Esta página se ha traducido con Cloud Translation API.
Switch to English

Solución de problemas de Microsoft AD administrado

En este tema, se muestran los pasos que pueden ayudar a solucionar problemas comunes con el servicio administrado para Microsoft Active Directory.

No se puede crear un dominio de Microsoft AD administrado

Si no puedes crear un dominio de Microsoft AD administrado, verificar estas opciones de configuración podría ser útil.

API requeridas

Microsoft AD administrado requiere que habilites un grupo de API antes de que puedas crear un dominio.

Para verificar que las API obligatorias estén habilitadas, completa los siguientes pasos:

Console

  1. Ve a la página API y servicios en Cloud Console.
    Ve a la página de API y servicios
  2. En la página Panel, verifica que se muestren las siguientes API en la lista:

    • Servicio administrado para la API de Microsoft Active Directory
    • API de Compute Engine
    • API de Cloud DNS

gcloud

  1. Ejecute el siguiente comando de la herramienta de gcloud:

    gcloud services list --available
    
  2. El comando muestra la lista de las API habilitadas. Verifica que se enumeren las siguientes API:

    • Servicio administrado para la API de Microsoft Active Directory
    • API de Compute Engine
    • API de Cloud DNS

Si falta alguna de estas API, completa los siguientes pasos para habilitarlas:

Console

  1. Ve a la página Biblioteca de API en Cloud Console.
    Ir a la página Biblioteca de API
  2. En la página Biblioteca API, en el campo de búsqueda, ingrese el nombre de la API que falta.
  3. En la página de API, haz clic en HABILITAR.

gcloud

Ejecute el siguiente comando de la herramienta de gcloud:

  gcloud services enable api-name
  

Repite este proceso hasta que estén habilitadas todas las API necesarias.

Facturación

Microsoft AD administrado requiere que habilites la facturación antes de que puedas crear un dominio.

Para verificar que la facturación esté habilitada, completa los siguientes pasos:

Console

  1. Ve a la páginaFacturación en Cloud Console.
    Ir a la página de facturación
  2. Verifica que haya una cuenta de facturación configurada para tu organización.
  3. Selecciona la pestaña Mis proyectos y verifica que aparezca el proyecto en el que intentas crear un dominio de Microsoft AD administrado.

gcloud

Ejecute el siguiente comando de la herramienta de gcloud:

  gcloud beta billing projects describe project-id
  

Si no ves una cuenta de facturación válida vinculada al proyecto, debes habilitar la facturación.

Rango de direcciones IP

Si recibes un error IP range overlap cuando intentas crear un dominio, significa que el rango de direcciones IP reservadas que proporcionaste en la solicitud de creación de dominio se superpone con el rango de direcciones IP de la red autorizada. Para resolver este problema, debes elegir un rango de direcciones IP diferente o una red autorizada diferente. Obtén más información sobre la selección de rangos de IP.

Permisos

Si recibes un error Permission denied cuando intentas crear un dominio, debes verificar que la identidad de llamada tenga permiso para llamar a la API de Microsoft AD administrada. Obtén más información sobre las funciones y permisos de Microsoft AD administrados.

Política de la organización

Si falla la creación de un dominio, es posible que debas cambiar la política de la organización. Obtén más información sobre las restricciones de las políticas de la organización.

Debes ser un administrador de políticas de la organización (roles/orgpolicy.policyAdmin) para actualizar las políticas de la organización.

Resource Location Restriction política de la organización

Esta restricción de lista define el conjunto de ubicaciones en las que se pueden crear los recursos de Google Cloud basados en la ubicación. Rechazar la ubicación global puede afectar a Microsoft AD administrado.

Para ver y actualizar la política de la organización Resource Location Restriction, haz lo siguiente:

Console

  1. Dirígete a la página Políticas de la organización en Google Cloud Console.
    Ve a la página Políticas de la organización
  2. En la página Políticas de organización, en la columna Nombre, seleccione la política Restricción de ubicación de recursos para abrir el panel Resumen de política.
  3. En el panel Resumen de la política, verifica que se permita la ubicación global.
  4. Si necesitas realizar un cambio, selecciona Editar, actualiza la política y, luego, haz clic en Guardar.

Obtén más información sobre cómo restringir ubicaciones de recursos.

gcloud

  1. Para ver los detalles de la política de la organización Resource Location Restriction, ejecuta el siguiente comando de la herramienta de gcloud. Obtén más información sobre el comando gcloud beta resource-manager org-policies describe.

    gcloud beta resource-manager org-policies describe constraints/gcp.resourceLocations \
        --organization=organization-id
    
  2. Si el comando describe muestra que global no está permitido, ejecuta el siguiente comando para permitirlo. Obtén más información sobre el comando gcloud beta resource-manager org-policies allow.

    gcloud beta resource-manager org-policies allow constraints/gcp.resourceLocations global \
        --organization=organization-id
    

Obtén más información sobre cómo restringir ubicaciones de recursos.

Restrict VPC peering usage política de la organización

En esta restricción de lista, se define el conjunto de redes de VPC mediante el cual se puede intercambiar tráfico con las redes de VPC que pertenecen a un recurso determinado. Cuando especificas una red autorizada para un dominio de Microsoft AD administrado, se crea un intercambio de tráfico de VPC entre la red autorizada y la red aislada que contiene los controladores de dominio de AD. Si la política de la organización del proyecto rechaza los intercambios de tráfico, Microsoft AD administrado no puede crear intercambios de tráfico a la red autorizada, por lo que la creación del dominio falla. Recibes un error como el siguiente:

GCE_PRECONDITION_FAILED: Constraint constraints /compute.restrictVpcPeering
violated for project project-id. Peering the network projects/id/global/networks/network
is not allowed.

Para ver y actualizar la política de la organización Restrict VPC peering usage, haz lo siguiente:

Console

  1. Dirígete a la página Políticas de la organización en Google Cloud Console.
    Ve a la página Políticas de la organización
  2. Sobre el Políticas de organización página, en el Nombre columna, seleccione el Restrinja el uso de emparejamiento VPC política para abrir el panel Resumen de la política.
  3. En el panel Resumen de políticas, verifica que el proyecto permita el intercambio de tráfico.
  4. Si necesitas realizar un cambio, selecciona Editar, actualiza la política y, luego, haz clic en Guardar.

gcloud

  1. Para ver los detalles de la política de la organización Restrict VPC peering usage, ejecuta el siguiente comando de la herramienta de gcloud. Obtén más información sobre el comando gcloud beta resource-manager org-policies describe.

    gcloud beta resource-manager org-policies describe constraints/compute.restrictVpcPeering \
        --organization=organization-id
    
  2. Si el comando describe muestra que no se permiten los intercambios de tráfico, ejecuta el siguiente comando para permitirlo. Obtén más información sobre el comando gcloud beta resource-manager org-policies allow.

    gcloud beta resource-manager org-policies allow constraints/compute.restrictVpcPeering under:projects/project-name \
        --organization=organization-id
    

    project-name es el nombre del proyecto que contiene el recurso de Microsoft AD administrado. organization-id es el ID de la organización que aloja el proyecto.

No se puede usar la VPC compartida como red autorizada

Para acceder a un dominio de Microsoft AD administrado desde una red de VPC compartida, el dominio debe crearse en el mismo proyecto que aloja la red de VPC compartida.

No se puede acceder al dominio de Microsoft AD administrado

Si parece ser que el dominio de Microsoft AD administrado no está disponible, puedes obtener más información sobre su estado si completas los siguientes pasos:

Console

Ve a la página Servicio administrado para Microsoft Active Directory en Cloud Console.
Ir a la página Servicio administrado para Microsoft Active Directory

En la página Servicio administrado para Microsoft Active Directory, en la columna Estado, puedes ver los estados de tus dominios.

gcloud

Ejecute el siguiente comando de la herramienta de gcloud:

gcloud active-directory domains list

Este comando muestra los estados de tus dominios.

Si el estado de tu dominio es DOWN, esto indica que tu cuenta podría haber sido suspendida. Comunícate con el equipo de Asistencia de Google Cloud para resolver este problema.

Si el estado de tu dominio es PERFORMING_MAINTENANCE, Microsoft AD administrado aún debería estar disponible para su uso, pero puede no permitir que se agreguen o quiten regiones. Este estado es poco común y solo sucede cuando se aplican parches en el SO.

No se puede crear una relación de confianza

Si sigues los pasos para crear una relación de confianza, pero no puedes completar el proceso, verificar las siguientes opciones de configuración podría ser útil.

Se puede acceder al dominio local

Para verificar que se pueda acceder al dominio local desde el dominio de Microsoft AD administrado, puedes usar ping o Test-NetConnection. Ejecuta estos comandos desde una VM alojada en Google Cloud y en una red autorizada. Verifica que la VM pueda alcanzar un controlador de dominio local. Obtén más información sobre Test-NetConnection.

Dirección IP

Para verificar que la dirección IP proporcionada durante la configuración de la relación de confianza pueda resolver el dominio local, ejecuta el siguiente comando:

nslookup on-premises-domain-name conditional-forwarder-address

Si hay varias direcciones de reenvío condicionales, puedes probarlas.

Obtén más información sobre nslookup.

Relación de confianza local

Para verificar que se haya establecido la relación de confianza local, debes verificar que la siguiente información coincida.

  • El tipo y la dirección de la relación de confianza coinciden con las expectativas locales
  • El secreto de confianza proporcionado cuando se crea la relación de confianza coincide con el que se ingresó de manera local.

La dirección de confianza local se complementa con la expectativa de confianza de Microsoft AD administrado. Esto significa que, si el dominio local espera una confianza de entrada, se pierde la dirección de confianza para el dominio de Microsoft AD administrado. Obtén más información acerca de las direcciones de confianza.

La relación de confianza ya no funciona

Si creaste una relación de confianza con anterioridad, pero ya no funciona, debes verificar los mismos parámetros de configuración que para solucionar los problemas de la creación de la relación confianza.

Además, si no se usa una relación de confianza durante 60 días o más, se vence su contraseña. Para actualizar la contraseña, cambia la contraseña de la relación de confianza en el dominio local y, luego, actualiza la contraseña en el dominio de Microsoft AD administrado.

La autenticación de Active Directory falla (cuentas alojadas en Microsoft AD administrado)

Si parece que la autenticación de Active Directory falla cuando se usan cuentas alojadas en Microsoft AD, verificar las siguientes opciones de configuración podría ser de ayuda.

La VM está en una red autorizada

A fin de verificar que la VM que se usa para acceder al dominio se encuentre en una red autorizada, completa los siguientes pasos.

  1. Ve a la página Servicio administrado para Microsoft Active Directory en Cloud Console.
    Ir a la página Servicio administrado para Microsoft Active Directory

  2. Seleccione el nombre del dominio.

  3. En la página Dominio, en Redes, verifica que la red autorizada aparezca en la lista.

El nombre de usuario y la contraseña son correctos

Verifica que el nombre de usuario y la contraseña proporcionados para acceder sean correctos.

Reglas de firewall

Una regla de firewall deny para la salida al rango de direcciones IP de los controladores de dominio podría hacer que la autenticación falle.

Para verificar las reglas de firewall, completa los siguientes pasos:

Console

  1. Ve a la página Reglas de Firewall en Cloud Console.
    Ir a la página de Reglas de firewall

  2. En esta página, verifica que no haya un deny para la salida configurada para el rango de direcciones IP de los controladores de dominio.

gcloud

  1. Ejecute el siguiente comando de la herramienta de gcloud:

    gcloud compute firewall-rules list
    
  2. Este comando muestra una lista de las reglas de firewall configuradas. Verifica que no haya un deny para la salida configurada para el rango de direcciones IP de los controladores de dominio.

Obtén más información sobre las reglas de firewall.

Dirección IP

La autenticación puede fallar si la dirección IP no está en el rango de CIDR reservado.

Para verificar la dirección IP, ejecuta el siguiente comando.

nslookup domain-name

Si nslookup falla o muestra una dirección IP que no está en el rango de CIDR, debes verificar que exista la zona de DNS.

Para validar que la zona de DNS existe, completa los siguientes pasos:

Console

  1. Ve a la página de Cloud DNS en Cloud Console.
    Ir a la página de Cloud DNS

  2. En la página Cloud DNS, en la pestaña Zonas, verifica la columna En uso de la red autorizada.

gcloud

  1. Ejecute el siguiente comando de la herramienta de gcloud:

    gcloud dns managed-zones list --filter=fqdn-for-domain
    

Si la red autorizada no usa ninguna de las zonas enumeradas, debes quitar y volver a agregar la red autorizada.

Intercambio de tráfico entre redes

La autenticación puede fallar si el intercambio de tráfico entre redes de VPC no está configurado correctamente.

Para verificar que el intercambio de tráfico esté configurado, completa los siguientes pasos:

Console

  1. Ve a la página Intercambio de tráfico entre redes de VPC en Cloud Console.
    Ir a la página Intercambio de tráfico entre redes de VPC

  2. En la página Intercambio de tráfico entre redes de VPC, en la columna Nombre, busca un intercambio de tráfico llamado peering-vpc-network-name.

gcloud

  1. Ejecute el siguiente comando de la herramienta de gcloud:

    gcloud compute networks peering list --network=network
    
  2. Este comando muestra una lista de intercambios de tráfico. En la lista, busca uno llamado peering-vpc-network-name.

Si peering-vpc-network-name no está en la lista, debes quitar y volver a agregar la red autorizada.

La autenticación de Active Directory falla (a través de la relación de confianza)

Si, al parecer, la autenticación de Active Directory falla cuando se usan cuentas alojadas administradas locales, debes verificar las mismas configuraciones que para la solución de problemas de la creación de la relación de confianza.

Además, verifica que la cuenta esté en el grupo delegado de usuarios de escritorio remoto de la computadora de servicio de Cloud. Más información sobre los grupos delegados

No se puede acceder al dominio desde una VM de administración

Si no puedes acceder al dominio de AD desde una VM de administración, debes verificar las mismas configuraciones que para solucionar problemas de autenticación de Active Directory para cuentas alojadas en Microsoft AD.

Error Org policy durante la creación, actualización o eliminación

Si encuentras un error org policy cuando creas, actualizas o borras recursos, es posible que debas cambiar una política de la organización. Obtén más información sobre las restricciones de las políticas de la organización.

Debes ser un administrador de políticas de la organización (roles/orgpolicy.policyAdmin) para actualizar las políticas de la organización.

Define allowed APIs and services política de la organización

En esta restricción de lista, se define el conjunto de servicios y API que se pueden habilitar en un recurso determinado. Sus descendientes en la jerarquía de recursos también heredan la restricción. Si esta restricción no permite las API que se requieren para Microsoft AD administrado, recibirás un error cuando intentes crear, actualizar o borrar recursos.

Para ver y actualizar la política de la organización Define allowed APIs and services, haz lo siguiente:

Console

  1. Dirígete a la página Políticas de la organización en Google Cloud Console.
    Ve a la página Políticas de la organización
  2. En la página Políticas de la organización, en la columna Nombre, selecciona la política Definir las API y los servicios permitidos para abrir el panel Resumen de la política.
  3. En el panel Resumen de la política, verifica que no se rechacen las siguientes API:
    • dns.googleapis.com
    • compute.googleapis.com
  4. Si necesitas realizar un cambio, selecciona Editar, actualiza la política y, luego, haz clic en Guardar.

gcloud

  1. Ejecuta el siguiente comando de la herramienta de gcloud. Obtén más información sobre el comando gcloud beta resource-manager org-policies describe.

    gcloud beta resource-manager org-policies describe constraints/serviceuser.services \
        --organization=organization-id
    
  2. Si el comando describe muestra que dns.googleapis.com o compute.googleapis.com no están permitidos, ejecuta el siguiente comando para permitirlo. Obtén más información sobre el comando gcloud beta resource-manager org-policies allow.

    gcloud beta resource-manager org-policies allow constraints/serviceuser.services api-name \
        --organization=organization-id
    

Restrict VPC peering usage política de la organización

En esta restricción de lista, se define el conjunto de redes de VPC mediante el cual se puede intercambiar tráfico con las redes de VPC que pertenecen a un recurso determinado. Si se rechazan los intercambios de tráfico, recibes un error cuando intentas crear, actualizar o borrar recursos. Obtén más información sobre cómo ver y actualizar la política de la organización Restrict VPC peering usage.

No se pueden resolver los recursos locales de Google Cloud

Si no puedes resolver los recursos locales desde Google Cloud, es posible que debas cambiar la configuración de DNS. Obtén más información sobre cómo configurar el reenvío de DNS para resolver consultas de objetos de AD no administrados en redes de VPC.

Fallas intermitentes de la búsqueda de DNS

Si tienes fallas intermitentes de búsqueda de DNS cuando se usa un esquema con alta disponibilidad para Cloud Interconnect o varias VPN, debes verificar las siguientes opciones de configuración:

  • Existe una ruta para 35.199.192.0/19.
  • La red local permite el tráfico desde 35.199.192.0/19 para todas las conexiones de Cloud Interconnect o los túneles VPN.

Vencimiento de la contraseña de la cuenta de administrador delegado

Si la contraseña de la cuenta de administrador delegada está vencida, puedes restablecer la contraseña. Para evitar este problema en el futuro, puedes inhabilitar el vencimiento de la contraseña para la cuenta.

No se pueden ver los registros de auditoría administrados de Microsoft AD

Si no puedes ver ningún registro de auditoría administrado de Microsoft AD en el visor de registros o en el Explorador de registros, debes verificar las siguientes configuraciones.