichtlinie
Resource Location Restrictionaufzurufen. Erfahren Sie mehr über den Befehlgcloud resource-manager org-policies describe.gcloud resource-manager org-policies describe constraints/gcp.resourceLocations \ --organization=ORGANIZATION_IDWenn der Befehl
describeanzeigt, dassglobalnicht zulässig ist, führen Sie den folgenden Befehl aus, um dies zuzulassen. Erfahren Sie mehr über den Befehlgcloud resource-manager org-policies allow.gcloud resource-manager org-policies allow constraints/gcp.resourceLocations global \ --organization=ORGANIZATION_ID
Erfahren Sie mehr über Einschränken der Ressourcenpositionen.
Restrict VPC peering usage Unternehmensrichtlinien
Diese Listeneinschränkung definiert den Satz von VPC-Netzwerken, die mit den zu einer bestimmten Ressource gehörenden VPC-Netzwerken verglichen werden dürfen. Wenn Sie ein autorisiertes Netzwerk für eine Managed Microsoft AD-Domain angeben, wird ein VPC-Peering zwischen dem autorisierten Netzwerk und dem isolierten Netzwerk mit den AD-Domänencontrollern erstellt. Wenn die Organisationsrichtlinie für das Projekt Peerings verweigert, kann Managed Microsoft AD keine Peerings für das autorisierte Netzwerk erstellen, sodass die Domänenerstellung fehlschlägt. Sie erhalten folgende Fehlermeldung:
GCE_PRECONDITION_FAILED: Constraint constraints /compute.restrictVpcPeering violated for project PROJECT_ID. Peering the network projects/PROJECT_ID/global/networks/VPC_NETWORK_NAME is not allowed.
So zeigen Sie die Organisationsrichtlinie Restrict VPC peering usage an und aktualisieren sie:
Console
- Rufen Sie in der Google Cloud Console die Seite Organisationsrichtlinien auf.
Zu den Organisationsrichtlinien - Auf der Organisationsrichtlinien Seite, in der Name Spalte, wählen Sie die Beschränken Sie die Verwendung von VPC-Peering Politik zum Öffnen der Zusammenfassung der Richtlinien Panel.
- Überprüfen Sie im Bereich Richtlinienzusammenfassung, ob das Projekt Peerings zulässt.
- Wenn Sie eine Änderung vornehmen müssen, wählen Sie Bearbeiten, aktualisieren Sie die Richtlinie und klicken Sie dann auf Speichern.
gcloud
Führen Sie den folgenden gcloud CLI-Befehl aus, um die Details für die Organisationsrichtlinie
Restrict VPC peering usageaufzurufen. Weitere Informationen zum Befehlgcloud resource-manager org-policies describegcloud resource-manager org-policies describe constraints/compute.restrictVpcPeering \ --organization=ORGANIZATION_IDWenn der Befehl
describeanzeigt, dass Peerings nicht zulässig sind, führen Sie den folgenden Befehl aus, um dies zuzulassen. Erfahren Sie mehr über den Befehlgcloud resource-manager org-policies allow.gcloud resource-manager org-policies allow constraints/compute.restrictVpcPeering under:projects/PROJECT_ID \ --organization=ORGANIZATION_IDErsetzen Sie Folgendes:
PROJECT_ID: der Name des Projekts, das die Managed Microsoft AD-Ressource enthält.ORGANIZATION_ID: die ID der Organisation, die das Projekt hostet.
Windows-VM kann nicht automatisch mit einer Domain verbunden werden
Hier sind einige Fehlercodes aufgeführt, die auftreten können, wenn Sie einer Windows-VM beitreten oder GKE-Windows-Server automatisch zu einem Domain:
| Fehlercode | Beschreibung | Mögliche Lösung |
|---|---|---|
CONFLICT (409) |
Gibt an, dass das VM-Instanzkonto bereits in der Managed Microsoft AD-Domain vorhanden ist. | Entfernen Sie das Konto manuell mithilfe von RSAT-Tools aus Managed Microsoft AD und versuchen Sie es noch einmal. Weitere Informationen zum Verwalten von AD-Objekten in Managed Microsoft AD finden Sie unter Active Directory-Objekte verwalten. |
BAD_REQUEST (412) |
Gibt an, dass die Domainbeitrittsanfrage ungültige Informationen enthält, z. B. einen falschen Domainnamen und eine falsche OU-Hierarchie (Organizational Unit). | Überprüfen Sie die Informationen und aktualisieren Sie sie gegebenenfalls. Versuchen Sie es dann noch einmal. |
INTERNAL (500) |
Gibt an, dass auf dem Server ein unbekannter interner Fehler aufgetreten ist. | Wenden Sie sich an den Google Cloud-Support, um dieses Problem zu beheben. |
FORBIDDEN (403) |
Gibt an, dass das angegebene Dienstkonto nicht die erforderlichen Berechtigungen hat. | Prüfen Sie, ob Sie die erforderlichen Berechtigungen für das Dienstkonto haben, und versuchen Sie es noch einmal. |
UNAUTHORIZED (401) |
Gibt an, dass die VM keine gültige Autorisierung für den Beitritt zur Domain hat. | Prüfen Sie, ob Sie den erforderlichen Zugriffsbereich auf der VM haben, und versuchen Sie es noch einmal. |
VM kann nicht manuell einer Domain beitreten
Wenn es Ihnen nicht möglich ist, einen Computer manuell aus einer lokalen Umgebung zu verbinden, Ihrer Managed Microsoft AD-Domain müssen Sie die folgenden Anforderungen prüfen:
Der Computer, dem Sie beitreten möchten, ist in Managed Microsoft AD sichtbar. Führen Sie eine DNS-Suche durch, um diese Verbindung zu überprüfen von der lokalen Umgebung in die Managed Microsoft AD-Domain übertragen mithilfe der
nslookup.Das lokale Netzwerk, in dem sich der Computer befindet, muss mit dem VPC-Netzwerk Ihrer verwalteten Microsoft AD-Domain verbunden sein. Informationen zur Fehlerbehebung bei einer VPC-Netzwerk-Peering-Verbindung finden Sie unter Fehlerbehebung.
Freigegebene VPC kann nicht als autorisiertes Netzwerk verwendet werden
Um von einem gemeinsam genutzten VPC-Netzwerk aus auf eine Managed Microsoft AD-Domain zugreifen zu können, muss die Domain in demselben Projekt erstellt werden, in dem sich das gemeinsam genutzte VPC-Netzwerk befindet.
Zugriff auf Managed Microsoft AD-Domain nicht möglich
Wenn Ihre Managed Microsoft AD-Domain nicht verfügbar zu sein scheint, können Sie weitere Informationen zum Status abrufen, indem Sie die folgenden Schritte ausführen:
Console
Gehen Sie zur
Managed Service for Microsoft Active Directory
in der Google Cloud Console.
Wechseln Sie zu „Managed Service for Microsoft Active Directory“
Auf der Seite Managed Service für Microsoft Active Directory in der Spalte Status können Sie die Status Ihrer Domains anzeigen.
gcloud
Führen Sie den folgenden gcloud CLI-Befehl aus:
gcloud active-directory domains list
Dieser Befehl gibt den Status für Ihre Domains zurück.
Wenn Ihr Domain-Status DOWN ist, bedeutet dies, dass Ihr Konto möglicherweise gesperrt wurde. Wenden Sie sich an den Google Cloud-Support, um dieses Problem zu beheben.
Wenn Ihr Domainstatus PERFORMING_MAINTENANCE ist,
Managed Microsoft AD sollte weiterhin verfügbar sein, lässt aber möglicherweise keine zu
Operationen wie Erweitern von Schemas, Hinzufügen oder Entfernen von Regionen. Dieser Status ist
sehr selten und tritt nur auf,
wenn das Betriebssystem gepatcht wird.
Vertrauensstellung kann nicht geschaffen werden
Wenn Sie die Schritte für Erstellen einer Vertrauensstellung, kann aber nicht Überprüfen Sie die folgenden Konfigurationen, um Abhilfe zu schaffen.
Die lokale Domain ist erreichbar
Um zu überprüfen, ob die lokale Domain über die Managed Microsoft AD-Domain erreichbar ist, können Sie ping oder Test-NetConnection verwenden. Führen Sie diese Befehle von einer VM aus, die in Google Cloud und in einem autorisierten Netzwerk gehostet wird. Stellen Sie sicher, dass die VM einen lokalen Domänencontroller erreichen kann. Weitere Informationen über Test-NetConnection
IP-Adresse
Führen Sie den folgenden Befehl aus, um zu überprüfen, ob die IP-Adresse, die während des Vertrauens-Setups angegeben wurde, die lokale Domain auflösen kann:
nslookup ON_PREMISES_DOMAIN_NAME CONDITIONAL_FORWARDER_ADDRESS
Ersetzen Sie Folgendes:
ON_PREMISES_DOMAIN_NAME: der Name Ihrer lokalen Domain.CONDITIONAL_FORWARDER_ADDRESSist die IP-Adresse Ihres bedingten DNS-Forwarders.
Wenn mehrere bedingte Weiterleitungsadressen vorhanden sind, können Sie diese testen.
Lokale Vertrauensbeziehung
Um zu überprüfen, ob die lokale Vertrauensbeziehung hergestellt wurde, sollten Sie überprüfen, ob die folgenden Informationen übereinstimmen.
- Der Vertrauenstyp und die Richtung in der Managed Microsoft AD-Domain ergänzt die in der lokalen Domain erstellte Vertrauensstellung.
- Das beim Erstellen der Vertrauensstellung in der Managed Microsoft AD-Domain angegebene Vertrauensgeheimnis stimmt mit dem in der lokalen Domain eingegebenen überein.
Die lokale Vertrauensrichtung ergänzt die in Managed Microsoft AD konfigurierte Vertrauensrichtung. Wenn also die lokale Domain einen eingehenden ist die Vertrauensrichtung für die Managed Microsoft AD-Domain "ausgehend". Weitere Informationen zu Vertrauensanweisungen
Vertrauensstellung funktioniert nicht mehr
Wenn Sie zuvor eine Vertrauensstellung erstellt haben, diese jedoch nicht mehr funktioniert, sollten Sie dieselben Konfigurationen überprüfen wie bei der Fehlerbehebung beim Erstellen einer Vertrauensstellung.
Wenn eine Vertrauensstellung 60 Tage oder länger nicht verwendet wird, läuft das Vertrauensstellungskennwort ab. Um das Kennwort zu aktualisieren, ändern Sie das Kennwort für die Vertrauensstellung in der lokalen Domain und aktualisieren Sie dann das Kennwort in der Managed Microsoft AD-Domain.
Die Active Directory-Authentifizierung schlägt fehl (von Microsoft AD gehostete Konten verwaltet).
Wenn sich herausstellt, dass die Active Directory-Authentifizierung bei Verwendung von von Microsoft AD gehosteten verwalteten Konten fehlschlägt, kann die Überprüfung der folgenden Konfigurationen hilfreich sein.
VM befindet sich in einem autorisierten Netzwerk
Führen Sie die folgenden Schritte aus, um zu überprüfen, ob sich die für den Zugriff auf die Domain verwendete VM in einem autorisierten Netzwerk befindet.
Gehen Sie zur Managed Service for Microsoft Active Directory in der Google Cloud Console.
Zum Managed Service for Microsoft Active DirectoryWählen Sie den Namen Ihrer Domain aus.
Überprüfen Sie auf der Seite Domain unter Netzwerke, ob das autorisierte Netzwerk aufgeführt ist.
Benutzername und Passwort sind korrekt
Stellen Sie sicher, dass der Nutzername und das Kennwort für die Anmeldung korrekt sind.
Firewallregeln
Eine deny-Firewallregel für den Austritt in den IP-Adressbereich der Domaincontroller kann dazu führen, dass die Authentifizierung fehlschlägt.
Führen Sie die folgenden Schritte aus, um Ihre Firewall-Regeln zu überprüfen:
Console
Rufen Sie in der Google Cloud Console die Seite Firewallregeln auf.
Zu FirewallregelnÜberprüfen Sie auf dieser Seite, ob für den IP-Adressbereich der Domänencontroller kein
denyfür den Ausgang konfiguriert ist.
gcloud
Führen Sie den folgenden gcloud CLI-Befehl aus:
gcloud compute firewall-rules list
Dieser Befehl gibt eine Liste der konfigurierten Firewall-Regeln zurück. Stellen Sie sicher, dass für den IP-Adressbereich der Domänencontroller kein
denyfür den Ausgang konfiguriert ist.
Weitere Informationen zu Firewallregeln
IP-Adresse
Die Authentifizierung kann fehlschlagen, wenn die IP-Adresse nicht im reservierten CIDR-Bereich liegt.
Führen Sie den folgenden Befehl aus, um die IP-Adresse zu überprüfen.
nslookup DOMAIN_NAME
Wenn nslookup fehlschlägt oder eine IP-Adresse zurückgibt, die nicht im CIDR-Bereich liegt, sollten Sie überprüfen, ob die DNS-Zone vorhanden ist.
Führen Sie die folgenden Schritte aus, um zu überprüfen, ob die DNS-Zone vorhanden ist:
Console
Rufen Sie in der Google Cloud Console die Seite Cloud DNS auf.
Cloud DNS aufrufenAktivieren Sie auf der Seite Cloud DNS auf dem Tab Zones die Spalte In Verwendung von für das autorisierte Netzwerk.
gcloud
Führen Sie den folgenden gcloud CLI-Befehl aus:
gcloud dns managed-zones list --filter=FQDN
Ersetzen Sie
FQDNdurch den vollständig qualifizierten Domainnamen Ihrer verwalteten Microsoft AD-Domain.
Wenn keine der aufgelisteten Zonen vom autorisierten Netzwerk verwendet wird, sollten Sie das autorisierte Netzwerk entfernen und noch einmal hinzufügen.
Netzwerk-Peering
Die Authentifizierung kann fehlschlagen, wenn das VPC-Netzwerk-Peering nicht ordnungsgemäß konfiguriert ist.
Führen Sie die folgenden Schritte aus, um zu überprüfen, ob Peering eingerichtet ist:
Console
Gehen Sie zur Seite VPC-Netzwerk-Peering in der Google Cloud Console
Zum VPC-Netzwerk-PeeringSuchen Sie auf der Seite VPC-Netzwerk-Peering in der Spalte Name nach einem Peering mit dem Namen
peering-VPC_NETWORK_NAME.
gcloud
Führen Sie den folgenden gcloud CLI-Befehl aus:
gcloud compute networks peerings list --network=VPC_NETWORK_NAME
Dieser Befehl gibt eine Liste von Peerings zurück. Suchen Sie in der Liste nach einem mit dem Namen
peering-VPC_NETWORK_NAME.
Wenn peering-VPC_NETWORK_NAME nicht in der Liste enthalten ist, sollten Sie das autorisierte Netzwerk entfernen und noch einmal hinzufügen.
Die Active Directory-Authentifizierung schlägt fehl (über Vertrauensstellung).
Wenn sich herausstellt, dass die Active Directory-Authentifizierung fehlschlägt, wenn verwaltete lokal gehostete Konten über eine Vertrauensstellung verwendet werden, sollten Sie dieselben Konfigurationen überprüfen wie bei der Fehlerbehebung beim Erstellen einer Vertrauensstellung.
Prüfen Sie außerdem, ob sich das Konto im
Cloud Service Computer Remote Desktop Users delegierte Gruppe. Weitere Informationen zu delegierten Gruppen
Zugriff von einer verwaltbaren VM auf die Domain nicht möglich
Wenn Sie von der VM, die zum Verwalten von AD-Objekten verwendet wird, nicht auf die Managed Microsoft AD-Domain zugreifen können, sollten Sie dieselben Konfigurationen überprüfen wie bei der Fehlerbehebung bei der Active Directory-Authentifizierung für Managed Microsoft AD-gehostete Konten.
Org policy Fehler beim Erstellen, Aktualisieren oder Löschen
Wenn beim Erstellen, Aktualisieren oder Löschen von Ressourcen ein org policy -Fehler auftritt, müssen Sie möglicherweise eine Organisationsrichtlinie ändern. Informationen zu Einschränkungen für Organisationsrichtlinien
Bitten Sie Ihren Administrator, der die IAM-Rolle „Administrator für Organisationsrichtlinien“ (roles/orgpolicy.policyAdmin) für die Organisation hat, die erforderlichen Organisationsrichtlinien zu aktualisieren.
Define allowed APIs and services Unternehmensrichtlinien
Diese Listeneinschränkung definiert die Dienste und APIs, die für eine bestimmte Ressource aktiviert werden können. Die Nachfolger in der Ressourcenhierarchie übernehmen ebenfalls die Einschränkung. Wenn diese Einschränkung die für Managed Microsoft AD erforderlichen APIs nicht zulässt, wird beim Erstellen, Aktualisieren oder Löschen von Ressourcen eine Fehlermeldung angezeigt.
So zeigen Sie die Organisationsrichtlinie Define allowed APIs and services an und aktualisieren sie:
Console
- Rufen Sie in der Google Cloud Console die Seite Organisationsrichtlinien auf.
Zu den Organisationsrichtlinien - Auf der Organisationsrichtlinien Seite, in der Name Spalte, wählen Sie die Definieren Sie zulässige APIs und Dienste Politik zum Öffnen der Zusammenfassung der Richtlinien Panel.
- Stellen Sie im Bereich Richtlinienzusammenfassung sicher, dass die folgenden APIs nicht verweigert werden:
dns.googleapis.comcompute.googleapis.com
- Wenn Sie eine Änderung vornehmen müssen, wählen Sie Bearbeiten, aktualisieren Sie die Richtlinie und klicken Sie dann auf Speichern.
gcloud
Führen Sie den folgenden gcloud CLI-Befehl aus. Weitere Informationen zum Befehl
gcloud resource-manager org-policies describegcloud resource-manager org-policies describe constraints/serviceuser.services \ --organization=ORGANIZATION_IDWenn der Befehl
describeanzeigt, dassdns.googleapis.comodercompute.googleapis.comnicht zulässig ist, führen Sie den folgenden Befehl aus, um dies zuzulassen. Erfahren Sie mehr über den Befehlgcloud resource-manager org-policies allow.gcloud resource-manager org-policies allow constraints/serviceuser.services API_NAME \ --organization=ORGANIZATION_ID
Restrict VPC peering usage Unternehmensrichtlinien
Diese Listeneinschränkung definiert den Satz von VPC-Netzwerken, die mit den zu einer bestimmten Ressource gehörenden VPC-Netzwerken verglichen werden dürfen. Wenn Peerings verweigert werden, wird eine Fehlermeldung angezeigt, wenn Sie versuchen, Ressourcen zu erstellen, zu aktualisieren oder zu löschen. Erfahren Sie , wie Sie die Organisationsrichtlinie Restrict VPC peering usage anzeigen und aktualisieren.
Lokale Ressourcen aus Google Cloud können nicht aufgelöst werden
Wenn Sie lokale Ressourcen nicht aus Google Cloud auflösen können, müssen Sie möglicherweise Ihre DNS-Konfiguration ändern. Weitere Informationen zum Konfigurieren der DNS-Weiterleitung, um Abfragen für nicht verwaltete Microsoft AD-Objekte in VPC-Netzwerken aufzulösen
Intermittierende DNS-Suchfehler
Wenn bei Verwendung eines hochverfügbaren Schemas für Cloud Interconnect oder mehrerer VPNs zeitweise DNS-Suchfehler auftreten, sollten Sie die folgenden Konfigurationen überprüfen:
- Eine Route für 35.199.192.0/19 existiert.
- Das lokale Netzwerk ermöglicht Datenverkehr ab dem 35.199.192.0/19 für alle Cloud Interconnect-Verbindungen oder VPN-Tunnel.
Das Passwort des delegierten Administratorkontos läuft ab
Wenn das Passwort für das delegierte Administratorkonto abgelaufen ist, können Sie das Passwort zurücksetzen. Achten Sie darauf, dass Sie die erforderlichen Berechtigungen zum Zurücksetzen des Passworts für die delegiertes Administratorkonto. Sie können das Ablaufdatum des Passworts für das Konto auch deaktivieren.
Managed Microsoft AD-Audit-Logs können nicht angezeigt werden
Wenn Sie keine Managed Microsoft AD-Audit-Logs im Loganzeige oder Log-Explorer sollten Sie die folgenden Konfigurationen überprüfen.
- Logging ist für die Domain aktiviert.
- Sie haben die IAM-Rolle
roles/logging.viewerfür das Projekt, in dem sich die Domain befindet.