Cette page fournit des conseils et des approches pour résoudre les problèmes courants liés au service géré pour Microsoft Active Directory.
Impossible de créer un domaine Microsoft AD géré
Si vous ne parvenez pas à créer de domaine Microsoft AD géré, il peut être utile de valider les configurations suivantes.
API requises
Microsoft AD géré nécessite que vous activiez un groupe d'API avant de procéder à la création de domaine.
Pour vérifier que les API requises sont activées, procédez comme suit :
Console
- Accédez à la page API et services de la console Google Cloud.
Accéder à la page "API et services" Sur la page Tableau de bord, vérifiez que les API suivantes sont répertoriées :
- API du service géré pour Microsoft Active Directory
- API Compute Engine
- API Cloud DNS
gcloud
Exécutez la commande de gcloud CLI suivante :
gcloud services list --available
La commande renvoie la liste des API activées. Vérifiez que les API suivantes sont répertoriées :
- API du service géré pour Microsoft Active Directory
- API Compute Engine
- API Cloud DNS
Si l'une de ces API est manquante, procédez comme suit pour l'activer :
Console
- Accédez à la page Bibliothèque d'API dans la console Google Cloud.
Accéder à la bibliothèque d'API - Sur la page Bibliothèque d'API, saisissez le nom de l'API manquante dans le champ de recherche.
- Sur la page d'informations de l'API, cliquez sur Activer.
gcloud
Exécutez la commande de gcloud CLI suivante :
gcloud services enable API_NAME
Remplacez API_NAME par le nom de l'API manquante.
Répétez ce processus jusqu'à ce que toutes les API requises soient activées.
Facturation
Microsoft AD géré nécessite que vous activiez la facturation avant de pouvoir créer un domaine.
Pour vérifier que la facturation est activée, procédez comme suit :
Console
- Accédez à la page Facturation de la console Google Cloud.
Accéder à la facturation - Vérifiez qu'un compte de facturation est configuré pour votre organisation.
- Cliquez sur l'onglet Mes projets, puis vérifiez que le projet dans lequel vous essayez de créer un domaine Microsoft AD géré est répertorié.
gcloud
Exécutez la commande de gcloud CLI suivante :
gcloud billing projects describe PROJECT_ID
Si aucun compte de facturation valide n'est lié au projet, vous devez activer la facturation.
Plage d'adresses IP
Si vous recevez une erreur IP range overlap lorsque vous essayez de créer un domaine, cela signifie que la plage d'adresses IP réservée que vous avez fournie dans la demande de création de domaine chevauche celle du réseau autorisé. Pour résoudre ce problème, vous devez choisir une autre plage d'adresses IP ou un autre réseau autorisé. Pour en savoir plus, consultez la section Sélectionner des plages d'adresses IP.
Autorisations
Si vous recevez une erreur Permission denied lorsque vous essayez de créer un domaine, vous devez vérifier que l'identité appelante est autorisée à appeler l'API Microsoft AD gérée. En savoir plus sur les rôles et les autorisations Microsoft AD gérés.
Règle d'administration
La création du domaine peut échouer en raison de la configuration d'une règle d'administration. Par exemple, vous pouvez configurer une règle d'administration pour n'autoriser l'accès qu'à des services spécifiques, tels que GKE ou Compute Engine. Apprenez-en plus sur les contraintes liées aux règles d'administration.
Demandez à votre administrateur disposant du rôle IAM d'administrateur des règles d'administration (roles/orgpolicy.policyAdmin) sur l'organisation de mettre à jour les règles d'administration requises.
Règle d'administration Resource Location Restriction
Cette contrainte de liste définit l'ensemble des emplacements où les ressources Google Cloud basées sur l'emplacement peuvent être créées. Le refus de l'emplacement global peut influer sur Microsoft AD géré.
Pour afficher et mettre à jour la règle d'organisation Resource Location Restriction :
Console
- Accédez à la page Règles d'administration dans la console Google Cloud.
Accéder à la page Règles d'administration - Sur la page Règles d'organisation, dans la colonne Nom, sélectionnez la règle Restriction d'emplacement des ressources pour ouvrir le panneau Récapitulatif des règles.
- Dans le panneau Récapitulatif des règles, vérifiez que l'emplacement
globalest autorisé. - Si vous devez apporter une modification, sélectionnez Modifier, mettez à jour la règle puis cliquez sur Enregistrer.
Découvrez comment restreindre les emplacements des ressources.
gcloud
Pour afficher les détails de la règle d'administration
Resource Location Restriction, exécutez la commande gcloud CLI suivante. En savoir plus sur la commandegcloud resource-manager org-policies describe.gcloud resource-manager org-policies describe constraints/gcp.resourceLocations \ --organization=ORGANIZATION_IDSi la commande
describeindique queglobaln'est pas autorisé, exécutez la commande suivante pour l'autoriser. En savoir plus sur la commandegcloud resource-manager org-policies allow.gcloud resource-manager org-policies allow constraints/gcp.resourceLocations global \ --organization=ORGANIZATION_ID
Découvrez comment restreindre les emplacements des ressources.
Règle d'administration Restrict VPC peering usage
Cette contrainte de liste définit l'ensemble des réseaux VPC autorisés à être appairés avec les réseaux VPC appartenant à une ressource donnée. Lorsque vous spécifiez un réseau autorisé pour un domaine Microsoft AD géré, un appairage VPC est créé entre le réseau autorisé et le réseau isolé contenant les contrôleurs de domaine AD. Si la règle d'administration du projet refuse les appairages, Microsoft AD géré ne peut créer aucun appairage vers le réseau autorisé, la création de domaine échoue. Vous recevez une erreur comme celle-ci :
GCE_PRECONDITION_FAILED: Constraint constraints /compute.restrictVpcPeering violated for project PROJECT_ID. Peering the network projects/PROJECT_ID/global/networks/VPC_NETWORK_NAME is not allowed.
Pour afficher et mettre à jour la règle d'administration Restrict VPC peering usage :
Console
- Accédez à la page Règles d'administration dans la console Google Cloud.
Accéder à la page Règles d'administration - Sur la page Règles d'administration, dans la colonne Nom, sélectionnez la règle Limiter l'utilisation de l'appairage VPC pour ouvrir le panneau Récapitulatif des règles.
- Dans le panneau Récapitulatif des règles, vérifiez que le projet autorise les appairages.
- Si vous devez apporter une modification, sélectionnez Modifier, mettez à jour la règle puis cliquez sur Enregistrer.
gcloud
Pour afficher les détails de la règle d'administration
Restrict VPC peering usage, exécutez la commande gcloud CLI suivante. Découvrez la commandegcloud resource-manager org-policies describe.gcloud resource-manager org-policies describe constraints/compute.restrictVpcPeering \ --organization=ORGANIZATION_IDSi la commande
describeindique que les appairages ne sont pas autorisés, exécutez la commande suivante pour les autoriser. En savoir plus sur la commandegcloud resource-manager org-policies allow.gcloud resource-manager org-policies allow constraints/compute.restrictVpcPeering under:projects/PROJECT_ID \ --organization=ORGANIZATION_IDRemplacez les éléments suivants :
PROJECT_ID: nom du projet contenant la ressource Microsoft AD gérée.ORGANIZATION_ID: ID de l'organisation qui héberge ce projet.
Impossible de joindre automatiquement une VM Windows à un domaine
Voici quelques problèmes liés aux codes d'erreur que vous pouvez rencontrer lorsque vous essayez de joindre automatiquement une VM Windows ou des nœuds GKE Windows Server à un domaine:
| Code d'erreur | Description | Solution potentielle |
|---|---|---|
CONFLICT (409) |
Indique que le compte d'instance de VM existe déjà dans le domaine Microsoft AD géré. | Supprimez-le manuellement du service Microsoft AD géré à l'aide des outils RSAT, puis réessayez. Pour en savoir plus sur la gestion des objets AD dans le service Microsoft AD géré, consultez la page Gérer des objets Active Directory. |
BAD_REQUEST (412) |
Indique que la demande de jonction de domaine contient des informations non valides, comme un nom de domaine ou une structure hiérarchique d'unités organisationnelles (UO) incorrects. | Vérifiez les informations et modifiez-les si nécessaire, puis réessayez. |
INTERNAL (500) |
Indique que le serveur a rencontré une erreur interne inconnue. | Contactez l'assistance Google Cloud pour résoudre ce problème. |
FORBIDDEN (403) |
Indique que le compte de service spécifié ne dispose pas des droits requis. | Vérifiez si vous disposez des droits requis sur le compte de service, puis réessayez. |
UNAUTHORIZED (401) |
Indique que la VM ne dispose pas d'une autorisation valide pour se joindre au domaine. | Vérifiez si vous disposez du niveau d'niveau d'accès sur la VM, puis réessayez. |
Impossible de joindre manuellement une VM à un domaine
Si vous ne parvenez pas à joindre une machine manuellement depuis un environnement sur site à votre domaine Microsoft AD géré, vérifiez les conditions suivantes:
La machine que vous essayez de rejoindre est visible depuis le service Microsoft AD géré. Pour vérifier cette connectivité, effectuez une résolution DNS depuis l'environnement sur site vers le domaine Microsoft AD géré à l'aide de la commande
nslookup.Le réseau sur site dans lequel se trouve la machine doit être appairé au réseau VPC de votre domaine Microsoft AD géré. Pour plus d'informations sur le dépannage d'une connexion d'appairage de réseaux VPC, consultez la section Dépannage.
Impossible d'utiliser un VPC partagé en tant que réseau autorisé
Pour accéder à un domaine Microsoft AD géré à partir d'un réseau VPC partagé, le domaine doit être créé dans le projet qui héberge le réseau VPC partagé.
Impossible d'accéder au domaine Microsoft AD géré
Si votre domaine Microsoft AD géré semble indisponible, vous pouvez obtenir plus d'informations sur son état en procédant comme suit :
Console
Accédez à la page Service géré pour Microsoft Active Directory dans la console Google Cloud.
Accéder au service géré pour Microsoft Active Directory
Sur la page Service géré pour Microsoft Active Directory, dans la colonne État, vous pouvez afficher les états de vos domaines.
gcloud
Exécutez la commande de gcloud CLI suivante :
gcloud active-directory domains list
Cette commande renvoie les états de vos domaines.
Si l'état de votre domaine est DOWN, cela indique que votre compte a peut-être été suspendu. Contactez l'assistance Google Cloud pour résoudre ce problème.
Si l'état de votre domaine est PERFORMING_MAINTENANCE, le service Microsoft AD géré reste disponible, mais il se peut qu'il n'autorise pas des opérations telles que l'extension du schéma, l'ajout ou la suppression de régions. Cet état est rare et ne se produit que lorsque le système d'exploitation est corrigé.
Impossible de créer une approbation
Si vous suivez les étapes de création d'une approbation, mais que vous ne parvenez pas à terminer le processus, il peut être utile de vérifier les configurations suivantes.
Le domaine sur site est accessible
Pour vérifier que le domaine sur site est accessible à partir du domaine Microsoft AD géré, vous pouvez utiliser ping ou Test-NetConnection. Exécutez ces commandes à partir d'une VM hébergée sur Google Cloud et sur un réseau autorisé. Vérifiez que la VM peut atteindre un contrôleur de domaine sur site. En savoir plus sur Test-NetConnection.
Adresse IP
Pour vérifier que l'adresse IP qui a été fournie lors de l'installation de l'approbation est capable de résoudre le domaine sur site, exécutez la commande suivante :
nslookup ON_PREMISES_DOMAIN_NAME CONDITIONAL_FORWARDER_ADDRESS
Remplacez les éléments suivants :
ON_PREMISES_DOMAIN_NAME: nom de votre domaine sur site.CONDITIONAL_FORWARDER_ADDRESS: adresse IP de votre redirecteur conditionnel DNS.
S'il existe plusieurs adresses de redirecteur conditionnel, vous pouvez tester l'une d'entre elles.
Apprenez-en plus sur nslookup.
Relation d'approbation sur site
Pour vérifier que la relation d'approbation sur site est établie, vous devez vérifier que les informations suivantes correspondent.
- Le type et l'orientation de l'approbation du domaine Microsoft AD géré complètent l'approbation créée sur le domaine sur site.
- La clé secrète de confiance fournie lors de la création de l'approbation sur le domaine Microsoft AD géré correspond à celle saisie sur le domaine sur site.
L'orientation de l'approbation sur site complète celle configurée dans le service Microsoft AD géré. Autrement dit, si le domaine sur site attend une approbation entrante, la direction de l'approbation pour le domaine Microsoft AD géré est sortante. En savoir plus sur les instructions concernant l'approbation
Dysfonctionnement de l'approbation
Si vous avez précédemment créé une approbation, mais qu'elle ne fonctionne plus, vous devez vérifier les mêmes configurations que pour le dépannage de la création d'une approbation.
En outre, si une approbation n'est pas utilisée pendant 60 jours ou plus, le mot de passe d'approbation expire. Pour actualiser le mot de passe, modifiez le mot de passe de l'approbation sur le domaine sur site, puis mettez à jour le mot de passe sur le domaine Microsoft AD géré.
Échec de l'authentification Active Directory (comptes hébergés par Microsoft AD géré)
S'il semble que l'authentification Active Directory échoue lors de l'utilisation de comptes gérés hébergés par Microsoft AD, il peut être utile de vérifier les configurations suivantes.
Présence de VM sur un réseau autorisé
Pour vérifier que la VM utilisée pour accéder au domaine se trouve sur un réseau autorisé, procédez comme suit.
Accédez à la page Service géré pour Microsoft Active Directory dans la console Google Cloud.
Accéder au service géré pour Microsoft Active DirectorySélectionnez le nom de votre domaine.
Sur la page Domaine, sous Réseaux, vérifiez que le réseau autorisé est répertorié.*
Nom d'utilisateur et mot de passe corrects
Vérifiez que le nom d'utilisateur et le mot de passe fournis pour vous connecter sont corrects.
Règles de pare-feu
Une règle de pare-feu deny pour la sortie vers la plage d'adresses IP des contrôleurs de domaine peut entraîner l'échec de l'authentification.
Pour vérifier vos règles de pare-feu, procédez comme suit :
Console
Accédez à la page Règles de pare-feu de la console Google Cloud.
Accéder à la page "Règles de pare-feu"Sur cette page, vérifiez l'absence de
denypour la sortie configurée pour la plage d'adresses IP des contrôleurs de domaine.
gcloud
Exécutez la commande de gcloud CLI suivante :
gcloud compute firewall-rules list
Cette commande renvoie une liste des règles de pare-feu configurées. Vérifiez l'absence de
denypour la sortie configurée pour la plage d'adresses IP des contrôleurs de domaine.
En savoir plus sur les règles de pare-feu.
Adresse IP
L'authentification peut échouer si l'adresse IP ne se trouve pas dans la plage CIDR réservée.
Pour vérifier l'adresse IP, exécutez la commande suivante.
nslookup DOMAIN_NAME
Si nslookup échoue ou renvoie une adresse IP qui ne se trouve pas dans la plage CIDR, vous devez vérifier que la zone DNS existe.
Pour valider l'existence de la zone DNS, procédez comme suit :
Console
Accédez à la page Cloud DNS de la console Google Cloud.
Accéder à Cloud DNSSur la page Cloud DNS, dans l'onglet Zones, vérifiez la colonne Utilisé par pour le réseau autorisé.
gcloud
Exécutez la commande de gcloud CLI suivante :
gcloud dns managed-zones list --filter=FQDN
Remplacez
FQDNpar le nom de domaine complet de votre domaine Microsoft AD géré.
Si aucune des zones répertoriées n'est utilisée par le réseau autorisé, vous devez supprimer et rajouter le réseau autorisé.
Appairage de réseaux
L'authentification peut échouer si l'appairage du réseau VPC n'est pas correctement configuré.
Pour vérifier que l'appairage est configuré, procédez comme suit :
Console
Accédez à la page Appairage de réseaux VPC dans la console Google Cloud.
Accéder à la page "Appairage de réseaux VPC"Sur la page Appairage de réseaux VPC, dans la colonne Nom, recherchez un appairage appelé
peering-VPC_NETWORK_NAME.
gcloud
Exécutez la commande de gcloud CLI suivante :
gcloud compute networks peerings list --network=VPC_NETWORK_NAME
Cette commande renvoie une liste d'appairages. Dans la liste, recherchez celui nommé
peering-VPC_NETWORK_NAME.
Si peering-VPC_NETWORK_NAME ne figure pas dans la liste, vous devez supprimer et rajouter le réseau autorisé.
Échec de l'authentification Active Directory (via l'approbation)
En cas d'échec de l'authentification Active Directory lors de l'utilisation de comptes hébergés sur site gérés via une approbation, vous devez vérifier les mêmes configurations que pour le dépannage de la création d'une approbation.
Vérifiez également que le compte se trouve dans le groupe délégué Cloud Service Computer Remote Desktop Users. En savoir plus sur les groupes délégués
Impossible d'accéder au domaine à partir d'une VM de gestion
Si vous ne parvenez pas à accéder au domaine Microsoft AD géré à partir de la VM utilisée pour gérer les objets AD, vous devez vérifier les mêmes configurations que pour le dépannage de l'authentification Active Directory pour les comptes gérés hébergés par Microsoft AD.
Erreur Org policy lors de la création, de la mise à jour ou de la suppression
Si vous rencontrez une erreur org policy lors de la création, de la mise à jour ou de la suppression de ressources, vous devrez peut-être modifier une règle d'administration. En savoir plus sur les contraintes liées aux règles d'administration.
Demandez à votre administrateur disposant du rôle IAM d'administrateur des règles d'administration (roles/orgpolicy.policyAdmin) sur l'organisation de mettre à jour les règles d'administration requises.
Règle d'administration Define allowed APIs and services
Cette contrainte de liste définit l'ensemble des services et des API pouvant être activés sur une ressource donnée. Ses descendants dans la hiérarchie de la ressource héritent également de la contrainte. Si cette contrainte n'autorise pas les API requises pour Microsoft AD géré, vous recevez une erreur lorsque vous essayez de créer, mettre à jour ou supprimer des ressources.
Pour afficher et mettre à jour la règle d'organisation Define allowed APIs and services :
Console
- Accédez à la page Règles d'administration dans la console Google Cloud.
Accéder à la page Règles d'administration - Sur la page Règles d'administration, dans la colonne Nom, sélectionnez la règle Définir les API et services autorisés pour ouvrir le panneau Récapitulatif des règles.
- Dans le panneau Résumé des règles, vérifiez que les API suivantes ne sont pas refusées :
dns.googleapis.comcompute.googleapis.com
- Si vous devez apporter une modification, sélectionnez Modifier, mettez à jour la règle puis cliquez sur Enregistrer.
gcloud
Exécutez la commande gcloud CLI suivante. Découvrez la commande
gcloud resource-manager org-policies describe.gcloud resource-manager org-policies describe constraints/serviceuser.services \ --organization=ORGANIZATION_IDSi la commande
describeindique quedns.googleapis.comoucompute.googleapis.comn'est pas autorisé, exécutez la commande suivante pour l'autoriser. En savoir plus sur la commandegcloud resource-manager org-policies allow.gcloud resource-manager org-policies allow constraints/serviceuser.services API_NAME \ --organization=ORGANIZATION_ID
Règle d'administration Restrict VPC peering usage
Cette contrainte de liste définit l'ensemble des réseaux VPC autorisés à être appairés avec les réseaux VPC appartenant à une ressource donnée. Si les appairages sont refusés, vous recevez une erreur lorsque vous essayez de créer, mettre à jour ou supprimer des ressources. Découvrez comment afficher et mettre à jour la règle d'administration Restrict VPC peering usage.
Impossible de résoudre les ressources sur site à partir de Google Cloud
Si vous ne parvenez pas à résoudre les ressources sur site à partir de Google Cloud, vous devrez peut-être modifier votre configuration DNS. Découvrez comment configurer le transfert DNS pour résoudre les requêtes concernant des objets Microsoft AD non gérés dans les réseaux VPC.
Échecs de recherche DNS intermittents
Si vous rencontrez des échecs de recherche DNS intermittents lors de l'utilisation d'un schéma hautement disponible pour Cloud Interconnect ou plusieurs VPN, vous devez vérifier les configurations suivantes :
- Il existe une route pour 35.199.192.0/19.
- Le réseau sur site autorise le trafic à partir de 35.199.192.0/19 pour toutes les connexions Cloud Interconnect ou tunnels VPN.
Expiration du mot de passe du compte administrateur délégué
Si le mot de passe du compte administrateur délégué a expiré, vous pouvez le réinitialiser. Assurez-vous de disposer des autorisations nécessaires pour réinitialiser le mot de passe du compte administrateur délégué. Si vous le souhaitez, vous pouvez également désactiver l'expiration du mot de passe pour ce compte.
Impossible d'afficher les journaux d'audit du service Microsoft AD géré
Si vous ne parvenez à afficher aucun journal d'audit Microsoft AD géré dans la visionneuse de journaux ou l'explorateur de journaux, vous devez vérifier les configurations suivantes.
- La journalisation est activée pour le domaine.
- Vous disposez du rôle IAM
roles/logging.viewersur le projet où se trouve le domaine.