Resolver problemas do Microsoft AD gerenciado

Esta página fornece dicas e abordagens para resolver problemas problemas comuns com o serviço gerenciado do Microsoft Active Directory.

Não foi possível criar um domínio do Managed Microsoft AD

Se não for possível criar um domínio do Microsoft AD gerenciado, verifique o as configurações a seguir podem ajudar.

APIs necessárias

O Managed Microsoft AD exige que você habilite um grupo de APIs antes de poder criar um domínio.

Para verificar se as APIs necessárias estão ativadas, execute as seguintes etapas:

Console

  1. Acesse a página APIs e Serviços na console do Google Cloud.
    Acessar APIs e Serviços
  2. Na página Painel, verifique se as seguintes APIs estão listadas:

    • API Managed Service for Microsoft Active Directory
    • API Compute Engine
    • API Cloud DNS

gcloud

  1. Execute o seguinte comando da CLI gcloud:

    gcloud services list --available
    
  2. O comando retorna a lista de APIs ativadas. Verifique se as seguintes APIs estão listadas:

    • API Managed Service for Microsoft Active Directory
    • API Compute Engine
    • API Cloud DNS

Se alguma dessas APIs estiver ausente, execute as seguintes etapas para habilitá-la:

Console

  1. Acesse a página Biblioteca de APIs no console do Google Cloud.
    Acessar a Biblioteca de APIs
  2. Na página Biblioteca de APIs, no campo de pesquisa, digite o nome da API ausente.
  3. Na página de informações da API, clique em Ativar.

gcloud

Execute o seguinte comando da CLI gcloud:

  gcloud services enable API_NAME
  

Substitua API_NAME pelo nome da API ausente.

Repita esse processo até que todas as APIs necessárias estejam ativadas.

Cobrança

O Managed Microsoft AD exige que você ative o faturamento antes de poder criar um domínio.

Para verificar se o faturamento está ativado, execute as seguintes etapas:

Console

  1. Acesse a página Faturamento na console do Google Cloud.
    Acessar "Faturamento"
  2. Verifique se há uma conta de faturamento configurada para sua organização.
  3. Clique na guia Meus projetos e verifique se o O projeto em que você está tentando criar um domínio do Microsoft AD gerenciado é listados.

gcloud

Execute o seguinte comando da CLI gcloud:

  gcloud billing projects describe PROJECT_ID
  

Se você não vir uma conta de faturamento válida vinculada ao projeto, deverá ativá-la.

Intervalo de endereços IP

Se você receber um erro IP range overlap ao tentar criar um domínio, isso significa que o intervalo de endereços IP reservados fornecido na solicitação de criação de domínio se sobrepõe ao intervalo de endereços IP de com a rede autorizada. Para resolver esse problema, você deve escolher um intervalo de endereços IP diferente ou uma rede autorizada diferente. Para mais informações, consulte Selecionar intervalos de endereços IP.

Permissões

Se você receber um erro Permission denied ao tentar criar um domínio, verifique se a identidade de chamada tem permissão para chamar a API Managed Microsoft AD. Saiba mais sobre funções e permissões do Managed Microsoft AD.

Política da organização

A criação do domínio pode falhar devido a uma configuração da política da organização. Por exemplo, você pode configurar uma política da organização para permitir acesso apenas serviços específicos, como GKE ou Compute Engine. Saiba mais sobre a Política da organização restrições.

Pergunte ao administrador quem tem o papel de administrador da política da organização (roles/orgpolicy.policyAdmin) do IAM na organização para atualizar as políticas necessárias.

Política da organização Resource Location Restriction

Essa restrição de lista define o conjunto de locais onde os recursos do Google Cloud com base na localização podem ser criados. Negar o local global pode afetar o Managed Microsoft AD.

Para visualizar e atualizar a política da organização Resource Location Restriction:

Console

  1. Acesse a página Políticas da organização no console do Google Cloud.
    Acessar as políticas da organização
  2. Na página Políticas da organização, na coluna Nome, selecione a política Restrição de local do recurso para abrir o painel Resumo da política.
  3. No painel Resumo da política, verifique se o local global é permitido.
  4. Se você precisar fazer uma alteração, selecione Editar, atualize a política e clique em Salvar.

Aprenda como restringir locais de recursos.

gcloud

  1. Para conferir os detalhes da política da organização Resource Location Restriction, execute o seguinte comando da CLI gcloud. Aprenda sobre o comando gcloud resource-manager org-policies describe.

    gcloud resource-manager org-policies describe constraints/gcp.resourceLocations \
        --organization=ORGANIZATION_ID
    
  2. Se o comando describe mostrar que global não é permitido, execute o seguinte comando para permiti-lo. Aprenda sobre o comando gcloud resource-manager org-policies allow.

    gcloud resource-manager org-policies allow constraints/gcp.resourceLocations global \
        --organization=ORGANIZATION_ID
    

Aprenda como restringir locais de recursos.

Política da organização Restrict VPC peering usage

Essa restrição de lista define o conjunto de redes VPC que podem ser emparelhadas com as redes VPC pertencentes a um determinado recurso. Quando você especifica uma rede autorizada para um domínio do Managed Microsoft AD, um emparelhamento de VPC é criado entre a rede autorizada e a rede isolada que contém os controladores de domínio do AD. Se a política da organização do projeto negar emparelhamentos, o Managed Microsoft AD não poderá criar peerings na rede autorizada, portanto, a criação do domínio falhará. Você recebe um erro como este:

GCE_PRECONDITION_FAILED: Constraint constraints /compute.restrictVpcPeering
violated for project PROJECT_ID. Peering the network projects/PROJECT_ID/global/networks/VPC_NETWORK_NAME
is not allowed.

Para visualizar e atualizar a política da organização Restrict VPC peering usage:

Console

  1. Acesse a página Políticas da organização no console do Google Cloud.
    Acessar as políticas da organização
  2. Na página Políticas da organização, na coluna Nome, selecione a política Restringir o uso de peering de VPC para abrir o painel Resumo da política.
  3. No painel Resumo da política, verifique se o projeto permite peerings.
  4. Se você precisar fazer uma alteração, selecione Editar, atualize a política e clique em Salvar.

gcloud

  1. Para acessar os detalhes da organização Restrict VPC peering usage execute o seguinte comando da CLI gcloud. Saiba mais sobre o Comando gcloud resource-manager org-policies describe.

    gcloud resource-manager org-policies describe constraints/compute.restrictVpcPeering \
        --organization=ORGANIZATION_ID
    
  2. Se o comando describe mostrar que os peerings não são permitidos, execute o seguinte comando para permiti-los. Aprenda sobre o comando gcloud resource-manager org-policies allow.

    gcloud resource-manager org-policies allow constraints/compute.restrictVpcPeering under:projects/PROJECT_ID \
        --organization=ORGANIZATION_ID
    

    Substitua:

    • PROJECT_ID: o nome do projeto que contém o recurso do Microsoft AD gerenciado.
    • ORGANIZATION_ID: o ID da organização que hospeda esse projeto.

Não é possível associar uma VM do Windows automaticamente a um domínio

Confira alguns problemas com códigos de erro que podem ocorrer ao tentar associar uma VM do Windows ou nós do GKE Windows Server a um domínio automaticamente:

Código do erro Descrição Possível solução
CONFLICT (409) Indica que a conta da instância de VM já existe no domínio do Microsoft AD gerenciado. Remova a conta manualmente do Managed Microsoft AD usando as ferramentas do RSAT e tente novamente. Para mais informações sobre como gerenciar objetos do AD no Managed Microsoft AD, consulte Gerenciar objetos do Active Directory.
BAD_REQUEST (412) Indica que a solicitação de participação no domínio contém informações inválidas, como nome de domínio incorreto e estrutura da hierarquia da unidade organizacional (UO) incorreta. Revise as informações, atualize os detalhes, se necessário, e tente novamente.
INTERNAL (500) Indica que o servidor encontrou um erro interno desconhecido. Entre em contato com o suporte do Google Cloud para resolver o problema.
FORBIDDEN (403) Indica que a conta de serviço especificada não tem os privilégios necessários. Verifique se você tem os privilégios necessários na conta de serviço e tente de novo.
UNAUTHORIZED (401) Indica que a VM não tem autorização válida para ingressar no domínio. Verifique se você tem o escopo de acesso necessário na VM e tente de novo.

Não é possível associar uma VM manualmente a um domínio

Se não for possível ingressar em uma máquina manualmente em um ambiente local no seu domínio do Microsoft AD gerenciado, verifique os seguintes requisitos:

  • A máquina que você está tentando conectar é detectável pelo Microsoft AD gerenciado. Para verificar essa conectividade, faça uma busca DNS do ambiente local para o domínio do Microsoft AD gerenciado. usando o nslookup comando.

  • A rede local em que a máquina está precisa ser pareada com a rede VPC do seu domínio do Microsoft AD gerenciado. Para informações sobre como resolver problemas de uma conexão de peering de rede VPC, consulte Solução de problemas.

Não foi possível usar a VPC compartilhada como rede autorizada

Para acessar um domínio do Managed Microsoft AD de uma rede VPC compartilhada, o domínio precisa ser criado no mesmo projeto que hospeda a rede VPC compartilhada.

Não foi possível acessar o domínio do Managed Microsoft AD

Se seu domínio do Managed Microsoft AD parecer indisponível, você poderá obter mais informações sobre seu status executando as seguintes etapas:

Console

Acesse o Serviço gerenciado para o Microsoft Active Directory no console do Google Cloud.
Acessar o Serviço gerenciado para Microsoft Active Directory

Na página Serviço Gerenciado para Microsoft Active Directory, na coluna Status, é possível exibir os status dos seus domínios.

gcloud

Execute o seguinte comando da CLI gcloud:

gcloud active-directory domains list

Este comando retorna os status dos seus domínios.

Se o status do seu domínio for DOWN, isso indicará que sua conta pode ter sido suspensa. Entre em contato com o suporte do Google Cloud para resolver esse problema.

Se o status do domínio for PERFORMING_MAINTENANCE, O Microsoft AD gerenciado ainda vai estar disponível para uso, mas talvez não permita como a ampliação de esquema, a adição ou remoção de regiões. Este status é rara e só acontece quando o SO recebe patches.

Não foi possível criar confiança

Se você seguir as etapas criar uma confiança, mas não concluir o processo, verifique as configurações a seguir.

O domínio local está acessível

Para verificar se o domínio local é acessível do domínio do Managed Microsoft AD, você pode usar ping ou Test-NetConnection. Execute esses comandos em uma VM hospedada no Google Cloud e em uma rede autorizada. Verifique se a VM pode acessar um controlador de domínio local. Saiba mais sobre Test-NetConnection.

Endereço IP

Para verificar se o endereço IP fornecido durante a configuração da confiança é capaz de resolver o domínio local, execute o seguinte comando:

nslookup ON_PREMISES_DOMAIN_NAME CONDITIONAL_FORWARDER_ADDRESS

Substitua:

  • ON_PREMISES_DOMAIN_NAME: o nome do domínio no local.
  • CONDITIONAL_FORWARDER_ADDRESS: o endereço IP do encaminhador condicional DNS.

Se houver vários endereços de encaminhador condicionais, você poderá testar qualquer um deles.

Saiba mais sobre nslookup.

Relação de confiança local

Para verificar se o relacionamento de confiança local foi estabelecido, verifique se as seguintes informações correspondem.

  • O tipo e a direção de confiança no domínio do Microsoft AD gerenciado complementa a confiança criada no domínio no local.
  • O segredo de confiança fornecido durante a criação da confiança no domínio gerenciado do Microsoft AD corresponde ao que foi inserido no domínio local.

A direção de confiança no local complementa a direção configurada Microsoft AD gerenciado. Ou seja, se o domínio local espera uma confiança de entrada, a direção da confiança do domínio do Managed Microsoft AD é de saída. Saiba mais sobre confiança rotas.

A confiança não funciona mais

Se você criou anteriormente uma relação de confiança, mas ela não funciona mais, verifique as mesmas configurações que faria para solucionar problemas ao criar uma relação de confiança.

Além disso, se uma relação de confiança não for usada por 60 dias ou mais, a senha de confiança expirará. Para atualizar a senha, altere a senha da confiança no domínio local e atualize a senha no domínio do Managed Microsoft AD.

A autenticação do Active Directory está falhando (contas hospedadas no Managed Microsoft AD)

Se parecer que a autenticação do Active Directory está falhando ao usar contas hospedadas pelo Managed Microsoft AD, verificar as configurações a seguir pode ajudar.

VM está em uma rede autorizada

Para verificar se a VM usada para acessar o domínio está em uma rede autorizada, execute as seguintes etapas.

  1. Acesse o Serviço gerenciado para o Microsoft Active Directory no console do Google Cloud.
    Acessar o Serviço gerenciado para Microsoft Active Directory

  2. Selecione o nome do seu domínio.

  3. Na página Domínio, em Redes, verifique se a rede autorizada está listada.

Nome de usuário e senha estão corretos

Verifique se o nome de usuário e a senha fornecidos para efetuar login estão corretos.

Regras de firewall

Uma regra de firewall deny para saída para o domínio controladores do Google Cloud pode causar uma falha na autenticação.

Para verificar suas regras de firewall, execute as seguintes etapas:

Console

  1. Acesse Regras de firewall no console do Google Cloud.
    Acessar "Regras de firewall"

  2. Nessa página, verifique se não há um deny para saída configurado para o intervalo de endereços IP dos controladores de domínio.

gcloud

  1. Execute o seguinte comando da CLI gcloud:

    gcloud compute firewall-rules list
    
  2. Esse comando retorna uma lista das regras de firewall configuradas. Verifique se não existe um deny para saída configurado para o intervalo de endereços IP dos controladores de domínio.

Saiba mais sobre regras de firewall.

Endereço IP

A autenticação pode falhar se o endereço IP não estiver no intervalo CIDR reservado.

Para verificar o endereço IP, execute o seguinte comando.

nslookup DOMAIN_NAME

Se nslookup falhar ou retornar um endereço IP que não esteja no intervalo CIDR, verifique se a zona DNS existe.

Para validar a existência da zona DNS, execute as seguintes etapas:

Console

  1. Acesse a página Cloud DNS no console do Google Cloud.
    Acessar o Cloud DNS

  2. Na página Cloud DNS, na guia Zonas, marque a coluna Em uso por da rede autorizada.

gcloud

  1. Execute o seguinte comando da CLI gcloud:

    gcloud dns managed-zones list --filter=FQDN
    

    Substitua FQDN pelo nome de domínio totalmente qualificado do seu domínio do Microsoft AD gerenciado.

Se nenhuma das zonas listadas estiver em uso pela rede autorizada, remova e adicione novamente a rede autorizada.

Peering de rede

A autenticação pode falhar se o peering de rede VPC não estiver configurado corretamente.

Para verificar se o peering está configurado, execute as seguintes etapas:

Console

  1. Acesse a página Peering de rede VPC no console do Google Cloud.
    Acessar o peering de rede VPC

  2. Na página Peering de redes VPC, na coluna Nome, procure um peering chamado peering-VPC_NETWORK_NAME.

gcloud

  1. Execute o seguinte comando da CLI gcloud:

    gcloud compute networks peerings list --network=VPC_NETWORK_NAME
    
  2. Esse comando retorna uma lista de peerings. Na lista, procure um chamado peering-VPC_NETWORK_NAME.

Se peering-VPC_NETWORK_NAME não estiver na lista, remova e adicione novamente a rede autorizada.

A autenticação do Active Directory está falhando (via confiança)

Se parecer que a autenticação do Active Directory está falhando ao usar contas hospedadas locais gerenciadas via confiança, verifique as mesmas configurações que faria para solucionar problemas ao criar uma confiança.

Além disso, verifique se a conta está no Cloud Service Computer Remote Desktop Users grupo delegado. Saiba mais sobre grupos delegados

Não foi possível acessar o domínio de uma VM de gerenciabilidade

Se não for possível acessar o domínio do Microsoft AD gerenciado na VM usada para gerenciar o AD objetos, é necessário verifique as mesmas configurações que você faria para resolver problemas de ativos Autenticação de diretório para Microsoft AD gerenciado contas.

Erro Org policy ao criar, atualizar ou excluir

Se você encontrar um erro org policy ao criar, atualizar ou excluir recursos, poderá ser necessário alterar uma política da organização. Saiba mais sobre restrições da política da organização.

Pergunte ao administrador quem tem o papel de administrador da política da organização (roles/orgpolicy.policyAdmin) do IAM na organização para atualizar as políticas necessárias.

Política da organização Define allowed APIs and services

Com essa restrição de lista, são definidos o conjunto de serviços e APIs que podem ser ativados em um determinado recurso. Os descendentes na hierarquia de recursos também herdam a restrição. Se essa restrição não permitir as APIs necessárias para o Microsoft AD gerenciado, você receberá um erro ao tentar criar, atualizar ou excluir recursos.

Para visualizar e atualizar a política da organização Define allowed APIs and services:

Console

  1. Acesse a página Políticas da organização no console do Google Cloud.
    Acessar as políticas da organização
  2. Na página Políticas da organização, na coluna Nome, selecione a política Definir APIs e serviços permitidos para abrir o painel Resumo da política.
  3. No painel Resumo da política, verifique se as seguintes APIs não foram negadas:
    • dns.googleapis.com
    • compute.googleapis.com
  4. Se você precisar fazer uma alteração, selecione Editar, atualize a política e clique em Salvar.

gcloud

  1. Execute o comando da CLI gcloud a seguir. Saiba mais sobre o gcloud resource-manager org-policies describe kubectl.

    gcloud resource-manager org-policies describe constraints/serviceuser.services \
        --organization=ORGANIZATION_ID
    
  2. Se o comando describe mostrar que dns.googleapis.com ou compute.googleapis.com não é permitido, execute o seguinte comando para permiti-lo. Aprenda sobre o comando gcloud resource-manager org-policies allow.

    gcloud resource-manager org-policies allow constraints/serviceuser.services API_NAME \
        --organization=ORGANIZATION_ID
    

Política da organização Restrict VPC peering usage

Essa restrição de lista define o conjunto de redes VPC que podem ser emparelhadas com as redes VPC pertencentes a um determinado recurso. Se os peerings forem negados, você receberá um erro ao tentar criar, atualizar ou excluir recursos. Aprenda como visualizar e atualizar a política da organização Restrict VPC peering usage.

Não foi possível resolver os recursos locais do Google Cloud

Se você não conseguir resolver os recursos locais do Google Cloud, poderá ser necessário alterar a configuração do DNS. Aprenda como configurar o encaminhamento de DNS para resolver consultas de objetos do Microsoft AD não gerenciado em redes VPC.

Falhas de pesquisa DNS intermitentes

Se você estiver enfrentando falhas intermitentes de pesquisa DNS ao usar um esquema altamente disponível para Cloud Interconnect ou várias VPNs, verifique as seguintes configurações:

  • Existe uma rota para 35.199.192.0/19.
  • A rede local permite tráfego de 35.199.192.0/19 para todas as conexões do Cloud Interconnect ou de túneis VPN.

A senha da conta de administrador delegada expira

Se a senha da conta de administrador delegada tiver expirado, você poderá redefina o senha. Verifique se você tem as permissões necessárias para redefinir a senha da conta de administrador delegada. Se quiser, você também pode desativar a expiração da senha da conta.

Não é possível ver os registros de auditoria do Microsoft AD gerenciado

Se não for possível acessar os registros de auditoria do Microsoft AD gerenciado na Visualizador de registros ou Análise de registros, verifique as configurações a seguir.