本页面提供了一些提示和方法,可帮助您排查和解决 Managed Service for Microsoft Active Directory 的常见问题。
无法创建托管式 Microsoft AD 网域
如果您无法创建托管式 Microsoft AD 网域,验证以下配置可能会有所帮助。
必需的 API
托管式 Microsoft AD 要求先启用一组 API,然后才能创建网域。
要验证是否启用了必需的 API,请完成以下步骤:
控制台
- 转到API 和Service页面上的
Google Cloud 控制台。
转到“API”和服务 在信息中心页面上,验证是否列出了以下 API:
- Managed Service for Microsoft Active Directory API
- Compute Engine API
- Cloud DNS API
gcloud
运行以下 gcloud CLI 命令:
gcloud services list --available
该命令会返回已启用 API 的列表。验证是否列出了以下 API:
- Managed Service for Microsoft Active Directory API
- Compute Engine API
- Cloud DNS API
如果缺少任何这些 API,请完成以下步骤以启用它们:
控制台
gcloud
运行以下 gcloud CLI 命令:
gcloud services enable API_NAME
将 API_NAME 替换为缺失 API 的名称。
重复此过程,直到启用了所有必需的 API。
结算
托管式 Microsoft AD 要求您先启用结算功能,然后才能创建网域。
要验证是否已启用结算功能,请完成以下步骤:
控制台
gcloud
运行以下 gcloud CLI 命令:
gcloud billing projects describe PROJECT_ID
如果您没有看到与该项目关联的有效结算账号,则应启用结算功能。
IP 地址范围
如果在尝试创建网域时收到 IP range overlap 错误,则意味着您在网域创建请求中提供的预留 IP 地址范围与已获授权的网络的 IP 地址范围重叠。要解决此问题,您应该选择其他 IP 地址范围或其他已获授权的网络。如需了解详情,请参阅选择 IP 地址范围。
权限
如果在尝试创建网域时收到 Permission denied 错误,则应验证发起调用的身份是否有权调用托管式 Microsoft AD API。详细了解托管式 Microsoft AD 角色和权限。
组织政策
网域创建可能会因组织政策配置而失败。例如,您可以配置组织政策,以允许用户仅访问特定服务(例如 GKE 或 Compute Engine)。详细了解组织政策限制。
请咨询您的管理员谁有组织政策管理员
(roles/orgpolicy.policyAdmin)
组织的 IAM 角色,用于更新所需组织
政策。
Resource Location Restriction 组织政策
此列表限制条件定义了可以创建基于位置的 Google Cloud 资源的一组位置。拒绝 global 位置可能会影响托管式 Microsoft AD。
要查看和更新 Resource Location Restriction 组织政策,请执行以下操作:
控制台
- 前往 Google Cloud 控制台中的组织政策页面。
转到“组织政策” - 在组织政策页面上的名称列中,选择资源位置限制政策以打开政策摘要面板。
- 在政策摘要面板中,验证是否允许
global位置。 - 如果需要进行更改,请选择修改,更新政策,然后点击保存。
了解限制资源位置。
gcloud
如需查看
Resource Location Restriction组织政策的详细信息,请运行以下 gcloud CLI 命令。了解gcloud resource-manager org-policies describe命令。gcloud resource-manager org-policies describe constraints/gcp.resourceLocations \ --organization=ORGANIZATION_ID如果
describe命令显示不允许global,请运行以下命令来允许它。了解gcloud resource-manager org-policies allow命令。gcloud resource-manager org-policies allow constraints/gcp.resourceLocations global \ --organization=ORGANIZATION_ID
了解限制资源位置。
Restrict VPC peering usage 组织政策
此列表限制条件定义了允许与属于给定资源的 VPC 网络对等互连的一组 VPC 网络。当您为托管式 Microsoft AD 网域指定已获授权的网络时,系统将在已获授权的网络和包含 AD 网域控制器的独立网络之间创建 VPC 对等互连。如果项目的组织政策拒绝对等互连,则托管式 Microsoft AD 将无法创建到已获授权的网络的任何对等互连,从而导致网域创建失败。您会收到如下所示的错误:
GCE_PRECONDITION_FAILED: Constraint constraints /compute.restrictVpcPeering violated for project PROJECT_ID. Peering the network projects/PROJECT_ID/global/networks/VPC_NETWORK_NAME is not allowed.
要查看和更新 Restrict VPC peering usage 组织政策,请执行以下操作:
控制台
- 转到 Google Cloud 控制台中的组织政策页面。
转到“组织政策” - 在组织政策页面上,在名称列中选择限制 VPC 对等互连使用量政策,以打开政策摘要面板。
- 在政策摘要面板中,验证项目是否允许对等互连。
- 如果需要进行更改,请选择修改,更新政策,然后点击保存。
gcloud
如需查看
Restrict VPC peering usage组织政策的详细信息,请运行以下 gcloud CLI 命令。了解gcloud resource-manager org-policies describe命令。gcloud resource-manager org-policies describe constraints/compute.restrictVpcPeering \ --organization=ORGANIZATION_ID如果
describe命令显示不允许对等互连,请运行以下命令来允许它。了解gcloud resource-manager org-policies allow命令。gcloud resource-manager org-policies allow constraints/compute.restrictVpcPeering under:projects/PROJECT_ID \ --organization=ORGANIZATION_ID替换以下内容:
PROJECT_ID:包含托管式 Microsoft AD 资源的项目的名称。ORGANIZATION_ID:托管该项目的组织的 ID。
无法将 Windows 虚拟机自动加入网域
以下是您在尝试执行恢复操作时可能会遇到的一些错误代码问题 加入 Windows 虚拟机或 GKE Windows Server 节点 域:
| 错误代码 | 说明 | 潜在解决方案 |
|---|---|---|
CONFLICT (409) |
表示 Managed Microsoft AD 网域中已存在虚拟机实例账号。 | 请使用 RSAT 工具从 Managed Microsoft AD 中手动移除该账号,然后重试。如需详细了解如何在托管式 Microsoft AD 中管理 AD 对象,请参阅管理 Active Directory 对象。 |
BAD_REQUEST (412) |
表示网域加入请求包含无效信息,例如域名不正确和组织部门 (OU) 层次结构不正确。 | 请查看相关信息,根据需要更新详细信息,然后重试。 |
INTERNAL (500) |
表示服务器遇到未知内部错误。 | 请与 Google Cloud 支持团队联系以解决此问题。 |
FORBIDDEN (403) |
表示指定的服务账号没有所需的权限。 | 检查您是否拥有服务账号的所需权限,然后重试。 |
UNAUTHORIZED (401) |
表示虚拟机缺少加入网域的有效授权。 | 请检查您在虚拟机上是否拥有所需的访问权限范围,然后重试。 |
无法手动将虚拟机加入网域
如果您无法手动将机器从本地环境连接到 您的托管式 Microsoft AD 网域,请验证以下要求:
您尝试加入的计算机可从托管式 Microsoft AD 中发现。如需验证此连接,请使用
nslookup命令从本地环境对托管式 Microsoft AD 网域执行 DNS 查找。机器所在的本地网络必须与其对等互连 代管式 Microsoft AD 网域的 VPC 网络。对于 如需了解如何排查 VPC 网络对等互连连接问题,请参阅 问题排查。
无法将共享 VPC 用作已获授权的网络
为了从共享 VPC 网络访问托管式 Microsoft AD 网域,必须在托管共享 VPC 网络的同一项目中创建该网域。
无法访问托管式 Microsoft AD 网域
如果您的托管式 Microsoft AD 网域不可用,则可以通过完成以下步骤来获取有关其状态的详细信息:
控制台
前往
Managed Service for Microsoft Active Directory
页面。
前往 Managed Service for Microsoft Active Directory
在 Managed Service for Microsoft Active Directory 页面上的状态列中,您可以查看网域的状态。
gcloud
运行以下 gcloud CLI 命令:
gcloud active-directory domains list
此命令返回您的网域的状态。
如果网域状态为 DOWN,则表明您的账号可能已被暂停。要解决此问题,请联系 Google Cloud 支持。
如果您的网域状态为 PERFORMING_MAINTENANCE,
代管式 Microsoft AD 应该仍然可供使用,但可能不允许
扩展架构、添加或移除区域等操作。此状态很少见,仅在修补操作系统时才会出现。
无法创建信任
如果您遵循了创建信任的步骤,但是无法完成此过程,则验证以下配置可能会有用。
可访问本地网域
要验证是否可以从托管式 Microsoft AD 网域访问本地网域,可以使用 ping 或 Test-NetConnection。从托管在 Google Cloud 和已获授权的网络上的虚拟机运行这些命令。验证该虚拟机是否可以访问本地网域控制器。详细了解 Test-NetConnection。
IP 地址
要验证在信任设置过程中提供的 IP 地址是否能够解析本地网域,请运行以下命令:
nslookup ON_PREMISES_DOMAIN_NAME CONDITIONAL_FORWARDER_ADDRESS
替换以下内容:
ON_PREMISES_DOMAIN_NAME:本地网域的名称。CONDITIONAL_FORWARDER_ADDRESS:DNS 条件转发器的 IP 地址。
如果有多个条件转发器地址,则可以针对其中任何一个进行测试。
详细了解 nslookup。
本地信任关系
要验证本地信任关系是否已建立,您应检查以下信息是否匹配。
- 托管式 Microsoft AD 网域上的信任类型和方向与在本地网域上创建的信任互补。
- 在 代管式 Microsoft AD 网域与在本地输入的网域相匹配 网域。
本地信任方向是对 Cloud 上配置的信任方向的补充 代管式 Microsoft AD。也就是说,如果本地网域预期入站信任,则托管式 Microsoft AD 网域的信任方向为出站。详细了解信任方向。
信任不再有效
如果您之前创建了信任,但该信任不再有效,您应验证与排查创建信任的问题相同的配置。
此外,如果在 60 天或更长时间内没有使用信任,则信任密码将过期。要刷新密码,请更改本地网域上的信任密码,然后更新托管式 Microsoft AD 网域上的密码。
Active Directory 身份验证失败(托管式 Microsoft AD 托管账号)
如果使用 Active Directory 身份验证失败, 托管 Microsoft AD 托管的账号,验证以下配置 可以有所帮助。
虚拟机位于已获授权的网络上
要验证用于访问网域的虚拟机是否在已获授权的网络上,请完成以下步骤。
前往 Managed Service for Microsoft Active Directory 页面。
转到 Managed Service for Microsoft Active Directory选择您的域名。
在网域页面上的网络下,检查是否列出了已获授权的网络。
用户名和密码正确
验证提供的用于登录的用户名和密码是否正确。
防火墙规则
针对到网域控制器的 IP 地址范围的出站流量的 deny 防火墙规则可能会导致身份验证失败。
要检查防火墙规则,请完成以下步骤:
控制台
gcloud
运行以下 gcloud CLI 命令:
gcloud compute firewall-rules list
此命令返回已配置的防火墙规则的列表。检查是否没有为网域控制器的 IP 地址范围配置出站流量
deny防火墙规则。
详细了解防火墙规则。
IP 地址
如果 IP 地址不在预留的 CIDR 范围内,则身份验证可能会失败。
要检查 IP 地址,请运行以下命令。
nslookup DOMAIN_NAME
如果 nslookup 失败或返回的 IP 地址不在 CIDR 范围内,您应验证 DNS 地区是否存在。
要验证 DNS 地区是否存在,请完成以下步骤:
控制台
前往 Google Cloud 控制台中的 Cloud DNS 页面。
前往 Cloud DNS在 Cloud DNS 页面上的地区标签页上,检查已获授权的网络的使用者列。
gcloud
运行以下 gcloud CLI 命令:
gcloud dns managed-zones list --filter=FQDN
将
FQDN替换为 Managed Microsoft AD 网域的完全限定域名。
如果已获授权的网络未使用任何列出的地区,您应移除并重新添加已获授权的网络。
网络对等互连
如果未正确配置 VPC 网络对等互连,则身份验证可能会失败。
要验证是否设置了对等互连,请完成以下步骤:
控制台
前往 VPC 网络对等互连页面 Google Cloud 控制台。
前往“VPC 网络对等互连”页面在 VPC 网络对等互连页面上的名称列中,查找名为
peering-VPC_NETWORK_NAME的对等互连。
gcloud
运行以下 gcloud CLI 命令:
gcloud compute networks peerings list --network=VPC_NETWORK_NAME
此命令返回对等互连列表。在列表中,查找名为
peering-VPC_NETWORK_NAME对等互连。
如果列表中没有 peering-VPC_NETWORK_NAME,您应移除并重新添加已获授权的网络。
Active Directory 身份验证失败(通过信任)
如果通过信任关系使用托管的本地托管账号时,Active Directory 身份验证失败,您应验证与排查创建信任的问题相同的配置。
此外,验证账号是否位于
Cloud Service Computer Remote Desktop Users 个受托群组。详细了解
委托的群组
无法从管理虚拟机访问网域
如果您无法从虚拟机访问 Managed Microsoft AD 网域 用于管理 AD 对象时,您应该 验证的配置与排查 Active 问题配置所需的配置相同 由托管式 Microsoft AD 托管的目录身份验证 账号。
创建、更新或删除时发生 Org policy 错误
如果您在创建、更新或删除资源时遇到 org policy 错误,则可能需要更改组织政策。了解组织政策限制。
请让拥有组织政策管理员 (roles/orgpolicy.policyAdmin) IAM 角色的管理员更新所需的组织政策。
Define allowed APIs and services 组织政策
此列表限制条件定义了可在给定资源上启用的一组服务和 API。其在资源层次结构中的后代也会继承该限制条件。如果此限制条件不允许托管式 Microsoft AD 所需的 API,则您在尝试创建、更新或删除资源时会收到错误。
要查看和更新 Define allowed APIs and services 组织政策,请执行以下操作:
控制台
- 前往 Google Cloud 控制台中的组织政策页面。
前往“组织政策”页面 - 在组织政策页面上的名称列中,选择定义允许的 API 和服务政策以打开政策摘要面板。
- 在政策摘要面板中,验证以下 API 是否未被拒绝:
dns.googleapis.comcompute.googleapis.com
- 如果需要进行更改,请选择修改,更新政策,然后点击保存。
gcloud
运行以下 gcloud CLI 命令。了解
gcloud resource-manager org-policies describe命令。gcloud resource-manager org-policies describe constraints/serviceuser.services \ --organization=ORGANIZATION_ID如果
describe命令显示不允许dns.googleapis.com或compute.googleapis.com,请运行以下命令来允许它。了解gcloud resource-manager org-policies allow命令。gcloud resource-manager org-policies allow constraints/serviceuser.services API_NAME \ --organization=ORGANIZATION_ID
Restrict VPC peering usage 组织政策
此列表限制条件定义了允许与属于给定资源的 VPC 网络对等互连的一组 VPC 网络。如果对等互连被拒绝,则您在尝试创建、更新或删除资源时会收到错误。了解如何查看和更新 Restrict VPC peering usage 组织政策。
无法从 Google Cloud 解析本地资源
如果您无法从 Google Cloud 解析本地资源,则可能需要更改 DNS 配置。了解 如何配置 DNS 转发,用于解析对 VPC 网络中非代管式 Microsoft AD 对象的查询。
间歇性 DNS 查找失败
如果在使用 Cloud Interconnect 或多个 VPN 的高可用性架构时遇到间歇性 DNS 查找失败,您应验证以下配置:
- 存在 35.199.192.0/19 的路由。
- 对于所有 Cloud Interconnect 连接或 VPN 隧道,本地网络允许来自 35.199.192.0/19 的流量。
委派管理员账号密码到期
如果委派管理员账号的密码已过期,您可以 重置 密码。 确保您拥有重置委派管理员账号密码所需的权限。如有需要,也可以停用密码 过期日期 。
无法查看代管式 Microsoft AD 审核日志
如果您无法在 日志查看器或日志浏览器时,您应验证以下配置。
- 已为网域启用了日志记录。
- 您拥有网域所在项目的
roles/logging.viewerIAM 角色。