En esta página se ofrecen consejos y enfoques para solucionar problemas habituales del servicio gestionado para Microsoft Active Directory.
No se puede crear un dominio de Microsoft AD gestionado
Si no puedes crear un dominio de Microsoft AD gestionado, te recomendamos que verifiques las siguientes configuraciones.
API obligatorias
Managed Microsoft AD requiere que habilites un grupo de APIs antes de poder crear un dominio.
Para comprobar que las APIs necesarias están habilitadas, sigue estos pasos:
Consola
- Ve a la página APIs & Services (APIs y servicios) de la consolaGoogle Cloud .
Ve a APIs y servicios. En la página Panel de control, comprueba que se muestran las siguientes APIs:
- API Managed Service for Microsoft Active Directory
- API de Compute Engine
- Cloud DNS API
gcloud
Ejecuta el siguiente comando de gcloud CLI:
gcloud services list --available
El comando devuelve la lista de APIs habilitadas. Comprueba que se incluyan las siguientes APIs:
- API Managed Service for Microsoft Active Directory
- API de Compute Engine
- Cloud DNS API
Si falta alguna de estas APIs, sigue estos pasos para habilitarla:
Consola
- Ve a la página Biblioteca de APIs de laGoogle Cloud consola.
Ir a la biblioteca de APIs - En la página Biblioteca de APIs, en el campo de búsqueda, introduce el nombre de la API que falta.
- En la página de información de la API, haz clic en Habilitar.
gcloud
Ejecuta el siguiente comando de gcloud CLI:
gcloud services enable API_NAME
Sustituye API_NAME por el nombre de la API que falta.
Repite este proceso hasta que todas las APIs necesarias estén habilitadas.
Facturación
Managed Microsoft AD requiere que habilites la facturación para poder crear un dominio.
Para verificar que la facturación está habilitada, sigue estos pasos:
Consola
- Ve a la página Facturación de la
Google Cloud consola.
Ir a Facturación - Comprueba que haya una cuenta de facturación configurada para tu organización.
- Haz clic en la pestaña Mis proyectos y comprueba que aparece el proyecto en el que quieres crear un dominio de Microsoft AD gestionado.
gcloud
Ejecuta el siguiente comando de gcloud CLI:
gcloud billing projects describe PROJECT_ID
Si no ve ninguna cuenta de facturación válida vinculada al proyecto, debe habilitar la facturación.
Intervalo de direcciones IP
Si recibe un error IP range overlap al intentar crear un dominio, significa que el intervalo de direcciones IP reservado que ha proporcionado en la solicitud de creación del dominio se solapa con el intervalo de direcciones IP de la red autorizada. Para solucionar este problema, debes elegir otro intervalo de direcciones IP u otra red autorizada. Para obtener más información, consulta Seleccionar intervalos de direcciones IP.
Permisos
Si recibes un error Permission denied al intentar crear un dominio, debes verificar que la identidad que llama tiene permiso para llamar a la API Managed Microsoft AD. Más información sobre los roles y permisos de Microsoft AD gestionado
Política de organización
La creación del dominio puede fallar debido a la configuración de una política de organización. Por ejemplo, puedes configurar una política de la organización para permitir el acceso solo a servicios específicos, como GKE o Compute Engine. Consulta más información sobre las restricciones de la política de organización.
Pídele a tu administrador, que tiene el rol de gestión de identidades y accesos de administrador de políticas de organización
(roles/orgpolicy.policyAdmin)
en la organización, que actualice las políticas de organización necesarias.
Política de organización de Resource Location Restriction
La restricción de esta lista define el conjunto de ubicaciones en las que se pueden crear recursos basados en la ubicación.Google Cloud Si deniegas la ubicación global, puede afectar a Microsoft AD gestionado.
Para ver y actualizar la política de la organización Resource Location Restriction, sigue estos pasos:
Consola
- Ve a la página Políticas de la organización de la consola de Google Cloud .
Ve a Políticas de organización. - En la página Políticas de la organización, en la columna Nombre, selecciona la política Restricción de ubicación de recursos para abrir el panel Resumen de la política.
- En el panel Resumen de la política, compruebe que la ubicación
globalestá permitida. - Si necesitas hacer algún cambio, selecciona Editar, actualiza la política y, a continuación, haz clic en Guardar.
Consulta información sobre cómo restringir ubicaciones de recursos.
gcloud
Para ver los detalles de la política de la organización
Resource Location Restriction, ejecuta el siguiente comando de la CLI de gcloud. Consulta información sobre el comandogcloud resource-manager org-policies describe.gcloud resource-manager org-policies describe constraints/gcp.resourceLocations \ --organization=ORGANIZATION_IDSi el comando
describemuestra queglobalno está permitido, ejecuta el siguiente comando para permitirlo. Consulta información sobre el comandogcloud resource-manager org-policies allow.gcloud resource-manager org-policies allow constraints/gcp.resourceLocations global \ --organization=ORGANIZATION_ID
Consulta información sobre cómo restringir ubicaciones de recursos.
Política de organización de Restrict VPC peering usage
La restricción de esta lista define el conjunto de redes de VPC que se pueden emparejar con las redes de VPC que pertenecen a un recurso determinado. Cuando especificas una red autorizada para un dominio de Microsoft AD gestionado, se crea un emparejamiento de VPC entre la red autorizada y la red aislada que contiene los controladores de dominio de AD. Si la política de organización del proyecto deniega las conexiones entre iguales, Managed Microsoft AD no podrá crear ninguna conexión con la red autorizada, por lo que la creación del dominio fallará. Recibes un error como este:
GCE_PRECONDITION_FAILED: Constraint constraints /compute.restrictVpcPeering violated for project PROJECT_ID. Peering the network projects/PROJECT_ID/global/networks/VPC_NETWORK_NAME is not allowed.
Para ver y actualizar la política de la organización Restrict VPC peering usage, sigue estos pasos:
Consola
- Ve a la página Políticas de la organización de la consola de Google Cloud .
Ve a Políticas de organización. - En la página Políticas de la organización, en la columna Nombre, selecciona la política Restringir el uso del peering de VPC para abrir el panel Resumen de la política.
- En el panel Resumen de la política, comprueba que el proyecto permite las interconexiones.
- Si necesitas hacer algún cambio, selecciona Editar, actualiza la política y, a continuación, haz clic en Guardar.
gcloud
Para ver los detalles de la política de la organización
Restrict VPC peering usage, ejecuta el siguiente comando de la CLI de gcloud. Consulta información sobre el comandogcloud resource-manager org-policies describe.gcloud resource-manager org-policies describe constraints/compute.restrictVpcPeering \ --organization=ORGANIZATION_IDSi el comando
describemuestra que no se permiten las conexiones entre iguales, ejecuta el siguiente comando para permitirlas. Consulta información sobre el comandogcloud resource-manager org-policies allow.gcloud resource-manager org-policies allow constraints/compute.restrictVpcPeering under:projects/PROJECT_ID \ --organization=ORGANIZATION_IDHaz los cambios siguientes:
PROJECT_ID: nombre del proyecto que contiene el recurso de Managed Microsoft AD.ORGANIZATION_ID: el ID de la organización que aloja ese proyecto.
No se puede unir automáticamente una máquina virtual de Windows a un dominio
A continuación, se indican algunos problemas con los códigos de error que pueden surgir al intentar unir automáticamente una VM de Windows o nodos de Windows Server de GKE a un dominio:
| Código de error | Descripción | Posible solución |
|---|---|---|
CONFLICT (409) |
Indica que la cuenta de instancia de VM ya existe en el dominio de Microsoft AD gestionado. | Quita la cuenta manualmente de Managed Microsoft AD con las herramientas RSAT y vuelve a intentarlo. Para obtener más información sobre cómo gestionar objetos de AD en Managed Microsoft AD, consulta el artículo Gestionar objetos de Active Directory. |
BAD_REQUEST (412) |
Indica que la solicitud de unión al dominio contiene información no válida, como un nombre de dominio incorrecto o una estructura de jerarquía de unidad organizativa incorrecta. | Revisa la información, actualiza los detalles si es necesario y vuelve a intentarlo. |
INTERNAL (500) |
Indica que el servidor ha detectado un error interno desconocido. | Ponte en contacto con el Google Cloud equipo de Asistencia para resolver este problema. |
FORBIDDEN (403) |
Indica que la cuenta de servicio especificada no tiene los privilegios necesarios. | Comprueba si tienes los privilegios necesarios en la cuenta de servicio y vuelve a intentarlo. |
UNAUTHORIZED (401) |
Indica que la VM no tiene una autorización válida para unirse al dominio. | Comprueba si tienes el ámbito de acceso necesario en la VM y vuelve a intentarlo. |
No se puede unir una VM manualmente a un dominio
Si no puedes unir manualmente una máquina de un entorno local a tu dominio de Microsoft AD gestionado, comprueba que se cumplen los siguientes requisitos:
La máquina a la que intentas unirte se puede detectar desde Managed Microsoft AD. Para verificar esta conectividad, realiza una búsqueda de DNS desde el entorno local al dominio de Microsoft AD gestionado con el comando
nslookup.La red local en la que se encuentra la máquina debe estar emparejada con la red VPC de tu dominio de Microsoft AD gestionado. Para obtener información sobre cómo solucionar problemas de una conexión de emparejamiento entre redes de VPC, consulta la sección Solución de problemas.
No se puede usar la VPC compartida como red autorizada
Para acceder a un dominio de Microsoft AD gestionado desde una red de VPC compartida, el dominio debe crearse en el mismo proyecto que aloja la red de VPC compartida.
No se puede acceder al dominio de Microsoft AD gestionado
Si parece que tu dominio de Microsoft AD gestionado no está disponible, puedes obtener más información sobre su estado siguiendo estos pasos:
Consola
Ve a la página Servicio gestionado de Microsoft Active Directory de la Google Cloud consola.
Ir al servicio gestionado de Microsoft Active Directory
En la página Servicio gestionado de Microsoft Active Directory, en la columna Estado, puedes ver el estado de tus dominios.
gcloud
Ejecuta el siguiente comando de gcloud CLI:
gcloud active-directory domains list
Este comando devuelve los estados de tus dominios.
Si el estado de tu dominio es DOWN, significa que tu cuenta puede haberse suspendido. Ponte en contacto con el Google Cloud equipo de Asistencia para solucionar este problema.
Si el estado de tu dominio es PERFORMING_MAINTENANCE,
Managed Microsoft AD debería seguir estando disponible, pero es posible que no permita
operaciones como ampliar el esquema o añadir o quitar regiones. Este estado es poco frecuente y solo se produce cuando se parchea el SO.
No se ha podido crear la confianza
Si sigues los pasos para crear una confianza, pero no puedes completar el proceso, puede que te ayude verificar las siguientes configuraciones.
Se puede acceder al dominio local
Para verificar que se puede acceder al dominio local desde el dominio de Microsoft AD gestionado, puedes usar ping o Test-NetConnection. Ejecuta estos comandos desde una VM alojada en Google Cloud y en una red autorizada. Comprueba que la VM pueda acceder a un controlador de dominio local. Más información sobre Test-NetConnection
Dirección IP
Para verificar que la dirección IP proporcionada durante la configuración de la confianza puede resolver el dominio local, ejecuta el siguiente comando:
nslookup ON_PREMISES_DOMAIN_NAME CONDITIONAL_FORWARDER_ADDRESS
Haz los cambios siguientes:
ON_PREMISES_DOMAIN_NAME: el nombre de tu dominio local.CONDITIONAL_FORWARDER_ADDRESS: la dirección IP de tu reenviador condicional DNS.
Si hay varias direcciones de reenviador condicional, puedes probar con cualquiera de ellas.
Más información sobre nslookup
Relación de confianza on-premise
Para verificar que se ha establecido la relación de confianza local, debes comprobar que la siguiente información coincida.
- El tipo y la dirección de la confianza en el dominio de Microsoft AD gestionado complementan la confianza creada en el dominio local.
- El secreto de confianza proporcionado al crear la confianza en el dominio de Microsoft AD gestionado coincide con el introducido en el dominio local.
La dirección de la relación de confianza local complementa la dirección de la relación de confianza configurada en Microsoft AD gestionado. Es decir, si el dominio local espera una confianza entrante, la dirección de confianza del dominio de Microsoft AD gestionado es saliente. Más información sobre las direcciones de confianza
La confianza ya no funciona
Si has creado una relación de confianza anteriormente, pero ya no funciona, debes verificar las mismas configuraciones que para solucionar problemas al crear una relación de confianza.
Además, si una confianza no se usa durante 60 días o más, la contraseña de confianza caduca. Para actualizar la contraseña, cambia la contraseña de la confianza en el dominio local y, a continuación, actualiza la contraseña en el dominio de Microsoft AD gestionado.
La autenticación de Active Directory falla (cuentas alojadas en Microsoft AD gestionado)
Si parece que la autenticación de Active Directory falla al usar cuentas alojadas en Microsoft AD gestionado, puede ser útil verificar las siguientes configuraciones.
La VM está en una red autorizada
Para verificar que la VM utilizada para acceder al dominio está en una red autorizada, sigue estos pasos.
Ve a la página Servicio gestionado de Microsoft Active Directory de la Google Cloud consola.
Ir al servicio gestionado de Microsoft Active DirectorySelecciona el nombre de tu dominio.
En la página Dominio, en Redes, comprueba que la red autorizada aparece en la lista.
El nombre de usuario y la contraseña son correctos
Verifica que el nombre de usuario y la contraseña proporcionados para iniciar sesión sean correctos.
Reglas de cortafuegos
Una regla de firewall de deny para el tráfico saliente al intervalo de direcciones IP de los controladores de dominio puede provocar que falle la autenticación.
Para comprobar tus reglas de cortafuegos, sigue estos pasos:
Consola
Ve a la página Reglas de cortafuegos de la consola de Google Cloud .
Ve a Reglas de cortafuegosEn esta página, comprueba que no haya ningún
denyde salida configurado para el intervalo de direcciones IP de los controladores de dominio.
gcloud
Ejecuta el siguiente comando de gcloud CLI:
gcloud compute firewall-rules list
Este comando devuelve una lista de las reglas de cortafuegos configuradas. Comprueba que no haya un
denyde salida configurado para el intervalo de direcciones IP de los controladores de dominio.
Más información sobre las reglas de cortafuegos
Dirección IP
La autenticación puede fallar si la dirección IP no está en el intervalo CIDR reservado.
Para comprobar la dirección IP, ejecuta el siguiente comando.
nslookup DOMAIN_NAME
Si nslookup falla o devuelve una dirección IP que no está en el intervalo CIDR, debes verificar que la zona DNS exista.
Para validar que la zona DNS existe, sigue estos pasos:
Consola
Ve a la página Cloud DNS de la Google Cloud consola.
Ir a Cloud DNSEn la página Cloud DNS, en la pestaña Zonas, consulta la columna En uso por para ver la red autorizada.
gcloud
Ejecuta el siguiente comando de gcloud CLI:
gcloud dns managed-zones list --filter=FQDN
Sustituye
FQDNpor el nombre de dominio completo de tu dominio de Microsoft AD gestionado.
Si la red autorizada no usa ninguna de las zonas indicadas, debe quitarla y volver a añadirla.
Emparejamiento entre redes
La autenticación puede fallar si el emparejamiento entre redes de VPC no está configurado correctamente.
Para verificar que la creación de un peering se ha configurado, sigue estos pasos:
Consola
Ve a la página Emparejamiento entre redes de VPC de la Google Cloud consola.
Ir al emparejamiento de redes VPCEn la página Emparejamiento entre redes de VPC, busca en la columna Nombre un emparejamiento llamado
peering-VPC_NETWORK_NAME.
gcloud
Ejecuta el siguiente comando de gcloud CLI:
gcloud compute networks peerings list --network=VPC_NETWORK_NAME
Este comando devuelve una lista de emparejamientos. En la lista, busca una opción llamada
peering-VPC_NETWORK_NAME.
Si peering-VPC_NETWORK_NAME no está en la lista, debes quitar la red autorizada y volver a añadirla.
La autenticación de Active Directory falla (a través de una relación de confianza)
Si parece que la autenticación de Active Directory falla al usar cuentas gestionadas alojadas en las instalaciones a través de una relación de confianza, debes verificar las mismas configuraciones que harías para solucionar problemas al crear una relación de confianza.
Además, compruebe que la cuenta esté en el grupo delegado Cloud Service Computer Remote Desktop Users. Más información sobre los grupos delegados
No se puede acceder al dominio desde una VM de gestión
Si no puedes acceder al dominio de Managed Microsoft AD desde la VM que se usa para gestionar objetos de AD, debes verificar las mismas configuraciones que harías para solucionar problemas de autenticación de Active Directory para cuentas alojadas en Managed Microsoft AD.
Error de Org policy al crear, actualizar o eliminar
Si se produce un error org policy al crear, actualizar o eliminar recursos, es posible que tengas que cambiar una política de la organización. Consulta información sobre las restricciones de las políticas de la organización.
Pídele a tu administrador, que tiene el rol de gestión de identidades y accesos de administrador de políticas de organización
(roles/orgpolicy.policyAdmin)
en la organización, que actualice las políticas de organización necesarias.
Política de organización de Define allowed APIs and services
La restricción de esta lista define el conjunto de servicios y APIs que se pueden habilitar en un recurso determinado. Sus elementos secundarios en la jerarquía de recursos también heredan la restricción. Si esta restricción no permite las APIs necesarias para Managed Microsoft AD, recibirás un error cuando intentes crear, actualizar o eliminar recursos.
Para ver y actualizar la política de la organización Define allowed APIs and services, sigue estos pasos:
Consola
- Ve a la página Políticas de la organización de la consola de Google Cloud .
Ve a Políticas de organización. - En la página Políticas de la organización, en la columna Nombre, selecciona la política Definir APIs y servicios permitidos para abrir el panel Resumen de la política.
- En el panel Resumen de la política, comprueba que no se hayan denegado las siguientes APIs:
dns.googleapis.comcompute.googleapis.com
- Si necesitas hacer algún cambio, selecciona Editar, actualiza la política y, a continuación, haz clic en Guardar.
gcloud
Ejecuta el siguiente comando de la CLI de gcloud. Consulta información sobre el comando
gcloud resource-manager org-policies describe.gcloud resource-manager org-policies describe constraints/serviceuser.services \ --organization=ORGANIZATION_IDSi el comando
describemuestra quedns.googleapis.comocompute.googleapis.comno están permitidos, ejecuta el siguiente comando para permitirlo. Consulta información sobre el comandogcloud resource-manager org-policies allow.gcloud resource-manager org-policies allow constraints/serviceuser.services API_NAME \ --organization=ORGANIZATION_ID
Política de organización de Restrict VPC peering usage
La restricción de esta lista define el conjunto de redes de VPC que se pueden emparejar con las redes de VPC que pertenecen a un recurso determinado. Si se deniegan las emparejamientos, recibirás un error cuando intentes crear, actualizar o eliminar recursos. Consulta cómo ver y actualizar la Restrict VPC peering usage política de la organización.
No se pueden resolver recursos locales desde Google Cloud
Si no puedes resolver los recursos locales desde Google Cloud, puede que tengas que cambiar tu configuración de DNS. Consulta cómo configurar el reenvío de DNS para resolver consultas de objetos de Microsoft AD no gestionados en redes de VPC.
Errores intermitentes en la petición de DNS
Si experimenta fallos intermitentes en la búsqueda de DNS al usar un esquema de alta disponibilidad para Cloud Interconnect o varias VPNs, debe verificar las siguientes configuraciones:
- Ya existe una ruta para 35.199.192.0/19.
- La red on‐premise permite el tráfico de 35.199.192.0/19 para todas las conexiones de Cloud Interconnect o los túneles VPN.
La contraseña de la cuenta de administrador delegado caduca
Si la contraseña de la cuenta de administrador delegado ha caducado, puedes cambiarla. Asegúrate de que tienes los permisos necesarios para restablecer la contraseña de la cuenta de administrador delegado. Si quieres, también puedes inhabilitar la caducidad de la contraseña de la cuenta.
No se pueden ver los registros de auditoría de Microsoft AD gestionado
Si no puede ver ningún registro de auditoría de Microsoft AD gestionado en el visor de registros o en el explorador de registros, debe verificar las siguientes configuraciones.
- El registro está habilitado en el dominio.
- Tienes el rol de gestión de identidades y accesos
roles/logging.vieweren el proyecto en el que se encuentra el dominio.