Risolvere i problemi relativi a Managed Microsoft AD

Questa pagina fornisce suggerimenti e approcci per risolvere i problemi più comuni di Managed Service for Microsoft Active Directory.

Impossibile creare un dominio Microsoft AD gestito

Se non riesci a creare un dominio Microsoft Active Directory gestito, può essere utile verificare le seguenti configurazioni.

API obbligatorie

Per poter creare un dominio, è necessario attivare un gruppo di API in Microsoft AD gestito.

Per verificare che le API richieste siano abilitate, completa i seguenti passaggi:

Console

  1. Vai alla pagina API e servizi nella console Google Cloud.
    Vai ad API e servizi
  2. Nella pagina Dashboard, verifica che siano elencate le seguenti API:

    • API Managed Service for Microsoft Active Directory
    • API Compute Engine
    • API del cloud DNS

gcloud

  1. Esegui il seguente comando gcloud CLI:

    gcloud services list --available
    
  2. Il comando restituisce l'elenco delle API abilitate. Verifica che le seguenti API siano elencate:

    • API Managed Service for Microsoft Active Directory
    • API Compute Engine
    • API del cloud DNS

Se una di queste API non è presente, completa i seguenti passaggi per attivarla:

Console

  1. Vai alla pagina Libreria API nella console Google Cloud.
    Vai alla Libreria API
  2. Nella pagina Libreria API, inserisci il nome dell'API mancante nel campo di ricerca.
  3. Nella pagina delle informazioni sull'API, fai clic su Attiva.

gcloud

Esegui il seguente comando gcloud CLI:

  gcloud services enable API_NAME
  

Sostituisci API_NAME con il nome dell'API mancante.

Ripeti questa procedura finché non sono state attivate tutte le API richieste.

Fatturazione

Per poter creare un dominio, devi attivare la fatturazione in Microsoft AD gestito.

Per verificare che la fatturazione sia attivata:

Console

  1. Vai alla pagina Fatturazione nella console Google Cloud.
    Vai a Fatturazione
  2. Verifica che sia stato configurato un account di fatturazione per la tua organizzazione.
  3. Fai clic sulla scheda I miei progetti e verifica che il progetto in cui stai tentando di creare un dominio Microsoft AD gestito sia elencato.

gcloud

Esegui il seguente comando gcloud CLI:

  gcloud billing projects describe PROJECT_ID
  

Se non vedi un account di fatturazione valido collegato al progetto, devi abilitare la fatturazione.

Intervallo di indirizzi IP

Se ricevi un errore IP range overlap quando provi a creare un dominio, significa che l'intervallo di indirizzi IP riservato fornito nella richiesta di creazione del dominio si sovrappone all'intervallo di indirizzi IP della rete autorizzata. Per risolvere il problema, devi scegliere un intervallo di indirizzi IP o una rete autorizzata diversa. Per ulteriori informazioni, consulta Selezionare intervalli di indirizzi IP.

Autorizzazioni

Se ricevi un errore Permission denied quando provi a creare un dominio, devi verificare che l'identità chiamante sia autorizzata a chiamare l'API Microsoft AD gestita. Scopri di più su autorizzazioni e ruoli di Microsoft AD gestiti.

Policy dell'organizzazione

La creazione del dominio può non riuscire a causa di una configurazione dei criteri dell'organizzazione. Ad esempio, puoi configurare un criterio dell'organizzazione per consentire l'accesso solo a servizi specifici, come GKE o Compute Engine. Scopri di più sui vincoli delle policy dell'organizzazione.

Chiedi all'amministratore che dispone del ruolo IAM Amministratore criteri dell'organizzazione (roles/orgpolicy.policyAdmin) dell'organizzazione di aggiornare le criteri dell'organizzazione richiesti.

Resource Location Restriction criteri dell'organizzazione

Questo vincolo dell'elenco definisce l'insieme di località in cui è possibile creare risorse Google Cloud basate sulla località. La mancata autorizzazione della posizione global può influire su Microsoft Active Directory gestito.

Per visualizzare e aggiornare il criterio dell'organizzazione Resource Location Restriction:

Console

  1. Vai alla pagina Criteri dell'organizzazione nella console Google Cloud.
    Vai a Criteri dell'organizzazione
  2. Nella pagina Criteri dell'organizzazione, seleziona il criterio Limitazione della posizione della risorsa nella colonna Nome per aprire il riquadro Riepilogo dei criteri.
  3. Nel riquadro Riepilogo norme, verifica che la località global sia consentita.
  4. Se devi apportare una modifica, seleziona Modifica, aggiorna il criterio e poi fai clic su Salva.

Scopri di più sulla limitazione delle località delle risorse.

gcloud

  1. Per visualizzare i dettagli del criterio dell'Resource Location Restrictionorganizzazione, esegui il seguente comando gcloud CLI. Scopri di più sul comando gcloud resource-manager org-policies describe.

    gcloud resource-manager org-policies describe constraints/gcp.resourceLocations \
        --organization=ORGANIZATION_ID
    
  2. Se il comando describe indica che global non è consentito, esegui il seguente comando per consentirlo. Scopri di più sul comando gcloud resource-manager org-policies allow.

    gcloud resource-manager org-policies allow constraints/gcp.resourceLocations global \
        --organization=ORGANIZATION_ID
    

Scopri di più sulla limitazione delle località delle risorse.

Restrict VPC peering usage criteri dell'organizzazione

Questo vincolo dell'elenco definisce l'insieme di reti VPC per cui è consentito il peering con le reti VPC che appartengono a una determinata risorsa. Quando specifichi una rete autorizzata per un dominio Microsoft Active Directory gestito, viene creato un peering VPC tra la rete autorizzata e la rete isolata contenente i controller di dominio AD. Se i criteri dell'organizzazione per il progetto negano i peering, Managed Microsoft AD non può creare peering con la rete autorizzata, pertanto la creazione del dominio non va a buon fine. Ricevi un errore simile al seguente:

GCE_PRECONDITION_FAILED: Constraint constraints /compute.restrictVpcPeering
violated for project PROJECT_ID. Peering the network projects/PROJECT_ID/global/networks/VPC_NETWORK_NAME
is not allowed.

Per visualizzare e aggiornare il criterio dell'organizzazione Restrict VPC peering usage:

Console

  1. Vai alla pagina Criteri dell'organizzazione nella console Google Cloud.
    Vai a Criteri dell'organizzazione
  2. Nella pagina Criteri dell'organizzazione, nella colonna Nome, seleziona il criterio Limita l'utilizzo del peering VPC per aprire il riquadro Riepilogo criteri.
  3. Nel riquadro Riepilogo norme, verifica che il progetto consenta i peering.
  4. Se devi apportare una modifica, seleziona Modifica, aggiorna il criterio e poi fai clic su Salva.

gcloud

  1. Per visualizzare i dettagli del criterio dell'Restrict VPC peering usageorganizzazione, esegui il seguente comando gcloud CLI. Scopri di più sul comando gcloud resource-manager org-policies describe.

    gcloud resource-manager org-policies describe constraints/compute.restrictVpcPeering \
        --organization=ORGANIZATION_ID
    
  2. Se il comando describe indica che i peering non sono consentiti, esegui il seguente comando per consentirli. Scopri di più sul comando gcloud resource-manager org-policies allow.

    gcloud resource-manager org-policies allow constraints/compute.restrictVpcPeering under:projects/PROJECT_ID \
        --organization=ORGANIZATION_ID
    

    Sostituisci quanto segue:

    • PROJECT_ID: il nome del progetto che contiene la risorsa Managed Microsoft AD.
    • ORGANIZATION_ID: l'ID dell'organizzazione che ospita il progetto.

Impossibile aggiungere automaticamente una VM Windows a un dominio

Di seguito sono riportati alcuni problemi con i codici di errore che potresti riscontrare durante il tentativo di aggregare automaticamente una VM Windows o i nodi GKE Windows Server a un dominio:

Codice di errore Descrizione Possibile soluzione
CONFLICT (409) Indica che l'account istanza VM esiste già nel dominio Microsoft AD gestito. Rimuovi manualmente l'account da AD di Microsoft gestito utilizzando gli strumenti RSAT e riprova. Per ulteriori informazioni sulla gestione degli oggetti AD in Microsoft AD gestito, vedi Gestire gli oggetti Active Directory.
BAD_REQUEST (412) Indica che la richiesta di unione al dominio contiene informazioni non valide, ad esempio un nome di dominio e una struttura gerarchica dell'unità organizzativa (OU) errati. Esamina le informazioni, aggiorna i dettagli, se necessario, e riprova.
INTERNAL (500) Indica che il server ha rilevato un errore interno sconosciuto. Contatta l'assistenza Google Cloud per risolvere il problema.
FORBIDDEN (403) Indica che l'account di servizio specificato non dispone dei privilegi richiesti. Verifica di disporre dei privilegi richiesti per il service account e riprova.
UNAUTHORIZED (401) Indica che la VM non dispone dell'autorizzazione valida per partecipare al dominio. Verifica di disporre dell'ambito di accesso richiesto sulla VM e riprova.

Impossibile aggiungere manualmente una VM a un dominio

Se non riesci ad aggiungere manualmente un computer da un ambiente on-premise al tuo dominio Microsoft AD gestito, verifica i seguenti requisiti:

  • Il computer a cui stai tentando di accedere sia rilevabile da AD di Microsoft gestito. Per verificare questa connettività, esegui una ricerca DNS dall'ambiente on-premise al dominio Microsoft AD gestito utilizzando il comando nslookup.

  • La rete on-premise in cui si trova il computer deve essere in peering con la rete VPC del tuo dominio Microsoft AD gestito. Per informazioni sulla risoluzione dei problemi relativi a una connessione di peering di rete VPC, consulta Risoluzione dei problemi.

Impossibile utilizzare VPC condiviso come rete autorizzata

Per accedere a un dominio Microsoft AD gestito da una rete VPC condiviso, il dominio deve essere creato nello stesso progetto che ospita la rete VPC condiviso.

Impossibile accedere al dominio Microsoft AD gestito

Se il tuo dominio Microsoft AD gestito sembra non essere disponibile, puoi ottenere maggiori informazioni sul relativo stato completando i seguenti passaggi:

Console

Vai alla pagina Managed Service for Microsoft Active Directory nella console Google Cloud.
Vai a Managed Service for Microsoft Active Directory

Nella colonna Stato della pagina Managed Service for Microsoft Active Directory, puoi visualizzare gli stati dei tuoi domini.

gcloud

Esegui il seguente comando gcloud CLI:

gcloud active-directory domains list

Questo comando restituisce gli stati dei tuoi domini.

Se lo stato del tuo dominio è DOWN, significa che il tuo account potrebbe essere stato sospeso. Contatta l'assistenza Google Cloud per risolvere il problema.

Se lo stato del dominio è PERFORMING_MAINTENANCE, Managed Microsoft AD dovrebbe essere ancora disponibile per l'utilizzo, ma potrebbe non consentire operazioni come l'estensione dello schema, l'aggiunta o la rimozione di regioni. Questo stato è raro e si verifica solo quando il sistema operativo è patchato.

Impossibile creare la relazione di attendibilità

Se segui i passaggi per la creazione di una relazione di attendibilità, ma non riesci a completare la procedura, la verifica delle seguenti configurazioni può essere utile.

Il dominio on-premise è raggiungibile

Per verificare che il dominio on-premise sia raggiungibile dal dominio Microsoft AD gestito, puoi utilizzare ping o Test-NetConnection. Esegui questi comandi da una VM ospitata su Google Cloud e su una rete autorizzata. Verifica che la VM possa raggiungere un controller di dominio on-premise. Scopri di più su Test-NetConnection.

Indirizzo IP

Per verificare che l'indirizzo IP fornito durante la configurazione della attendibilità sia in grado di risolvere il dominio on-premise, esegui il seguente comando:

nslookup ON_PREMISES_DOMAIN_NAME CONDITIONAL_FORWARDER_ADDRESS

Sostituisci quanto segue:

  • ON_PREMISES_DOMAIN_NAME: il nome del tuo dominio on-premise.
  • CONDITIONAL_FORWARDER_ADDRESS: l'indirizzo IP del server di forwarding condizionale DNS.

Se sono presenti più indirizzi di inoltro condizionale, puoi eseguire il test su uno qualsiasi di questi.

Scopri di più su nslookup.

Relazione di trust on-premise

Per verificare che la relazione di attendibilità on-premise sia stabilita, devi controllare che le seguenti informazioni corrispondano.

  • Il tipo e la direzione del trust nel dominio Microsoft AD gestito completano il trust creato nel dominio on-premise.
  • Il secret di attendibilità fornito durante la creazione del trust sul dominio Microsoft Active Directory gestito corrisponde a quello inserito sul dominio on-premise.

La direzione di attendibilità on-premise integra la direzione di attendibilità configurata su Microsoft Active Directory gestito. In altre parole, se il dominio on-premise si aspetta un'associazione in entrata, la direzione del trust per il dominio Microsoft Active Directory gestito è in uscita. Scopri di più sulle linee guida per la fiducia.

L'attendibilità non funziona più

Se in precedenza hai creato una relazione di attendibilità, ma non funziona più, devi verificare le stesse configurazioni che faresti per la risoluzione dei problemi relativi alla creazione di una relazione di attendibilità.

Inoltre, se una relazione di attendibilità non viene utilizzata per 60 giorni o più, la password della relazione scade. Per aggiornare la password, modifica la password per la attendibilità nel dominio on-premise e poi aggiornala nel dominio AD di Microsoft gestito.

L'autenticazione Active Directory non va a buon fine (account ospitati in Microsoft AD gestito)

Se sembra che l'autenticazione di Active Directory non vada a buon fine quando utilizzi account gestiti in Microsoft AD, la verifica delle seguenti configurazioni può essere utile.

La VM si trova su una rete autorizzata

Per verificare che la VM utilizzata per accedere al dominio si trovi su una rete autorizzata, completa i seguenti passaggi.

  1. Vai alla pagina Managed Service for Microsoft Active Directory nella console Google Cloud.
    Vai a Managed Service for Microsoft Active Directory

  2. Seleziona il nome del tuo dominio.

  3. Nella pagina Domain (Dominio), in Networks (Reti), verifica che la rete autorizzata sia elencata.

Nome utente e password corretti

Verifica che il nome utente e la password forniti per accedere siano corretti.

Regole firewall

Una regola firewall deny per l'uscita verso l'intervallo di indirizzi IP dei controller del dominio può causare l'errore di autenticazione.

Per controllare le regole del firewall:

Console

  1. Vai alla pagina Regole firewall nella console Google Cloud.
    Vai a Regole firewall

  2. In questa pagina, verifica che non sia configurato un deny per l'egress per l'intervallo di indirizzi IP dei controller di dominio.

gcloud

  1. Esegui il seguente comando gcloud CLI:

    gcloud compute firewall-rules list
    
  2. Questo comando restituisce un elenco delle regole firewall configurate. Verifica che non sia configurato un deny per l'uscita per l'intervallo di indirizzi IP dei controller di dominio.

Scopri di più sulle regole firewall.

Indirizzo IP

L'autenticazione può non riuscire se l'indirizzo IP non rientra nell'intervallo CIDR riservato.

Per controllare l'indirizzo IP, esegui il seguente comando.

nslookup DOMAIN_NAME

Se nslookup non va a buon fine o restituisce un indirizzo IP non compreso nell'intervallo CIDR, devi verificare che la zona DNS esista.

Per verificare che la zona DNS esista, completa i seguenti passaggi:

Console

  1. Vai alla pagina Cloud DNS nella console Google Cloud.
    Vai a Cloud DNS

  2. Nella pagina Cloud DNS, nella scheda Zone, controlla la colonna In uso da per la rete autorizzata.

gcloud

  1. Esegui il seguente comando gcloud CLI:

    gcloud dns managed-zones list --filter=FQDN
    

    Sostituisci FQDN con il nome di dominio completo del tuo dominio Microsoft AD gestito.

Se nessuna delle zone elencate è in uso dalla rete autorizzata, devi rimuovere e aggiungere di nuovo la rete autorizzata.

Peering di rete

L'autenticazione può non riuscire se il peering di rete VPC non è configurato correttamente.

Per verificare che il peering sia configurato, completa i seguenti passaggi:

Console

  1. Vai alla pagina Peering di reti VPC nella console Google Cloud.
    Vai al peering di rete VPC

  2. Nella pagina Peering di rete VPC, cerca un peering denominato peering-VPC_NETWORK_NAME nella colonna Nome.

gcloud

  1. Esegui il seguente comando gcloud CLI:

    gcloud compute networks peerings list --network=VPC_NETWORK_NAME
    
  2. Questo comando restituisce un elenco di peering. Nell'elenco, cerca una chiamata peering-VPC_NETWORK_NAME.

Se peering-VPC_NETWORK_NAME non è nell'elenco, devi rimuovere e aggiungere di nuovo la rete autorizzata.

L'autenticazione di Active Directory non va a buon fine (tramite attendibilità)

Se sembra che l'autenticazione di Active Directory non vada a buon fine quando utilizzi account ospitati on-premise gestiti tramite la relazione di attendibilità, devi verificare le stesse configurazioni che faresti per la risoluzione dei problemi relativi alla creazione di una relazione di attendibilità.

Inoltre, verifica che l'account sia nel gruppo delegatoCloud Service Computer Remote Desktop Users. Scopri di più sui gruppi delegati

Impossibile accedere al dominio da una VM di gestione

Se non riesci ad accedere al dominio Microsoft Active Directory gestito dalla VM utilizzata per la gestione degli oggetti AD, devi verificare le stesse configurazioni che faresti per la risoluzione dei problemi di autenticazione di Active Directory per gli account ospitati in Microsoft Active Directory gestito.

Errore Org policy durante la creazione, l'aggiornamento o l'eliminazione

Se si verifica un errore org policy durante la creazione, l'aggiornamento o l'eliminazione di risorse, potrebbe essere necessario modificare un criterio dell'organizzazione. Scopri di più sui vincoli delle policy dell'organizzazione.

Chiedi all'amministratore che dispone del ruolo IAM Amministratore criteri dell'organizzazione (roles/orgpolicy.policyAdmin) dell'organizzazione di aggiornare le criteri dell'organizzazione richiesti.

Define allowed APIs and services criteri dell'organizzazione

Questo vincolo dell'elenco definisce l'insieme di servizi e API che è possibile attivare su una determinata risorsa. Anche i relativi discendenti nella gerarchia delle risorse ereditano il vincolo. Se questo vincolo non consente le API richieste per AD Microsoft gestito, viene visualizzato un errore quando provi a creare, aggiornare o eliminare risorse.

Per visualizzare e aggiornare il criterio dell'organizzazione Define allowed APIs and services:

Console

  1. Vai alla pagina Criteri dell'organizzazione nella console Google Cloud.
    Vai a Criteri dell'organizzazione
  2. Nella pagina Criteri dell'organizzazione, nella colonna Nome, seleziona il criterio Definisci API e servizi consentiti per aprire il riquadro Riepilogo dei criteri.
  3. Nel riquadro Riepilogo criteri, verifica che le seguenti API non siano rifiutate:
    • dns.googleapis.com
    • compute.googleapis.com
  4. Se devi apportare una modifica, seleziona Modifica, aggiorna il criterio e poi fai clic su Salva.

gcloud

  1. Esegui il seguente comando gcloud CLI. Scopri di più sul comando gcloud resource-manager org-policies describe.

    gcloud resource-manager org-policies describe constraints/serviceuser.services \
        --organization=ORGANIZATION_ID
    
  2. Se il comando describe indica che dns.googleapis.com o compute.googleapis.com non è consentito, esegui il comando seguente per consentirlo. Scopri di più sul comando gcloud resource-manager org-policies allow.

    gcloud resource-manager org-policies allow constraints/serviceuser.services API_NAME \
        --organization=ORGANIZATION_ID
    

Restrict VPC peering usage criteri dell'organizzazione

Questo vincolo dell'elenco definisce l'insieme di reti VPC per cui è consentito il peering con le reti VPC che appartengono a una determinata risorsa. Se i peering vengono rifiutati, viene visualizzato un messaggio di errore quando provi a creare, aggiornare o eliminare le risorse. Scopri come visualizzare e aggiornare i criteri dell'organizzazione Restrict VPC peering usage.

Impossibile risolvere le risorse on-premise da Google Cloud

Se non riesci a risolvere le risorse on-premise da Google Cloud, potrebbe essere necessario modificare la configurazione DNS. Scopri come configurare il forwarding DNS per risolvere le query relative agli oggetti Microsoft AD non gestiti nelle reti VPC.

Errori intermittenti di ricerca DNS

Se si verificano errori intermittenti di ricerca DNS quando si utilizza uno schema ad alta disponibilità per Cloud Interconnect o più VPN, devi verificare le seguenti configurazioni:

  • Esiste un route per 35.199.192.0/19.
  • La rete on-premise consente il traffico da 35.199.192.0/19 per tutte le connessioni Cloud Interconnect o i tunnel VPN.

La password dell'account amministratore con delega scade

Se la password dell'account amministratore con delega è scaduta, puoi reimpostarla. Assicurati di disporre delle autorizzazioni necessarie per reimpostare la password dell'account amministratore delegato. Se vuoi, puoi anche disattivare la scadenza della password per l'account.

Impossibile visualizzare gli audit log di Managed Microsoft AD

Se non riesci a visualizzare i log di controllo di Microsoft Active Directory gestito in visualizzatore log o in Esplora log, devi verificare le seguenti configurazioni.