排查托管式 Microsoft AD 的问题

本页面提供了一些提示和方法,可帮助您排查和解决 Managed Service for Microsoft Active Directory 的常见问题。

无法创建托管式 Microsoft AD 网域

如果您无法创建托管式 Microsoft AD 网域,验证以下配置可能会有所帮助。

必需的 API

托管式 Microsoft AD 要求先启用一组 API,然后才能创建网域。

要验证是否启用了必需的 API,请完成以下步骤:

控制台

  1. 前往 Google Cloud 控制台中的 API 和服务页面。
    前往“API 和服务”页面
  2. 信息中心页面上,验证是否列出了以下 API:

    • Managed Service for Microsoft Active Directory API
    • Compute Engine API
    • Cloud DNS API

gcloud

  1. 运行以下 gcloud CLI 命令:

    gcloud services list --available
    
  2. 该命令会返回已启用的 API 的列表。验证是否列出了以下 API:

    • Managed Service for Microsoft Active Directory API
    • Compute Engine API
    • Cloud DNS API

如果缺少任何这些 API,请完成以下步骤以启用它们:

控制台

  1. 前往 Google Cloud 控制台中的 API 库页面。
    前往 API 库
  2. API 库页面上的搜索字段中,输入缺少的 API 的名称。
  3. 在 API 信息页面上,点击启用

gcloud

运行以下 gcloud CLI 命令:

  gcloud services enable API_NAME
  

API_NAME 替换为缺少的 API 的名称。

重复此过程,直到启用了所有必需的 API。

结算

托管式 Microsoft AD 要求您先启用结算功能,然后才能创建网域。

要验证是否已启用结算功能,请完成以下步骤:

控制台

  1. 前往 Google Cloud 控制台中的结算页面。
    前往“结算”
  2. 验证是否为您的组织设置了结算账号。
  3. 点击我的项目标签页,然后验证是否列出了您尝试在其中创建托管式 Microsoft AD 网域的项目。

gcloud

运行以下 gcloud CLI 命令:

  gcloud billing projects describe PROJECT_ID
  

如果您没有看到与该项目关联的有效结算账号,则应启用结算功能

IP 地址范围

如果在尝试创建网域时收到 IP range overlap 错误,则意味着您在网域创建请求中提供的预留 IP 地址范围与已获授权的网络的 IP 地址范围重叠。要解决此问题,您应该选择其他 IP 地址范围或其他已获授权的网络。如需了解详情,请参阅选择 IP 地址范围

权限

如果在尝试创建网域时收到 Permission denied 错误,则应验证发起调用的身份是否有权调用托管式 Microsoft AD API。详细了解托管式 Microsoft AD 角色和权限

组织政策

网域创建可能会因组织政策配置而失败。例如,您可以配置组织政策,以允许用户仅访问特定服务(例如 GKE 或 Compute Engine)。详细了解组织政策限制

请让具有组织政策管理员 (roles/orgpolicy.policyAdmin) IAM 角色的管理员更新所需的组织政策。

Resource Location Restriction 组织政策

此列表限制条件定义了可以创建基于位置的 Google Cloud 资源的一组位置。拒绝 global 位置可能会影响托管式 Microsoft AD。

要查看和更新 Resource Location Restriction 组织政策,请执行以下操作:

控制台

  1. 前往 Google Cloud 控制台中的组织政策页面。
    前往“组织政策”页面
  2. 组织政策页面上的名称列中,选择资源位置限制政策以打开政策摘要面板。
  3. 政策摘要面板中,验证是否允许 global 位置。
  4. 如果需要进行更改,请选择修改,更新政策,然后点击保存

了解限制资源位置

gcloud

  1. 如需查看 Resource Location Restriction 组织政策的详细信息,请运行以下 gcloud CLI 命令。了解 gcloud resource-manager org-policies describe 命令。

    gcloud resource-manager org-policies describe constraints/gcp.resourceLocations \
        --organization=ORGANIZATION_ID
    
  2. 如果 describe 命令显示不允许 global,请运行以下命令来允许它。了解 gcloud resource-manager org-policies allow 命令。

    gcloud resource-manager org-policies allow constraints/gcp.resourceLocations global \
        --organization=ORGANIZATION_ID
    

了解限制资源位置

Restrict VPC peering usage 组织政策

此列表限制条件定义了允许与属于给定资源的 VPC 网络对等互连的一组 VPC 网络。当您为托管式 Microsoft AD 网域指定已获授权的网络时,系统将在已获授权的网络和包含 AD 网域控制器的独立网络之间创建 VPC 对等互连。如果项目的组织政策拒绝对等互连,则托管式 Microsoft AD 将无法创建到已获授权的网络的任何对等互连,从而导致网域创建失败。您会收到如下所示的错误:

GCE_PRECONDITION_FAILED: Constraint constraints /compute.restrictVpcPeering
violated for project PROJECT_ID. Peering the network projects/PROJECT_ID/global/networks/VPC_NETWORK_NAME
is not allowed.

要查看和更新 Restrict VPC peering usage 组织政策,请执行以下操作:

控制台

  1. 前往 Google Cloud 控制台中的组织政策页面。
    前往“组织政策”页面
  2. 组织政策页面上,在名称列中选择限制 VPC 对等互连使用量政策,以打开政策摘要面板。
  3. 政策摘要面板中,验证项目是否允许对等互连。
  4. 如果需要进行更改,请选择修改,更新政策,然后点击保存

gcloud

  1. 如需查看 Restrict VPC peering usage 组织政策的详细信息,请运行以下 gcloud CLI 命令。了解 gcloud resource-manager org-policies describe 命令。

    gcloud resource-manager org-policies describe constraints/compute.restrictVpcPeering \
        --organization=ORGANIZATION_ID
    
  2. 如果 describe 命令显示不允许对等互连,请运行以下命令来允许它。了解 gcloud resource-manager org-policies allow 命令。

    gcloud resource-manager org-policies allow constraints/compute.restrictVpcPeering under:projects/PROJECT_ID \
        --organization=ORGANIZATION_ID
    

    替换以下内容:

    • PROJECT_ID:包含托管式 Microsoft AD 资源的项目的名称。
    • ORGANIZATION_ID:托管该项目的组织的 ID。

无法将 Windows 虚拟机自动加入网域

以下是您在尝试自动将 Windows 虚拟机 GKE Windows Server 节点加入域时可能会遇到的一些错误代码问题:

错误代码 说明 可能的解决方案
CONFLICT (409) 表示虚拟机实例账号已在托管式 Microsoft AD 网域中存在。 使用 RSAT 工具从托管式 Microsoft AD 中手动移除该账号,然后重试。如需详细了解如何在托管式 Microsoft AD 中管理 AD 对象,请参阅管理 Active Directory 对象
BAD_REQUEST (412) 表示域名加入请求包含无效信息,例如域名不正确和组织部门 (OU) 层次结构不正确。 请检查相关信息,根据需要更新详细信息,然后重试。
INTERNAL (500) 表示服务器遇到了未知的内部错误。 如需解决此问题,请与 Google Cloud 支持团队联系
FORBIDDEN (403) 表示指定的服务账号没有所需的权限。 检查您是否拥有服务账号的所需权限,然后重试。
UNAUTHORIZED (401) 表示虚拟机缺少加入网域的有效授权。 请检查您是否拥有对虚拟机的必要访问权限范围,然后重试。

无法手动将虚拟机加入网域

如果您无法将计算机从本地环境手动加入托管式 Microsoft AD 网域,请验证以下要求:

  • 您尝试加入的计算机可从托管式 Microsoft AD 中发现。如需验证此连接,请使用 nslookup 命令从本地环境对托管式 Microsoft AD 网域执行 DNS 查找。

  • 该机器所在的本地网络必须与托管式 Microsoft AD 网域的 VPC 网络对等互连。如需了解如何排查 VPC 网络对等互连连接问题,请参阅问题排查

无法将共享 VPC 用作已获授权的网络

为了从共享 VPC 网络访问托管式 Microsoft AD 网域,必须在托管共享 VPC 网络的同一项目中创建该网域。

无法访问托管式 Microsoft AD 网域

如果您的托管式 Microsoft AD 网域不可用,则可以通过完成以下步骤来获取有关其状态的详细信息:

控制台

前往 Google Cloud 控制台中的 Managed Service for Microsoft Active Directory 页面。
前往 Managed Service for Microsoft Active Directory

Managed Service for Microsoft Active Directory 页面上的状态列中,您可以查看网域的状态。

gcloud

运行以下 gcloud CLI 命令:

gcloud active-directory domains list

此命令返回您的网域的状态。

如果网域状态为 DOWN,则表明您的账号可能已被暂停。要解决此问题,请联系 Google Cloud 支持

如果网域状态为 PERFORMING_MAINTENANCE,则托管式 Microsoft AD 应该仍然可以使用,但可能不允许执行扩展架构、添加或移除区域等操作。此状态很少见,仅在修补操作系统时才会出现。

无法创建信任

如果您遵循了创建信任的步骤,但是无法完成此过程,则验证以下配置可能会有用。

可访问本地网域

要验证是否可以从托管式 Microsoft AD 网域访问本地网域,可以使用 pingTest-NetConnection。从托管在 Google Cloud 和已获授权的网络上的虚拟机运行这些命令。验证该虚拟机是否可以访问本地网域控制器。详细了解 Test-NetConnection

IP 地址

要验证在信任设置过程中提供的 IP 地址是否能够解析本地网域,请运行以下命令:

nslookup ON_PREMISES_DOMAIN_NAME CONDITIONAL_FORWARDER_ADDRESS

替换以下内容:

  • ON_PREMISES_DOMAIN_NAME:您的本地网域的名称。
  • CONDITIONAL_FORWARDER_ADDRESS:DNS 条件转发器的 IP 地址。

如果有多个条件转发器地址,则可以针对其中任何一个进行测试。

详细了解 nslookup

本地信任关系

要验证本地信任关系是否已建立,您应检查以下信息是否匹配。

  • 托管式 Microsoft AD 网域上的信任类型和方向与在本地网域上创建的信任互补。
  • 在托管式 Microsoft AD 网域上创建信任时提供的信任密钥与在本地网域上输入的信任密钥匹配。

本地信任方向与托管式 Microsoft AD 上配置的信任方向是互补的。也就是说,如果本地网域预期入站信任,则托管式 Microsoft AD 网域的信任方向为出站。详细了解信任方向

信任不再有效

如果您之前创建了信任,但该信任不再有效,您应验证与排查创建信任的问题相同的配置。

此外,如果在 60 天或更长时间内没有使用信任,则信任密码将过期。要刷新密码,请更改本地网域上的信任密码,然后更新托管式 Microsoft AD 网域上的密码。

Active Directory 身份验证失败(托管式 Microsoft AD 托管账号)

如果使用托管式 Microsoft AD 托管账号时 Active Directory 身份验证失败,验证以下配置可能会有用。

虚拟机位于已获授权的网络上

要验证用于访问网域的虚拟机是否在已获授权的网络上,请完成以下步骤。

  1. 前往 Google Cloud 控制台中的 Managed Service for Microsoft Active Directory 页面。
    前往 Managed Service for Microsoft Active Directory

  2. 选择您的域名。

  3. 网域页面上的网络下,检查是否列出了已获授权的网络。

用户名和密码正确

验证提供的用于登录的用户名和密码是否正确。

防火墙规则

针对到网域控制器的 IP 地址范围的出站流量的 deny 防火墙规则可能会导致身份验证失败。

要检查防火墙规则,请完成以下步骤:

控制台

  1. 前往 Google Cloud 控制台中的防火墙规则页面。
    前往“防火墙规则”页面

  2. 在此页面上,检查是否没有为网域控制器的 IP 地址范围配置出站流量 deny 防火墙规则。

gcloud

  1. 运行以下 gcloud CLI 命令:

    gcloud compute firewall-rules list
    
  2. 此命令返回已配置的防火墙规则的列表。检查是否没有为网域控制器的 IP 地址范围配置出站流量 deny 防火墙规则。

详细了解防火墙规则

IP 地址

如果 IP 地址不在预留的 CIDR 范围内,则身份验证可能会失败。

要检查 IP 地址,请运行以下命令。

nslookup DOMAIN_NAME

如果 nslookup 失败或返回的 IP 地址不在 CIDR 范围内,您应验证 DNS 地区是否存在。

要验证 DNS 地区是否存在,请完成以下步骤:

控制台

  1. 前往 Google Cloud 控制台中的 Cloud DNS 页面。
    前往 Cloud DNS

  2. Cloud DNS 页面上的地区标签页上,检查已获授权的网络的使用者列。

gcloud

  1. 运行以下 gcloud CLI 命令:

    gcloud dns managed-zones list --filter=FQDN
    

    FQDN 替换为托管式 Microsoft AD 网域的完全限定域名。

如果已获授权的网络未使用任何列出的地区,您应移除并重新添加已获授权的网络。

网络对等互连

如果未正确配置 VPC 网络对等互连,则身份验证可能会失败。

要验证是否设置了对等互连,请完成以下步骤:

控制台

  1. 前往 Google Cloud 控制台中的 VPC 网络对等互连页面。
    前往“VPC 网络对等互连”页面

  2. VPC 网络对等互连页面上的名称列中,查找名为 peering-VPC_NETWORK_NAME 的对等互连。

gcloud

  1. 运行以下 gcloud CLI 命令:

    gcloud compute networks peerings list --network=VPC_NETWORK_NAME
    
  2. 此命令返回对等互连列表。在列表中,查找名为 peering-VPC_NETWORK_NAME 对等互连。

如果列表中没有 peering-VPC_NETWORK_NAME,您应移除并重新添加已获授权的网络。

Active Directory 身份验证失败(通过信任)

如果通过信任关系使用托管的本地托管账号时,Active Directory 身份验证失败,您应验证与排查创建信任的问题相同的配置。

此外,请验证该账号是否在 Cloud Service Computer Remote Desktop Users 委派组中。详细了解委派组

无法从管理虚拟机访问网域

如果您无法从用于管理 AD 对象的虚拟机访问托管式 Microsoft AD 网域,则应验证与排查托管式 Microsoft AD 托管账号的 Active Directory 身份验证的问题相同的配置。

创建、更新或删除时发生 Org policy 错误

如果您在创建、更新或删除资源时遇到 org policy 错误,则可能需要更改组织政策。了解组织政策限制

请让具有组织政策管理员 (roles/orgpolicy.policyAdmin) IAM 角色的管理员更新所需的组织政策。

Define allowed APIs and services 组织政策

此列表限制条件定义了可在给定资源上启用的一组服务和 API。其在资源层次结构中的后代也会继承该限制条件。如果此限制条件不允许托管式 Microsoft AD 所需的 API,则您在尝试创建、更新或删除资源时会收到错误。

要查看和更新 Define allowed APIs and services 组织政策,请执行以下操作:

控制台

  1. 前往 Google Cloud 控制台中的组织政策页面。
    前往“组织政策”页面
  2. 组织政策页面上的名称列中,选择定义允许的 API 和服务政策以打开政策摘要面板。
  3. 政策摘要面板中,验证以下 API 是否未被拒绝:
    • dns.googleapis.com
    • compute.googleapis.com
  4. 如果需要进行更改,请选择修改,更新政策,然后点击保存

gcloud

  1. 运行以下 gcloud CLI 命令。了解 gcloud resource-manager org-policies describe 命令。

    gcloud resource-manager org-policies describe constraints/serviceuser.services \
        --organization=ORGANIZATION_ID
    
  2. 如果 describe 命令显示不允许 dns.googleapis.comcompute.googleapis.com,请运行以下命令来允许它。了解 gcloud resource-manager org-policies allow 命令。

    gcloud resource-manager org-policies allow constraints/serviceuser.services API_NAME \
        --organization=ORGANIZATION_ID
    

Restrict VPC peering usage 组织政策

此列表限制条件定义了允许与属于给定资源的 VPC 网络对等互连的一组 VPC 网络。如果对等互连被拒绝,则您在尝试创建、更新或删除资源时会收到错误。了解如何查看和更新 Restrict VPC peering usage 组织政策

无法从 Google Cloud 解析本地资源

如果您无法从 Google Cloud 解析本地资源,则可能需要更改 DNS 配置。了解如何配置 DNS 转发以解析针对 VPC 网络中的非托管式 Microsoft AD 对象的查询

间歇性 DNS 查找失败

如果在使用 Cloud Interconnect 或多个 VPN 的高可用性架构时遇到间歇性 DNS 查找失败,您应验证以下配置:

  • 存在 35.199.192.0/19 的路由。
  • 对于所有 Cloud Interconnect 连接或 VPN 隧道,本地网络允许来自 35.199.192.0/19 的流量。

委派管理员账号密码到期

如果委托管理员账号的密码已过期,您可以重置密码。确保您拥有重置委派管理员账号密码所需的权限。如果需要,您还可以为账号停用密码过期设置。

无法查看代管式 Microsoft AD 审核日志

如果您无法在日志查看器或日志浏览器中查看任何代管式 Microsoft AD 审核日志,则应验证以下配置。