Questa pagina fornisce suggerimenti e approcci per risolvere i problemi più comuni di Managed Service for Microsoft Active Directory.
Impossibile creare un dominio Microsoft AD gestito
Se non riesci a creare un dominio Microsoft Active Directory gestito, può essere utile verificare le seguenti configurazioni.
API obbligatorie
Per poter creare un dominio, è necessario attivare un gruppo di API in Microsoft AD gestito.
Per verificare che le API richieste siano abilitate, completa i seguenti passaggi:
Console
- Vai alla pagina API e servizi nella console Google Cloud.
Vai ad API e servizi Nella pagina Dashboard, verifica che siano elencate le seguenti API:
- API Managed Service for Microsoft Active Directory
- API Compute Engine
- API del cloud DNS
gcloud
Esegui il seguente comando gcloud CLI:
gcloud services list --available
Il comando restituisce l'elenco delle API abilitate. Verifica che le seguenti API siano elencate:
- API Managed Service for Microsoft Active Directory
- API Compute Engine
- API del cloud DNS
Se una di queste API non è presente, completa i seguenti passaggi per attivarla:
Console
- Vai alla pagina
Libreria API nella console Google Cloud.
Vai alla Libreria API - Nella pagina Libreria API, inserisci il nome dell'API mancante nel campo di ricerca.
- Nella pagina delle informazioni sull'API, fai clic su Attiva.
gcloud
Esegui il seguente comando gcloud CLI:
gcloud services enable API_NAME
Sostituisci API_NAME
con il nome dell'API mancante.
Ripeti questa procedura finché non sono state attivate tutte le API richieste.
Fatturazione
Per poter creare un dominio, devi attivare la fatturazione in Microsoft AD gestito.
Per verificare che la fatturazione sia attivata:
Console
- Vai alla pagina Fatturazione nella console Google Cloud.
Vai a Fatturazione - Verifica che sia stato configurato un account di fatturazione per la tua organizzazione.
- Fai clic sulla scheda I miei progetti e verifica che il progetto in cui stai tentando di creare un dominio Microsoft AD gestito sia elencato.
gcloud
Esegui il seguente comando gcloud CLI:
gcloud billing projects describe PROJECT_ID
Se non vedi un account di fatturazione valido collegato al progetto, devi abilitare la fatturazione.
Intervallo di indirizzi IP
Se ricevi un errore IP range overlap
quando provi a creare un dominio, significa che l'intervallo di indirizzi IP riservato fornito nella richiesta di creazione del dominio si sovrappone all'intervallo di indirizzi IP della rete autorizzata. Per risolvere il problema, devi scegliere un intervallo di indirizzi IP o una rete autorizzata diversa. Per ulteriori informazioni, consulta
Selezionare intervalli di indirizzi IP.
Autorizzazioni
Se ricevi un errore Permission denied
quando provi a creare un dominio, devi verificare che l'identità chiamante sia autorizzata a chiamare l'API Microsoft AD gestita. Scopri di più su
autorizzazioni e ruoli di Microsoft AD gestiti.
Policy dell'organizzazione
La creazione del dominio può non riuscire a causa di una configurazione dei criteri dell'organizzazione. Ad esempio, puoi configurare un criterio dell'organizzazione per consentire l'accesso solo a servizi specifici, come GKE o Compute Engine. Scopri di più sui vincoli delle policy dell'organizzazione.
Chiedi all'amministratore che dispone del ruolo IAM Amministratore criteri dell'organizzazione
(roles/orgpolicy.policyAdmin
)
dell'organizzazione di aggiornare le criteri dell'organizzazione richiesti.
Resource Location Restriction
criteri dell'organizzazione
Questo vincolo dell'elenco definisce l'insieme di località in cui è possibile creare risorse Google Cloud basate sulla località. La mancata autorizzazione della posizione global
può influire su
Microsoft Active Directory gestito.
Per visualizzare e aggiornare il criterio dell'organizzazione Resource Location Restriction
:
Console
- Vai alla pagina Criteri dell'organizzazione nella console Google Cloud.
Vai a Criteri dell'organizzazione - Nella pagina Criteri dell'organizzazione, seleziona il criterio Limitazione della posizione della risorsa nella colonna Nome per aprire il riquadro Riepilogo dei criteri.
- Nel riquadro Riepilogo norme, verifica che la località
global
sia consentita. - Se devi apportare una modifica, seleziona Modifica, aggiorna il criterio e poi fai clic su Salva.
Scopri di più sulla limitazione delle località delle risorse.
gcloud
Per visualizzare i dettagli del criterio dell'
Resource Location Restriction
organizzazione, esegui il seguente comando gcloud CLI. Scopri di più sul comandogcloud resource-manager org-policies describe
.gcloud resource-manager org-policies describe constraints/gcp.resourceLocations \ --organization=ORGANIZATION_ID
Se il comando
describe
indica cheglobal
non è consentito, esegui il seguente comando per consentirlo. Scopri di più sul comandogcloud resource-manager org-policies allow
.gcloud resource-manager org-policies allow constraints/gcp.resourceLocations global \ --organization=ORGANIZATION_ID
Scopri di più sulla limitazione delle località delle risorse.
Restrict VPC peering usage
criteri dell'organizzazione
Questo vincolo dell'elenco definisce l'insieme di reti VPC per cui è consentito il peering con le reti VPC che appartengono a una determinata risorsa. Quando specifichi una rete autorizzata per un dominio Microsoft Active Directory gestito, viene creato un peering VPC tra la rete autorizzata e la rete isolata contenente i controller di dominio AD. Se i criteri dell'organizzazione per il progetto negano i peering, Managed Microsoft AD non può creare peering con la rete autorizzata, pertanto la creazione del dominio non va a buon fine. Ricevi un errore simile al seguente:
GCE_PRECONDITION_FAILED: Constraint constraints /compute.restrictVpcPeering violated for project PROJECT_ID. Peering the network projects/PROJECT_ID/global/networks/VPC_NETWORK_NAME is not allowed.
Per visualizzare e aggiornare il criterio dell'organizzazione Restrict VPC peering usage
:
Console
- Vai alla pagina Criteri dell'organizzazione nella console Google Cloud.
Vai a Criteri dell'organizzazione - Nella pagina Criteri dell'organizzazione, nella colonna Nome, seleziona il criterio Limita l'utilizzo del peering VPC per aprire il riquadro Riepilogo criteri.
- Nel riquadro Riepilogo norme, verifica che il progetto consenta i peering.
- Se devi apportare una modifica, seleziona Modifica, aggiorna il criterio e poi fai clic su Salva.
gcloud
Per visualizzare i dettagli del criterio dell'
Restrict VPC peering usage
organizzazione, esegui il seguente comando gcloud CLI. Scopri di più sul comandogcloud resource-manager org-policies describe
.gcloud resource-manager org-policies describe constraints/compute.restrictVpcPeering \ --organization=ORGANIZATION_ID
Se il comando
describe
indica che i peering non sono consentiti, esegui il seguente comando per consentirli. Scopri di più sul comandogcloud resource-manager org-policies allow
.gcloud resource-manager org-policies allow constraints/compute.restrictVpcPeering under:projects/PROJECT_ID \ --organization=ORGANIZATION_ID
Sostituisci quanto segue:
PROJECT_ID
: il nome del progetto che contiene la risorsa Managed Microsoft AD.ORGANIZATION_ID
: l'ID dell'organizzazione che ospita il progetto.
Impossibile aggiungere automaticamente una VM Windows a un dominio
Di seguito sono riportati alcuni problemi con i codici di errore che potresti riscontrare durante il tentativo di aggregare automaticamente una VM Windows o i nodi GKE Windows Server a un dominio:
Codice di errore | Descrizione | Possibile soluzione |
---|---|---|
CONFLICT (409) |
Indica che l'account istanza VM esiste già nel dominio Microsoft AD gestito. | Rimuovi manualmente l'account da AD di Microsoft gestito utilizzando gli strumenti RSAT e riprova. Per ulteriori informazioni sulla gestione degli oggetti AD in Microsoft AD gestito, vedi Gestire gli oggetti Active Directory. |
BAD_REQUEST (412) |
Indica che la richiesta di unione al dominio contiene informazioni non valide, ad esempio un nome di dominio e una struttura gerarchica dell'unità organizzativa (OU) errati. | Esamina le informazioni, aggiorna i dettagli, se necessario, e riprova. |
INTERNAL (500) |
Indica che il server ha rilevato un errore interno sconosciuto. | Contatta l'assistenza Google Cloud per risolvere il problema. |
FORBIDDEN (403) |
Indica che l'account di servizio specificato non dispone dei privilegi richiesti. | Verifica di disporre dei privilegi richiesti per il service account e riprova. |
UNAUTHORIZED (401) |
Indica che la VM non dispone dell'autorizzazione valida per partecipare al dominio. | Verifica di disporre dell'ambito di accesso richiesto sulla VM e riprova. |
Impossibile aggiungere manualmente una VM a un dominio
Se non riesci ad aggiungere manualmente un computer da un ambiente on-premise al tuo dominio Microsoft AD gestito, verifica i seguenti requisiti:
Il computer a cui stai tentando di accedere sia rilevabile da AD di Microsoft gestito. Per verificare questa connettività, esegui una ricerca DNS dall'ambiente on-premise al dominio Microsoft AD gestito utilizzando il comando
nslookup
.La rete on-premise in cui si trova il computer deve essere in peering con la rete VPC del tuo dominio Microsoft AD gestito. Per informazioni sulla risoluzione dei problemi relativi a una connessione di peering di rete VPC, consulta Risoluzione dei problemi.
Impossibile utilizzare VPC condiviso come rete autorizzata
Per accedere a un dominio Microsoft AD gestito da una rete VPC condiviso, il dominio deve essere creato nello stesso progetto che ospita la rete VPC condiviso.
Impossibile accedere al dominio Microsoft AD gestito
Se il tuo dominio Microsoft AD gestito sembra non essere disponibile, puoi ottenere maggiori informazioni sul relativo stato completando i seguenti passaggi:
Console
Vai alla pagina
Managed Service for Microsoft Active Directory
nella console Google Cloud.
Vai a Managed Service for Microsoft Active Directory
Nella colonna Stato della pagina Managed Service for Microsoft Active Directory, puoi visualizzare gli stati dei tuoi domini.
gcloud
Esegui il seguente comando gcloud CLI:
gcloud active-directory domains list
Questo comando restituisce gli stati dei tuoi domini.
Se lo stato del tuo dominio è DOWN
, significa che il tuo account potrebbe essere stato sospeso. Contatta l'assistenza Google Cloud per risolvere il problema.
Se lo stato del dominio è PERFORMING_MAINTENANCE
,
Managed Microsoft AD dovrebbe essere ancora disponibile per l'utilizzo, ma potrebbe non consentire operazioni come l'estensione dello schema, l'aggiunta o la rimozione di regioni. Questo stato è raro e si verifica solo quando il sistema operativo è patchato.
Impossibile creare la relazione di attendibilità
Se segui i passaggi per la creazione di una relazione di attendibilità, ma non riesci a completare la procedura, la verifica delle seguenti configurazioni può essere utile.
Il dominio on-premise è raggiungibile
Per verificare che il dominio on-premise sia raggiungibile dal dominio Microsoft AD gestito, puoi utilizzare ping
o
Test-NetConnection
. Esegui questi comandi da una VM ospitata su Google Cloud e su una rete autorizzata. Verifica che la VM possa raggiungere un controller di dominio on-premise. Scopri di più su
Test-NetConnection
.
Indirizzo IP
Per verificare che l'indirizzo IP fornito durante la configurazione della attendibilità sia in grado di risolvere il dominio on-premise, esegui il seguente comando:
nslookup ON_PREMISES_DOMAIN_NAME CONDITIONAL_FORWARDER_ADDRESS
Sostituisci quanto segue:
ON_PREMISES_DOMAIN_NAME
: il nome del tuo dominio on-premise.CONDITIONAL_FORWARDER_ADDRESS
: l'indirizzo IP del server di forwarding condizionale DNS.
Se sono presenti più indirizzi di inoltro condizionale, puoi eseguire il test su uno qualsiasi di questi.
Scopri di più su
nslookup
.
Relazione di trust on-premise
Per verificare che la relazione di attendibilità on-premise sia stabilita, devi controllare che le seguenti informazioni corrispondano.
- Il tipo e la direzione del trust nel dominio Microsoft AD gestito completano il trust creato nel dominio on-premise.
- Il secret di attendibilità fornito durante la creazione del trust sul dominio Microsoft Active Directory gestito corrisponde a quello inserito sul dominio on-premise.
La direzione di attendibilità on-premise integra la direzione di attendibilità configurata su Microsoft Active Directory gestito. In altre parole, se il dominio on-premise si aspetta un'associazione in entrata, la direzione del trust per il dominio Microsoft Active Directory gestito è in uscita. Scopri di più sulle linee guida per la fiducia.
L'attendibilità non funziona più
Se in precedenza hai creato una relazione di attendibilità, ma non funziona più, devi verificare le stesse configurazioni che faresti per la risoluzione dei problemi relativi alla creazione di una relazione di attendibilità.
Inoltre, se una relazione di attendibilità non viene utilizzata per 60 giorni o più, la password della relazione scade. Per aggiornare la password, modifica la password per la attendibilità nel dominio on-premise e poi aggiornala nel dominio AD di Microsoft gestito.
L'autenticazione Active Directory non va a buon fine (account ospitati in Microsoft AD gestito)
Se sembra che l'autenticazione di Active Directory non vada a buon fine quando utilizzi account gestiti in Microsoft AD, la verifica delle seguenti configurazioni può essere utile.
La VM si trova su una rete autorizzata
Per verificare che la VM utilizzata per accedere al dominio si trovi su una rete autorizzata, completa i seguenti passaggi.
Vai alla pagina Managed Service for Microsoft Active Directory nella console Google Cloud.
Vai a Managed Service for Microsoft Active DirectorySeleziona il nome del tuo dominio.
Nella pagina Domain (Dominio), in Networks (Reti), verifica che la rete autorizzata sia elencata.
Nome utente e password corretti
Verifica che il nome utente e la password forniti per accedere siano corretti.
Regole firewall
Una regola firewall deny
per l'uscita verso l'intervallo di indirizzi IP dei controller del dominio può causare l'errore di autenticazione.
Per controllare le regole del firewall:
Console
Vai alla pagina Regole firewall nella console Google Cloud.
Vai a Regole firewallIn questa pagina, verifica che non sia configurato un
deny
per l'egress per l'intervallo di indirizzi IP dei controller di dominio.
gcloud
Esegui il seguente comando gcloud CLI:
gcloud compute firewall-rules list
Questo comando restituisce un elenco delle regole firewall configurate. Verifica che non sia configurato un
deny
per l'uscita per l'intervallo di indirizzi IP dei controller di dominio.
Scopri di più sulle regole firewall.
Indirizzo IP
L'autenticazione può non riuscire se l'indirizzo IP non rientra nell'intervallo CIDR riservato.
Per controllare l'indirizzo IP, esegui il seguente comando.
nslookup DOMAIN_NAME
Se nslookup
non va a buon fine o restituisce un indirizzo IP non compreso nell'intervallo CIDR, devi verificare che la zona DNS esista.
Per verificare che la zona DNS esista, completa i seguenti passaggi:
Console
Vai alla pagina Cloud DNS nella console Google Cloud.
Vai a Cloud DNSNella pagina Cloud DNS, nella scheda Zone, controlla la colonna In uso da per la rete autorizzata.
gcloud
Esegui il seguente comando gcloud CLI:
gcloud dns managed-zones list --filter=FQDN
Sostituisci
FQDN
con il nome di dominio completo del tuo dominio Microsoft AD gestito.
Se nessuna delle zone elencate è in uso dalla rete autorizzata, devi rimuovere e aggiungere di nuovo la rete autorizzata.
Peering di rete
L'autenticazione può non riuscire se il peering di rete VPC non è configurato correttamente.
Per verificare che il peering sia configurato, completa i seguenti passaggi:
Console
Vai alla pagina Peering di reti VPC nella console Google Cloud.
Vai al peering di rete VPCNella pagina Peering di rete VPC, cerca un peering denominato
peering-VPC_NETWORK_NAME
nella colonna Nome.
gcloud
Esegui il seguente comando gcloud CLI:
gcloud compute networks peerings list --network=VPC_NETWORK_NAME
Questo comando restituisce un elenco di peering. Nell'elenco, cerca una chiamata
peering-VPC_NETWORK_NAME
.
Se peering-VPC_NETWORK_NAME
non è nell'elenco, devi rimuovere e aggiungere di nuovo la rete autorizzata.
L'autenticazione di Active Directory non va a buon fine (tramite attendibilità)
Se sembra che l'autenticazione di Active Directory non vada a buon fine quando utilizzi account ospitati on-premise gestiti tramite la relazione di attendibilità, devi verificare le stesse configurazioni che faresti per la risoluzione dei problemi relativi alla creazione di una relazione di attendibilità.
Inoltre, verifica che l'account sia nel gruppo delegatoCloud Service Computer Remote Desktop Users
. Scopri di più sui
gruppi delegati
Impossibile accedere al dominio da una VM di gestione
Se non riesci ad accedere al dominio Microsoft Active Directory gestito dalla VM utilizzata per la gestione degli oggetti AD, devi verificare le stesse configurazioni che faresti per la risoluzione dei problemi di autenticazione di Active Directory per gli account ospitati in Microsoft Active Directory gestito.
Errore Org policy
durante la creazione, l'aggiornamento o l'eliminazione
Se si verifica un errore org policy
durante la creazione, l'aggiornamento o l'eliminazione di risorse, potrebbe essere necessario modificare un criterio dell'organizzazione. Scopri di più sui vincoli delle policy dell'organizzazione.
Chiedi all'amministratore che dispone del ruolo IAM Amministratore criteri dell'organizzazione
(roles/orgpolicy.policyAdmin
)
dell'organizzazione di aggiornare le criteri dell'organizzazione richiesti.
Define allowed APIs and services
criteri dell'organizzazione
Questo vincolo dell'elenco definisce l'insieme di servizi e API che è possibile attivare su una determinata risorsa. Anche i relativi discendenti nella gerarchia delle risorse ereditano il vincolo. Se questo vincolo non consente le API richieste per AD Microsoft gestito, viene visualizzato un errore quando provi a creare, aggiornare o eliminare risorse.
Per visualizzare e aggiornare il criterio dell'organizzazione Define allowed APIs and services
:
Console
- Vai alla pagina Criteri dell'organizzazione nella console Google Cloud.
Vai a Criteri dell'organizzazione - Nella pagina Criteri dell'organizzazione, nella colonna Nome, seleziona il criterio Definisci API e servizi consentiti per aprire il riquadro Riepilogo dei criteri.
- Nel riquadro Riepilogo criteri, verifica che le seguenti API non siano
rifiutate:
dns.googleapis.com
compute.googleapis.com
- Se devi apportare una modifica, seleziona Modifica, aggiorna il criterio e poi fai clic su Salva.
gcloud
Esegui il seguente comando gcloud CLI. Scopri di più sul comando
gcloud resource-manager org-policies describe
.gcloud resource-manager org-policies describe constraints/serviceuser.services \ --organization=ORGANIZATION_ID
Se il comando
describe
indica chedns.googleapis.com
ocompute.googleapis.com
non è consentito, esegui il comando seguente per consentirlo. Scopri di più sul comandogcloud resource-manager org-policies allow
.gcloud resource-manager org-policies allow constraints/serviceuser.services API_NAME \ --organization=ORGANIZATION_ID
Restrict VPC peering usage
criteri dell'organizzazione
Questo vincolo dell'elenco definisce l'insieme di reti VPC per cui è consentito il peering con le reti VPC che appartengono a una determinata risorsa. Se i peering vengono rifiutati, viene visualizzato un messaggio di errore quando provi a creare, aggiornare o eliminare le risorse. Scopri
come visualizzare e aggiornare i criteri dell'organizzazione Restrict VPC peering usage
.
Impossibile risolvere le risorse on-premise da Google Cloud
Se non riesci a risolvere le risorse on-premise da Google Cloud, potrebbe essere necessario modificare la configurazione DNS. Scopri come configurare il forwarding DNS per risolvere le query relative agli oggetti Microsoft AD non gestiti nelle reti VPC.
Errori intermittenti di ricerca DNS
Se si verificano errori intermittenti di ricerca DNS quando si utilizza uno schema ad alta disponibilità per Cloud Interconnect o più VPN, devi verificare le seguenti configurazioni:
- Esiste un route per 35.199.192.0/19.
- La rete on-premise consente il traffico da 35.199.192.0/19 per tutte le connessioni Cloud Interconnect o i tunnel VPN.
La password dell'account amministratore con delega scade
Se la password dell'account amministratore con delega è scaduta, puoi reimpostarla. Assicurati di disporre delle autorizzazioni necessarie per reimpostare la password dell'account amministratore delegato. Se vuoi, puoi anche disattivare la scadenza della password per l'account.
Impossibile visualizzare gli audit log di Managed Microsoft AD
Se non riesci a visualizzare i log di controllo di Microsoft Active Directory gestito in visualizzatore log o in Esplora log, devi verificare le seguenti configurazioni.
- Il logging è abilitato per il dominio.
- Devi disporre del ruolo IAM
roles/logging.viewer
nel progetto in cui si trova il dominio.