Auf dieser Seite finden Sie Tipps und Ansätze zur Fehlerbehebung. Häufige Probleme mit Managed Service for Microsoft Active Directory.
Es kann keine Managed Microsoft AD-Domain erstellt werden
Wenn Sie keine Managed Microsoft AD-Domain erstellen können, sollten Sie die können folgende Konfigurationen helfen.
Erforderliche APIs
Für Managed Microsoft AD müssen Sie eine Gruppe von APIs aktivieren, bevor Sie eine Domain erstellen können.
Führen Sie die folgenden Schritte aus, um zu überprüfen, ob die erforderlichen APIs aktiviert sind:
Console
- Gehen Sie zur Seite APIs und Dienste in der
Google Cloud Console
Zu APIs und Dienste Überprüfen Sie auf der Seite Dashboard, ob die folgenden APIs aufgelistet sind:
- Managed Service for Microsoft Active Directory API
- Compute Engine API
- Cloud DNS API
gcloud
Führen Sie den folgenden gcloud CLI-Befehl aus:
gcloud services list --available
Der Befehl gibt die Liste der aktivierten APIs zurück. Stellen Sie sicher, dass die folgenden APIs aufgelistet sind:
- Managed Service for Microsoft Active Directory API
- Compute Engine API
- Cloud DNS API
Wenn eine dieser APIs fehlt, führen Sie die folgenden Schritte aus, um sie zu aktivieren:
Console
- Gehen Sie zur
Seite API-Bibliothek in der
Google Cloud Console
Zur API-Bibliothek - Geben Sie auf der Seite API-Bibliothek im Suchfeld den Namen der fehlenden API ein.
- Klicken Sie auf der API-Informationsseite auf Aktivieren.
gcloud
Führen Sie den folgenden gcloud CLI-Befehl aus:
gcloud services enable API_NAME
Ersetzen Sie API_NAME
durch den Namen der fehlenden API.
Wiederholen Sie diesen Vorgang, bis alle erforderlichen APIs aktiviert sind.
Abrechnung
Für Managed Microsoft AD müssen Sie die Abrechnung aktivieren, bevor Sie eine Domain erstellen können.
Führen Sie die folgenden Schritte aus, um zu überprüfen, ob die Abrechnung aktiviert ist:
Console
- Gehen Sie zur Seite Abrechnung in der
Google Cloud Console
Zur Abrechnung - Stellen Sie sicher, dass für Ihre Organisation ein Abrechnungskonto eingerichtet ist.
- Klicken Sie auf den Tab My projects (Meine Projekte) und prüfen Sie, ob das in dem Sie eine Managed Microsoft AD-Domain erstellen möchten, aufgeführt sind.
gcloud
Führen Sie den folgenden gcloud CLI-Befehl aus:
gcloud billing projects describe PROJECT_ID
Wenn Sie kein gültiges Abrechnungskonto sehen, das mit dem Projekt verknüpft ist, sollten Sie die Abrechnung aktivieren.
IP-Adressbereich
Wenn Sie den Fehler IP range overlap
erhalten, wenn Sie versuchen, ein
Domain verwendet wird, bedeutet dies, dass der reservierte IP-Adressbereich,
in der Anfrage zur Domainerstellung überschneidet sich mit dem IP-Adressbereich von
das autorisierte Netzwerk. Um dieses Problem zu beheben, sollten Sie einen anderen IP-Adressbereich oder ein anderes autorisiertes Netzwerk auswählen. Weitere Informationen finden Sie unter
Wählen Sie IP-Adressbereiche aus.
Berechtigungen
Wenn beim Versuch, eine Domain zu erstellen, eine Permission denied
-Fehlermeldung angezeigt wird, sollten Sie überprüfen, ob die aufrufende Identität die Managed Microsoft AD-API aufrufen darf. Weitere Informationen zu Managed Microsoft AD-Rollen und -Berechtigungen.
Unternehmensrichtlinien
Das Erstellen der Domain kann aufgrund der Konfiguration einer Organisationsrichtlinie fehlschlagen. Beispielsweise können Sie eine Organisationsrichtlinie so konfigurieren, dass der Zugriff nur auf bestimmte Dienste wie GKE oder Compute Engine. Weitere Informationen Info zur Organisationsrichtlinie Einschränkungen.
Fragen Sie Ihren Administrator, der den Organisationsrichtlinienadministrator hat.
(roles/orgpolicy.policyAdmin
)
IAM-Rolle für die Organisation zum Aktualisieren der erforderlichen Organisation
Richtlinien.
Resource Location Restriction
Unternehmensrichtlinien
Diese Listeneinschränkung definiert die Gruppe von Standorten, an denen standortbasierte Google Cloud-Ressourcen erstellt werden können. Das Verweigern des Speicherorts global
kann sich auf Managed Microsoft AD auswirken.
So zeigen Sie die Organisationsrichtlinie Resource Location Restriction
an und aktualisieren sie:
Console
- Rufen Sie in der Google Cloud Console die Seite Organisationsrichtlinien auf.
Zu den Organisationsrichtlinien - Wählen Sie auf der Seite Organisationsrichtlinien in der Spalte Name die Richtlinie Einschränkung des Ressourcenstandorts aus, um die Zusammenfassung der Richtlinien zu öffnen. Panel.
- Überprüfen Sie im Bereich Richtlinienzusammenfassung, ob der Speicherort
global
zulässig ist. - Wenn Sie eine Änderung vornehmen müssen, wählen Sie Bearbeiten, aktualisieren Sie die Richtlinie und klicken Sie dann auf Speichern.
Erfahren Sie mehr über Einschränken der Ressourcenpositionen.
gcloud
So rufen Sie die Details zur Organisation „
Resource Location Restriction
“ auf: führen Sie den folgenden gcloud CLI-Befehl aus. Erfahren Sie mehr über den Befehlgcloud resource-manager org-policies describe
.gcloud resource-manager org-policies describe constraints/gcp.resourceLocations \ --organization=ORGANIZATION_ID
Wenn der Befehl
describe
anzeigt, dassglobal
nicht zulässig ist, führen Sie den folgenden Befehl aus, um dies zuzulassen. Erfahren Sie mehr über den Befehlgcloud resource-manager org-policies allow
.gcloud resource-manager org-policies allow constraints/gcp.resourceLocations global \ --organization=ORGANIZATION_ID
Erfahren Sie mehr über Einschränken der Ressourcenpositionen.
Restrict VPC peering usage
Unternehmensrichtlinien
Diese Listeneinschränkung definiert den Satz von VPC-Netzwerken, die mit den zu einer bestimmten Ressource gehörenden VPC-Netzwerken verglichen werden dürfen. Wenn Sie ein autorisiertes Netzwerk für eine Managed Microsoft AD-Domain angeben, wird ein VPC-Peering zwischen dem autorisierten Netzwerk und dem isolierten Netzwerk mit den AD-Domänencontrollern erstellt. Wenn die Organisationsrichtlinie für das Projekt Peerings verweigert, kann Managed Microsoft AD keine Peerings für das autorisierte Netzwerk erstellen, sodass die Domänenerstellung fehlschlägt. Sie erhalten folgende Fehlermeldung:
GCE_PRECONDITION_FAILED: Constraint constraints /compute.restrictVpcPeering violated for project PROJECT_ID. Peering the network projects/PROJECT_ID/global/networks/VPC_NETWORK_NAME is not allowed.
So zeigen Sie die Organisationsrichtlinie Restrict VPC peering usage
an und aktualisieren sie:
Console
- Rufen Sie in der Google Cloud Console die Seite Organisationsrichtlinien auf.
Zu den Organisationsrichtlinien - Auf der Organisationsrichtlinien Seite, in der Name Spalte, wählen Sie die Beschränken Sie die Verwendung von VPC-Peering Politik zum Öffnen der Zusammenfassung der Richtlinien Panel.
- Überprüfen Sie im Bereich Richtlinienzusammenfassung, ob das Projekt Peerings zulässt.
- Wenn Sie eine Änderung vornehmen müssen, wählen Sie Bearbeiten, aktualisieren Sie die Richtlinie und klicken Sie dann auf Speichern.
gcloud
So rufen Sie die Details zur Organisation „
Restrict VPC peering usage
“ auf: führen Sie den folgenden gcloud CLI-Befehl aus. Weitere Informationengcloud resource-manager org-policies describe
-Befehl.gcloud resource-manager org-policies describe constraints/compute.restrictVpcPeering \ --organization=ORGANIZATION_ID
Wenn der Befehl
describe
anzeigt, dass Peerings nicht zulässig sind, führen Sie den folgenden Befehl aus, um dies zuzulassen. Erfahren Sie mehr über den Befehlgcloud resource-manager org-policies allow
.gcloud resource-manager org-policies allow constraints/compute.restrictVpcPeering under:projects/PROJECT_ID \ --organization=ORGANIZATION_ID
Ersetzen Sie Folgendes:
PROJECT_ID
: der Name des Projekts, das die Managed Microsoft AD-Ressource enthält.ORGANIZATION_ID
: die ID der Organisation, die dieses Projekt hostet.
Windows-VM kann nicht automatisch einer Domain beitreten
Hier sind einige Fehlercodes aufgeführt, die auftreten können, wenn Sie einer Windows-VM beitreten oder GKE-Windows-Server automatisch zu einem Domain:
Fehlercode | Beschreibung | Mögliche Lösung |
---|---|---|
CONFLICT (409) |
Gibt an, dass das VM-Instanzkonto bereits in der Managed Microsoft AD-Domain vorhanden ist. | Entfernen Sie das Konto mithilfe von RSAT-Tools manuell aus Managed Microsoft AD und versuchen Sie es noch einmal. Weitere Informationen zum Verwalten von AD-Objekten in Managed Microsoft AD finden Sie unter Active Directory-Objekte verwalten. |
BAD_REQUEST (412) |
Gibt an, dass die Anfrage zur Domainbeitritt ungültige Informationen enthält, z. B. einen falschen Domainnamen oder eine falsche Hierarchiestruktur der Organisationseinheit (OE). | Überprüfen Sie die Informationen und aktualisieren Sie sie gegebenenfalls. Versuchen Sie es dann noch einmal. |
INTERNAL (500) |
Gibt an, dass auf dem Server ein unbekannter interner Fehler aufgetreten ist. | Wenden Sie sich an den Google Cloud-Support, um dieses Problem zu beheben. |
FORBIDDEN (403) |
Gibt an, dass das angegebene Dienstkonto nicht die erforderlichen Berechtigungen hat. | Prüfen Sie, ob Sie die erforderlichen Berechtigungen für das Dienstkonto haben, und versuchen Sie es noch einmal. |
UNAUTHORIZED (401) |
Gibt an, dass die VM keine gültige Autorisierung für den Beitritt zur Domain hat. | Prüfen Sie, ob Sie den erforderlichen Zugriffsbereich auf der VM haben, und versuchen Sie es noch einmal. |
VM kann einer Domain nicht manuell hinzugefügt werden
Wenn es Ihnen nicht möglich ist, einen Computer manuell aus einer lokalen Umgebung zu verbinden, Ihrer Managed Microsoft AD-Domain müssen Sie die folgenden Anforderungen prüfen:
Der Computer, dem Sie beitreten möchten, ist auf Verwaltetes Microsoft AD. Führen Sie eine DNS-Suche durch, um diese Verbindung zu überprüfen von der lokalen Umgebung in die Managed Microsoft AD-Domain übertragen mithilfe der
nslookup
.Das lokale Netzwerk, in dem sich die Maschine befindet, muss über Peering verbunden sein VPC-Netzwerk Ihrer Managed Microsoft AD-Domain. Für Informationen zur Fehlerbehebung bei einer VPC-Netzwerk-Peering-Verbindung finden Sie unter Fehlerbehebung
Freigegebene VPC kann nicht als autorisiertes Netzwerk verwendet werden
Für den Zugriff auf eine Managed Microsoft AD-Domain über ein freigegebene VPC-Netzwerk Die Domain muss in demselben Projekt erstellt werden, in dem die freigegebene VPC gehostet wird. Netzwerk.
Zugriff auf Managed Microsoft AD-Domain nicht möglich
Wenn Ihre Managed Microsoft AD-Domain nicht verfügbar zu sein scheint, können Sie weitere Informationen zum Status abrufen, indem Sie die folgenden Schritte ausführen:
Console
Gehen Sie zur
Managed Service for Microsoft Active Directory
in der Google Cloud Console.
Zum Managed Service for Microsoft Active Directory
Auf der Seite Managed Service für Microsoft Active Directory in der Spalte Status können Sie die Status Ihrer Domains anzeigen.
gcloud
Führen Sie den folgenden gcloud CLI-Befehl aus:
gcloud active-directory domains list
Dieser Befehl gibt den Status für Ihre Domains zurück.
Wenn Ihr Domain-Status DOWN
ist, bedeutet dies, dass Ihr Konto möglicherweise gesperrt wurde. Wenden Sie sich an den Google Cloud-Support, um dieses Problem zu beheben.
Wenn Ihr Domainstatus PERFORMING_MAINTENANCE
ist,
Managed Microsoft AD sollte weiterhin verfügbar sein, lässt aber möglicherweise keine zu
Operationen wie Erweitern des Schemas, Hinzufügen oder Entfernen von Regionen. Dieser Status ist
sehr selten und tritt nur auf,
wenn das Betriebssystem gepatcht wird.
Vertrauensstellung kann nicht geschaffen werden
Wenn Sie die Schritte für Erstellen einer Vertrauensstellung, kann aber nicht Überprüfen Sie die folgenden Konfigurationen, um Abhilfe zu schaffen.
Die lokale Domain ist erreichbar
Um zu überprüfen, ob die lokale Domain über die Managed Microsoft AD-Domain erreichbar ist, können Sie ping
oder Test-NetConnection
verwenden. Führen Sie diese Befehle von einer VM aus, die in Google Cloud und in einem autorisierten Netzwerk gehostet wird. Stellen Sie sicher, dass die VM einen lokalen Domänencontroller erreichen kann. Weitere Informationen über Test-NetConnection
IP-Adresse
Führen Sie den folgenden Befehl aus, um zu überprüfen, ob die IP-Adresse, die während des Vertrauens-Setups angegeben wurde, die lokale Domain auflösen kann:
nslookup ON_PREMISES_DOMAIN_NAME CONDITIONAL_FORWARDER_ADDRESS
Ersetzen Sie Folgendes:
ON_PREMISES_DOMAIN_NAME
ist der Name Ihrer lokalen Domain.CONDITIONAL_FORWARDER_ADDRESS
ist die IP-Adresse Ihres bedingten DNS-Forwarders.
Wenn mehrere bedingte Weiterleitungsadressen vorhanden sind, können Sie diese testen.
Lokale Vertrauensbeziehung
Um zu überprüfen, ob die lokale Vertrauensbeziehung hergestellt wurde, sollten Sie überprüfen, ob die folgenden Informationen übereinstimmen.
- Der Vertrauenstyp und die Richtung in der Managed Microsoft AD-Domain ergänzt die in der lokalen Domain erstellte Vertrauensstellung.
- Das beim Erstellen der Vertrauensstellung für die Verwaltete Microsoft AD-Domain stimmt mit der lokalen Domain überein .
Die lokale Vertrauensrichtung ergänzt die dort konfigurierte Vertrauensrichtung. Verwaltetes Microsoft AD. Wenn die lokale Domain also einen eingehenden ist die Vertrauensrichtung für die Managed Microsoft AD-Domain "ausgehend". Weitere Informationen zu Vertrauen
Vertrauensstellung funktioniert nicht mehr
Wenn Sie zuvor eine Vertrauensstellung erstellt haben, diese jedoch nicht mehr funktioniert, sollten Sie dieselben Konfigurationen überprüfen wie bei der Fehlerbehebung beim Erstellen einer Vertrauensstellung.
Wenn eine Vertrauensstellung 60 Tage oder länger nicht verwendet wird, läuft das Vertrauensstellungskennwort ab. Um das Kennwort zu aktualisieren, ändern Sie das Kennwort für die Vertrauensstellung in der lokalen Domain und aktualisieren Sie dann das Kennwort in der Managed Microsoft AD-Domain.
Die Active Directory-Authentifizierung schlägt fehl (von Microsoft AD gehostete Konten verwaltet).
Wenn die Active Directory-Authentifizierung bei der Verwendung von Verwaltete Microsoft AD-gehostete Konten, Überprüfung der folgenden Konfigurationen kann Ihnen helfen.
VM befindet sich in einem autorisierten Netzwerk
Führen Sie die folgenden Schritte aus, um zu überprüfen, ob sich die für den Zugriff auf die Domain verwendete VM in einem autorisierten Netzwerk befindet.
Gehen Sie zur Managed Service for Microsoft Active Directory in der Google Cloud Console.
Zum Managed Service for Microsoft Active DirectoryWählen Sie den Namen Ihrer Domain aus.
Überprüfen Sie auf der Seite Domain unter Netzwerke, ob das autorisierte Netzwerk aufgeführt ist.
Benutzername und Passwort sind korrekt
Stellen Sie sicher, dass der Nutzername und das Kennwort für die Anmeldung korrekt sind.
Firewallregeln
Eine deny
-Firewallregel für ausgehenden Traffic zur Domain
Controller IP-Adressbereich kann dazu führen, dass die Authentifizierung fehlschlägt.
Führen Sie die folgenden Schritte aus, um Ihre Firewall-Regeln zu überprüfen:
Console
Rufen Sie die Firewallregeln auf. in der Google Cloud Console.
Zu den FirewallregelnÜberprüfen Sie auf dieser Seite, ob für den IP-Adressbereich der Domänencontroller kein
deny
für den Ausgang konfiguriert ist.
gcloud
Führen Sie den folgenden gcloud CLI-Befehl aus:
gcloud compute firewall-rules list
Dieser Befehl gibt eine Liste der konfigurierten Firewall-Regeln zurück. Stellen Sie sicher, dass für den IP-Adressbereich der Domänencontroller kein
deny
für den Ausgang konfiguriert ist.
Weitere Informationen zu Firewallregeln
IP-Adresse
Die Authentifizierung kann fehlschlagen, wenn die IP-Adresse nicht im reservierten CIDR-Bereich liegt.
Führen Sie den folgenden Befehl aus, um die IP-Adresse zu überprüfen.
nslookup DOMAIN_NAME
Wenn nslookup
fehlschlägt oder eine IP-Adresse zurückgibt, die nicht im CIDR-Bereich liegt, sollten Sie überprüfen, ob die DNS-Zone vorhanden ist.
Führen Sie die folgenden Schritte aus, um zu überprüfen, ob die DNS-Zone vorhanden ist:
Console
Rufen Sie die Seite Cloud DNS auf in in der Google Cloud Console.
Zu Cloud DNSAktivieren Sie auf der Seite Cloud DNS auf dem Tab Zones die Spalte In Verwendung von für das autorisierte Netzwerk.
gcloud
Führen Sie den folgenden gcloud CLI-Befehl aus:
gcloud dns managed-zones list --filter=FQDN
Ersetzen Sie
FQDN
durch den voll qualifizierten Domainnamen Ihrer Managed Microsoft AD-Domain.
Wenn keine der aufgelisteten Zonen vom autorisierten Netzwerk verwendet wird, sollten Sie das autorisierte Netzwerk entfernen und noch einmal hinzufügen.
Netzwerk-Peering
Die Authentifizierung kann fehlschlagen, wenn das VPC-Netzwerk-Peering nicht ordnungsgemäß konfiguriert ist.
Führen Sie die folgenden Schritte aus, um zu überprüfen, ob Peering eingerichtet ist:
Console
Gehen Sie zur Seite VPC-Netzwerk-Peering in der Google Cloud Console
Zum VPC-Netzwerk-PeeringSuchen Sie auf der Seite VPC-Netzwerk-Peering in der Spalte Name nach einem Peering mit dem Namen
peering-VPC_NETWORK_NAME
.
gcloud
Führen Sie den folgenden gcloud CLI-Befehl aus:
gcloud compute networks peerings list --network=VPC_NETWORK_NAME
Dieser Befehl gibt eine Liste von Peerings zurück. Suchen Sie in der Liste nach einem mit dem Namen
peering-VPC_NETWORK_NAME
.
Wenn peering-VPC_NETWORK_NAME
nicht in der Liste enthalten ist, sollten Sie das autorisierte Netzwerk entfernen und noch einmal hinzufügen.
Die Active Directory-Authentifizierung schlägt fehl (über Vertrauensstellung).
Wenn sich herausstellt, dass die Active Directory-Authentifizierung fehlschlägt, wenn verwaltete lokal gehostete Konten über eine Vertrauensstellung verwendet werden, sollten Sie dieselben Konfigurationen überprüfen wie bei der Fehlerbehebung beim Erstellen einer Vertrauensstellung.
Prüfen Sie außerdem, ob sich das Konto im
Cloud Service Computer Remote Desktop Users
delegierte Gruppe. Weitere Informationen über
delegierte Gruppen
Zugriff von einer verwaltbaren VM auf die Domain nicht möglich
Wenn Sie von der VM aus nicht auf die Managed Microsoft AD-Domain zugreifen können zum Verwalten von AD Objekte enthält, sollten Sie Überprüfen Sie dieselben Konfigurationen wie für die Fehlerbehebung Verzeichnisauthentifizierung für von Managed Microsoft AD gehostete Konten.
Org policy
Fehler beim Erstellen, Aktualisieren oder Löschen
Wenn beim Erstellen, Aktualisieren oder Löschen von Ressourcen ein org policy
-Fehler auftritt, müssen Sie möglicherweise eine Organisationsrichtlinie ändern. Informationen zu Einschränkungen für Organisationsrichtlinien
Fragen Sie Ihren Administrator, der den Organisationsrichtlinienadministrator hat.
(roles/orgpolicy.policyAdmin
)
IAM-Rolle für die Organisation zum Aktualisieren der erforderlichen Organisation
Richtlinien.
Define allowed APIs and services
Unternehmensrichtlinien
Diese Listeneinschränkung definiert die Dienste und APIs, die für eine bestimmte Ressource aktiviert werden können. Die Nachfolger in der Ressourcenhierarchie übernehmen ebenfalls die Einschränkung. Wenn diese Einschränkung die für Managed Microsoft AD erforderlichen APIs nicht zulässt, wird beim Erstellen, Aktualisieren oder Löschen von Ressourcen eine Fehlermeldung angezeigt.
So zeigen Sie die Organisationsrichtlinie Define allowed APIs and services
an und aktualisieren sie:
Console
- Rufen Sie in der Google Cloud Console die Seite Organisationsrichtlinien auf.
Zu den Organisationsrichtlinien - Auf der Organisationsrichtlinien Seite, in der Name Spalte, wählen Sie die Definieren Sie zulässige APIs und Dienste Politik zum Öffnen der Zusammenfassung der Richtlinien Panel.
- Stellen Sie im Bereich Richtlinienzusammenfassung sicher, dass die folgenden APIs nicht verweigert werden:
dns.googleapis.com
compute.googleapis.com
- Wenn Sie eine Änderung vornehmen müssen, wählen Sie Bearbeiten, aktualisieren Sie die Richtlinie und klicken Sie dann auf Speichern.
gcloud
Führen Sie den folgenden gcloud CLI-Befehl aus. Weitere Informationen
gcloud resource-manager org-policies describe
.gcloud resource-manager org-policies describe constraints/serviceuser.services \ --organization=ORGANIZATION_ID
Wenn der Befehl
describe
anzeigt, dassdns.googleapis.com
odercompute.googleapis.com
nicht zulässig ist, führen Sie den folgenden Befehl aus, um dies zuzulassen. Erfahren Sie mehr über den Befehlgcloud resource-manager org-policies allow
.gcloud resource-manager org-policies allow constraints/serviceuser.services API_NAME \ --organization=ORGANIZATION_ID
Restrict VPC peering usage
Unternehmensrichtlinien
Diese Listeneinschränkung definiert den Satz von VPC-Netzwerken, die mit den zu einer bestimmten Ressource gehörenden VPC-Netzwerken verglichen werden dürfen. Wenn Peerings verweigert werden, wird eine Fehlermeldung angezeigt, wenn Sie versuchen, Ressourcen zu erstellen, zu aktualisieren oder zu löschen. Erfahren Sie , wie Sie die Organisationsrichtlinie Restrict VPC peering usage
anzeigen und aktualisieren.
Lokale Ressourcen aus Google Cloud können nicht aufgelöst werden
Wenn Sie lokale Ressourcen nicht aus Google Cloud auflösen können, müssen Sie möglicherweise Ihre DNS-Konfiguration ändern. Weitere Informationen Konfiguration DNS-Weiterleitung zum Auflösen von Abfragen für nicht verwaltete Microsoft AD-Objekte in VPC-Netzwerken.
Intermittierende DNS-Suchfehler
Wenn bei Verwendung eines hochverfügbaren Schemas für Cloud Interconnect oder mehrerer VPNs zeitweise DNS-Suchfehler auftreten, sollten Sie die folgenden Konfigurationen überprüfen:
- Eine Route für 35.199.192.0/19 existiert.
- Das lokale Netzwerk ermöglicht Datenverkehr ab dem 35.199.192.0/19 für alle Cloud Interconnect-Verbindungen oder VPN-Tunnel.
Das Passwort des delegierten Administratorkontos läuft ab
Wenn das Passwort für das delegierte Administratorkonto abgelaufen ist, können Sie setzen Sie Passwort. Achten Sie darauf, dass Sie die erforderlichen Berechtigungen zum Zurücksetzen des Passworts für die delegiertes Administratorkonto an. Wenn Sie möchten, können Sie das Passwort auch deaktivieren. Ablaufzeit für das Konto.
Managed Microsoft AD-Audit-Logs können nicht angezeigt werden
Wenn Sie keine Managed Microsoft AD-Audit-Logs im Loganzeige oder Log-Explorer sollten Sie die folgenden Konfigurationen überprüfen.
- Logging ist für die Domain aktiviert.
- Sie haben die IAM-Rolle
roles/logging.viewer
für das Projekt, in dem sich die Domain befindet.