Auf dieser Seite finden Sie Tipps und Ansätze zur Behebung häufiger Probleme mit Managed Service for Microsoft Active Directory.
Es kann keine Managed Microsoft AD-Domain erstellt werden
Wenn Sie keine Managed Microsoft AD-Domain erstellen können, kann die Überprüfung der folgenden Konfigurationen hilfreich sein.
Erforderliche APIs
Für Managed Microsoft AD müssen Sie eine Gruppe von APIs aktivieren, bevor Sie eine Domain erstellen können.
Führen Sie die folgenden Schritte aus, um zu überprüfen, ob die erforderlichen APIs aktiviert sind:
Console
- Rufen Sie in der Google Cloud Console die Seite APIs und Dienste auf.
Zu „APIs und Dienste“ Überprüfen Sie auf der Seite Dashboard, ob die folgenden APIs aufgelistet sind:
- Managed Service for Microsoft Active Directory API
- Compute Engine API
- Cloud DNS API
gcloud
Führen Sie den folgenden gcloud CLI-Befehl aus:
gcloud services list --available
Der Befehl gibt die Liste der aktivierten APIs zurück. Stellen Sie sicher, dass die folgenden APIs aufgelistet sind:
- Managed Service for Microsoft Active Directory API
- Compute Engine API
- Cloud DNS API
Wenn eine dieser APIs fehlt, führen Sie die folgenden Schritte aus, um sie zu aktivieren:
Console
- Rufen Sie in der Google Cloud Console die Seite API-Bibliothek auf.
Zur API-Bibliothek - Geben Sie auf der Seite API-Bibliothek im Suchfeld den Namen der fehlenden API ein.
- Klicken Sie auf der API-Informationsseite auf Aktivieren.
gcloud
Führen Sie den folgenden gcloud CLI-Befehl aus:
gcloud services enable API_NAME
Ersetzen Sie API_NAME durch den Namen der fehlenden API.
Wiederholen Sie diesen Vorgang, bis alle erforderlichen APIs aktiviert sind.
Abrechnung
Für Managed Microsoft AD müssen Sie die Abrechnung aktivieren, bevor Sie eine Domain erstellen können.
Führen Sie die folgenden Schritte aus, um zu überprüfen, ob die Abrechnung aktiviert ist:
Console
- Rufen Sie in der Google Cloud Console die Seite Abrechnung auf.
Zur Abrechnung - Stellen Sie sicher, dass für Ihre Organisation ein Abrechnungskonto eingerichtet ist.
- Klicken Sie auf den Tab Meine Projekte und prüfen Sie, ob das Projekt aufgeführt ist, in dem Sie eine Managed Microsoft AD-Domain erstellen möchten.
gcloud
Führen Sie den folgenden gcloud CLI-Befehl aus:
gcloud billing projects describe PROJECT_ID
Wenn Sie kein gültiges Abrechnungskonto sehen, das mit dem Projekt verknüpft ist, sollten Sie die Abrechnung aktivieren.
IP-Adressbereich
Wenn Sie beim Erstellen einer Domain den Fehler IP range overlap erhalten, bedeutet dies, dass sich der reservierte IP-Adressbereich, den Sie in der Anfrage zur Domainerstellung angegeben haben, mit dem IP-Adressbereich des autorisierten Netzwerks überschneidet. Um dieses Problem zu beheben, sollten Sie einen anderen IP-Adressbereich oder ein anderes autorisiertes Netzwerk auswählen. Weitere Informationen finden Sie unter IP-Adressbereiche auswählen.
Berechtigungen
Wenn beim Versuch, eine Domain zu erstellen, eine Permission denied -Fehlermeldung angezeigt wird, sollten Sie überprüfen, ob die aufrufende Identität die Managed Microsoft AD-API aufrufen darf. Weitere Informationen zu Managed Microsoft AD-Rollen und -Berechtigungen.
Unternehmensrichtlinien
Die Domainerstellung kann aufgrund der Konfiguration einer Organisationsrichtlinie fehlschlagen. Sie können beispielsweise eine Organisationsrichtlinie so konfigurieren, dass nur Zugriff auf bestimmte Dienste wie GKE oder Compute Engine gewährt wird. Weitere Informationen zu Einschränkungen für Organisationsrichtlinien
Bitten Sie Ihren Administrator, der die IAM-Rolle „Organisationsrichtlinienadministrator“ (roles/orgpolicy.policyAdmin) für die Organisation hat, die erforderlichen Organisationsrichtlinien zu aktualisieren.
Resource Location Restriction Unternehmensrichtlinien
Diese Listeneinschränkung definiert die Gruppe von Standorten, an denen standortbasierte Google Cloud-Ressourcen erstellt werden können. Das Verweigern des Speicherorts global kann sich auf Managed Microsoft AD auswirken.
So zeigen Sie die Organisationsrichtlinie Resource Location Restriction an und aktualisieren sie:
Console
- Rufen Sie in der Google Cloud Console die Seite Organisationsrichtlinien auf.
Zu den Organisationsrichtlinien - Wählen Sie auf der Seite Organisationsrichtlinien in der Spalte Name die Richtlinie Einschränkung des Ressourcenstandorts aus, um die Zusammenfassung der Richtlinien zu öffnen. Panel.
- Überprüfen Sie im Bereich Richtlinienzusammenfassung, ob der Speicherort
globalzulässig ist. - Wenn Sie eine Änderung vornehmen müssen, wählen Sie Bearbeiten, aktualisieren Sie die Richtlinie und klicken Sie dann auf Speichern.
Erfahren Sie mehr über Einschränken der Ressourcenpositionen.
gcloud
Führen Sie den folgenden gcloud CLI-Befehl aus, um die Details zur Organisationsrichtlinie
Resource Location Restrictionaufzurufen. Erfahren Sie mehr über den Befehlgcloud resource-manager org-policies describe.gcloud resource-manager org-policies describe constraints/gcp.resourceLocations \ --organization=ORGANIZATION_IDWenn der Befehl
describeanzeigt, dassglobalnicht zulässig ist, führen Sie den folgenden Befehl aus, um dies zuzulassen. Erfahren Sie mehr über den Befehlgcloud resource-manager org-policies allow.gcloud resource-manager org-policies allow constraints/gcp.resourceLocations global \ --organization=ORGANIZATION_ID
Erfahren Sie mehr über Einschränken der Ressourcenpositionen.
Restrict VPC peering usage Unternehmensrichtlinien
Diese Listeneinschränkung definiert den Satz von VPC-Netzwerken, die mit den zu einer bestimmten Ressource gehörenden VPC-Netzwerken verglichen werden dürfen. Wenn Sie ein autorisiertes Netzwerk für eine Managed Microsoft AD-Domain angeben, wird ein VPC-Peering zwischen dem autorisierten Netzwerk und dem isolierten Netzwerk mit den AD-Domänencontrollern erstellt. Wenn die Organisationsrichtlinie für das Projekt Peerings verweigert, kann Managed Microsoft AD keine Peerings für das autorisierte Netzwerk erstellen, sodass die Domänenerstellung fehlschlägt. Sie erhalten folgende Fehlermeldung:
GCE_PRECONDITION_FAILED: Constraint constraints /compute.restrictVpcPeering violated for project PROJECT_ID. Peering the network projects/PROJECT_ID/global/networks/VPC_NETWORK_NAME is not allowed.
So zeigen Sie die Organisationsrichtlinie Restrict VPC peering usage an und aktualisieren sie:
Console
- Rufen Sie in der Google Cloud Console die Seite Organisationsrichtlinien auf.
Zu den Organisationsrichtlinien - Auf der Organisationsrichtlinien Seite, in der Name Spalte, wählen Sie die Beschränken Sie die Verwendung von VPC-Peering Politik zum Öffnen der Zusammenfassung der Richtlinien Panel.
- Überprüfen Sie im Bereich Richtlinienzusammenfassung, ob das Projekt Peerings zulässt.
- Wenn Sie eine Änderung vornehmen müssen, wählen Sie Bearbeiten, aktualisieren Sie die Richtlinie und klicken Sie dann auf Speichern.
gcloud
Führen Sie den folgenden gcloud CLI-Befehl aus, um die Details zur Organisationsrichtlinie
Restrict VPC peering usageaufzurufen. Weitere Informationen zum Befehlgcloud resource-manager org-policies describe.gcloud resource-manager org-policies describe constraints/compute.restrictVpcPeering \ --organization=ORGANIZATION_IDWenn der Befehl
describeanzeigt, dass Peerings nicht zulässig sind, führen Sie den folgenden Befehl aus, um dies zuzulassen. Erfahren Sie mehr über den Befehlgcloud resource-manager org-policies allow.gcloud resource-manager org-policies allow constraints/compute.restrictVpcPeering under:projects/PROJECT_ID \ --organization=ORGANIZATION_IDErsetzen Sie Folgendes:
PROJECT_ID: der Name des Projekts, das die Managed Microsoft AD-Ressource enthält.ORGANIZATION_ID: die ID der Organisation, die dieses Projekt hostet.
Windows-VM kann nicht automatisch mit einer Domain verbunden werden
Im Folgenden finden Sie einige Probleme mit Fehlercodes, die auftreten können, wenn Sie versuchen, eine Windows-VM oder GKE-Windows Server-Knoten automatisch mit einer Domain zu verknüpfen:
| Fehlercode | Beschreibung | Mögliche Lösung |
|---|---|---|
CONFLICT (409) |
Gibt an, dass das VM-Instanzkonto bereits in der Managed Microsoft AD-Domain vorhanden ist. | Entfernen Sie das Konto mithilfe der RSAT-Tools aus Managed Microsoft AD und versuchen Sie es noch einmal. Weitere Informationen zum Verwalten von AD-Objekten in Managed Microsoft AD finden Sie unter Active Directory-Objekte verwalten. |
BAD_REQUEST (412) |
Gibt an, dass die Beitrittsanfrage für die Domain ungültige Informationen enthält, z. B. einen falschen Domainnamen und eine falsche Hierarchiestruktur der Organisationseinheit (OE). | Überprüfen Sie die Informationen, aktualisieren Sie sie bei Bedarf und versuchen Sie es noch einmal. |
INTERNAL (500) |
Gibt an, dass auf dem Server ein unbekannter interner Fehler aufgetreten ist. | Wenden Sie sich an den Google Cloud-Support, um dieses Problem zu beheben. |
FORBIDDEN (403) |
Gibt an, dass das angegebene Dienstkonto nicht die erforderlichen Berechtigungen hat. | Prüfen Sie, ob Sie die erforderlichen Berechtigungen für das Dienstkonto haben, und versuchen Sie es noch einmal. |
UNAUTHORIZED (401) |
Gibt an, dass die VM keine gültige Autorisierung zum Beitritt zur Domain hat. | Prüfen Sie, ob Sie auf der VM den erforderlichen Zugriffsbereich haben, und versuchen Sie es noch einmal. |
VM kann nicht manuell einer Domain hinzugefügt werden
Wenn Sie einen Computer nicht manuell von einer lokalen Umgebung zu Ihrer Managed Microsoft AD-Domain verknüpfen können, prüfen Sie die folgenden Anforderungen:
Der Computer, dem Sie beitreten möchten, ist über Managed Microsoft AD sichtbar. Führen Sie zum Prüfen dieser Konnektivität mit dem Befehl
nslookupeine DNS-Suche von der lokalen Umgebung zur Managed Microsoft AD-Domain aus.Das lokale Netzwerk, in dem sich die Maschine befindet, muss über Peering mit dem VPC-Netzwerk Ihrer Managed Microsoft AD-Domain verbunden sein. Informationen zur Fehlerbehebung bei einer VPC-Netzwerk-Peering-Verbindung finden Sie unter Fehlerbehebung.
Freigegebene VPC kann nicht als autorisiertes Netzwerk verwendet werden
Damit Sie von einem freigegebenen VPC-Netzwerk auf eine Managed Microsoft AD-Domain zugreifen können, muss die Domain in demselben Projekt erstellt werden, in dem das freigegebene VPC-Netzwerk gehostet wird.
Zugriff auf Managed Microsoft AD-Domain nicht möglich
Wenn Ihre Managed Microsoft AD-Domain nicht verfügbar zu sein scheint, können Sie weitere Informationen zum Status abrufen, indem Sie die folgenden Schritte ausführen:
Console
Rufen Sie in der Google Cloud Console die Seite Managed Service for Microsoft Active Directory auf.
Zum Managed Service for Microsoft Active Directory
Auf der Seite Managed Service für Microsoft Active Directory in der Spalte Status können Sie die Status Ihrer Domains anzeigen.
gcloud
Führen Sie den folgenden gcloud CLI-Befehl aus:
gcloud active-directory domains list
Dieser Befehl gibt den Status für Ihre Domains zurück.
Wenn Ihr Domain-Status DOWN ist, bedeutet dies, dass Ihr Konto möglicherweise gesperrt wurde. Wenden Sie sich an den Google Cloud-Support, um dieses Problem zu beheben.
Wenn Ihr Domainstatus PERFORMING_MAINTENANCE lautet, sollte Managed Microsoft AD weiterhin zur Verfügung stehen, aber Vorgänge wie das Erweitern des Schemas oder das Hinzufügen oder Entfernen von Regionen sind möglicherweise nicht zulässig. Dieser Status ist selten und tritt nur auf, wenn das Betriebssystem gepatcht wurde.
Vertrauensstellung kann nicht geschaffen werden
Wenn Sie die Schritte zum Erstellen einer Vertrauensstellung ausführen, den Vorgang aber nicht abschließen können, kann die Überprüfung der folgenden Konfigurationen helfen.
Die lokale Domain ist erreichbar
Um zu überprüfen, ob die lokale Domain über die Managed Microsoft AD-Domain erreichbar ist, können Sie ping oder Test-NetConnection verwenden. Führen Sie diese Befehle von einer VM aus, die in Google Cloud und in einem autorisierten Netzwerk gehostet wird. Stellen Sie sicher, dass die VM einen lokalen Domänencontroller erreichen kann. Weitere Informationen über Test-NetConnection
IP-Adresse
Führen Sie den folgenden Befehl aus, um zu überprüfen, ob die IP-Adresse, die während des Vertrauens-Setups angegeben wurde, die lokale Domain auflösen kann:
nslookup ON_PREMISES_DOMAIN_NAME CONDITIONAL_FORWARDER_ADDRESS
Ersetzen Sie Folgendes:
ON_PREMISES_DOMAIN_NAME: der Name Ihrer lokalen Domain.CONDITIONAL_FORWARDER_ADDRESS: die IP-Adresse Ihres bedingten DNS-Forwarders.
Wenn mehrere bedingte Weiterleitungsadressen vorhanden sind, können Sie diese testen.
Lokale Vertrauensbeziehung
Um zu überprüfen, ob die lokale Vertrauensbeziehung hergestellt wurde, sollten Sie überprüfen, ob die folgenden Informationen übereinstimmen.
- Die Vertrauensart und -richtung in der Managed Microsoft AD-Domain ergänzen die Vertrauensstellung, die in der lokalen Domain erstellt wurde.
- Das Vertrauens-Secret, das beim Erstellen der Vertrauensstellung in der verwalteten Microsoft AD-Domain angegeben wurde, stimmt mit dem Secret überein, das in der lokalen Domain eingegeben wurde.
Die lokale Vertrauensrichtung ergänzt die in Managed Microsoft AD konfigurierte Vertrauensrichtung. Wenn also die lokale Domain eine eingehende Vertrauensstellung erwartet, ist die Vertrauensrichtung für die Managed Microsoft AD-Domain ausgehend. Weitere Informationen zu vertrauenswürdigen Routen
Vertrauensstellung funktioniert nicht mehr
Wenn Sie zuvor eine Vertrauensstellung erstellt haben, diese jedoch nicht mehr funktioniert, sollten Sie dieselben Konfigurationen überprüfen wie bei der Fehlerbehebung beim Erstellen einer Vertrauensstellung.
Wenn eine Vertrauensstellung 60 Tage oder länger nicht verwendet wird, läuft das Vertrauensstellungskennwort ab. Um das Kennwort zu aktualisieren, ändern Sie das Kennwort für die Vertrauensstellung in der lokalen Domain und aktualisieren Sie dann das Kennwort in der Managed Microsoft AD-Domain.
Die Active Directory-Authentifizierung schlägt fehl (von Microsoft AD gehostete Konten verwaltet).
Wenn die Active Directory-Authentifizierung bei Verwendung von verwalteten Microsoft AD-gehosteten Konten fehlschlägt, kann die Überprüfung der folgenden Konfigurationen helfen.
VM befindet sich in einem autorisierten Netzwerk
Führen Sie die folgenden Schritte aus, um zu überprüfen, ob sich die für den Zugriff auf die Domain verwendete VM in einem autorisierten Netzwerk befindet.
Rufen Sie in der Google Cloud Console die Seite Managed Service for Microsoft Active Directory auf.
Zum Managed Service for Microsoft Active DirectoryWählen Sie den Namen Ihrer Domain aus.
Überprüfen Sie auf der Seite Domain unter Netzwerke, ob das autorisierte Netzwerk aufgeführt ist.
Benutzername und Passwort sind korrekt
Stellen Sie sicher, dass der Nutzername und das Kennwort für die Anmeldung korrekt sind.
Firewallregeln
Eine deny-Firewallregel für ausgehenden Traffic zum IP-Adressbereich der Domaincontroller kann dazu führen, dass die Authentifizierung fehlschlägt.
Führen Sie die folgenden Schritte aus, um Ihre Firewall-Regeln zu überprüfen:
Console
Rufen Sie in der Google Cloud Console die Seite Firewallregeln auf.
Zu den FirewallregelnÜberprüfen Sie auf dieser Seite, ob für den IP-Adressbereich der Domänencontroller kein
denyfür den Ausgang konfiguriert ist.
gcloud
Führen Sie den folgenden gcloud CLI-Befehl aus:
gcloud compute firewall-rules list
Dieser Befehl gibt eine Liste der konfigurierten Firewall-Regeln zurück. Stellen Sie sicher, dass für den IP-Adressbereich der Domänencontroller kein
denyfür den Ausgang konfiguriert ist.
Weitere Informationen zu Firewallregeln
IP-Adresse
Die Authentifizierung kann fehlschlagen, wenn die IP-Adresse nicht im reservierten CIDR-Bereich liegt.
Führen Sie den folgenden Befehl aus, um die IP-Adresse zu überprüfen.
nslookup DOMAIN_NAME
Wenn nslookup fehlschlägt oder eine IP-Adresse zurückgibt, die nicht im CIDR-Bereich liegt, sollten Sie überprüfen, ob die DNS-Zone vorhanden ist.
Führen Sie die folgenden Schritte aus, um zu überprüfen, ob die DNS-Zone vorhanden ist:
Console
Rufen Sie in der Google Cloud Console die Seite Cloud DNS auf.
Zu Cloud DNSAktivieren Sie auf der Seite Cloud DNS auf dem Tab Zones die Spalte In Verwendung von für das autorisierte Netzwerk.
gcloud
Führen Sie den folgenden gcloud CLI-Befehl aus:
gcloud dns managed-zones list --filter=FQDN
Ersetzen Sie
FQDNdurch den voll qualifizierten Domainnamen Ihrer Managed Microsoft AD-Domain.
Wenn keine der aufgelisteten Zonen vom autorisierten Netzwerk verwendet wird, sollten Sie das autorisierte Netzwerk entfernen und noch einmal hinzufügen.
Netzwerk-Peering
Die Authentifizierung kann fehlschlagen, wenn das VPC-Netzwerk-Peering nicht ordnungsgemäß konfiguriert ist.
Führen Sie die folgenden Schritte aus, um zu überprüfen, ob Peering eingerichtet ist:
Console
Rufen Sie in der Google Cloud Console die Seite VPC-Netzwerk-Peering auf.
Zum VPC-Netzwerk-PeeringSuchen Sie auf der Seite VPC-Netzwerk-Peering in der Spalte Name nach einem Peering mit dem Namen
peering-VPC_NETWORK_NAME.
gcloud
Führen Sie den folgenden gcloud CLI-Befehl aus:
gcloud compute networks peerings list --network=VPC_NETWORK_NAME
Dieser Befehl gibt eine Liste von Peerings zurück. Suchen Sie in der Liste nach einem mit dem Namen
peering-VPC_NETWORK_NAME.
Wenn peering-VPC_NETWORK_NAME nicht in der Liste enthalten ist, sollten Sie das autorisierte Netzwerk entfernen und noch einmal hinzufügen.
Die Active Directory-Authentifizierung schlägt fehl (über Vertrauensstellung).
Wenn sich herausstellt, dass die Active Directory-Authentifizierung fehlschlägt, wenn verwaltete lokal gehostete Konten über eine Vertrauensstellung verwendet werden, sollten Sie dieselben Konfigurationen überprüfen wie bei der Fehlerbehebung beim Erstellen einer Vertrauensstellung.
Prüfen Sie außerdem, ob sich das Konto in der delegierten Gruppe Cloud Service Computer Remote Desktop Users befindet. Weitere Informationen zu delegierten Gruppen
Zugriff von einer verwaltbaren VM auf die Domain nicht möglich
Wenn Sie nicht über die VM, die zum Verwalten von AD-Objekten verwendet wird, auf die Managed Microsoft AD-Domain zugreifen können, prüfen Sie die gleichen Konfigurationen wie bei der Fehlerbehebung bei der Active Directory-Authentifizierung für verwaltete Microsoft AD-Konten.
Org policy Fehler beim Erstellen, Aktualisieren oder Löschen
Wenn beim Erstellen, Aktualisieren oder Löschen von Ressourcen ein org policy -Fehler auftritt, müssen Sie möglicherweise eine Organisationsrichtlinie ändern. Informationen zu Einschränkungen für Organisationsrichtlinien
Bitten Sie Ihren Administrator, der die IAM-Rolle „Organisationsrichtlinienadministrator“ (roles/orgpolicy.policyAdmin) für die Organisation hat, die erforderlichen Organisationsrichtlinien zu aktualisieren.
Define allowed APIs and services Unternehmensrichtlinien
Diese Listeneinschränkung definiert die Dienste und APIs, die für eine bestimmte Ressource aktiviert werden können. Die Nachfolger in der Ressourcenhierarchie übernehmen ebenfalls die Einschränkung. Wenn diese Einschränkung die für Managed Microsoft AD erforderlichen APIs nicht zulässt, wird beim Erstellen, Aktualisieren oder Löschen von Ressourcen eine Fehlermeldung angezeigt.
So zeigen Sie die Organisationsrichtlinie Define allowed APIs and services an und aktualisieren sie:
Console
- Rufen Sie in der Google Cloud Console die Seite Organisationsrichtlinien auf.
Zu den Organisationsrichtlinien - Auf der Organisationsrichtlinien Seite, in der Name Spalte, wählen Sie die Definieren Sie zulässige APIs und Dienste Politik zum Öffnen der Zusammenfassung der Richtlinien Panel.
- Prüfen Sie im Bereich Richtlinienzusammenfassung, ob die folgenden APIs abgelehnt werden:
dns.googleapis.comcompute.googleapis.com
- Wenn Sie eine Änderung vornehmen müssen, wählen Sie Bearbeiten, aktualisieren Sie die Richtlinie und klicken Sie dann auf Speichern.
gcloud
Führen Sie den folgenden gcloud CLI-Befehl aus. Weitere Informationen zum Befehl
gcloud resource-manager org-policies describe.gcloud resource-manager org-policies describe constraints/serviceuser.services \ --organization=ORGANIZATION_IDWenn der Befehl
describeanzeigt, dassdns.googleapis.comodercompute.googleapis.comnicht zulässig ist, führen Sie den folgenden Befehl aus, um dies zuzulassen. Erfahren Sie mehr über den Befehlgcloud resource-manager org-policies allow.gcloud resource-manager org-policies allow constraints/serviceuser.services API_NAME \ --organization=ORGANIZATION_ID
Restrict VPC peering usage Unternehmensrichtlinien
Diese Listeneinschränkung definiert den Satz von VPC-Netzwerken, die mit den zu einer bestimmten Ressource gehörenden VPC-Netzwerken verglichen werden dürfen. Wenn Peerings verweigert werden, wird eine Fehlermeldung angezeigt, wenn Sie versuchen, Ressourcen zu erstellen, zu aktualisieren oder zu löschen. Erfahren Sie , wie Sie die Organisationsrichtlinie Restrict VPC peering usage anzeigen und aktualisieren.
Lokale Ressourcen aus Google Cloud können nicht aufgelöst werden
Wenn Sie lokale Ressourcen nicht aus Google Cloud auflösen können, müssen Sie möglicherweise Ihre DNS-Konfiguration ändern. DNS-Weiterleitung konfigurieren, um Abfragen für nicht verwaltete Microsoft AD-Objekte in VPC-Netzwerken aufzulösen
Intermittierende DNS-Suchfehler
Wenn bei Verwendung eines hochverfügbaren Schemas für Cloud Interconnect oder mehrerer VPNs zeitweise DNS-Suchfehler auftreten, sollten Sie die folgenden Konfigurationen überprüfen:
- Eine Route für 35.199.192.0/19 existiert.
- Das lokale Netzwerk ermöglicht Datenverkehr ab dem 35.199.192.0/19 für alle Cloud Interconnect-Verbindungen oder VPN-Tunnel.
Das Passwort des delegierten Administratorkontos läuft ab
Wenn das Passwort für das delegierte Administratorkonto abgelaufen ist, können Sie das Passwort zurücksetzen. Sie müssen die erforderlichen Berechtigungen zum Zurücksetzen des Passworts für das delegierte Administratorkonto haben. Wenn Sie möchten, können Sie auch das Ablaufen von Passwörtern für das Konto deaktivieren.
Managed Microsoft AD-Audit-Logs können nicht angezeigt werden
Wenn Sie in der Loganzeige oder dem Log-Explorer keine Audit-Logs von Managed Microsoft AD ansehen können, prüfen Sie die folgenden Konfigurationen.
- Logging ist für die Domain aktiviert.
- Sie haben die IAM-Rolle
roles/logging.viewerfür das Projekt, in dem sich die Domain befindet.