Halaman ini memberikan tips dan pendekatan untuk memecahkan masalah dan menyelesaikan masalah umum pada Layanan Terkelola untuk Microsoft Active Directory.
Tidak dapat membuat domain Microsoft AD Terkelola
Jika Anda tidak dapat membuat Managed Microsoft AD domain, memverifikasi konfigurasi berikut dapat membantu.
API yang diperlukan
Microsoft AD Terkelola mengharuskan Anda mengaktifkan grup API sebelum dapat membuat domain.
Untuk memverifikasi bahwa API yang diperlukan telah diaktifkan, selesaikan langkah-langkah berikut:
Konsol
- Buka halaman APIs & Services di Konsol Google Cloud.
Buka API & Layanan Di halaman Dashboard, pastikan API berikut tercantum:
- Layanan Terkelola untuk Microsoft Active Directory API
- Compute Engine API
- Cloud DNS API
gcloud
Jalankan perintah gcloud CLI berikut:
gcloud services list --available
Perintah ini menampilkan daftar API yang diaktifkan. Pastikan API berikut tercantum:
- Layanan Terkelola untuk Microsoft Active Directory API
- Compute Engine API
- Cloud DNS API
Jika salah satu API ini tidak ada, selesaikan langkah-langkah berikut untuk mengaktifkannya:
Konsol
- Buka halaman
Library API di
konsol Google Cloud.
Buka Library API - Di halaman Library API, di kolom penelusuran, masukkan nama API yang hilang.
- Di halaman informasi API, klik Enable.
gcloud
Jalankan perintah gcloud CLI berikut:
gcloud services enable API_NAME
Ganti API_NAME dengan nama API yang tidak ada.
Ulangi proses ini hingga semua API yang diperlukan diaktifkan.
Penagihan
Managed Microsoft AD mengharuskan Anda mengaktifkan penagihan sebelum dapat membuat domain.
Untuk memverifikasi bahwa penagihan diaktifkan, selesaikan langkah-langkah berikut:
Konsol
- Buka halaman Billing di
Konsol Google Cloud.
Buka Penagihan - Pastikan ada akun penagihan yang disiapkan untuk organisasi Anda.
- Klik tab Project saya, lalu pastikan project tempat Anda mencoba membuat domain Microsoft AD Terkelola tercantum.
gcloud
Jalankan perintah gcloud CLI berikut:
gcloud billing projects describe PROJECT_ID
Jika tidak melihat akun penagihan yang valid yang ditautkan ke project, Anda harus mengaktifkan penagihan.
Rentang alamat IP
Jika Anda menerima error IP range overlap saat mencoba membuat domain, artinya rentang alamat IP yang dicadangkan yang Anda berikan dalam permintaan pembuatan domain tumpang-tindih dengan rentang alamat IP jaringan yang diotorisasi. Untuk mengatasi masalah ini, Anda harus memilih rentang alamat IP
yang berbeda atau jaringan resmi yang berbeda. Untuk mengetahui informasi selengkapnya, lihat
Memilih rentang alamat IP.
Izin
Jika Anda menerima error Permission denied saat mencoba membuat domain, Anda harus memverifikasi bahwa identitas panggilan diizinkan untuk memanggil Managed Microsoft AD API. Pelajari lebih lanjut
peran dan izin Microsoft AD Terkelola.
Kebijakan organisasi
Pembuatan domain dapat gagal karena konfigurasi kebijakan organisasi. Misalnya, Anda dapat mengonfigurasi kebijakan organisasi untuk mengizinkan akses hanya ke layanan tertentu, seperti GKE atau Compute Engine. Pelajari lebih lanjut Batasan kebijakan organisasi.
Minta administrator Anda yang memiliki peran IAM administrator kebijakan organisasi
(roles/orgpolicy.policyAdmin)
di organisasi untuk memperbarui kebijakan organisasi
yang diperlukan.
Kebijakan organisasi Resource Location Restriction
Batasan daftar ini menentukan kumpulan lokasi tempat resource Google Cloud
berbasis lokasi dapat dibuat. Menolak lokasi global dapat memengaruhi
Microsoft AD Terkelola.
Untuk melihat dan memperbarui kebijakan organisasi Resource Location Restriction:
Konsol
- Buka halaman Organization policies di konsol Google Cloud.
Buka Kebijakan organisasi - Di halaman Organization policies, di kolom Name, pilih kebijakan Resource Location Restriction untuk membuka panel Policy summary.
- Di panel Ringkasan kebijakan, pastikan lokasi
globaldiizinkan. - Jika Anda perlu melakukan perubahan, pilih Edit, perbarui kebijakan, lalu klik Simpan.
Pelajari cara membatasi lokasi resource.
gcloud
Untuk melihat detail kebijakan organisasi
Resource Location Restriction, jalankan perintah gcloud CLI berikut. Pelajari perintahgcloud resource-manager org-policies describe.gcloud resource-manager org-policies describe constraints/gcp.resourceLocations \ --organization=ORGANIZATION_IDJika perintah
describemenunjukkan bahwaglobaltidak diizinkan, jalankan perintah berikut untuk mengizinkannya. Pelajari perintahgcloud resource-manager org-policies allow.gcloud resource-manager org-policies allow constraints/gcp.resourceLocations global \ --organization=ORGANIZATION_ID
Pelajari cara membatasi lokasi resource.
Kebijakan organisasi Restrict VPC peering usage
Batasan daftar ini menentukan kumpulan jaringan VPC yang diizinkan melakukan peering dengan jaringan VPC yang termasuk dalam resource tertentu. Saat Anda menentukan jaringan yang diotorisasi untuk domain Microsoft AD Terkelola, peering VPC akan dibuat antara jaringan yang diotorisasi dan jaringan terisolasi yang berisi pengontrol domain AD. Jika kebijakan organisasi untuk project menolak peering, Microsoft AD Terkelola tidak dapat membuat peering ke jaringan yang diizinkan sehingga pembuatan domain gagal. Anda akan menerima error seperti ini:
GCE_PRECONDITION_FAILED: Constraint constraints /compute.restrictVpcPeering violated for project PROJECT_ID. Peering the network projects/PROJECT_ID/global/networks/VPC_NETWORK_NAME is not allowed.
Untuk melihat dan memperbarui kebijakan organisasi Restrict VPC peering usage:
Konsol
- Buka halaman Organization policies di konsol Google Cloud.
Buka Kebijakan organisasi - Di halaman Organization policies, di kolom Name, pilih kebijakan Restrict VPC peering usage untuk membuka panel Policy summary.
- Di panel Ringkasan kebijakan, pastikan project mengizinkan peering.
- Jika Anda perlu melakukan perubahan, pilih Edit, perbarui kebijakan, lalu klik Simpan.
gcloud
Untuk melihat detail kebijakan organisasi
Restrict VPC peering usage, jalankan perintah gcloud CLI berikut. Pelajari perintahgcloud resource-manager org-policies describe.gcloud resource-manager org-policies describe constraints/compute.restrictVpcPeering \ --organization=ORGANIZATION_IDJika perintah
describemenunjukkan bahwa peering tidak diizinkan, jalankan perintah berikut untuk mengizinkannya. Pelajari perintahgcloud resource-manager org-policies allow.gcloud resource-manager org-policies allow constraints/compute.restrictVpcPeering under:projects/PROJECT_ID \ --organization=ORGANIZATION_IDGanti kode berikut:
PROJECT_ID: nama project yang berisi resource Managed Microsoft AD.ORGANIZATION_ID: ID organisasi yang menghosting project tersebut.
Tidak dapat bergabung ke VM Windows secara otomatis ke domain
Berikut adalah beberapa masalah terkait kode error yang mungkin Anda alami saat mencoba bergabung dengan VM Windows atau node Windows Server GKE secara otomatis ke domain:
| Kode error | Deskripsi | Solusi potensial |
|---|---|---|
CONFLICT (409) |
Menunjukkan bahwa akun instance VM sudah ada di Managed Microsoft AD domain. | Hapus akun secara manual dari Managed Microsoft AD menggunakan alat RSAT, lalu coba lagi. Untuk informasi selengkapnya tentang cara mengelola objek AD di Managed Microsoft AD, lihat Mengelola objek Active Directory. |
BAD_REQUEST (412) |
Menunjukkan bahwa permintaan bergabung domain berisi informasi yang tidak valid seperti nama domain yang salah dan struktur hierarki unit organisasi (OU) yang salah. | Tinjau informasinya, perbarui detail jika diperlukan, lalu coba lagi. |
INTERNAL (500) |
Menunjukkan bahwa server mengalami error internal yang tidak diketahui. | Hubungi Dukungan Google Cloud untuk menyelesaikan masalah ini. |
FORBIDDEN (403) |
Menunjukkan bahwa akun layanan yang ditentukan tidak memiliki hak istimewa yang diperlukan. | Periksa apakah Anda memiliki hak istimewa yang diperlukan di akun layanan, lalu coba lagi. |
UNAUTHORIZED (401) |
Menunjukkan bahwa VM tidak memiliki otorisasi yang valid untuk bergabung dengan domain. | Periksa apakah Anda memiliki cakupan akses yang diperlukan di VM, lalu coba lagi. |
Tidak dapat bergabung dengan VM secara manual ke domain
Jika Anda tidak dapat bergabung ke komputer secara manual dari lingkungan lokal ke domain Microsoft AD Terkelola, verifikasi persyaratan berikut:
Komputer yang Anda coba gabung dapat ditemukan dari Microsoft AD Terkelola. Untuk memverifikasi konektivitas ini, lakukan pencarian DNS dari lingkungan lokal ke domain Microsoft AD Terkelola menggunakan perintah
nslookup.Jaringan lokal tempat komputer berada harus dihubungkan dengan jaringan VPC domain Microsoft AD Terkelola Anda. Untuk mengetahui informasi tentang cara memecahkan masalah koneksi Peering Jaringan VPC, lihat Memecahkan masalah.
Tidak dapat menggunakan VPC Bersama sebagai jaringan yang diotorisasi
Untuk mengakses Managed Microsoft AD domain dari jaringan VPC Bersama, domain harus dibuat di project yang sama dengan yang menghosting jaringan VPC Bersama.
Tidak dapat mengakses domain Microsoft AD Terkelola
Jika domain Managed Microsoft AD Anda tampaknya tidak tersedia, Anda bisa mendapatkan informasi selengkapnya tentang statusnya dengan menyelesaikan langkah-langkah berikut:
Konsol
Buka halaman
Managed Service for Microsoft Active Directory
di konsol Google Cloud.
Buka Layanan Terkelola untuk Microsoft Active Directory
Di halaman Layanan Terkelola untuk Microsoft Active Directory, di kolom Status, Anda dapat melihat status untuk domain Anda.
gcloud
Jalankan perintah gcloud CLI berikut:
gcloud active-directory domains list
Perintah ini menampilkan status untuk domain Anda.
Jika status domain Anda adalah DOWN, ini menunjukkan bahwa akun Anda mungkin telah ditangguhkan. Hubungi Dukungan Google Cloud untuk menyelesaikan masalah ini.
Jika status domain Anda adalah PERFORMING_MAINTENANCE,
Microsoft AD Terkelola akan tetap tersedia untuk digunakan, tetapi mungkin tidak mengizinkan
operasi seperti memperluas skema, menambahkan, atau menghapus wilayah. Status ini jarang terjadi dan hanya terjadi saat OS di-patch.
Tidak dapat membuat kepercayaan
Jika Anda mengikuti langkah-langkah untuk membuat kepercayaan, tetapi tidak dapat menyelesaikan prosesnya, memverifikasi konfigurasi berikut dapat membantu.
Domain lokal dapat dijangkau
Untuk memverifikasi bahwa domain lokal dapat dijangkau dari
domain Microsoft AD Terkelola, Anda dapat menggunakan ping atau
Test-NetConnection. Jalankan perintah ini dari VM yang dihosting di Google Cloud dan di jaringan yang diotorisasi. Pastikan VM dapat menjangkau pengontrol domain lokal. Pelajari
Test-NetConnection lebih lanjut.
Alamat IP
Untuk memverifikasi bahwa alamat IP yang diberikan selama penyiapan kepercayaan dapat me-resolve domain lokal, jalankan perintah berikut:
nslookup ON_PREMISES_DOMAIN_NAME CONDITIONAL_FORWARDER_ADDRESS
Ganti kode berikut:
ON_PREMISES_DOMAIN_NAME: nama domain lokal Anda.CONDITIONAL_FORWARDER_ADDRESS: alamat IP forwarder kondisional DNS Anda.
Jika ada beberapa alamat penerusan kondisional, Anda dapat mengujinya di salah satu alamat tersebut.
Pelajari
nslookup lebih lanjut.
Hubungan kepercayaan lokal
Untuk memverifikasi bahwa hubungan kepercayaan di lokal telah dibuat, Anda harus memeriksa apakah informasi berikut cocok.
- Jenis dan arah kepercayaan di domain Microsoft AD Terkelola melengkapi kepercayaan yang dibuat di domain lokal.
- Rahasia kepercayaan yang diberikan saat membuat kepercayaan di domain Microsoft AD Terkelola cocok dengan yang dimasukkan di domain lokal.
Arah kepercayaan lokal melengkapi arah kepercayaan yang dikonfigurasi di Microsoft AD Terkelola. Artinya, jika domain lokal mengharapkan kepercayaan masuk, arah kepercayaan untuk domain Managed Microsoft AD adalah keluar. Pelajari lebih lanjut arah kepercayaan.
Kepercayaan tidak lagi berfungsi
Jika sebelumnya Anda membuat kepercayaan, tetapi kepercayaan tersebut tidak lagi berfungsi, Anda harus memverifikasi konfigurasi yang sama seperti yang Anda lakukan untuk memecahkan masalah pembuatan kepercayaan.
Selain itu, jika kepercayaan tidak digunakan selama 60 hari atau lebih, masa berlaku sandi kepercayaan akan berakhir. Untuk memuat ulang sandi, ubah sandi untuk kepercayaan di domain lokal, lalu perbarui sandi di domain Microsoft AD Terkelola.
Autentikasi Active Directory gagal (Akun yang dihosting Microsoft AD Terkelola)
Jika tampaknya autentikasi Active Directory gagal saat menggunakan akun yang dihosting Microsoft AD Terkelola, memverifikasi konfigurasi berikut dapat membantu.
VM berada di jaringan yang diizinkan
Untuk memverifikasi bahwa VM yang digunakan untuk mengakses domain berada di jaringan yang diotorisasi, selesaikan langkah-langkah berikut.
Buka halaman Managed Service for Microsoft Active Directory di konsol Google Cloud.
Buka Layanan Terkelola untuk Microsoft Active DirectoryPilih nama domain Anda.
Di halaman Domain, pada bagian Networks, pastikan jaringan yang diizinkan tercantum.
Nama pengguna dan sandi sudah benar
Pastikan nama pengguna dan sandi yang diberikan untuk login sudah benar.
Aturan firewall
Aturan firewall deny untuk keluar ke rentang alamat IP pengontrol domain dapat menyebabkan otentikasi gagal.
Untuk memeriksa aturan firewall, selesaikan langkah-langkah berikut:
Konsol
Buka halaman Firewall rules di konsol Google Cloud.
Buka Aturan firewallDi halaman ini, pastikan tidak ada
denyuntuk egress yang dikonfigurasi untuk rentang alamat IP pengontrol domain.
gcloud
Jalankan perintah gcloud CLI berikut:
gcloud compute firewall-rules list
Perintah ini menampilkan daftar aturan firewall yang dikonfigurasi. Pastikan tidak ada
denyuntuk keluar yang dikonfigurasi untuk rentang alamat IP pengontrol domain.
Pelajari aturan firewall lebih lanjut.
Alamat IP
Autentikasi dapat gagal jika alamat IP tidak berada dalam rentang CIDR yang dicadangkan.
Untuk memeriksa alamat IP, jalankan perintah berikut.
nslookup DOMAIN_NAME
Jika nslookup gagal atau menampilkan alamat IP yang tidak berada dalam rentang CIDR, Anda harus memverifikasi bahwa zona DNS ada.
Untuk memvalidasi bahwa zona DNS ada, selesaikan langkah-langkah berikut:
Konsol
Buka halaman Cloud DNS di konsol Google Cloud.
Buka Cloud DNSDi halaman Cloud DNS, pada tab Zones, periksa kolom In use by untuk jaringan yang diotorisasi.
gcloud
Jalankan perintah gcloud CLI berikut:
gcloud dns managed-zones list --filter=FQDN
Ganti
FQDNdengan nama domain yang sepenuhnya memenuhi syarat dari domain Microsoft AD Terkelola Anda.
Jika tidak ada zona yang tercantum yang digunakan oleh jaringan yang diizinkan, Anda harus menghapus dan menambahkan kembali jaringan yang diizinkan.
Peering jaringan
Autentikasi dapat gagal jika peering jaringan VPC tidak dikonfigurasi dengan benar.
Untuk memverifikasi bahwa peering telah disiapkan, selesaikan langkah-langkah berikut:
Konsol
Buka halaman VPC network peering di Konsol Google Cloud.
Buka VPC network peeringDi halaman VPC network peering, di kolom Name, cari peering yang disebut
peering-VPC_NETWORK_NAME.
gcloud
Jalankan perintah gcloud CLI berikut:
gcloud compute networks peerings list --network=VPC_NETWORK_NAME
Perintah ini menampilkan daftar peering. Dalam daftar, cari yang disebut
peering-VPC_NETWORK_NAME.
Jika peering-VPC_NETWORK_NAME tidak ada dalam
daftar, Anda harus menghapus dan menambahkan kembali jaringan yang diizinkan.
Autentikasi Active Directory gagal (melalui kepercayaan)
Jika tampaknya autentikasi Active Directory gagal saat menggunakan akun terkelola yang dihosting secara lokal melalui kepercayaan, Anda harus memverifikasi konfigurasi yang sama seperti yang Anda lakukan untuk memecahkan masalah pembuatan kepercayaan.
Selain itu, pastikan akun tersebut berada dalam
grup yang didelegasikan Cloud Service Computer Remote Desktop Users. Pelajari lebih lanjut grup yang didelegasikan
Tidak dapat mengakses domain dari VM yang dapat dikelola
Jika Anda tidak dapat mengakses domain Microsoft AD Terkelola dari VM yang digunakan untuk mengelola objek AD, Anda harus memverifikasi konfigurasi yang sama seperti yang Anda lakukan untuk memecahkan masalah autentikasi Active Directory untuk akun yang dihosting Microsoft AD Terkelola.
Error Org policy saat membuat, memperbarui, atau menghapus
Jika Anda mengalami error org policy saat membuat, memperbarui, atau menghapus resource, Anda mungkin perlu mengubah kebijakan organisasi. Pelajari
Batasan Kebijakan Organisasi.
Minta administrator Anda yang memiliki peran IAM administrator kebijakan organisasi
(roles/orgpolicy.policyAdmin)
di organisasi untuk memperbarui kebijakan organisasi
yang diperlukan.
Kebijakan organisasi Define allowed APIs and services
Batasan daftar ini menentukan kumpulan layanan dan API yang dapat diaktifkan di resource tertentu. Turunannya dalam hierarki resource juga mewarisi batasan. Jika batasan ini tidak mengizinkan API yang diperlukan untuk Managed Microsoft AD, Anda akan menerima error saat mencoba membuat, memperbarui, atau menghapus resource.
Untuk melihat dan memperbarui kebijakan organisasi Define allowed APIs and services:
Konsol
- Buka halaman Organization policies di konsol Google Cloud.
Buka Kebijakan organisasi - Di halaman Kebijakan organisasi, di kolom Nama, pilih kebijakan Menentukan API dan layanan yang diizinkan untuk membuka panel Ringkasan kebijakan.
- Di panel Ringkasan kebijakan, pastikan API berikut tidak ditolak:
dns.googleapis.comcompute.googleapis.com
- Jika Anda perlu melakukan perubahan, pilih Edit, perbarui kebijakan, lalu klik Simpan.
gcloud
Jalankan perintah gcloud CLI berikut. Pelajari perintah
gcloud resource-manager org-policies describe.gcloud resource-manager org-policies describe constraints/serviceuser.services \ --organization=ORGANIZATION_IDJika perintah
describemenunjukkan bahwadns.googleapis.comataucompute.googleapis.comtidak diizinkan, jalankan perintah berikut untuk mengizinkannya. Pelajari perintahgcloud resource-manager org-policies allow.gcloud resource-manager org-policies allow constraints/serviceuser.services API_NAME \ --organization=ORGANIZATION_ID
Kebijakan organisasi Restrict VPC peering usage
Batasan daftar ini menentukan kumpulan jaringan VPC yang diizinkan melakukan peering dengan jaringan VPC yang termasuk dalam resource tertentu. Jika peering ditolak, Anda akan menerima error saat mencoba membuat, memperbarui, atau menghapus resource. Pelajari
cara melihat dan memperbarui kebijakan organisasi Restrict VPC peering usage.
Tidak dapat me-resolve resource lokal dari Google Cloud
Jika tidak dapat me-resolve resource lokal dari Google Cloud, Anda mungkin perlu mengubah konfigurasi DNS. Pelajari cara mengonfigurasi penerusan DNS untuk menyelesaikan kueri objek yang tidak berada di Microsoft AD Terkelola di jaringan VPC.
Kegagalan pencarian DNS yang terputus-putus
Jika Anda mengalami kegagalan pencarian DNS yang terputus-putus saat menggunakan skema yang sangat tersedia untuk Cloud Interconnect atau beberapa VPN, Anda harus memverifikasi konfigurasi berikut:
- Rute untuk 35.199.192.0/19 sudah ada.
- Jaringan lokal mengizinkan traffic dari 35.199.192.0/19 untuk semua koneksi Cloud Interconnect atau tunnel VPN.
Masa berlaku sandi akun administrator yang didelegasikan habis
Jika masa berlaku sandi untuk akun administrator yang didelegasikan telah berakhir, Anda dapat mereset sandi. Pastikan Anda memiliki izin yang diperlukan untuk mereset sandi akun administrator yang didelegasikan. Jika mau, Anda juga dapat menonaktifkan masa berlaku sandi untuk akun tersebut.
Tidak dapat melihat log audit Microsoft AD Terkelola
Jika tidak dapat melihat log audit Managed Microsoft AD di Logs Viewer atau Logs Explorer, Anda harus memverifikasi konfigurasi berikut.
- Logging diaktifkan untuk domain.
- Anda memiliki peran IAM
roles/logging.viewerdi project tempat domain berada.