En esta página, se proporcionan sugerencias y enfoques para solucionar y resolver problemas comunes con el servicio administrado para Microsoft Active Directory.
No se puede crear un dominio de Microsoft AD administrado
Si no puedes crear un dominio de Microsoft AD administrado, puedes verificar las siguientes configuraciones.
APIs requeridas
Microsoft AD administrado requiere que habilites un grupo de API antes de que puedas crear un dominio.
Para verificar que las API obligatorias estén habilitadas, completa los siguientes pasos:
Console
- Ve a la página APIs y servicios en
la consola de Google Cloud.
Ir a APIs y servicios En la página Panel, verifica que se muestren las siguientes API en la lista:
- Servicio administrado para la API de Microsoft Active Directory
- API de Compute Engine
- API de Cloud DNS
gcloud
Ejecuta el siguiente comando de la CLI de gcloud:
gcloud services list --available
El comando muestra la lista de las APIs habilitadas. Verifica que se enumeren las siguientes API:
- Servicio administrado para la API de Microsoft Active Directory
- API de Compute Engine
- API de Cloud DNS
Si falta alguna de estas API, completa los siguientes pasos para habilitarlas:
Console
- Ve a la página
Biblioteca de API en
la consola de Google Cloud.
Ir a la biblioteca de API - En la página Biblioteca API, en el campo de búsqueda, ingrese el nombre de la API que falta.
- En la página de API, haz clic en HABILITAR.
gcloud
Ejecuta el siguiente comando de la CLI de gcloud:
gcloud services enable API_NAME
Reemplaza API_NAME por el nombre de la API faltante.
Repite este proceso hasta que estén habilitadas todas las API necesarias.
Facturación
Microsoft AD administrado requiere que habilites la facturación antes de que puedas crear un dominio.
Para verificar que la facturación esté habilitada, completa los siguientes pasos:
Console
- Ve a la página Facturación en
la consola de Google Cloud.
Ir a Facturación - Verifica que haya una cuenta de facturación configurada para tu organización.
- Haz clic en la pestaña Mis proyectos y, luego, verifica que el proyecto en el que intentas crear un dominio de Microsoft AD administrado esté en la lista.
gcloud
Ejecuta el siguiente comando de la CLI de gcloud:
gcloud billing projects describe PROJECT_ID
Si no ves una cuenta de facturación válida vinculada al proyecto, debes habilitar la facturación.
Rango de direcciones IP
Si recibes un error IP range overlap cuando intentas crear un dominio, significa que el rango de direcciones IP reservadas que proporcionaste en la solicitud de creación del dominio se superpone con el rango de direcciones IP de la red autorizada. Para resolver este problema, debes elegir un rango de direcciones IP diferente o una red autorizada diferente. Para obtener más información, consulta Selecciona rangos de direcciones IP.
Permisos
Si recibes un error Permission denied cuando intentas crear un dominio, debes verificar que la identidad de llamada tenga permiso para llamar a la API de Microsoft AD administrada. Obtén más información sobre las funciones y permisos de Microsoft AD administrados.
Política de la organización
La creación del dominio puede fallar debido a una configuración de la política de la organización. Por ejemplo, puedes configurar una política de la organización para permitir el acceso solo a servicios específicos, como GKE o Compute Engine. Obtén más información sobre las restricciones de las políticas de la organización.
Pídele al administrador que tiene la función de IAM de administrador de políticas de la organización (roles/orgpolicy.policyAdmin) en la organización que actualice las políticas necesarias de la organización.
Resource Location Restriction política de la organización
Esta restricción de lista define el conjunto de ubicaciones en las que se pueden crear los recursos de Google Cloud basados en la ubicación. Rechazar la ubicación global puede afectar a Microsoft AD administrado.
Para ver y actualizar la política de la organización Resource Location Restriction, haz lo siguiente:
Console
- Ve a la página Políticas de la organización en la consola de Google Cloud.
Ir a Políticas de la organización - En la página Políticas de organización, en la columna Nombre, seleccione la política Restricción de ubicación de recursos para abrir el panel Resumen de política.
- En el panel Resumen de la política, verifica que se permita la ubicación
global. - Si necesitas realizar un cambio, selecciona Editar, actualiza la política y, luego, haz clic en Guardar.
Obtén más información sobre cómo restringir ubicaciones de recursos.
gcloud
Para ver los detalles de la política de la organización
Resource Location Restriction, ejecuta el siguiente comando de gcloud CLI. Obtén más información sobre el comandogcloud resource-manager org-policies describe.gcloud resource-manager org-policies describe constraints/gcp.resourceLocations \ --organization=ORGANIZATION_IDSi el comando
describemuestra queglobalno está permitido, ejecuta el siguiente comando para permitirlo. Obtén más información sobre el comandogcloud resource-manager org-policies allow.gcloud resource-manager org-policies allow constraints/gcp.resourceLocations global \ --organization=ORGANIZATION_ID
Obtén más información sobre cómo restringir ubicaciones de recursos.
Restrict VPC peering usage política de la organización
En esta restricción de lista, se define el conjunto de redes de VPC mediante el cual se puede intercambiar tráfico con las redes de VPC que pertenecen a un recurso determinado. Cuando especificas una red autorizada para un dominio de Microsoft AD administrado, se crea un intercambio de tráfico de VPC entre la red autorizada y la red aislada que contiene los controladores de dominio de AD. Si la política de la organización del proyecto rechaza los intercambios de tráfico, Microsoft AD administrado no puede crear intercambios de tráfico a la red autorizada, por lo que la creación del dominio falla. Recibes un error como el siguiente:
GCE_PRECONDITION_FAILED: Constraint constraints /compute.restrictVpcPeering violated for project PROJECT_ID. Peering the network projects/PROJECT_ID/global/networks/VPC_NETWORK_NAME is not allowed.
Para ver y actualizar la política de la organización Restrict VPC peering usage, haz lo siguiente:
Console
- Ve a la página Políticas de la organización en la consola de Google Cloud.
Ir a Políticas de la organización - Sobre el Políticas de organización página, en el Nombre columna, seleccione el Restrinja el uso de emparejamiento VPC política para abrir el panel Resumen de la política.
- En el panel Resumen de políticas, verifica que el proyecto permita el intercambio de tráfico.
- Si necesitas realizar un cambio, selecciona Editar, actualiza la política y, luego, haz clic en Guardar.
gcloud
Para ver los detalles de la política de la organización
Restrict VPC peering usage, ejecuta el siguiente comando de gcloud CLI. Obtén más información sobre el comandogcloud resource-manager org-policies describe.gcloud resource-manager org-policies describe constraints/compute.restrictVpcPeering \ --organization=ORGANIZATION_IDSi el comando
describemuestra que no se permiten los intercambios de tráfico, ejecuta el siguiente comando para permitirlo. Obtén más información sobre el comandogcloud resource-manager org-policies allow.gcloud resource-manager org-policies allow constraints/compute.restrictVpcPeering under:projects/PROJECT_ID \ --organization=ORGANIZATION_IDReemplaza lo siguiente:
PROJECT_ID: Es el nombre del proyecto que contiene el recurso Microsoft AD administrado.ORGANIZATION_ID: Es el ID de la organización que aloja ese proyecto.
No se puede unir una VM de Windows automáticamente a un dominio
Estos son algunos problemas con los códigos de error que pueden surgir cuando intentas unir automáticamente una VM de Windows o nodos de Windows Server de GKE a un dominio:
| Código de error | Descripción | Posible solución |
|---|---|---|
CONFLICT (409) |
Indica que la cuenta de instancia de VM ya existe en el dominio de Microsoft AD administrado. | Quita la cuenta de forma manual de Microsoft AD administrado con las herramientas RSAT y vuelve a intentarlo. Para obtener más información sobre la administración de objetos de AD en Microsoft AD administrado, consulta Administra objetos de Active Directory. |
BAD_REQUEST (412) |
Indica que la solicitud para unirse al dominio contiene información no válida, como un nombre de dominio y una estructura de jerarquía de unidad organizativa (UO) incorrectos. | Revisa la información, actualiza los detalles si es necesario y vuelve a intentarlo. |
INTERNAL (500) |
Indica que el servidor encontró un error interno desconocido. | Comunícate con el equipo de Asistencia de Google Cloud para resolver este problema. |
FORBIDDEN (403) |
Indica que la cuenta de servicio especificada no posee los privilegios necesarios. | Verifica si tienes los privilegios necesarios en la cuenta de servicio y vuelve a intentarlo. |
UNAUTHORIZED (401) |
Indica que la VM no tiene una autorización válida para unirse al dominio. | Verifica si tienes el permiso de acceso necesario en la VM y vuelve a intentarlo. |
No puedes unir una VM a un dominio de forma manual
Si no puedes unir una máquina de forma manual desde un entorno local al dominio de Microsoft AD administrado, verifica los siguientes requisitos:
La máquina a la que intentas unirte es detectable desde Microsoft AD administrado. Para verificar esta conectividad, realiza una búsqueda de DNS desde el entorno local al dominio de Microsoft AD administrado con el comando
nslookup.La red local en la que se encuentra la máquina debe intercambiar tráfico con la red de VPC de tu dominio de Microsoft AD administrado. Si quieres obtener información para solucionar problemas relacionados con una conexión de intercambio de tráfico entre redes de VPC, consulta Solución de problemas.
No se puede usar la VPC compartida como red autorizada
Para acceder a un dominio de Microsoft AD administrado desde una red de VPC compartida, el dominio debe crearse en el mismo proyecto que aloja la red de VPC compartida.
No se puede acceder al dominio de Microsoft AD administrado
Si parece ser que el dominio de Microsoft AD administrado no está disponible, puedes obtener más información sobre su estado si completas los siguientes pasos:
Console
Ve a la página
Servicio administrado para Microsoft Active Directory
en la consola de Google Cloud.
Ir a Servicio administrado para Microsoft Active Directory
En la página Servicio administrado para Microsoft Active Directory, en la columna Estado, puedes ver los estados de tus dominios.
gcloud
Ejecuta el siguiente comando de la CLI de gcloud:
gcloud active-directory domains list
Este comando muestra los estados de tus dominios.
Si el estado de tu dominio es DOWN, esto indica que tu cuenta podría haber sido suspendida. Comunícate con el equipo de Asistencia de Google Cloud para resolver este problema.
Si el estado de tu dominio es PERFORMING_MAINTENANCE, Microsoft AD administrado aún debería estar disponible para su uso, pero es posible que no permita operaciones como extender un esquema y agregar o quitar regiones. Este estado es poco frecuente y solo ocurre cuando se aplica un parche al SO.
No se puede crear una relación de confianza
Si sigues los pasos para crear una confianza, pero no puedes completar el proceso, puede ser útil verificar las siguientes configuraciones.
Se puede acceder al dominio local
Para verificar que se pueda acceder al dominio local desde el dominio de Microsoft AD administrado, puedes usar ping o Test-NetConnection. Ejecuta estos comandos desde una VM alojada en Google Cloud y en una red autorizada. Verifica que la VM pueda alcanzar un controlador de dominio local. Obtén más información sobre Test-NetConnection.
Dirección IP
Para verificar que la dirección IP proporcionada durante la configuración de la relación de confianza pueda resolver el dominio local, ejecuta el siguiente comando:
nslookup ON_PREMISES_DOMAIN_NAME CONDITIONAL_FORWARDER_ADDRESS
Reemplaza lo siguiente:
ON_PREMISES_DOMAIN_NAME: Es el nombre del dominio local.CONDITIONAL_FORWARDER_ADDRESS: Es la dirección IP del servidor de reenvío condicional de DNS.
Si hay varias direcciones de reenvío condicionales, puedes probarlas.
Obtén más información sobre nslookup.
Relación de confianza local
Para verificar que se haya establecido la relación de confianza local, debes verificar que la siguiente información coincida.
- El tipo de confianza y la dirección en el dominio de Microsoft AD administrado complementan la confianza creada en el dominio local.
- El secreto de confianza proporcionado mientras se crea la confianza en el dominio de Microsoft AD administrado coincide con el que se ingresó en el dominio local.
La dirección de confianza local complementa la dirección de confianza configurada en Microsoft AD administrado. Es decir, si el dominio local espera una confianza entrante, la dirección de confianza para el dominio de Microsoft AD administrado es saliente. Obtén más información sobre las instrucciones de confianza.
La relación de confianza ya no funciona
Si creaste una relación de confianza con anterioridad, pero ya no funciona, debes verificar los mismos parámetros de configuración que para solucionar los problemas de la creación de la relación confianza.
Además, si no se usa una relación de confianza durante 60 días o más, se vence su contraseña. Para actualizar la contraseña, cambia la contraseña de la relación de confianza en el dominio local y, luego, actualiza la contraseña en el dominio de Microsoft AD administrado.
La autenticación de Active Directory falla (cuentas alojadas en Microsoft AD administrado)
Si parece que la autenticación de Active Directory falla cuando se usan cuentas administradas alojadas en Microsoft AD, puede ser útil verificar las siguientes configuraciones.
La VM está en una red autorizada
A fin de verificar que la VM que se usa para acceder al dominio se encuentre en una red autorizada, completa los siguientes pasos.
Ve a la página Servicio administrado para Microsoft Active Directory en la consola de Google Cloud.
Ir a Servicio administrado para Microsoft Active DirectorySeleccione el nombre del dominio.
En la página Dominio, en Redes, verifica que la red autorizada aparezca en la lista.
El nombre de usuario y la contraseña son correctos
Verifica que el nombre de usuario y la contraseña proporcionados para acceder sean correctos.
Reglas de firewall
Una regla de firewall deny para la salida al rango de direcciones IP de los controladores de dominio puede hacer que la autenticación falle.
Para verificar las reglas de firewall, completa los siguientes pasos:
Console
Ve a la página Reglas de firewall en la consola de Google Cloud.
Ir a Reglas de firewallEn esta página, verifica que no haya un
denypara la salida configurada para el rango de direcciones IP de los controladores de dominio.
gcloud
Ejecuta el siguiente comando de la CLI de gcloud:
gcloud compute firewall-rules list
Este comando muestra una lista de las reglas de firewall configuradas. Verifica que no haya un
denypara la salida configurada para el rango de direcciones IP de los controladores de dominio.
Obtén más información sobre las reglas de firewall.
Dirección IP
La autenticación puede fallar si la dirección IP no está en el rango de CIDR reservado.
Para verificar la dirección IP, ejecuta el siguiente comando.
nslookup DOMAIN_NAME
Si nslookup falla o muestra una dirección IP que no está en el rango de CIDR, debes verificar que exista la zona de DNS.
Para validar que la zona de DNS existe, completa los siguientes pasos:
Console
Ve a la página Cloud DNS en la consola de Google Cloud.
Ir a Cloud DNSEn la página Cloud DNS, en la pestaña Zonas, verifica la columna En uso de la red autorizada.
gcloud
Ejecuta el siguiente comando de la CLI de gcloud:
gcloud dns managed-zones list --filter=FQDN
Reemplaza
FQDNpor el nombre de dominio completamente calificado de tu dominio de Microsoft AD administrado.
Si la red autorizada no usa ninguna de las zonas enumeradas, debes quitar y volver a agregar la red autorizada.
Intercambio de tráfico entre redes
La autenticación puede fallar si el intercambio de tráfico entre redes de VPC no está configurado correctamente.
Para verificar que el intercambio de tráfico esté configurado, completa los siguientes pasos:
Console
Ve a la página Intercambio de tráfico entre redes de VPC en la consola de Google Cloud.
Ir a Intercambio de tráfico entre redes de VPCEn la página Intercambio de tráfico entre redes de VPC, en la columna Nombre, busca un intercambio de tráfico llamado
peering-VPC_NETWORK_NAME.
gcloud
Ejecuta el siguiente comando de la CLI de gcloud:
gcloud compute networks peerings list --network=VPC_NETWORK_NAME
Este comando muestra una lista de intercambios de tráfico. En la lista, busca uno llamado
peering-VPC_NETWORK_NAME.
Si peering-VPC_NETWORK_NAME no está en la lista, debes quitar y volver a agregar la red autorizada.
La autenticación de Active Directory falla (a través de la relación de confianza)
Si, al parecer, la autenticación de Active Directory falla cuando se usan cuentas alojadas administradas locales, debes verificar las mismas configuraciones que para la solución de problemas de la creación de la relación de confianza.
Además, verifica que la cuenta esté en el grupo delegado Cloud Service Computer Remote Desktop Users. Obtén más información sobre los grupos delegados
No se puede acceder al dominio desde una VM de administración
Si no puedes acceder al dominio de Microsoft AD administrado desde la VM que se usa para administrar objetos AD, debes verificar las mismas configuraciones que lo harías con la solución de problemas de autenticación de Active Directory para cuentas alojadas en Microsoft AD administrado.
Error Org policy durante la creación, actualización o eliminación
Si encuentras un error org policy cuando creas, actualizas o borras recursos, es posible que debas cambiar una política de la organización. Obtén más información sobre las restricciones de las políticas de la organización.
Pídele al administrador que tiene la función de IAM de administrador de políticas de la organización (roles/orgpolicy.policyAdmin) en la organización que actualice las políticas necesarias de la organización.
Define allowed APIs and services política de la organización
En esta restricción de lista, se define el conjunto de servicios y API que se pueden habilitar en un recurso determinado. Sus descendientes en la jerarquía de recursos también heredan la restricción. Si esta restricción no permite las API que se requieren para Microsoft AD administrado, recibirás un error cuando intentes crear, actualizar o borrar recursos.
Para ver y actualizar la política de la organización Define allowed APIs and services, haz lo siguiente:
Console
- Ve a la página Políticas de la organización en la consola de Google Cloud.
Ir a Políticas de la organización - En la página Políticas de la organización, en la columna Nombre, selecciona la política Definir las API y los servicios permitidos para abrir el panel Resumen de la política.
- En el panel Resumen de la política, verifica que no se rechacen las siguientes API:
dns.googleapis.comcompute.googleapis.com
- Si necesitas realizar un cambio, selecciona Editar, actualiza la política y, luego, haz clic en Guardar.
gcloud
Ejecuta el siguiente comando de gcloud CLI. Obtén información sobre el comando
gcloud resource-manager org-policies describe.gcloud resource-manager org-policies describe constraints/serviceuser.services \ --organization=ORGANIZATION_IDSi el comando
describemuestra quedns.googleapis.comocompute.googleapis.comno están permitidos, ejecuta el siguiente comando para permitirlo. Obtén más información sobre el comandogcloud resource-manager org-policies allow.gcloud resource-manager org-policies allow constraints/serviceuser.services API_NAME \ --organization=ORGANIZATION_ID
Restrict VPC peering usage política de la organización
En esta restricción de lista, se define el conjunto de redes de VPC mediante el cual se puede intercambiar tráfico con las redes de VPC que pertenecen a un recurso determinado. Si se rechazan los intercambios de tráfico, recibirás un error cuando intentes crear, actualizar o borrar recursos. Obtén información para ver y actualizar la política de la organización Restrict VPC peering usage.
No se pueden resolver los recursos locales de Google Cloud
Si no puedes resolver los recursos locales desde Google Cloud, es posible que debas cambiar la configuración de DNS. Obtén información sobre cómo configurar el reenvío de DNS para resolver consultas de objetos Microsoft AD no administrados en redes de VPC.
Fallas intermitentes de la búsqueda de DNS
Si tienes fallas intermitentes de búsqueda de DNS cuando se usa un esquema con alta disponibilidad para Cloud Interconnect o varias VPN, debes verificar las siguientes opciones de configuración:
- Existe una ruta para 35.199.192.0/19.
- La red local permite el tráfico desde 35.199.192.0/19 para todas las conexiones de Cloud Interconnect o los túneles VPN.
Vencimiento de la contraseña de la cuenta de administrador delegado
Si la contraseña de la cuenta de administrador delegada venció, puedes restablecer la contraseña. Asegúrate de tener los permisos necesarios para restablecer la contraseña de la cuenta de administrador delegada. Si lo deseas, también puedes inhabilitar el vencimiento de la contraseña para la cuenta.
No se pueden ver los registros de auditoría de Microsoft AD administrado
Si no puedes ver ningún registro de auditoría de Microsoft AD administrado en el visor de registros o el Explorador de registros, debes verificar la siguiente configuración.
- El registro está habilitado para el dominio.
- Tienes la función de IAM
roles/logging.vieweren el proyecto en el que se encuentra el dominio.