マネージド Microsoft AD のトラブルシューティング

このページでは、Managed Service for Microsoft Active Directory に関する一般的な問題のトラブルシューティングと解決に関するヒントと方法について説明します。

マネージド Microsoft AD ドメインを作成できません

マネージド Microsoft AD ドメインを作成できない場合は、次の構成を確認すると役立つ場合があります。

必要な API

マネージド Microsoft AD では、ドメインを作成する前に、API のグループを有効にする必要があります。

必要な API が有効になっていることを確認するには、次の手順を実行します。

コンソール

  1. Google Cloud コンソールの [API とサービス] ページに移動します。
    [API とサービスに移動]
  2. [ダッシュボード] ページで、次の API がリストされていることを確認します。

    • Microsoft Active Directory API のマネージド サービス
    • Compute Engine API
    • Cloud DNS API

gcloud

  1. 次の gcloud CLI コマンドを実行します。

    gcloud services list --available
    
  2. このコマンドは、有効な API のリストを返します。次の API が表示されていることを確認します。

    • Microsoft Active Directory API のマネージド サービス
    • Compute Engine API
    • Cloud DNS API

これらの API のいずれかがリストされていない場合は、以下の手順を実行してそれらを有効にします。

コンソール

  1. Google Cloud コンソールで [API ライブラリ] ページに移動します。
    [API ライブラリに移動]
  2. [API ライブラリ] ページの検索フィールドに、不足している API の名前を入力します。
  3. API の情報ページで、[有効にする] をクリックします。

gcloud

次の gcloud CLI コマンドを実行します。

  gcloud services enable API_NAME
  

API_NAME は、不足している API の名前に置き換えます。

必要な API がすべて有効になるまで、このプロセスを繰り返します。

課金

マネージド Microsoft AD では、ドメインを作成する前に課金を有効にする必要があります。

課金が有効になっていることを確認するには、次の手順に従います。

コンソール

  1. Google Cloud コンソールの [お支払い] ページに移動します。
    [お支払い] に移動
  2. 組織の請求先アカウントが設定されていることを確認します。
  3. [マイ プロジェクト] タブをクリックし、マネージド Microsoft AD ドメインを作成しようとしているプロジェクトがリストされていることを確認します。

gcloud

次の gcloud CLI コマンドを実行します。

  gcloud billing projects describe PROJECT_ID
  

プロジェクトにリンクされた有効な請求先アカウントが表示されない場合は、課金を有効にする必要があります。

IP アドレス範囲

ドメインの作成時に IP range overlap エラーが発生した場合、ドメイン作成リクエストで指定した予約済み IP アドレス範囲が承認済みネットワークの IP アドレス範囲と重複しています。この問題を解決するには、別の IP アドレス範囲または承認済みネットワークを選択する必要があります。詳細については、IP アドレス範囲を選択するをご覧ください。

権限

ドメインを作成しようとしたときに Permission denied エラーを受け取った場合は、呼び出し元の ID が マネージド Microsoft AD API を呼び出すことが許可されていることを確認する必要があります。詳しくは、マネージド Microsoft AD の役割と権限の詳細をご覧ください。

組織ポリシー

組織のポリシーの構成により、ドメインの作成が失敗する可能性があります。たとえば、GKE や Compute Engine などの特定のサービスに対するアクセスのみを許可する組織のポリシーを構成できます。詳しくは、組織のポリシーの制約をご確認ください。

組織ポリシー管理者(roles/orgpolicy.policyAdmin)の IAM ロールを持つ組織の管理者に、必要な組織のポリシーを更新するよう依頼してください。

Resource Location Restriction 組織ポリシー

このリスト型制約は、ロケーション ベースの Google Cloud リソースを作成できる一連のロケーションを定義します。global のロケーションを拒否すると、マネージド Microsoft AD に影響を与える可能性があります。

Resource Location Restriction 組織ポリシーを表示および更新するには:

Console

  1. Google Cloud Console の [組織のポリシー] ページに移動します。
    [組織のポリシー] に移動
  2. [組織のポリシー] ページの [名前] 列で、[リソース ロケーションの制限] ポリシーを選択して、[ポリシーの概要] パネルを開きます。
  3. [ポリシーの概要] パネルで、global のロケーションが許可されていることを確認します。
  4. 変更する必要がある場合は、[編集] を選択してポリシーを更新し、[保存] をクリックします。

リソース ロケーションの制限について学習する。

gcloud

  1. Resource Location Restriction 組織のポリシーの詳細を表示するには、次の gcloud CLI コマンドを実行します。gcloud resource-manager org-policies describe コマンドについて学習します。

    gcloud resource-manager org-policies describe constraints/gcp.resourceLocations \
        --organization=ORGANIZATION_ID
    
  2. describe コマンドで global が許可されていないことが表示された場合は、次のコマンドを実行して許可してください。gcloud resource-manager org-policies allow コマンドについて学習します。

    gcloud resource-manager org-policies allow constraints/gcp.resourceLocations global \
        --organization=ORGANIZATION_ID
    

リソース ロケーションの制限について学習する。

Restrict VPC peering usage 組織ポリシー

このリスト型制約は、特定のリソースに属する VPC ネットワークとピアリングできる一連の VPC ネットワークを定義します。マネージド Microsoft AD ドメインに承認済みネットワークを指定すると、承認済みネットワークと AD ドメイン コントローラを含む分離されたネットワークの間に VPC ピアリングが作成されます。プロジェクトの組織ポリシーがピアリングを拒否すると、マネージド Microsoft AD は承認済みネットワークへのピアリングを作成できないため、ドメインの作成は失敗します。次のようなエラーが表示されます。

GCE_PRECONDITION_FAILED: Constraint constraints /compute.restrictVpcPeering
violated for project PROJECT_ID. Peering the network projects/PROJECT_ID/global/networks/VPC_NETWORK_NAME
is not allowed.

Restrict VPC peering usage 組織ポリシーを表示および更新するには:

Console

  1. Google Cloud Console の [組織のポリシー] ページに移動します。
    [組織のポリシー] に移動
  2. [組織のポリシー] ページの、[名前] 列で、VPC ピアリングの使用制限ポリシーを選択して、[ポリシーの概要] パネルを開きます。
  3. [ポリシーの概要] パネルで、プロジェクトがピアリングを許可していることを確認します。
  4. 変更する必要がある場合は、[編集] を選択してポリシーを更新し、[保存] をクリックします。

gcloud

  1. Restrict VPC peering usage 組織のポリシーの詳細を表示するには、次の gcloud CLI コマンドを実行します。gcloud resource-manager org-policies describe コマンドについて学習します。

    gcloud resource-manager org-policies describe constraints/compute.restrictVpcPeering \
        --organization=ORGANIZATION_ID
    
  2. describe コマンドでピアリングが許可されていないことが表示された場合は、次のコマンドを実行してピアリングを許可します。gcloud resource-manager org-policies allow コマンドについて学習します。

    gcloud resource-manager org-policies allow constraints/compute.restrictVpcPeering under:projects/PROJECT_ID \
        --organization=ORGANIZATION_ID
    

    次のように置き換えます。

    • PROJECT_ID: Managed Microsoft AD リソースを含むプロジェクトの名前。
    • ORGANIZATION_ID: プロジェクトをホストする組織の ID。

Windows VM をドメインに自動的に参加させられない

Windows VM または GKE Windows Server ノードを自動的にドメインに参加させようとしたときに発生する可能性のあるエラーコードエの問題を次に示します。

Error code(エラーコード) 説明 ソリューションの候補
CONFLICT (409) VM インスタンス アカウントがマネージド Microsoft AD ドメインにすでに存在することを示します。 RSAT ツールを使用してマネージド Microsoft AD からアカウントを手動で削除し、もう一度お試しください。マネージド Microsoft AD で AD オブジェクトを管理する方法については、Active Directory オブジェクトを管理するをご覧ください。
BAD_REQUEST (412) ドメイン参加リクエストに無効な情報(ドメイン名の誤りや組織部門(OU)の階層構造の誤りなど)が含まれていることを示します。 情報を確認し、必要に応じて詳細を更新してから、もう一度お試しください。
INTERNAL (500) サーバーで不明な内部エラーが発生したことを示します。 この問題を解決するには、Google Cloud サポートまでお問い合わせください。
FORBIDDEN (403) 指定したサービス アカウントに必要な権限がないことを示します。 サービス アカウントに必要な権限があることを確認してから、もう一度お試しください。
UNAUTHORIZED (401) VM にドメインに参加するための有効な承認がないことを示します。 VM に必要なアクセス スコープがあることを確認してから、もう一度お試しください。

VM を手動でドメインに参加させられない

オンプレミス環境からマネージド Microsoft AD ドメインにマシンを手動で参加させられない場合は、次の要件を確認してください。

  • 参加させようとしているマシンは、Managed Microsoft AD から検出できます。この接続を確認するには、nslookup コマンドを使用して、オンプレミス環境からマネージド Microsoft AD ドメインへの DNS ルックアップを実行します。

  • マシンが存在するオンプレミス ネットワークは、Managed Microsoft AD ドメインの VPC ネットワークとピアリングされている必要があります。VPC ネットワーク ピアリング接続のトラブルシューティングについては、トラブルシューティングをご覧ください。

承認済みネットワークとして共有 VPC を使用できません

共有 VPC ネットワークからマネージド Microsoft AD ドメインにアクセスするには、共有 VPC ネットワークをホストするプロジェクトと同じプロジェクトにドメインを作成する必要があります。

マネージド Microsoft AD ドメインにアクセスできません

マネージド Microsoft AD ドメインが利用できない場合は、次の手順を実行して、そのステータスに関する詳細情報を取得できます。

コンソール

Google Cloud コンソールの [Microsoft Active Directory のマネージド サービス] ページに移動します。
[Microsoft Active Directory 用のマネージド サービスの概要]

[Microsoft Active Directory のマネージド サービス] ページの [ステータス] 列で、ドメインのステータスを確認できます。

gcloud

次の gcloud CLI コマンドを実行します。

gcloud active-directory domains list

このコマンドは、ドメインのステータスを返します。

ドメインのステータスが DOWN の場合は、アカウントが停止されている可能性があることを示しています。この問題を解決するには、Google Cloud サポートまでお問い合わせください。

ドメインのステータスが PERFORMING_MAINTENANCE の場合、マネージド Microsoft AD は引き続き使用できますが、スキーマの拡張、リージョンの追加や削除などの操作ができない場合があります。このステータスはまれなケースで、OS にパッチが適用されている場合にのみ発生します。

信頼を作成できません

信頼を作成する手順を実行してもプロセスを完了できない場合、次の構成を確認すると役立つ場合があります。

オンプレミス ドメインに到達可能です

マネージド Microsoft AD ドメインからオンプレミス ドメインに到達可能であることを確認するには、ping または Test-NetConnectionを使用します。Google Cloud と承認済みネットワークでホストされている VM からこれらのコマンドを実行します。VM がオンプレミス ドメイン コントローラにアクセスできることを確認します。詳しくは、Test-NetConnection をご覧ください。

IP アドレス

信頼の設定中に指定された IP アドレスがオンプレミス ドメインを解決できるかどうかを確認するには、次のコマンドを実行します。

nslookup ON_PREMISES_DOMAIN_NAME CONDITIONAL_FORWARDER_ADDRESS

次のように置き換えます。

  • ON_PREMISES_DOMAIN_NAME: オンプレミス ドメインの名前。
  • CONDITIONAL_FORWARDER_ADDRESS: DNS 条件付きフォワーダーの IP アドレス。

複数の条件付き転送元アドレスがある場合は、それらのいずれかに対してテストできます。

詳細については、nslookup についてをご覧ください。

オンプレミスの信頼関係

オンプレミスの信頼関係が確立されていることを確認するには、次の情報が一致していることを確認する必要があります。

  • マネージド Microsoft AD ドメインの信頼の種類と方向は、オンプレミス ドメインで作成された信頼を補完します。
  • Managed Microsoft AD ドメインで信頼を作成したときに提供された信頼シークレットは、オンプレミス ドメインに入力されたものと一致します。

オンプレミスの信頼の方向は、Managed Microsoft AD で構成された信頼の方向を補完します。つまり、オンプレミス ドメインが受信信頼を想定している場合は、マネージド Microsoft AD ドメインの信頼方向は送信になります。詳しくは、信頼の方向をご覧ください。

信頼が機能しなくなりました

以前に信頼を作成したが機能しなくなった場合は、信頼の作成に関するトラブルシューティングと同じ構成を確認する必要があります。

さらに、信頼が 60 日以上使用されなかった場合、信頼パスワードは期限切れになります。パスワードを更新するには、オンプレミス ドメインの信頼のパスワードを変更してから、マネージド Microsoft AD ドメインのパスワードを更新します。

Active Directory 認証に失敗しました(マネージド Microsoft AD がホストするアカウント)

マネージド Microsoft AD がホストするアカウントを使用しているときに Active Directory 認証が失敗した場合は、次の構成を確認すると役立つ場合があります。

VM が承認済みネットワーク上にあります

ドメインへのアクセスに使用する VM が承認済みネットワーク上にあることを確認するには、次の手順を実行します。

  1. Google Cloud コンソールの [Microsoft Active Directory のマネージド サービス] ページに移動します。
    [Microsoft Active Directory 用のマネージド サービスの概要]

  2. ドメイン名を選択します。

  3. [ドメイン] ページの [ネットワーク] で、承認済みネットワークがリストされていることを確認します。

正しいユーザー名とパスワードです

ログイン用のユーザー名とパスワードが正しいことを確認します。

ファイアウォール ルール

ドメイン コントローラーの IP アドレス範囲への下りの deny ファイアウォール ルールにより、認証が失敗する可能性があります。

ファイアウォール ルールを確認するには、次の手順を実行します。

コンソール

  1. Google Cloud コンソールの [ファイアウォール ルール] ページに移動します。
    [ファイアウォール ルール] に移動

  2. このページで、ドメイン コントローラの IP アドレス範囲に構成された下りの deny がないことを確認します。

gcloud

  1. 次の gcloud CLI コマンドを実行します。

    gcloud compute firewall-rules list
    
  2. このコマンドは、構成されたファイアウォール ルールのリストを返します。ドメイン コントローラの IP アドレス範囲に構成された下りの deny がないことを確認します。

ファイアウォール ルールの詳細を確認する。

IP アドレス

IP アドレスが予約済みの CIDR 範囲にない場合、認証が失敗する可能性があります。

IP アドレスをチェックするには、次のコマンドを実行します。

nslookup DOMAIN_NAME

nslookup が失敗する、または CIDR 範囲外の IP アドレスを返す場合は、DNS ゾーンが存在することを確認する必要があります。

DNS ゾーンが存在することを確認するには、次の手順を実行します。

コンソール

  1. Google Cloud コンソールで [Cloud DNS] ページに移動します。
    [Cloud DNS] に移動

  2. [Cloud DNS] ページの [ゾーン] タブで、承認済みネットワークの [使用中]列を確認します。

gcloud

  1. 次の gcloud CLI コマンドを実行します。

    gcloud dns managed-zones list --filter=FQDN
    

    FQDN を、Managed Microsoft AD ドメインの完全修飾ドメイン名に置き換えます。

リストされたゾーンがいずれも承認済みネットワークで使用されていない場合は、承認済みネットワークを削除してから再度追加する必要があります。

ネットワーク ピアリング

VPC ネットワーク ピアリングが適切に構成されていない場合は、認証が失敗する可能性があります。

ピアリングが設定されていることを確認するには、以下の手順を実行します。

コンソール

  1. Google Cloud コンソールの [VPC ネットワーク ピアリング] ページに移動します。
    [VPC ネットワーク ピアリング] に移動

  2. [VPC ネットワーク ピアリング] ページの [名前]列で、peering-VPC_NETWORK_NAME というピアリングを探します。

gcloud

  1. 次の gcloud CLI コマンドを実行します。

    gcloud compute networks peerings list --network=VPC_NETWORK_NAME
    
  2. このコマンドは、ピアリングの一覧を返します。このリストから peering-VPC_NETWORK_NAME を探します。

peering-VPC_NETWORK_NAME がリストにない場合は、承認済みネットワークを削除して再度追加する必要があります。

信頼を介した Active Directory 認証に失敗しました

信頼を介して管理されたオンプレミスのホストされたアカウントを使用しているときに Active Directory 認証が失敗した場合は、信頼の作成に関するトラブルシューティングと同じ構成を確認する必要があります。

さらに、アカウントが Cloud Service Computer Remote Desktop Users 委任グループにあることを確認します。詳しくは、委任されたグループをご覧ください。

管理性のある VM からドメインにアクセスできません

AD オブジェクトの管理に使用する VM からマネージド Microsoft AD ドメインにアクセスできない場合は、マネージド Microsoft AD がホストするアカウントの Active Directory 認証のトラブルシューティングと同じ構成を確認する必要があります。

作成、更新、削除時の Org policy エラー

リソースを作成、更新、または削除するときに org policy エラーが発生した場合は、組織のポリシーを変更する必要があります。組織のポリシーの制約について学習する。

組織ポリシー管理者(roles/orgpolicy.policyAdmin)の IAM ロールを持つ組織の管理者に、必要な組織のポリシーを更新するよう依頼してください。

Define allowed APIs and services 組織ポリシー

このリスト型制約は、特定のリソースで有効にできる一連のサービスと API を定義します。リソース階層の子孫もこの制約を継承します。この制約により、マネージド Microsoft AD に必要な API が許可されない場合、リソースを作成、更新、または削除しようとすると、エラーが発生します。

Define allowed APIs and services 組織ポリシーを表示および更新するには:

Console

  1. Google Cloud Console の [組織のポリシー] ページに移動します。
    [組織のポリシー] に移動
  2. [組織のポリシー] ページの、[名前] 列で、許可された API とサービスの定義ポリシーを選択して、[ポリシーの概要] パネルを開きます。
  3. [ポリシーの概要] パネルで、次の API が拒否されていないことを確認します:
    • dns.googleapis.com
    • compute.googleapis.com
  4. 変更する必要がある場合は、[編集] を選択してポリシーを更新し、[保存] をクリックします。

gcloud

  1. 次の gcloud CLI コマンドを実行します。 gcloud resource-manager org-policies describe コマンドについて学習します。

    gcloud resource-manager org-policies describe constraints/serviceuser.services \
        --organization=ORGANIZATION_ID
    
  2. describe コマンドで dns.googleapis.com または compute.googleapis.com が許可されていないことが表示された場合は、次のコマンドを実行して許可してください。gcloud resource-manager org-policies allow コマンドについて学習します。

    gcloud resource-manager org-policies allow constraints/serviceuser.services API_NAME \
        --organization=ORGANIZATION_ID
    

Restrict VPC peering usage 組織ポリシー

このリスト型制約は、特定のリソースに属する VPC ネットワークとピアリングできる一連の VPC ネットワークを定義します。ピアリングが拒否された場合、リソースを作成、更新、または削除しようとすると、エラーが発生します。Restrict VPC peering usage 組織のポリシーを表示して更新する方法をご覧ください。

Google Cloud からオンプレミス リソースを解決できません

Google Cloud からオンプレミス リソースを解決できない場合は、DNS 構成の変更が必要になることがあります。詳しくは、VPC ネットワーク内の非マネージド Microsoft AD オブジェクトのクエリを解決するように DNS 転送を構成する方法をご覧ください。

断続的な DNS ルックアップ エラー

Cloud Interconnect または複数の VPN に高可用性スキームを使用しているときに、断続的な DNS ルックアップエラーが発生する場合は、次の構成を確認する必要があります。

  • 35.199.192.0/19 へのルートが存在する
  • オンプレミス ネットワークでは、すべての Cloud Interconnect 接続または VPN トンネルで 35.199.192.0/19 からのトラフィックが許可されます。

委任された管理者アカウントのパスワードの有効期限が切れています

委任された管理者アカウントのパスワードが期限切れになった場合は、パスワードを再設定できます。委任された管理者アカウントのパスワードをリセットするために必要な権限があることを確認してください。必要に応じて、アカウントのパスワードの有効期限を無効にすることもできます。

マネージド Microsoft AD の監査ログを表示できない

ログビューアまたはログ エクスプローラでマネージド Microsoft AD の監査ログを表示できない場合は、次の構成を確認する必要があります。