Questa pagina fornisce suggerimenti e approcci per la risoluzione dei problemi problemi comuni relativi a Managed Service for Microsoft Active Directory.
Impossibile creare un dominio Microsoft AD gestito
Se non riesci a creare un dominio Microsoft Active Directory gestito, verifica il le seguenti configurazioni possono essere utili.
API obbligatorie
Per poter creare un dominio, è necessario attivare un gruppo di API in Microsoft AD gestito.
Per verificare che le API richieste siano abilitate, completa questi passaggi:
Console
- Vai alla pagina API e Services nel
nella console Google Cloud.
Vai ad API e Servizi Nella pagina Dashboard, verifica che siano elencate le seguenti API:
- API Managed Service for Microsoft Active Directory
- API Compute Engine
- API del cloud DNS
gcloud
Esegui il seguente comando della gcloud CLI:
gcloud services list --available
Il comando restituisce l'elenco delle API abilitate. Verifica che le API seguenti sono elencati:
- API Managed Service for Microsoft Active Directory
- API Compute Engine
- API del cloud DNS
Se manca una di queste API, completa la procedura seguente per abilitarle:
Console
- Vai alla sezione
della pagina Libreria API nella
nella console Google Cloud.
Vai alla libreria API - Nella pagina Libreria API, inserisci nel campo di ricerca il nome dell'oggetto mancante tramite Google Cloud CLI o tramite l'API Compute Engine.
- Nella pagina delle informazioni sull'API, fai clic su Abilita.
gcloud
Esegui il seguente comando gcloud CLI:
gcloud services enable API_NAME
Sostituisci API_NAME con il nome dell'API mancante.
Ripeti questa procedura finché non sono state attivate tutte le API richieste.
Fatturazione
Managed Microsoft AD richiede l'abilitazione della fatturazione prima di poter creare un dominio.
Per verificare che la fatturazione sia abilitata:
Console
- Vai alla pagina Fatturazione nella
nella console Google Cloud.
Vai a Fatturazione - Verifica che sia presente un account di fatturazione configurato per la tua organizzazione.
- Fai clic sulla scheda I miei progetti e verifica che il progetto in cui stai tentando di creare un dominio Microsoft Active Directory gestito sia elencato.
gcloud
Esegui il seguente comando gcloud CLI:
gcloud billing projects describe PROJECT_ID
Se non vedi un account di fatturazione valido collegato al progetto, devi abilitare la fatturazione.
Intervallo di indirizzi IP
Se ricevi un errore IP range overlap quando provi a creare un dominio, significa che l'intervallo di indirizzi IP riservato fornito nella richiesta di creazione del dominio si sovrappone all'intervallo di indirizzi IP della rete autorizzata. Per risolvere il problema, devi scegliere un IP diverso
di indirizzi IP o una rete autorizzata diversa. Per ulteriori informazioni, vedi
Seleziona gli intervalli di indirizzi IP.
Autorizzazioni
Se ricevi un errore Permission denied quando provi a creare un
dominio, devi verificare che l'identità chiamante sia
autorizzati a chiamare l'API Managed Microsoft AD. Scopri di più su
Ruoli e autorizzazioni Microsoft AD gestiti.
Criteri dell'organizzazione
La creazione del dominio può non riuscire a causa della configurazione di un criterio dell'organizzazione. Ad esempio, puoi configurare un criterio dell'organizzazione per consentire l'accesso come GKE o Compute Engine. Scopri di più sui Criteri dell'organizzazione vincoli.
Chiedi all'amministratore che ha il ruolo IAM Amministratore criteri dell'organizzazione
(roles/orgpolicy.policyAdmin)
dell'organizzazione di aggiornare i criteri dell'organizzazione richiesti.
Resource Location Restriction criterio dell'organizzazione
Questo vincolo dell'elenco definisce l'insieme di località in cui
puoi creare risorse Google Cloud. Il rifiuto della posizione di global può influire
Microsoft Active Directory gestito.
Per visualizzare e aggiornare il criterio dell'organizzazione Resource Location Restriction:
Console
- Vai alla pagina Criteri dell'organizzazione nella console Google Cloud.
Vai a Criteri dell'organizzazione - Nella pagina Criteri dell'organizzazione, seleziona il criterio Limitazione della posizione della risorsa nella colonna Nome per aprire il riquadro Riepilogo dei criteri.
- Nel riquadro Riepilogo norme, verifica che la sede
globalsia consentito. - Se devi apportare una modifica, seleziona Modifica, aggiorna il criterio e e fai clic su Salva.
Scopri di più sulla limitazione delle località delle risorse.
gcloud
Per visualizzare i dettagli del criterio dell'
Resource Location Restrictionorganizzazione, esegui il seguente comando gcloud CLI. Scopri di più sullagcloud resource-manager org-policies describe.gcloud resource-manager org-policies describe constraints/gcp.resourceLocations \ --organization=ORGANIZATION_IDSe il comando
describeindica cheglobalnon è consentito, esegui il seguente per consentirlo. Scopri di più sullagcloud resource-manager org-policies allow.gcloud resource-manager org-policies allow constraints/gcp.resourceLocations global \ --organization=ORGANIZATION_ID
Informazioni su limitazioni delle località delle risorse.
Restrict VPC peering usage criterio dell'organizzazione
Questo vincolo dell'elenco definisce l'insieme di reti VPC per cui è consentito il peering con le reti VPC che appartengono a una determinata risorsa. Se specifichi rete autorizzata per un dominio Microsoft Active Directory gestito, viene creato un peering VPC tra la rete autorizzata e la rete isolata contenente il dominio AD controller. Se il criterio dell'organizzazione per il progetto nega i peering, Microsoft Active Directory gestito non può creare peering con la rete autorizzata per evitare che la creazione del dominio abbia esito negativo. Tu ricevi un errore come il seguente:
GCE_PRECONDITION_FAILED: Constraint constraints /compute.restrictVpcPeering violated for project PROJECT_ID. Peering the network projects/PROJECT_ID/global/networks/VPC_NETWORK_NAME is not allowed.
Per visualizzare e aggiornare il criterio dell'organizzazione Restrict VPC peering usage:
Console
- Vai alla pagina Criteri dell'organizzazione nella console Google Cloud.
Vai a Criteri dell'organizzazione - Nella pagina Criteri dell'organizzazione, nella colonna Nome, seleziona la Limita l'utilizzo del peering VPC per aprire il Riepilogo criteri dal riquadro.
- Nel riquadro Riepilogo criteri, verifica che il progetto consenta i peering.
- Se devi apportare una modifica, seleziona Modifica, aggiorna il criterio e e fai clic su Salva.
gcloud
Per visualizzare i dettagli del criterio dell'
Restrict VPC peering usageorganizzazione, esegui il seguente comando gcloud CLI. Scopri di più sulla Comandogcloud resource-manager org-policies describe.gcloud resource-manager org-policies describe constraints/compute.restrictVpcPeering \ --organization=ORGANIZATION_IDSe il comando
describeindica che i peering non sono consentiti, esegui il comando seguente per consentirlo. Scopri di più sullagcloud resource-manager org-policies allow.gcloud resource-manager org-policies allow constraints/compute.restrictVpcPeering under:projects/PROJECT_ID \ --organization=ORGANIZATION_IDSostituisci quanto segue:
PROJECT_ID: il nome del progetto che contiene la risorsa Managed Microsoft AD.ORGANIZATION_ID: l'ID dell'organizzazione che ospita il progetto.
Impossibile aggiungere automaticamente una VM Windows a un dominio
Di seguito sono riportati alcuni problemi con i codici di errore che potresti riscontrare quando tenti di partecipa a una VM Windows o Windows Server di GKE nodi automaticamente dominio:
| Codice di errore | Descrizione | Potenziale soluzione |
|---|---|---|
CONFLICT (409) |
Indica che l'account dell'istanza VM esiste già nel dominio Microsoft Active Directory gestito. | Rimuovi manualmente l'account da Microsoft Active Directory gestito utilizzando gli strumenti RSAT e riprova. Per saperne di più sulla gestione degli oggetti AD in Microsoft Active Directory gestito, vedi Gestire gli oggetti Active Directory. |
BAD_REQUEST (412) |
Indica che la richiesta di adesione al dominio contiene informazioni non valide, ad esempio un nome di dominio e una struttura gerarchica di unità organizzative (UO) non corretti. | Controlla le informazioni, aggiorna i dettagli se necessario e riprova. |
INTERNAL (500) |
Indica che il server ha riscontrato un errore interno sconosciuto. | Contatta l'assistenza Google Cloud per risolvere il problema. |
FORBIDDEN (403) |
Indica che l'account di servizio specificato non dispone dei privilegi richiesti. | Verifica di disporre dei privilegi necessari per l'account di servizio e riprova. |
UNAUTHORIZED (401) |
Indica che la VM non dispone dell'autorizzazione valida per partecipare al dominio. | Verifica se disponi dell'ambito di accesso richiesto sulla VM e riprova. |
Impossibile aggiungere manualmente una VM a un dominio
Se non riesci ad accedere manualmente a una macchina da un ambiente on-premise il tuo dominio Microsoft Active Directory gestito, verifica i seguenti requisiti:
Il computer a cui stai tentando di accedere è rilevabile da Microsoft Active Directory gestito. Per verificare questa connettività, esegui una ricerca DNS dall'ambiente on-premise al dominio Microsoft Active Directory gestito utilizzando
nslookupun comando kubectl.La rete on-premise in cui si trova la macchina deve essere in peering Rete VPC del tuo dominio Microsoft AD gestito. Per informazioni sulla risoluzione dei problemi di una connessione in peering di rete VPC, consulta Risoluzione dei problemi.
Impossibile utilizzare il VPC condiviso come rete autorizzata
Per accedere a un dominio Microsoft Active Directory gestito da una rete VPC condiviso, il dominio deve essere creato nello stesso progetto che ospita il VPC condiviso in ogni rete.
Impossibile accedere al dominio Microsoft Active Directory gestito
Se il tuo dominio Microsoft Active Directory gestito sembra non essere disponibile, puoi ottenere di più informazioni sul suo stato svolgendo i seguenti passaggi:
Console
Vai alla sezione
Managed Service per Microsoft Active Directory
nella console Google Cloud.
Vai a Managed Service for Microsoft Active Directory
Nella colonna Stato della pagina Managed Service for Microsoft Active Directory, puoi visualizzare gli stati dei tuoi domini.
gcloud
Esegui il seguente comando gcloud CLI:
gcloud active-directory domains list
Questo comando restituisce gli stati dei tuoi domini.
Se lo stato del tuo dominio è DOWN, significa che il tuo account potrebbe
sono stati sospesi. Contatta l'assistenza Google Cloud per risolvere il problema.
Se lo stato del tuo dominio è PERFORMING_MAINTENANCE,
Microsoft Active Directory gestito dovrebbe essere ancora disponibile per l'uso, ma potrebbe non consentire
come l'estensione dello schema e l'aggiunta o la rimozione di regioni. Questo stato è
è raro e si verifica solo quando viene applicata la patch al sistema operativo.
Impossibile creare fiducia
Se segui i passaggi per la creazione di una relazione di attendibilità, ma non riesci a completare la procedura, la verifica delle seguenti configurazioni può essere utile.
Il dominio on-premise è raggiungibile
Per verificare che il dominio on-premise sia raggiungibile dall'istanza
Dominio Microsoft AD gestito, puoi utilizzare ping o
Test-NetConnection. Esegui questi comandi da un
VM ospitata su Google Cloud e su una rete autorizzata. Verifica che
la VM può raggiungere un controller di dominio on-premise. Scopri di più su
Test-NetConnection
Indirizzo IP
Per verificare che l'indirizzo IP fornito durante la configurazione dell'attendibilità sia in grado per risolvere il dominio on-premise, esegui questo comando:
nslookup ON_PREMISES_DOMAIN_NAME CONDITIONAL_FORWARDER_ADDRESS
Sostituisci quanto segue:
ON_PREMISES_DOMAIN_NAME: il nome del tuo dominio on-premise.CONDITIONAL_FORWARDER_ADDRESS: l'indirizzo IP del server di forwarding condizionale DNS.
Se sono presenti più indirizzi di inoltro condizionale, puoi eseguire il test rispetto a qualsiasi alcune.
Scopri di più su
nslookup
Relazione di attendibilità on-premise
Per verificare che la relazione di attendibilità on-premise sia stabilita, devi controllare che le seguenti informazioni corrispondano.
- Il tipo e la direzione di attendibilità sul dominio Microsoft Active Directory gestito completa l'attendibilità creata sul dominio on-premise.
- Il secret del trust fornito durante la creazione del trust sul Il dominio Microsoft AD gestito corrisponde a quello inserito on-premise dominio.
La direzione di attendibilità on-premise integra la direzione di attendibilità configurata su Microsoft Active Directory gestito. Vale a dire, se il dominio on-premise prevede una risposta in entrata trust, la direzione di attendibilità per il dominio Microsoft Active Directory gestito è in uscita. Scopri di più sull'attendibilità .
L'attendibilità non funziona più
Se in precedenza hai creato una relazione di attendibilità, ma non funziona più, devi verificare le stesse configurazioni che faresti per la risoluzione dei problemi relativi alla creazione di una relazione di attendibilità.
Inoltre, se un trust non viene utilizzato per almeno 60 giorni, la password scade. Per aggiornare la password, modifica la password per la attendibilità nel dominio on-premise e poi aggiornala nel dominio AD Microsoft gestito.
L'autenticazione Active Directory non va a buon fine (account ospitati in Microsoft AD gestito)
Se l'autenticazione di Active Directory non riesce quando utilizzi Account gestiti da Microsoft AD, che verificano le seguenti configurazioni può essere d'aiuto.
La VM si trova su una rete autorizzata
Per verificare che la VM utilizzata per accedere al dominio si trovi su una rete autorizzata, completa i seguenti passaggi.
Vai alla sezione Managed Service per Microsoft Active Directory nella console Google Cloud.
Vai a Managed Service for Microsoft Active DirectorySeleziona il nome del tuo dominio.
Nella pagina Dominio, in Reti, verifica che la rete autorizzata in elenco.
Il nome utente e la password sono corretti
Verifica che il nome utente e la password forniti per accedere siano corretti.
Regole firewall
Una regola firewall deny per il traffico in uscita verso il dominio
dei controller L'intervallo di indirizzi IP può causare la mancata autenticazione.
Per verificare le regole del firewall, completa i seguenti passaggi:
Console
Vai alla pagina Regole firewall nella console Google Cloud.
Vai a Regole firewallIn questa pagina, verifica che non sia presente un valore
denyper il traffico in uscita per i controller di dominio Intervallo di indirizzi IP.
gcloud
Esegui il seguente comando della gcloud CLI:
gcloud compute firewall-rules list
Questo comando restituisce un elenco delle regole firewall configurate. Verifica che non è presente alcun valore
denyper il traffico in uscita configurato per il dominio dei controller Intervallo di indirizzi IP.
Scopri di più sulle regole firewall.
Indirizzo IP
L'autenticazione può non riuscire se l'indirizzo IP non è compreso nell'intervallo CIDR riservato.
Per verificare l'indirizzo IP, esegui questo comando.
nslookup DOMAIN_NAME
Se nslookup non va a buon fine o restituisce un indirizzo IP non compreso nell'intervallo CIDR,
devi verificare che la zona DNS esista.
Per verificare l'esistenza della zona DNS, completa i seguenti passaggi:
Console
Vai alla pagina Cloud DNS in la console Google Cloud.
Vai a Cloud DNSNella pagina Cloud DNS, nella scheda Zone, seleziona la casella Utilizzato da per la rete autorizzata.
gcloud
Esegui il seguente comando della gcloud CLI:
gcloud dns managed-zones list --filter=FQDN
Sostituisci
FQDNcon il nome di dominio completo del dominio Microsoft Active Directory gestito.
Se nessuna delle zone elencate è utilizzata dalla rete autorizzata, rimuovere e aggiungere nuovamente la rete autorizzata.
Peering di rete
L'autenticazione può non riuscire se il peering di rete VPC non è configurato correttamente.
Per verificare che il peering sia configurato, completa i seguenti passaggi:
Console
Vai alla sezione Peering di rete VPC nella nella console Google Cloud.
Vai al peering di rete VPCNella pagina Peering di rete VPC, nella colonna Nome, cerca una chiamato
peering-VPC_NETWORK_NAME.
gcloud
Esegui il seguente comando della gcloud CLI:
gcloud compute networks peerings list --network=VPC_NETWORK_NAME
Questo comando restituisce un elenco di peering. Cercane uno nell'elenco chiamato
peering-VPC_NETWORK_NAME.
Se peering-VPC_NETWORK_NAME non è nell'elenco, devi rimuovere e aggiungere di nuovo la rete autorizzata.
Autenticazione Active Directory non riuscita (tramite attendibilità)
Se sembra che l'autenticazione di Active Directory non vada a buon fine quando utilizzi account ospitati on-premise gestiti tramite la relazione di attendibilità, devi verificare le stesse configurazioni che faresti per la risoluzione dei problemi relativi alla creazione di una relazione di attendibilità.
Inoltre, verifica che l'account sia in
Cloud Service Computer Remote Desktop Users gruppo delegato. Scopri di più su
gruppi delegati
Impossibile accedere al dominio da una VM gestibilità
Se non riesci ad accedere al dominio Microsoft Active Directory gestito dalla VM utilizzata per la gestione degli oggetti AD, devi verificare le stesse configurazioni che faresti per la risoluzione dei problemi di autenticazione di Active Directory per gli account ospitati in Microsoft Active Directory gestito.
Org policy errore durante la creazione, l'aggiornamento o l'eliminazione
Se si verifica un errore org policy durante la creazione, l'aggiornamento o l'eliminazione
potresti dover modificare un criterio dell'organizzazione. Informazioni su
Vincoli dei criteri dell'organizzazione.
Chiedi all'amministratore che ha l'amministratore dei criteri dell'organizzazione
(roles/orgpolicy.policyAdmin)
Ruolo IAM nell'organizzazione per aggiornare l'organizzazione richiesta
criteri.
Define allowed APIs and services criterio dell'organizzazione
Questo vincolo dell'elenco definisce l'insieme di servizi e API che è possibile è abilitato su una determinata risorsa. Anche i relativi discendenti nella gerarchia delle risorse ereditano il vincolo. Se questo vincolo non consente alle API per Managed Microsoft AD, ricevi un errore quando provi a creare, aggiornare o eliminare risorse.
Per visualizzare e aggiornare il criterio dell'organizzazione Define allowed APIs and services:
Console
- Vai alla pagina Criteri dell'organizzazione nella console Google Cloud.
Vai a Criteri dell'organizzazione - Nella pagina Criteri dell'organizzazione, nella colonna Nome, seleziona la Definisci il criterio API e servizi consentiti per aprire il criterio Criterio riepilogo.
- Nel riquadro Riepilogo criteri, verifica che le API seguenti non siano
negata:
dns.googleapis.comcompute.googleapis.com
- Se devi apportare una modifica, seleziona Modifica, aggiorna il criterio e e fai clic su Salva.
gcloud
Esegui il seguente comando della gcloud CLI. Scopri di più sulla
gcloud resource-manager org-policies describe.gcloud resource-manager org-policies describe constraints/serviceuser.services \ --organization=ORGANIZATION_IDSe il comando
describeindica chedns.googleapis.comocompute.googleapis.comnon è consentito, esegui il comando seguente per consentirlo. Scopri di più sul comandogcloud resource-manager org-policies allow.gcloud resource-manager org-policies allow constraints/serviceuser.services API_NAME \ --organization=ORGANIZATION_ID
Restrict VPC peering usage criterio dell'organizzazione
Questo vincolo dell'elenco definisce l'insieme di reti VPC che possono essere
in peering con le reti VPC appartenenti a una determinata risorsa. Se i peering vengono rifiutati, viene visualizzato un messaggio di errore quando provi a creare, aggiornare o eliminare le risorse. Impara
come visualizzare e aggiornare il criterio dell'organizzazione Restrict VPC peering usage.
Impossibile risolvere le risorse on-premise da Google Cloud
Se non riesci a risolvere le risorse on-premise da Google Cloud, potresti dover modificare la configurazione DNS. Impara come configurare Inoltro DNS per risolvere le query per oggetti Microsoft AD non gestiti nelle reti VPC.
Errori di ricerca DNS intermittenti
Se si verificano errori intermittenti di ricerca DNS quando utilizzi un prompt per Cloud Interconnect o per più VPN, devi verificare le seguenti configurazioni:
- Esiste una route per 35.199.192.0/19.
- La rete on-premise consente il traffico da 35.199.192.0/19 per tutto Connessioni Cloud Interconnect o tunnel VPN.
La password dell'account amministratore con delega scade
Se la password per l'account di amministratore con delega è scaduta, puoi reimposta il la password. Assicurati di disporre delle autorizzazioni necessarie per reimpostare la password per il con delega di amministratore. Se vuoi, puoi anche disabilitare la password scadenza per l'account.
Impossibile visualizzare gli audit log di Microsoft Active Directory gestito
Se non riesci a visualizzare gli audit log di Microsoft Active Directory gestito nel Visualizzatore log o Esplora log, devi verificare le seguenti configurazioni.
- Logging è abilitato per il dominio.
- Hai il ruolo IAM
roles/logging.viewernel progetto dove si trova il dominio.