Esta página fornece dicas e abordagens para resolver problemas problemas comuns com o serviço gerenciado do Microsoft Active Directory.
Não foi possível criar um domínio do Managed Microsoft AD
Se não for possível criar um domínio do Microsoft AD gerenciado, verifique o as configurações a seguir podem ajudar.
APIs necessárias
O Managed Microsoft AD exige que você habilite um grupo de APIs antes de poder criar um domínio.
Para verificar se as APIs necessárias estão ativadas, execute as seguintes etapas:
Console
- Acesse a página APIs e Serviços na
console do Google Cloud.
Acessar APIs e Serviços Na página Painel, verifique se as seguintes APIs estão listadas:
- API Managed Service for Microsoft Active Directory
- API Compute Engine
- API Cloud DNS
gcloud
Execute o seguinte comando da CLI gcloud:
gcloud services list --available
O comando retorna a lista de APIs ativadas. Verifique se as seguintes APIs estão listadas:
- API Managed Service for Microsoft Active Directory
- API Compute Engine
- API Cloud DNS
Se alguma dessas APIs estiver ausente, execute as seguintes etapas para habilitá-la:
Console
- Acesse a página Biblioteca de APIs no console do Google Cloud.
Acessar a Biblioteca de APIs - Na página Biblioteca de APIs, no campo de pesquisa, digite o nome da API ausente.
- Na página de informações da API, clique em Ativar.
gcloud
Execute o seguinte comando da CLI gcloud:
gcloud services enable API_NAME
Substitua API_NAME
pelo nome da API ausente.
Repita esse processo até que todas as APIs necessárias estejam ativadas.
Cobrança
O Managed Microsoft AD exige que você ative o faturamento antes de poder criar um domínio.
Para verificar se o faturamento está ativado, execute as seguintes etapas:
Console
- Acesse a página Faturamento na
console do Google Cloud.
Acessar "Faturamento" - Verifique se há uma conta de faturamento configurada para sua organização.
- Clique na guia Meus projetos e verifique se o O projeto em que você está tentando criar um domínio do Microsoft AD gerenciado é listados.
gcloud
Execute o seguinte comando da CLI gcloud:
gcloud billing projects describe PROJECT_ID
Se você não vir uma conta de faturamento válida vinculada ao projeto, deverá ativá-la.
Intervalo de endereços IP
Se você receber um erro IP range overlap
ao tentar criar um
domínio, isso significa que o intervalo de endereços IP reservados
fornecido na solicitação de criação de domínio se sobrepõe ao intervalo de endereços IP de
com a rede autorizada. Para resolver esse problema, você deve escolher um intervalo de endereços IP diferente ou uma rede autorizada diferente. Para mais informações, consulte
Selecionar intervalos de endereços IP.
Permissões
Se você receber um erro Permission denied
ao tentar criar um domínio, verifique se a identidade de chamada tem permissão para chamar a API Managed Microsoft AD. Saiba mais sobre funções e permissões do Managed Microsoft AD.
Política da organização
A criação do domínio pode falhar devido a uma configuração da política da organização. Por exemplo, você pode configurar uma política da organização para permitir acesso apenas serviços específicos, como GKE ou Compute Engine. Saiba mais sobre a Política da organização restrições.
Pergunte ao administrador quem tem o papel de administrador da política da organização
(roles/orgpolicy.policyAdmin
)
do IAM na organização para atualizar as políticas
necessárias.
Política da organização Resource Location Restriction
Essa restrição de lista define o conjunto de locais onde os recursos do Google Cloud com base na localização podem ser criados. Negar o local global
pode afetar o Managed Microsoft AD.
Para visualizar e atualizar a política da organização Resource Location Restriction
:
Console
- Acesse a página Políticas da organização no console do Google Cloud.
Acessar as políticas da organização - Na página Políticas da organização, na coluna Nome, selecione a política Restrição de local do recurso para abrir o painel Resumo da política.
- No painel Resumo da política, verifique se o local
global
é permitido. - Se você precisar fazer uma alteração, selecione Editar, atualize a política e clique em Salvar.
Aprenda como restringir locais de recursos.
gcloud
Para conferir os detalhes da política da organização
Resource Location Restriction
, execute o seguinte comando da CLI gcloud. Aprenda sobre o comandogcloud resource-manager org-policies describe
.gcloud resource-manager org-policies describe constraints/gcp.resourceLocations \ --organization=ORGANIZATION_ID
Se o comando
describe
mostrar queglobal
não é permitido, execute o seguinte comando para permiti-lo. Aprenda sobre o comandogcloud resource-manager org-policies allow
.gcloud resource-manager org-policies allow constraints/gcp.resourceLocations global \ --organization=ORGANIZATION_ID
Aprenda como restringir locais de recursos.
Política da organização Restrict VPC peering usage
Essa restrição de lista define o conjunto de redes VPC que podem ser emparelhadas com as redes VPC pertencentes a um determinado recurso. Quando você especifica uma rede autorizada para um domínio do Managed Microsoft AD, um emparelhamento de VPC é criado entre a rede autorizada e a rede isolada que contém os controladores de domínio do AD. Se a política da organização do projeto negar emparelhamentos, o Managed Microsoft AD não poderá criar peerings na rede autorizada, portanto, a criação do domínio falhará. Você recebe um erro como este:
GCE_PRECONDITION_FAILED: Constraint constraints /compute.restrictVpcPeering violated for project PROJECT_ID. Peering the network projects/PROJECT_ID/global/networks/VPC_NETWORK_NAME is not allowed.
Para visualizar e atualizar a política da organização Restrict VPC peering usage
:
Console
- Acesse a página Políticas da organização no console do Google Cloud.
Acessar as políticas da organização - Na página Políticas da organização, na coluna Nome, selecione a política Restringir o uso de peering de VPC para abrir o painel Resumo da política.
- No painel Resumo da política, verifique se o projeto permite peerings.
- Se você precisar fazer uma alteração, selecione Editar, atualize a política e clique em Salvar.
gcloud
Para acessar os detalhes da organização
Restrict VPC peering usage
execute o seguinte comando da CLI gcloud. Saiba mais sobre o Comandogcloud resource-manager org-policies describe
.gcloud resource-manager org-policies describe constraints/compute.restrictVpcPeering \ --organization=ORGANIZATION_ID
Se o comando
describe
mostrar que os peerings não são permitidos, execute o seguinte comando para permiti-los. Aprenda sobre o comandogcloud resource-manager org-policies allow
.gcloud resource-manager org-policies allow constraints/compute.restrictVpcPeering under:projects/PROJECT_ID \ --organization=ORGANIZATION_ID
Substitua:
PROJECT_ID
: o nome do projeto que contém o recurso do Microsoft AD gerenciado.ORGANIZATION_ID
: o ID da organização que hospeda esse projeto.
Não é possível associar uma VM do Windows automaticamente a um domínio
Confira alguns problemas com códigos de erro que podem ocorrer ao tentar associar uma VM do Windows ou nós do GKE Windows Server a um domínio automaticamente:
Código do erro | Descrição | Possível solução |
---|---|---|
CONFLICT (409) |
Indica que a conta da instância de VM já existe no domínio do Microsoft AD gerenciado. | Remova a conta manualmente do Managed Microsoft AD usando as ferramentas do RSAT e tente novamente. Para mais informações sobre como gerenciar objetos do AD no Managed Microsoft AD, consulte Gerenciar objetos do Active Directory. |
BAD_REQUEST (412) |
Indica que a solicitação de participação no domínio contém informações inválidas, como nome de domínio incorreto e estrutura da hierarquia da unidade organizacional (UO) incorreta. | Revise as informações, atualize os detalhes, se necessário, e tente novamente. |
INTERNAL (500) |
Indica que o servidor encontrou um erro interno desconhecido. | Entre em contato com o suporte do Google Cloud para resolver o problema. |
FORBIDDEN (403) |
Indica que a conta de serviço especificada não tem os privilégios necessários. | Verifique se você tem os privilégios necessários na conta de serviço e tente de novo. |
UNAUTHORIZED (401) |
Indica que a VM não tem autorização válida para ingressar no domínio. | Verifique se você tem o escopo de acesso necessário na VM e tente de novo. |
Não é possível associar uma VM manualmente a um domínio
Se não for possível ingressar em uma máquina manualmente em um ambiente local no seu domínio do Microsoft AD gerenciado, verifique os seguintes requisitos:
A máquina que você está tentando conectar é detectável pelo Microsoft AD gerenciado. Para verificar essa conectividade, faça uma busca DNS do ambiente local para o domínio do Microsoft AD gerenciado. usando o
nslookup
comando.A rede local em que a máquina está precisa ser pareada com a rede VPC do seu domínio do Microsoft AD gerenciado. Para informações sobre como resolver problemas de uma conexão de peering de rede VPC, consulte Solução de problemas.
Não foi possível usar a VPC compartilhada como rede autorizada
Para acessar um domínio do Managed Microsoft AD de uma rede VPC compartilhada, o domínio precisa ser criado no mesmo projeto que hospeda a rede VPC compartilhada.
Não foi possível acessar o domínio do Managed Microsoft AD
Se seu domínio do Managed Microsoft AD parecer indisponível, você poderá obter mais informações sobre seu status executando as seguintes etapas:
Console
Acesse o
Serviço gerenciado para o Microsoft Active Directory
no console do Google Cloud.
Acessar o Serviço gerenciado para Microsoft Active Directory
Na página Serviço Gerenciado para Microsoft Active Directory, na coluna Status, é possível exibir os status dos seus domínios.
gcloud
Execute o seguinte comando da CLI gcloud:
gcloud active-directory domains list
Este comando retorna os status dos seus domínios.
Se o status do seu domínio for DOWN
, isso indicará que sua conta pode ter sido suspensa. Entre em contato com o suporte do Google Cloud para resolver esse problema.
Se o status do domínio for PERFORMING_MAINTENANCE
,
O Microsoft AD gerenciado ainda vai estar disponível para uso, mas talvez não permita
como a ampliação de esquema, a adição ou remoção de regiões. Este status é
rara e só acontece quando o SO recebe patches.
Não foi possível criar confiança
Se você seguir as etapas criar uma confiança, mas não concluir o processo, verifique as configurações a seguir.
O domínio local está acessível
Para verificar se o domínio local é acessível do domínio do Managed Microsoft AD, você pode usar ping
ou Test-NetConnection
. Execute esses comandos em uma VM hospedada no Google Cloud e em uma rede autorizada. Verifique se a VM pode acessar um controlador de domínio local. Saiba mais sobre Test-NetConnection
.
Endereço IP
Para verificar se o endereço IP fornecido durante a configuração da confiança é capaz de resolver o domínio local, execute o seguinte comando:
nslookup ON_PREMISES_DOMAIN_NAME CONDITIONAL_FORWARDER_ADDRESS
Substitua:
ON_PREMISES_DOMAIN_NAME
: o nome do domínio no local.CONDITIONAL_FORWARDER_ADDRESS
: o endereço IP do encaminhador condicional DNS.
Se houver vários endereços de encaminhador condicionais, você poderá testar qualquer um deles.
Saiba mais sobre nslookup
.
Relação de confiança local
Para verificar se o relacionamento de confiança local foi estabelecido, verifique se as seguintes informações correspondem.
- O tipo e a direção de confiança no domínio do Microsoft AD gerenciado complementa a confiança criada no domínio no local.
- O segredo de confiança fornecido durante a criação da confiança no domínio gerenciado do Microsoft AD corresponde ao que foi inserido no domínio local.
A direção de confiança no local complementa a direção configurada Microsoft AD gerenciado. Ou seja, se o domínio local espera uma confiança de entrada, a direção da confiança do domínio do Managed Microsoft AD é de saída. Saiba mais sobre confiança rotas.
A confiança não funciona mais
Se você criou anteriormente uma relação de confiança, mas ela não funciona mais, verifique as mesmas configurações que faria para solucionar problemas ao criar uma relação de confiança.
Além disso, se uma relação de confiança não for usada por 60 dias ou mais, a senha de confiança expirará. Para atualizar a senha, altere a senha da confiança no domínio local e atualize a senha no domínio do Managed Microsoft AD.
A autenticação do Active Directory está falhando (contas hospedadas no Managed Microsoft AD)
Se parecer que a autenticação do Active Directory está falhando ao usar contas hospedadas pelo Managed Microsoft AD, verificar as configurações a seguir pode ajudar.
VM está em uma rede autorizada
Para verificar se a VM usada para acessar o domínio está em uma rede autorizada, execute as seguintes etapas.
Acesse o Serviço gerenciado para o Microsoft Active Directory no console do Google Cloud.
Acessar o Serviço gerenciado para Microsoft Active DirectorySelecione o nome do seu domínio.
Na página Domínio, em Redes, verifique se a rede autorizada está listada.
Nome de usuário e senha estão corretos
Verifique se o nome de usuário e a senha fornecidos para efetuar login estão corretos.
Regras de firewall
Uma regra de firewall deny
para saída para o domínio
controladores do Google Cloud pode causar uma falha na autenticação.
Para verificar suas regras de firewall, execute as seguintes etapas:
Console
Acesse Regras de firewall no console do Google Cloud.
Acessar "Regras de firewall"Nessa página, verifique se não há um
deny
para saída configurado para o intervalo de endereços IP dos controladores de domínio.
gcloud
Execute o seguinte comando da CLI gcloud:
gcloud compute firewall-rules list
Esse comando retorna uma lista das regras de firewall configuradas. Verifique se não existe um
deny
para saída configurado para o intervalo de endereços IP dos controladores de domínio.
Saiba mais sobre regras de firewall.
Endereço IP
A autenticação pode falhar se o endereço IP não estiver no intervalo CIDR reservado.
Para verificar o endereço IP, execute o seguinte comando.
nslookup DOMAIN_NAME
Se nslookup
falhar ou retornar um endereço IP que não esteja no intervalo CIDR, verifique se a zona DNS existe.
Para validar a existência da zona DNS, execute as seguintes etapas:
Console
Acesse a página Cloud DNS no console do Google Cloud.
Acessar o Cloud DNSNa página Cloud DNS, na guia Zonas, marque a coluna Em uso por da rede autorizada.
gcloud
Execute o seguinte comando da CLI gcloud:
gcloud dns managed-zones list --filter=FQDN
Substitua
FQDN
pelo nome de domínio totalmente qualificado do seu domínio do Microsoft AD gerenciado.
Se nenhuma das zonas listadas estiver em uso pela rede autorizada, remova e adicione novamente a rede autorizada.
Peering de rede
A autenticação pode falhar se o peering de rede VPC não estiver configurado corretamente.
Para verificar se o peering está configurado, execute as seguintes etapas:
Console
Acesse a página Peering de rede VPC no console do Google Cloud.
Acessar o peering de rede VPCNa página Peering de redes VPC, na coluna Nome, procure um peering chamado
peering-VPC_NETWORK_NAME
.
gcloud
Execute o seguinte comando da CLI gcloud:
gcloud compute networks peerings list --network=VPC_NETWORK_NAME
Esse comando retorna uma lista de peerings. Na lista, procure um chamado
peering-VPC_NETWORK_NAME
.
Se peering-VPC_NETWORK_NAME
não estiver na lista, remova e adicione novamente a rede autorizada.
A autenticação do Active Directory está falhando (via confiança)
Se parecer que a autenticação do Active Directory está falhando ao usar contas hospedadas locais gerenciadas via confiança, verifique as mesmas configurações que faria para solucionar problemas ao criar uma confiança.
Além disso, verifique se a conta está no
Cloud Service Computer Remote Desktop Users
grupo delegado. Saiba mais sobre
grupos delegados
Não foi possível acessar o domínio de uma VM de gerenciabilidade
Se não for possível acessar o domínio do Microsoft AD gerenciado na VM usada para gerenciar o AD objetos, é necessário verifique as mesmas configurações que você faria para resolver problemas de ativos Autenticação de diretório para Microsoft AD gerenciado contas.
Erro Org policy
ao criar, atualizar ou excluir
Se você encontrar um erro org policy
ao criar, atualizar ou excluir recursos, poderá ser necessário alterar uma política da organização. Saiba mais sobre restrições da política da organização.
Pergunte ao administrador quem tem o papel de administrador da política da organização
(roles/orgpolicy.policyAdmin
)
do IAM na organização para atualizar as políticas
necessárias.
Política da organização Define allowed APIs and services
Com essa restrição de lista, são definidos o conjunto de serviços e APIs que podem ser ativados em um determinado recurso. Os descendentes na hierarquia de recursos também herdam a restrição. Se essa restrição não permitir as APIs necessárias para o Microsoft AD gerenciado, você receberá um erro ao tentar criar, atualizar ou excluir recursos.
Para visualizar e atualizar a política da organização Define allowed APIs and services
:
Console
- Acesse a página Políticas da organização no console do Google Cloud.
Acessar as políticas da organização - Na página Políticas da organização, na coluna Nome, selecione a política Definir APIs e serviços permitidos para abrir o painel Resumo da política.
- No painel Resumo da política, verifique se as seguintes APIs não foram negadas:
dns.googleapis.com
compute.googleapis.com
- Se você precisar fazer uma alteração, selecione Editar, atualize a política e clique em Salvar.
gcloud
Execute o comando da CLI gcloud a seguir. Saiba mais sobre o
gcloud resource-manager org-policies describe
kubectl.gcloud resource-manager org-policies describe constraints/serviceuser.services \ --organization=ORGANIZATION_ID
Se o comando
describe
mostrar quedns.googleapis.com
oucompute.googleapis.com
não é permitido, execute o seguinte comando para permiti-lo. Aprenda sobre o comandogcloud resource-manager org-policies allow
.gcloud resource-manager org-policies allow constraints/serviceuser.services API_NAME \ --organization=ORGANIZATION_ID
Política da organização Restrict VPC peering usage
Essa restrição de lista define o conjunto de redes VPC que podem ser emparelhadas com as redes VPC pertencentes a um determinado recurso. Se os peerings forem negados, você receberá um erro ao tentar criar, atualizar ou excluir recursos. Aprenda como visualizar e atualizar a política da organização Restrict VPC peering usage
.
Não foi possível resolver os recursos locais do Google Cloud
Se você não conseguir resolver os recursos locais do Google Cloud, poderá ser necessário alterar a configuração do DNS. Aprenda como configurar o encaminhamento de DNS para resolver consultas de objetos do Microsoft AD não gerenciado em redes VPC.
Falhas de pesquisa DNS intermitentes
Se você estiver enfrentando falhas intermitentes de pesquisa DNS ao usar um esquema altamente disponível para Cloud Interconnect ou várias VPNs, verifique as seguintes configurações:
- Existe uma rota para 35.199.192.0/19.
- A rede local permite tráfego de 35.199.192.0/19 para todas as conexões do Cloud Interconnect ou de túneis VPN.
A senha da conta de administrador delegada expira
Se a senha da conta de administrador delegada tiver expirado, você poderá redefina o senha. Verifique se você tem as permissões necessárias para redefinir a senha da conta de administrador delegada. Se quiser, você também pode desativar a expiração da senha da conta.
Não é possível ver os registros de auditoria do Microsoft AD gerenciado
Se não for possível acessar os registros de auditoria do Microsoft AD gerenciado na Visualizador de registros ou Análise de registros, verifique as configurações a seguir.
- A geração de registros está ativada no domínio.
- Você tem o papel do IAM
roles/logging.viewer
no projeto em que o domínio está localizado.