Fehlerbehebung für Managed Microsoft AD

In diesem Thema werden Schritte aufgeführt, mit denen Sie häufig auftretende Probleme mit Managed Service für Microsoft Active Directory beheben können.

Es kann keine Managed Microsoft AD-Domain erstellt werden

Wenn Sie keine Managed Microsoft AD-Domain erstellen können, kann die Überprüfung der folgenden Konfigurationen hilfreich sein.

Erforderliche APIs

Für Managed Microsoft AD müssen Sie eine Gruppe von APIs aktivieren, bevor Sie eine Domain erstellen können.

Führen Sie die folgenden Schritte aus, um zu überprüfen, ob die erforderlichen APIs aktiviert sind:

Console

  1. Wechseln Sie in der Cloud Console zur Seite APIs & Services.
    Weiter zur Seite "APIs & Dienste"
  2. Überprüfen Sie auf der Seite Dashboard, ob die folgenden APIs aufgelistet sind:

    • Managed Service for Microsoft Active Directory API
    • Compute Engine API
    • Cloud DNS API

gcloud

  1. Führen Sie den folgenden Werkzeugbefehl gcloud aus:

    gcloud services list --available
    
  2. Der Befehl gibt die Liste der aktivierten APIS zurück. Stellen Sie sicher, dass die folgenden APIs aufgelistet sind:

    • Managed Service for Microsoft Active Directory API
    • Compute Engine API
    • Cloud DNS API

Wenn eine dieser APIs fehlt, führen Sie die folgenden Schritte aus, um sie zu aktivieren:

Console

  1. Wechseln Sie in der Cloud Console zur Seite API-Bibliothek.
    Zur Seite "API-Bibliothek"
  2. Geben Sie auf der Seite API-Bibliothek im Suchfeld den Namen der fehlenden API ein.
  3. Klicken Sie auf der API-Informationsseite auf Aktivieren.

gcloud

Führen Sie den folgenden Werkzeugbefehl gcloud aus:

  gcloud services enable api-name
  

Wiederholen Sie diesen Vorgang, bis alle erforderlichen APIs aktiviert sind.

Abrechnung

Für Managed Microsoft AD müssen Sie die Abrechnung aktivieren, bevor Sie eine Domain erstellen können.

Führen Sie die folgenden Schritte aus, um zu überprüfen, ob die Abrechnung aktiviert ist:

Console

  1. Rufen Sie in der Cloud Console die Seite "Abrechnung" auf.
    Zur Seite "Abrechnung"
  2. Stellen Sie sicher, dass für Ihre Organisation ein Abrechnungskonto eingerichtet ist.
  3. Wählen Sie den Tab Meine Projekte und prüfen Sie, ob das Projekt aufgelistet ist, in dem Sie eine Managed Microsoft AD-Domain erstellen möchten.

gcloud

Führen Sie den folgenden Werkzeugbefehl gcloud aus:

  gcloud beta billing projects describe project-id
  

Wenn Sie kein gültiges Abrechnungskonto sehen, das mit dem Projekt verknüpft ist, sollten Sie die Abrechnung aktivieren.

IP-Adressbereich

Wenn beim Versuch, eine Domain zu erstellen, ein IP range overlap -Fehler angezeigt wird, bedeutet dies, dass sich der reservierte IP-Adressbereich, den Sie in der Anforderung zur Domänenerstellung angegeben haben, mit dem IP-Adressbereich des autorisierten Netzwerks überschneidet. Um dieses Problem zu beheben, sollten Sie einen anderen IP-Adressbereich oder ein anderes autorisiertes Netzwerk auswählen. Weitere Informationen zum Auswählen von IP-Bereichen.

Berechtigungen

Wenn beim Versuch, eine Domain zu erstellen, eine Permission denied -Fehlermeldung angezeigt wird, sollten Sie überprüfen, ob die aufrufende Identität die Managed Microsoft AD-API aufrufen darf. Weitere Informationen zu Managed Microsoft AD-Rollen und -Berechtigungen.

Unternehmensrichtlinien

Wenn die Domänenerstellung fehlschlägt, müssen Sie möglicherweise eine Organisationsrichtlinie ändern. Informationen zu Einschränkungen für Organisationsrichtlinien

Sie müssen ein Administrator für Organisationsrichtlinien (roles/orgpolicy.policyAdmin) sein, um Organisationsrichtlinien aktualisieren zu können.

Resource Location Restriction Unternehmensrichtlinien

Diese Listeneinschränkung definiert die Gruppe von Standorten, an denen standortbasierte Google Cloud-Ressourcen erstellt werden können. Das Verweigern des Speicherorts global kann sich auf Managed Microsoft AD auswirken.

So zeigen Sie die Organisationsrichtlinie Resource Location Restriction an und aktualisieren sie:

Console

  1. Rufen Sie in der Google Cloud Console die Seite "Organisationsrichtlinien" auf.
    Zur Seite "Organisationsrichtlinien"
  2. Wählen Sie auf der Seite Organisationsrichtlinien in der Spalte Name die Richtlinie Einschränkung des Ressourcenstandorts aus, um die Zusammenfassung der Richtlinien zu öffnen. Panel.
  3. Überprüfen Sie im Bereich Richtlinienzusammenfassung, ob der Speicherort global zulässig ist.
  4. Wenn Sie eine Änderung vornehmen müssen, wählen Sie Bearbeiten, aktualisieren Sie die Richtlinie und klicken Sie dann auf Speichern.

Erfahren Sie mehr über Einschränken der Ressourcenpositionen.

gcloud

  1. Führen Sie den folgenden gcloud Tool-Befehl aus, um die Details für die Organisationsrichtlinie Resource Location Restriction anzuzeigen. Erfahren Sie mehr über den Befehl gcloud beta resource-manager org-policies describe.

    gcloud beta resource-manager org-policies describe constraints/gcp.resourceLocations \
        --organization=organization-id
    
  2. Wenn der Befehl describe anzeigt, dass global nicht zulässig ist, führen Sie den folgenden Befehl aus, um dies zuzulassen. Erfahren Sie mehr über den Befehl gcloud beta resource-manager org-policies allow.

    gcloud beta resource-manager org-policies allow constraints/gcp.resourceLocations global \
        --organization=organization-id
    

Erfahren Sie mehr über Einschränken der Ressourcenpositionen.

Restrict VPC peering usage Unternehmensrichtlinien

Diese Listeneinschränkung definiert den Satz von VPC-Netzwerken, die mit den zu einer bestimmten Ressource gehörenden VPC-Netzwerken verglichen werden dürfen. Wenn Sie ein autorisiertes Netzwerk für eine Managed Microsoft AD-Domain angeben, wird ein VPC-Peering zwischen dem autorisierten Netzwerk und dem isolierten Netzwerk mit den AD-Domänencontrollern erstellt. Wenn die Organisationsrichtlinie für das Projekt Peerings verweigert, kann Managed Microsoft AD keine Peerings für das autorisierte Netzwerk erstellen, sodass die Domänenerstellung fehlschlägt. Sie erhalten folgende Fehlermeldung:

GCE_PRECONDITION_FAILED: Constraint constraints /compute.restrictVpcPeering
violated for project project-id. Peering the network projects/id/global/networks/network
is not allowed.

So zeigen Sie die Organisationsrichtlinie Restrict VPC peering usage an und aktualisieren sie:

Console

  1. Rufen Sie in der Google Cloud Console die Seite "Organisationsrichtlinien" auf.
    Zur Seite "Organisationsrichtlinien"
  2. Auf der Organisationsrichtlinien Seite, in der Name Spalte, wählen Sie die Beschränken Sie die Verwendung von VPC-Peering Politik zum Öffnen der Zusammenfassung der Richtlinien Panel.
  3. Überprüfen Sie im Bereich Richtlinienzusammenfassung, ob das Projekt Peerings zulässt.
  4. Wenn Sie eine Änderung vornehmen müssen, wählen Sie Bearbeiten, aktualisieren Sie die Richtlinie und klicken Sie dann auf Speichern.

gcloud

  1. Führen Sie den folgenden gcloud Tool-Befehl aus, um die Details für die Organisationsrichtlinie Restrict VPC peering usage anzuzeigen. Erfahren Sie mehr über den Befehl gcloud beta resource-manager org-policies describe.

    gcloud beta resource-manager org-policies describe constraints/compute.restrictVpcPeering \
        --organization=organization-id
    
  2. Wenn der Befehl describe anzeigt, dass Peerings nicht zulässig sind, führen Sie den folgenden Befehl aus, um dies zuzulassen. Erfahren Sie mehr über den Befehl gcloud beta resource-manager org-policies allow.

    gcloud beta resource-manager org-policies allow constraints/compute.restrictVpcPeering under:projects/project-name \
        --organization=organization-id
    

    project-name ist der Name des Projekts, das die verwaltete Microsoft AD-Ressource enthält. organization-id ist die ID der Organisation, die das Projekt hostet.

Freigegebene VPC kann nicht als autorisiertes Netzwerk verwendet werden

Um von einem gemeinsam genutzten VPC-Netzwerk aus auf eine Managed Microsoft AD-Domain zugreifen zu können, muss die Domain in demselben Projekt erstellt werden, in dem sich das gemeinsam genutzte VPC-Netzwerk befindet.

Zugriff auf Managed Microsoft AD-Domain nicht möglich

Wenn Ihre Managed Microsoft AD-Domain nicht verfügbar zu sein scheint, können Sie weitere Informationen zum Status abrufen, indem Sie die folgenden Schritte ausführen:

Console

Wechseln Sie in der Cloud Console zur Seite Managed Service für Microsoft Active Directory.
Wechseln Sie zur Seite Managed Service für Microsoft Active Directory

Auf der Seite Managed Service für Microsoft Active Directory in der Spalte Status können Sie die Status Ihrer Domains anzeigen.

gcloud

Führen Sie den folgenden Werkzeugbefehl gcloud aus:

gcloud active-directory domains list

Dieser Befehl gibt den Status für Ihre Domains zurück.

Wenn Ihr Domain-Status DOWN ist, bedeutet dies, dass Ihr Konto möglicherweise gesperrt wurde. Wenden Sie sich an den Google Cloud-Support, um dieses Problem zu beheben.

Wenn Ihr Domänenstatus PERFORMING_MAINTENANCE lautet, sollte Managed Microsoft AD weiterhin zur Verwendung verfügbar sein, das Hinzufügen oder Entfernen von Regionen ist jedoch möglicherweise nicht möglich. Dieser Status ist selten und tritt nur auf, wenn das Betriebssystem gepatcht ist.

Vertrauensstellung kann nicht geschaffen werden

Wenn Sie die Schritte zum Erstellen einer Vertrauensstellung ausführen, den Vorgang jedoch nicht abschließen können, kann die Überprüfung der folgenden Konfigurationen hilfreich sein.

Die lokale Domain ist erreichbar

Um zu überprüfen, ob die lokale Domain über die Managed Microsoft AD-Domain erreichbar ist, können Sie ping oder Test-NetConnection verwenden. Führen Sie diese Befehle von einer VM aus, die in Google Cloud und in einem autorisierten Netzwerk gehostet wird. Stellen Sie sicher, dass die VM einen lokalen Domänencontroller erreichen kann. Weitere Informationen über Test-NetConnection

IP-Adresse

Führen Sie den folgenden Befehl aus, um zu überprüfen, ob die IP-Adresse, die während des Vertrauens-Setups angegeben wurde, die lokale Domain auflösen kann:

nslookup on-premises-domain-name conditional-forwarder-address

Wenn mehrere bedingte Weiterleitungsadressen vorhanden sind, können Sie diese testen.

Mehr über nslookup erfahren.

Lokale Vertrauensbeziehung

Um zu überprüfen, ob die lokale Vertrauensbeziehung hergestellt wurde, sollten Sie überprüfen, ob die folgenden Informationen übereinstimmen.

  • Art und Richtung des Vertrauens entsprechen den Erwartungen vor Ort
  • Das beim Erstellen des Vertrauens angegebene Vertrauensgeheimnis stimmt mit dem lokal eingegebenen überein

Die lokale Vertrauensrichtung ergänzt die Vertrauenserwartung für Managed Microsoft AD. Das heißt, wenn die lokale Domain eine eingehende Vertrauensstellung erwartet, ist die Vertrauensrichtung für die Managed Microsoft AD-Domain ausgehend. Weitere Informationen zu Vertrauensanweisungen.

Vertrauensstellung funktioniert nicht mehr

Wenn Sie zuvor eine Vertrauensstellung erstellt haben, diese jedoch nicht mehr funktioniert, sollten Sie dieselben Konfigurationen überprüfen wie bei der Fehlerbehebung beim Erstellen einer Vertrauensstellung.

Wenn eine Vertrauensstellung 60 Tage oder länger nicht verwendet wird, läuft das Vertrauensstellungskennwort ab. Um das Kennwort zu aktualisieren, ändern Sie das Kennwort für die Vertrauensstellung in der lokalen Domain und aktualisieren Sie dann das Kennwort in der Managed Microsoft AD-Domain.

Die Active Directory-Authentifizierung schlägt fehl (von Microsoft AD gehostete Konten verwaltet).

Wenn sich herausstellt, dass die Active Directory-Authentifizierung bei Verwendung von von Microsoft AD gehosteten verwalteten Konten fehlschlägt, kann die Überprüfung der folgenden Konfigurationen hilfreich sein.

VM befindet sich in einem autorisierten Netzwerk

Führen Sie die folgenden Schritte aus, um zu überprüfen, ob sich die für den Zugriff auf die Domain verwendete VM in einem autorisierten Netzwerk befindet.

  1. Wechseln Sie in der Cloud Console zur Seite Managed Service für Microsoft Active Directory.
    Wechseln Sie zur Seite Managed Service für Microsoft Active Directory

  2. Wählen Sie den Namen Ihrer Domain aus.

  3. Überprüfen Sie auf der Seite Domain unter Netzwerke, ob das autorisierte Netzwerk aufgeführt ist.

Benutzername und Passwort sind korrekt

Stellen Sie sicher, dass der Nutzername und das Kennwort für die Anmeldung korrekt sind.

Firewallregeln

Eine deny Firewall-Regel für den Austritt in den IP-Adressbereich der Domänencontroller kann dazu führen, dass die Authentifizierung fehlschlägt.

Führen Sie die folgenden Schritte aus, um Ihre Firewall-Regeln zu überprüfen:

Console

  1. Rufen Sie in der Cloud Console die Seite "Firewallregeln" auf.
    Zur Seite "Firewallregeln"

  2. Überprüfen Sie auf dieser Seite, ob für den IP-Adressbereich der Domänencontroller kein deny für den Ausgang konfiguriert ist.

gcloud

  1. Führen Sie den folgenden Werkzeugbefehl gcloud aus:

    gcloud compute firewall-rules list
    
  2. Dieser Befehl gibt eine Liste der konfigurierten Firewall-Regeln zurück. Stellen Sie sicher, dass für den IP-Adressbereich der Domänencontroller kein deny für den Ausgang konfiguriert ist.

Weitere Informationen zu Firewallregeln

IP-Adresse

Die Authentifizierung kann fehlschlagen, wenn die IP-Adresse nicht im reservierten CIDR-Bereich liegt.

Führen Sie den folgenden Befehl aus, um die IP-Adresse zu überprüfen.

nslookup domain-name

Wenn nslookup fehlschlägt oder eine IP-Adresse zurückgibt, die nicht im CIDR-Bereich liegt, sollten Sie überprüfen, ob die DNS-Zone vorhanden ist.

Führen Sie die folgenden Schritte aus, um zu überprüfen, ob die DNS-Zone vorhanden ist:

Console

  1. Wechseln Sie in der Cloud Console zur Seite Cloud-DNS.
    Rufen Sie die Cloud DNS-Seite auf.

  2. Aktivieren Sie auf der Seite Cloud DNS auf dem Tab Zones die Spalte In Verwendung von für das autorisierte Netzwerk.

gcloud

  1. Führen Sie den folgenden Werkzeugbefehl gcloud aus:

    gcloud dns managed-zones list --filter=fqdn-for-domain
    

Wenn keine der aufgelisteten Zonen vom autorisierten Netzwerk verwendet wird, sollten Sie das autorisierte Netzwerk entfernen und noch einmal hinzufügen.

Netzwerk-Peering

Die Authentifizierung kann fehlschlagen, wenn das VPC-Netzwerk-Peering nicht ordnungsgemäß konfiguriert ist.

Führen Sie die folgenden Schritte aus, um zu überprüfen, ob Peering eingerichtet ist:

Console

  1. Wechseln Sie in der Cloud Console zur Seite VPC-Netzwerk-Peering.
    Weiter zur Seite "VPC-Netzwerk-Peering"

  2. Suchen Sie auf der Seite VPC-Netzwerk-Peering in der Spalte Name nach einem Peering mit dem Namen peering-vpc-network-name.

gcloud

  1. Führen Sie den folgenden Werkzeugbefehl gcloud aus:

    gcloud compute networks peering list --network=network
    
  2. Dieser Befehl gibt eine Liste von Peerings zurück. Suchen Sie in der Liste nach einem mit dem Namen peering-vpc-network-name.

Wenn peering-vpc-network-name nicht in der Liste enthalten ist, sollten Sie das autorisierte Netzwerk entfernen und noch einmal hinzufügen.

Die Active Directory-Authentifizierung schlägt fehl (über Vertrauensstellung).

Wenn sich herausstellt, dass die Active Directory-Authentifizierung fehlschlägt, wenn verwaltete lokal gehostete Konten über eine Vertrauensstellung verwendet werden, sollten Sie dieselben Konfigurationen überprüfen wie bei der Fehlerbehebung beim Erstellen einer Vertrauensstellung.

Stellen Sie außerdem sicher, dass sich das Konto in der delegierten Gruppe Remotedesktopbenutzer des Cloud-Service-Computers befindet. Erfahren Sie mehr über delegierte Gruppen

Zugriff von einer verwaltbaren VM auf die Domain nicht möglich

Wenn Sie von einer verwaltbaren VM aus nicht auf die AD-Domain zugreifen können, sollten Sie dieselben Konfigurationen überprüfen wie bei der Fehlerbehebung bei der Active Directory-Authentifizierung für Managed Microsoft AD-gehostete Konten.

Org policy Fehler beim Erstellen, Aktualisieren oder Löschen

Wenn beim Erstellen, Aktualisieren oder Löschen von Ressourcen ein org policy -Fehler auftritt, müssen Sie möglicherweise eine Organisationsrichtlinie ändern. Informationen zu Einschränkungen für Organisationsrichtlinien

Sie müssen ein Administrator für Organisationsrichtlinien (roles/orgpolicy.policyAdmin) sein, um Organisationsrichtlinien aktualisieren zu können.

Define allowed APIs and services Unternehmensrichtlinien

Diese Listeneinschränkung definiert die Dienste und APIs, die für eine bestimmte Ressource aktiviert werden können. Die Nachfolger in der Ressourcenhierarchie übernehmen ebenfalls die Einschränkung. Wenn diese Einschränkung die für Managed Microsoft AD erforderlichen APIs nicht zulässt, wird beim Erstellen, Aktualisieren oder Löschen von Ressourcen eine Fehlermeldung angezeigt.

So zeigen Sie die Organisationsrichtlinie Define allowed APIs and services an und aktualisieren sie:

Console

  1. Rufen Sie in der Google Cloud Console die Seite "Organisationsrichtlinien" auf.
    Zur Seite "Organisationsrichtlinien"
  2. Auf der Organisationsrichtlinien Seite, in der Name Spalte, wählen Sie die Definieren Sie zulässige APIs und Dienste Politik zum Öffnen der Zusammenfassung der Richtlinien Panel.
  3. Stellen Sie im Bereich Richtlinienzusammenfassung sicher, dass die folgenden APIs nicht verweigert werden:
    • dns.googleapis.com
    • compute.googleapis.com
  4. Wenn Sie eine Änderung vornehmen müssen, wählen Sie Bearbeiten, aktualisieren Sie die Richtlinie und klicken Sie dann auf Speichern.

gcloud

  1. Führen Sie den folgenden gcloud-Toolbefehl aus. Erfahren Sie mehr über den Befehl gcloud beta resource-manager org-policies describe.

    gcloud beta resource-manager org-policies describe constraints/serviceuser.services \
        --organization=organization-id
    
  2. Wenn der Befehl describe anzeigt, dass dns.googleapis.com oder compute.googleapis.com nicht zulässig ist, führen Sie den folgenden Befehl aus, um dies zuzulassen. Erfahren Sie mehr über den Befehl gcloud beta resource-manager org-policies allow.

    gcloud beta resource-manager org-policies allow constraints/serviceuser.services api-name \
        --organization=organization-id
    

Restrict VPC peering usage Unternehmensrichtlinien

Diese Listeneinschränkung definiert den Satz von VPC-Netzwerken, die mit den zu einer bestimmten Ressource gehörenden VPC-Netzwerken verglichen werden dürfen. Wenn Peerings verweigert werden, wird eine Fehlermeldung angezeigt, wenn Sie versuchen, Ressourcen zu erstellen, zu aktualisieren oder zu löschen. Erfahren Sie , wie Sie die Organisationsrichtlinie Restrict VPC peering usage anzeigen und aktualisieren.

Lokale Ressourcen aus Google Cloud können nicht aufgelöst werden

Wenn Sie lokale Ressourcen nicht aus Google Cloud auflösen können, müssen Sie möglicherweise Ihre DNS-Konfiguration ändern. Erfahren Sie , wie Sie die DNS-Weiterleitung konfigurieren, um Abfragen für nicht verwaltete AD-Objekte in VPC-Netzwerken aufzulösen.

Intermittierende DNS-Suchfehler

Wenn bei Verwendung eines hochverfügbaren Schemas für Cloud Interconnect oder mehrerer VPNs zeitweise DNS-Suchfehler auftreten, sollten Sie die folgenden Konfigurationen überprüfen:

  • Eine Route für 35.199.192.0/19 existiert.
  • Das lokale Netzwerk ermöglicht Datenverkehr ab dem 35.199.192.0/19 für alle Cloud Interconnect-Verbindungen oder VPN-Tunnel.

Das Passwort des delegierten Administratorkontos läuft ab

Wenn das Passwort für das delegierte Administratorkonto abgelaufen ist, können Sie das Passwort zurücksetzen. Um dieses Problem in Zukunft zu vermeiden, können Sie für das Konto das Passwort deaktivieren.

Managed Microsoft AD-Audit-Logs können nicht aufgerufen werden

Wenn Sie keine verwalteten Microsoft AD-Audit-Logs in der Loganzeige oder im Log-Explorer aufrufen können, sollten Sie die folgenden Konfigurationen überprüfen.