Soluciona problemas de Microsoft AD administrado

En esta página, se proporcionan sugerencias y enfoques para solucionar problemas comunes con el servicio administrado para Microsoft Active Directory.

No se puede crear un dominio de Microsoft AD administrado

Si no puedes crear un dominio de Microsoft AD administrado, verificar estas opciones de configuración podría ser útil.

APIs requeridas

Microsoft AD administrado requiere que habilites un grupo de API antes de que puedas crear un dominio.

Para verificar que las API obligatorias estén habilitadas, completa los siguientes pasos:

Console

  1. Ve a la página APIs y servicios en la consola de Google Cloud.
    Ve a APIs y servicios
  2. En la página Panel, verifica que se muestren las siguientes API en la lista:

    • Servicio administrado para la API de Microsoft Active Directory
    • API de Compute Engine
    • API de Cloud DNS

gcloud

  1. Ejecuta el siguiente comando de la CLI de gcloud:

    gcloud services list --available
    
  2. El comando muestra la lista de las APIs habilitadas. Verifica que se enumeren las siguientes API:

    • Servicio administrado para la API de Microsoft Active Directory
    • API de Compute Engine
    • API de Cloud DNS

Si falta alguna de estas API, completa los siguientes pasos para habilitarlas:

Console

  1. Ve a la página Biblioteca de API en la consola de Google Cloud.
    Ir a la biblioteca de la API
  2. En la página Biblioteca API, en el campo de búsqueda, ingrese el nombre de la API que falta.
  3. En la página de API, haz clic en HABILITAR.

gcloud

Ejecuta el siguiente comando de la CLI de gcloud:

  gcloud services enable API_NAME
  

Reemplaza API_NAME por el nombre de la API que falta.

Repite este proceso hasta que estén habilitadas todas las API necesarias.

Facturación

Microsoft AD administrado requiere que habilites la facturación antes de que puedas crear un dominio.

Para verificar que la facturación esté habilitada, completa los siguientes pasos:

Console

  1. Ve a la página Facturación en la consola de Google Cloud.
    Ir a Facturación
  2. Verifica que haya una cuenta de facturación configurada para tu organización.
  3. Haz clic en la pestaña Mis proyectos y verifica que aparezca el proyecto en el que intentas crear un dominio de Microsoft AD administrado.

gcloud

Ejecuta el siguiente comando de la CLI de gcloud:

  gcloud billing projects describe PROJECT_ID
  

Si no ves una cuenta de facturación válida vinculada al proyecto, debes habilitar la facturación.

Rango de direcciones IP

Si recibes un error IP range overlap cuando intentas crear un dominio, significa que el rango de direcciones IP reservadas que proporcionaste en la solicitud de creación de dominio se superpone con el rango de direcciones IP de la red autorizada. Para resolver este problema, debes elegir un rango de direcciones IP diferente o una red autorizada diferente. Para obtener más información, consulta Cómo seleccionar rangos de direcciones IP.

Permisos

Si recibes un error Permission denied cuando intentas crear un dominio, debes verificar que la identidad de llamada tenga permiso para llamar a la API de Microsoft AD administrada. Obtén más información sobre las funciones y permisos de Microsoft AD administrados.

Política de la organización

La creación del dominio puede fallar debido a la configuración de una política de la organización. Por ejemplo, puedes configurar una política de la organización para permitir el acceso solo a servicios específicos, como GKE o Compute Engine. Obtén más información sobre las restricciones de las políticas de la organización.

Pídele al administrador que tenga el rol de IAM de administrador de políticas de la organización (roles/orgpolicy.policyAdmin) en la organización que actualice las políticas de la organización requeridas.

Resource Location Restriction política de la organización

Esta restricción de lista define el conjunto de ubicaciones en las que se pueden crear los recursos de Google Cloud basados en la ubicación. Rechazar la ubicación global puede afectar a Microsoft AD administrado.

Para ver y actualizar la política de la organización Resource Location Restriction, haz lo siguiente:

Console

  1. Ve a la página Políticas de la organización en la consola de Google Cloud.
    Ir a Políticas de la organización
  2. En la página Políticas de organización, en la columna Nombre, seleccione la política Restricción de ubicación de recursos para abrir el panel Resumen de política.
  3. En el panel Resumen de la política, verifica que se permita la ubicación global.
  4. Si necesitas realizar un cambio, selecciona Editar, actualiza la política y, luego, haz clic en Guardar.

Obtén más información sobre cómo restringir ubicaciones de recursos.

gcloud

  1. Para ver los detalles de la política de la organización Resource Location Restriction, ejecuta el siguiente comando de gcloud CLI. Obtén más información sobre el comando gcloud resource-manager org-policies describe.

    gcloud resource-manager org-policies describe constraints/gcp.resourceLocations \
        --organization=ORGANIZATION_ID
    
  2. Si el comando describe muestra que global no está permitido, ejecuta el siguiente comando para permitirlo. Obtén más información sobre el comando gcloud resource-manager org-policies allow.

    gcloud resource-manager org-policies allow constraints/gcp.resourceLocations global \
        --organization=ORGANIZATION_ID
    

Obtén más información sobre cómo restringir ubicaciones de recursos.

Restrict VPC peering usage política de la organización

En esta restricción de lista, se define el conjunto de redes de VPC mediante el cual se puede intercambiar tráfico con las redes de VPC que pertenecen a un recurso determinado. Cuando especificas una red autorizada para un dominio de Microsoft AD administrado, se crea un intercambio de tráfico de VPC entre la red autorizada y la red aislada que contiene los controladores de dominio de AD. Si la política de la organización del proyecto rechaza los intercambios de tráfico, Microsoft AD administrado no puede crear intercambios de tráfico a la red autorizada, por lo que la creación del dominio falla. Recibes un error como el siguiente:

GCE_PRECONDITION_FAILED: Constraint constraints /compute.restrictVpcPeering
violated for project PROJECT_ID. Peering the network projects/PROJECT_ID/global/networks/VPC_NETWORK_NAME
is not allowed.

Para ver y actualizar la política de la organización Restrict VPC peering usage, haz lo siguiente:

Console

  1. Ve a la página Políticas de la organización en la consola de Google Cloud.
    Ir a Políticas de la organización
  2. Sobre el Políticas de organización página, en el Nombre columna, seleccione el Restrinja el uso de emparejamiento VPC política para abrir el panel Resumen de la política.
  3. En el panel Resumen de políticas, verifica que el proyecto permita el intercambio de tráfico.
  4. Si necesitas realizar un cambio, selecciona Editar, actualiza la política y, luego, haz clic en Guardar.

gcloud

  1. Para ver los detalles de la política de la organización Restrict VPC peering usage, ejecuta el siguiente comando de gcloud CLI. Obtén más información sobre el comando gcloud resource-manager org-policies describe.

    gcloud resource-manager org-policies describe constraints/compute.restrictVpcPeering \
        --organization=ORGANIZATION_ID
    
  2. Si el comando describe muestra que no se permiten los intercambios de tráfico, ejecuta el siguiente comando para permitirlo. Obtén más información sobre el comando gcloud resource-manager org-policies allow.

    gcloud resource-manager org-policies allow constraints/compute.restrictVpcPeering under:projects/PROJECT_ID \
        --organization=ORGANIZATION_ID
    

    Reemplaza lo siguiente:

    • PROJECT_ID: Es el nombre del proyecto que contiene el recurso de Microsoft AD administrado.
    • ORGANIZATION_ID: El ID de la organización que aloja ese proyecto.

No se puede unir una VM de Windows a un dominio automáticamente

Estos son algunos problemas con códigos de error que podrías encontrar cuando intentes unir una VM de Windows o nodos de Windows Server de GKE automáticamente a un dominio:

Código de error Descripción Solución potencial
CONFLICT (409) Indica que la cuenta de la instancia de VM ya existe en el dominio de Microsoft AD administrado. Quita la cuenta de forma manual de Microsoft AD administrado con las herramientas de RSAT y vuelve a intentarlo. Para obtener más información sobre cómo administrar objetos de AD en Microsoft AD administrado, consulta Administra objetos de Active Directory.
BAD_REQUEST (412) Indica que la solicitud de unión de dominios contiene información no válida, como un nombre de dominio incorrecto y una estructura de jerarquía de unidad organizativa (UO) incorrecta. Revisa la información, actualiza los detalles si es necesario y vuelve a intentarlo.
INTERNAL (500) Indica que el servidor encontró un error interno desconocido. Comunícate con el equipo de Asistencia de Google Cloud para resolver este problema.
FORBIDDEN (403) Indica que la cuenta de servicio especificada no tiene los privilegios necesarios. Verifica si tienes los privilegios necesarios en la cuenta de servicio y vuelve a intentarlo.
UNAUTHORIZED (401) Indica que la VM no tiene una autorización válida para unirse al dominio. Verifica si tienes el alcance de permiso de acceso requerido en la VM y vuelve a intentarlo.

No se puede unir una VM a un dominio de forma manual

Si no puedes unir una máquina de forma manual desde un entorno local a tu dominio de Microsoft AD administrado, verifica los siguientes requisitos:

  • La máquina a la que intentas unirte se puede descubrir desde Microsoft AD administrado. Para verificar esta conectividad, realiza una búsqueda de DNS desde el entorno local al dominio de Microsoft AD administrado con el comando nslookup.

  • La red local en la que se encuentra la máquina debe estar vinculada con la red de VPC de tu dominio de Microsoft AD administrado. Para obtener información sobre la solución de problemas de una conexión de intercambio de tráfico entre redes de VPC, consulta Solución de problemas.

No se puede usar la VPC compartida como red autorizada

Para acceder a un dominio de Microsoft AD administrado desde una red de VPC compartida, el dominio debe crearse en el mismo proyecto que aloja la red de VPC compartida.

No se puede acceder al dominio de Microsoft AD administrado

Si parece ser que el dominio de Microsoft AD administrado no está disponible, puedes obtener más información sobre su estado si completas los siguientes pasos:

Console

Ve a la página Servicio administrado para Microsoft Active Directory en la consola de Google Cloud.
Ir al Servicio administrado para Microsoft Active Directory

En la página Servicio administrado para Microsoft Active Directory, en la columna Estado, puedes ver los estados de tus dominios.

gcloud

Ejecuta el siguiente comando de la CLI de gcloud:

gcloud active-directory domains list

Este comando muestra los estados de tus dominios.

Si el estado de tu dominio es DOWN, esto indica que tu cuenta podría haber sido suspendida. Comunícate con el equipo de Asistencia de Google Cloud para resolver este problema.

Si el estado de tu dominio es PERFORMING_MAINTENANCE, Microsoft AD administrado aún debería estar disponible para su uso, pero puede no permitir operaciones como la extensión del esquema, la adición o eliminación de regiones. Este estado es poco común y solo sucede cuando se aplican parches en el SO.

No se puede crear una relación de confianza

Si sigues los pasos para crear una relación de confianza, pero no puedes completar el proceso, verificar las siguientes opciones de configuración podría ser útil.

Se puede acceder al dominio local

Para verificar que se pueda acceder al dominio local desde el dominio de Microsoft AD administrado, puedes usar ping o Test-NetConnection. Ejecuta estos comandos desde una VM alojada en Google Cloud y en una red autorizada. Verifica que la VM pueda alcanzar un controlador de dominio local. Obtén más información sobre Test-NetConnection.

Dirección IP

Para verificar que la dirección IP proporcionada durante la configuración de la relación de confianza pueda resolver el dominio local, ejecuta el siguiente comando:

nslookup ON_PREMISES_DOMAIN_NAME CONDITIONAL_FORWARDER_ADDRESS

Reemplaza lo siguiente:

  • ON_PREMISES_DOMAIN_NAME: Es el nombre de tu dominio local.
  • CONDITIONAL_FORWARDER_ADDRESS: Es la dirección IP de tu reenviador condicional de DNS.

Si hay varias direcciones de reenvío condicionales, puedes probarlas.

Obtén más información sobre nslookup.

Relación de confianza local

Para verificar que se haya establecido la relación de confianza local, debes verificar que la siguiente información coincida.

  • El tipo y la dirección de la confianza en el dominio de Microsoft AD administrado complementan la confianza creada en el dominio local.
  • El secreto de confianza proporcionado cuando se crea la relación de confianza en el dominio de Microsoft AD administrado coincide con el que se ingresó en el dominio local.

La dirección de confianza local complementa la dirección de confianza configurada en Microsoft AD administrado. Es decir, si el dominio local espera una confianza entrante, la dirección de confianza para el dominio de Microsoft AD administrado es saliente. Obtén más información sobre las direcciones de confianza.

La relación de confianza ya no funciona

Si creaste una relación de confianza con anterioridad, pero ya no funciona, debes verificar los mismos parámetros de configuración que para solucionar los problemas de la creación de la relación confianza.

Además, si no se usa una relación de confianza durante 60 días o más, se vence su contraseña. Para actualizar la contraseña, cambia la contraseña de la relación de confianza en el dominio local y, luego, actualiza la contraseña en el dominio de Microsoft AD administrado.

La autenticación de Active Directory falla (cuentas alojadas en Microsoft AD administrado)

Si parece que la autenticación de Active Directory falla cuando se usan cuentas alojadas en Microsoft AD, verificar las siguientes opciones de configuración podría ser de ayuda.

La VM está en una red autorizada

A fin de verificar que la VM que se usa para acceder al dominio se encuentre en una red autorizada, completa los siguientes pasos.

  1. Ve a la página Servicio administrado para Microsoft Active Directory en la consola de Google Cloud.
    Ir al Servicio administrado para Microsoft Active Directory

  2. Seleccione el nombre del dominio.

  3. En la página Dominio, en Redes, verifica que la red autorizada aparezca en la lista.

El nombre de usuario y la contraseña son correctos

Verifica que el nombre de usuario y la contraseña proporcionados para acceder sean correctos.

Reglas de firewall

Una regla de firewall deny para la salida al rango de direcciones IP de los controladores de dominio puede hacer que la autenticación falle.

Para verificar las reglas de firewall, completa los siguientes pasos:

Console

  1. Ve a la página Reglas de Firewall en la consola de Google Cloud.
    Ir a Reglas de firewall

  2. En esta página, verifica que no haya un deny para la salida configurada para el rango de direcciones IP de los controladores de dominio.

gcloud

  1. Ejecuta el siguiente comando de la CLI de gcloud:

    gcloud compute firewall-rules list
    
  2. Este comando muestra una lista de las reglas de firewall configuradas. Verifica que no haya un deny para la salida configurada para el rango de direcciones IP de los controladores de dominio.

Obtén más información sobre las reglas de firewall.

Dirección IP

La autenticación puede fallar si la dirección IP no está en el rango de CIDR reservado.

Para verificar la dirección IP, ejecuta el siguiente comando.

nslookup DOMAIN_NAME

Si nslookup falla o muestra una dirección IP que no está en el rango de CIDR, debes verificar que exista la zona de DNS.

Para validar que la zona de DNS existe, completa los siguientes pasos:

Console

  1. Ve a la página de Cloud DNS en la consola de Google Cloud.
    Ve a Cloud DNS

  2. En la página Cloud DNS, en la pestaña Zonas, verifica la columna En uso de la red autorizada.

gcloud

  1. Ejecuta el siguiente comando de la CLI de gcloud:

    gcloud dns managed-zones list --filter=FQDN
    

    Reemplaza FQDN por el nombre de dominio completamente calificado de tu dominio de Microsoft AD administrado.

Si la red autorizada no usa ninguna de las zonas enumeradas, debes quitar y volver a agregar la red autorizada.

Intercambio de tráfico entre redes

La autenticación puede fallar si el intercambio de tráfico entre redes de VPC no está configurado correctamente.

Para verificar que el intercambio de tráfico esté configurado, completa los siguientes pasos:

Console

  1. Ve a la página Intercambio de tráfico entre redes de VPC en la consola de Google Cloud.
    Ir a Intercambio de tráfico entre redes de VPC

  2. En la página Intercambio de tráfico entre redes de VPC, en la columna Nombre, busca un intercambio de tráfico llamado peering-VPC_NETWORK_NAME.

gcloud

  1. Ejecuta el siguiente comando de la CLI de gcloud:

    gcloud compute networks peerings list --network=VPC_NETWORK_NAME
    
  2. Este comando muestra una lista de intercambios de tráfico. En la lista, busca uno llamado peering-VPC_NETWORK_NAME.

Si peering-VPC_NETWORK_NAME no está en la lista, debes quitar y volver a agregar la red autorizada.

La autenticación de Active Directory falla (a través de la relación de confianza)

Si, al parecer, la autenticación de Active Directory falla cuando se usan cuentas alojadas administradas locales, debes verificar las mismas configuraciones que para la solución de problemas de la creación de la relación de confianza.

Además, verifica que la cuenta esté en el grupo delegado de Cloud Service Computer Remote Desktop Users. Más información sobre los grupos delegados

No se puede acceder al dominio desde una VM de administración

Si no puedes acceder al dominio de Microsoft AD administrado desde la VM que se usa para administrar objetos de AD, debes verificar las mismas configuraciones que para solucionar problemas de autenticación de Active Directory para cuentas alojadas en Microsoft AD administrado.

Error Org policy durante la creación, actualización o eliminación

Si encuentras un error org policy cuando creas, actualizas o borras recursos, es posible que debas cambiar una política de la organización. Obtén más información sobre las restricciones de las políticas de la organización.

Pídele al administrador que tenga el rol de IAM de administrador de políticas de la organización (roles/orgpolicy.policyAdmin) en la organización que actualice las políticas de la organización requeridas.

Define allowed APIs and services política de la organización

En esta restricción de lista, se define el conjunto de servicios y API que se pueden habilitar en un recurso determinado. Sus descendientes en la jerarquía de recursos también heredan la restricción. Si esta restricción no permite las API que se requieren para Microsoft AD administrado, recibirás un error cuando intentes crear, actualizar o borrar recursos.

Para ver y actualizar la política de la organización Define allowed APIs and services, haz lo siguiente:

Console

  1. Ve a la página Políticas de la organización en la consola de Google Cloud.
    Ir a Políticas de la organización
  2. En la página Políticas de la organización, en la columna Nombre, selecciona la política Definir las API y los servicios permitidos para abrir el panel Resumen de la política.
  3. En el panel Resumen de la política, verifica que no se rechacen las siguientes API:
    • dns.googleapis.com
    • compute.googleapis.com
  4. Si necesitas realizar un cambio, selecciona Editar, actualiza la política y, luego, haz clic en Guardar.

gcloud

  1. Ejecuta el siguiente comando de gcloud CLI. Obtén más información sobre el comando gcloud resource-manager org-policies describe.

    gcloud resource-manager org-policies describe constraints/serviceuser.services \
        --organization=ORGANIZATION_ID
    
  2. Si el comando describe muestra que dns.googleapis.com o compute.googleapis.com no están permitidos, ejecuta el siguiente comando para permitirlo. Obtén más información sobre el comando gcloud resource-manager org-policies allow.

    gcloud resource-manager org-policies allow constraints/serviceuser.services API_NAME \
        --organization=ORGANIZATION_ID
    

Restrict VPC peering usage política de la organización

En esta restricción de lista, se define el conjunto de redes de VPC mediante el cual se puede intercambiar tráfico con las redes de VPC que pertenecen a un recurso determinado. Si se rechazan los intercambios de tráfico, recibirás un error cuando intentes crear, actualizar o borrar recursos. Obtén información para ver y actualizar la política de la organización Restrict VPC peering usage.

No se pueden resolver los recursos locales de Google Cloud

Si no puedes resolver los recursos locales desde Google Cloud, es posible que debas cambiar la configuración de DNS. Obtén más información sobre cómo configurar el reenvío de DNS para resolver consultas de objetos de Microsoft AD no administrados en redes de VPC.

Fallas intermitentes de la búsqueda de DNS

Si tienes fallas intermitentes de búsqueda de DNS cuando se usa un esquema con alta disponibilidad para Cloud Interconnect o varias VPN, debes verificar las siguientes opciones de configuración:

  • Existe una ruta para 35.199.192.0/19.
  • La red local permite el tráfico desde 35.199.192.0/19 para todas las conexiones de Cloud Interconnect o los túneles VPN.

Vencimiento de la contraseña de la cuenta de administrador delegado

Si la contraseña de la cuenta de administrador delegada está vencida, puedes restablecer la contraseña. Asegúrate de tener los permisos necesarios para restablecer la contraseña de la cuenta de administrador delegada. Si lo deseas, también puedes inhabilitar el vencimiento de la contraseña de la cuenta.

No se pueden ver los registros de auditoría de Microsoft AD administrado

Si no puedes ver los registros de auditoría de Microsoft AD administrado en el visor de registros o en el explorador de registros, debes verificar las siguientes configuraciones.