Cette page fournit des conseils et des approches pour résoudre les problèmes les problèmes courants liés au service géré pour Microsoft Active Directory.
Impossible de créer un domaine Microsoft AD géré
Si vous ne parvenez pas à créer un domaine Microsoft AD géré, vérifiez les configurations suivantes peuvent vous aider.
API requises
Microsoft AD géré nécessite que vous activiez un groupe d'API avant de procéder à la création de domaine.
Pour vérifier que les API requises sont activées, procédez comme suit :
Console
- Accédez à la page API et Services de la page
console Google Cloud.
Accéder à la page "API et" Services Sur la page Tableau de bord, vérifiez que les API suivantes sont répertoriées :
- API du service géré pour Microsoft Active Directory
- API Compute Engine
- API Cloud DNS
gcloud
Exécutez la commande de gcloud CLI suivante :
gcloud services list --available
La commande renvoie la liste des API activées. Vérifiez que les API suivantes sont répertoriées :
- API du service géré pour Microsoft Active Directory
- API Compute Engine
- API Cloud DNS
Si l'une de ces API est manquante, procédez comme suit pour l'activer :
Console
- Accédez au
la page Bibliothèque d'API de la
console Google Cloud.
Accéder à la bibliothèque d'API - Sur la page Bibliothèque d'API, saisissez le nom de l'API manquante dans le champ de recherche.
- Sur la page d'informations de l'API, cliquez sur Activer.
gcloud
Exécutez la commande de gcloud CLI suivante :
gcloud services enable API_NAME
Remplacez API_NAME par le nom de l'API manquante.
Répétez ce processus jusqu'à ce que toutes les API requises soient activées.
Billing
Microsoft AD géré nécessite que vous activiez la facturation avant de pouvoir créer un domaine.
Pour vérifier que la facturation est activée, procédez comme suit :
Console
- Accédez à la page Facturation du
console Google Cloud.
Accéder à Facturation - Vérifiez qu'un compte de facturation est configuré pour votre organisation.
- Cliquez sur l'onglet Mes projets, puis vérifiez que le le projet dans lequel vous essayez de créer un domaine Microsoft AD géré est dans la liste.
gcloud
Exécutez la commande de gcloud CLI suivante :
gcloud billing projects describe PROJECT_ID
Si aucun compte de facturation valide n'est lié au projet, vous devez activer la facturation.
Plage d'adresses IP
Si une erreur IP range overlap s'affiche lorsque vous essayez de créer un
cela signifie que la plage d'adresses IP réservée
fourni dans la demande de création de domaine chevauche la plage d'adresses IP du
au réseau autorisé. Pour résoudre ce problème, vous devez choisir une autre plage d'adresses IP ou un autre réseau autorisé. Pour en savoir plus, consultez
Sélectionnez des plages d'adresses IP.
Autorisations
Si vous recevez une erreur Permission denied lorsque vous essayez de créer un domaine, vous devez vérifier que l'identité appelante est autorisée à appeler l'API Microsoft AD gérée. En savoir plus sur les rôles et les autorisations Microsoft AD gérés.
Règle d'administration
La création du domaine peut échouer en raison d'une configuration de règle d'administration. Par exemple, vous pouvez configurer une règle d'administration pour n'autoriser l'accès des services spécifiques, comme GKE ou Compute Engine. En savoir plus sur les règles d'administration contraintes.
Demandez à votre administrateur, qui dispose du rôle IAM Administrateur des règles d'administration (roles/orgpolicy.policyAdmin) dans l'organisation, de mettre à jour les règles d'administration requises.
Règle d'administration Resource Location Restriction
Cette contrainte de liste définit l'ensemble des emplacements où les ressources Google Cloud basées sur l'emplacement peuvent être créées. Le refus de l'emplacement global peut influer sur Microsoft AD géré.
Pour afficher et mettre à jour la règle d'organisation Resource Location Restriction :
Console
- Accédez à la page Règles d'administration dans la console Google Cloud.
Accéder à la page Règles d'administration - Sur la page Règles d'organisation, dans la colonne Nom, sélectionnez la règle Restriction d'emplacement des ressources pour ouvrir le panneau Récapitulatif des règles.
- Dans le panneau Récapitulatif des règles, vérifiez que l'emplacement
globalest autorisé. - Si vous devez apporter une modification, sélectionnez Modifier, mettez à jour la règle puis cliquez sur Enregistrer.
Découvrez comment restreindre les emplacements des ressources.
gcloud
Afficher les détails de l'organisation
Resource Location Restrictionexécutez la commande gcloud CLI suivante. En savoir plus sur la commandegcloud resource-manager org-policies describe.gcloud resource-manager org-policies describe constraints/gcp.resourceLocations \ --organization=ORGANIZATION_IDSi la commande
describeindique queglobaln'est pas autorisé, exécutez la commande suivante pour l'autoriser. En savoir plus sur la commandegcloud resource-manager org-policies allow.gcloud resource-manager org-policies allow constraints/gcp.resourceLocations global \ --organization=ORGANIZATION_ID
Découvrez comment restreindre les emplacements des ressources.
Règle d'administration Restrict VPC peering usage
Cette contrainte de liste définit l'ensemble des réseaux VPC autorisés à être appairés avec les réseaux VPC appartenant à une ressource donnée. Lorsque vous spécifiez un réseau autorisé pour un domaine Microsoft AD géré, un appairage VPC est créé entre le réseau autorisé et le réseau isolé contenant les contrôleurs de domaine AD. Si la règle d'administration du projet refuse les appairages, Microsoft AD géré ne peut créer aucun appairage vers le réseau autorisé, la création de domaine échoue. Vous recevez une erreur comme celle-ci :
GCE_PRECONDITION_FAILED: Constraint constraints /compute.restrictVpcPeering violated for project PROJECT_ID. Peering the network projects/PROJECT_ID/global/networks/VPC_NETWORK_NAME is not allowed.
Pour afficher et mettre à jour la règle d'administration Restrict VPC peering usage :
Console
- Accédez à la page Règles d'administration dans la console Google Cloud.
Accéder à la page Règles d'administration - Sur la page Règles d'administration, dans la colonne Nom, sélectionnez la règle Limiter l'utilisation de l'appairage VPC pour ouvrir le panneau Récapitulatif des règles.
- Dans le panneau Récapitulatif des règles, vérifiez que le projet autorise les appairages.
- Si vous devez apporter une modification, sélectionnez Modifier, mettez à jour la règle puis cliquez sur Enregistrer.
gcloud
Afficher les détails de l'organisation
Restrict VPC peering usageexécutez la commande gcloud CLI suivante. En savoir plus sur lesgcloud resource-manager org-policies describe.gcloud resource-manager org-policies describe constraints/compute.restrictVpcPeering \ --organization=ORGANIZATION_IDSi la commande
describeindique que les appairages ne sont pas autorisés, exécutez la commande suivante pour les autoriser. En savoir plus sur la commandegcloud resource-manager org-policies allow.gcloud resource-manager org-policies allow constraints/compute.restrictVpcPeering under:projects/PROJECT_ID \ --organization=ORGANIZATION_IDRemplacez les éléments suivants :
PROJECT_ID: nom du projet contenant la ressource Microsoft AD gérée.ORGANIZATION_ID: ID de l'organisation qui héberge le projet.
Impossible d'associer automatiquement une VM Windows à un domaine
Voici quelques problèmes liés aux codes d'erreur que vous pouvez rencontrer lorsque vous essayez d'associer automatiquement une VM Windows ou des nœuds GKE Windows Server à un domaine :
| Code d'erreur | Description | Solution potentielle |
|---|---|---|
CONFLICT (409) |
Indique que le compte d'instance de VM existe déjà dans le domaine Microsoft AD géré. | Supprimez manuellement le compte du service Microsoft AD géré à l'aide d'outils RSAT, puis réessayez. Pour en savoir plus sur la gestion des objets AD dans Microsoft AD géré, consultez Gérer des objets Active Directory. |
BAD_REQUEST (412) |
Indique que la demande d'association au domaine contient des informations non valides, telles qu'un nom de domaine ou une structure hiérarchique d'unité organisationnelle (UO) incorrects. | Vérifiez les informations, modifiez-les si nécessaire, puis réessayez. |
INTERNAL (500) |
Indique que le serveur a rencontré une erreur interne inconnue. | Contactez l'assistance Google Cloud pour résoudre ce problème. |
FORBIDDEN (403) |
Indique que le compte de service spécifié ne dispose pas des droits requis. | Vérifiez que vous disposez des droits requis sur le compte de service, puis réessayez. |
UNAUTHORIZED (401) |
Indique que la VM ne dispose pas d'une autorisation valide pour se joindre au domaine. | Vérifiez si vous disposez du niveau d'accès requis sur la VM, puis réessayez. |
Impossible de joindre manuellement une VM à un domaine
Si vous ne parvenez pas à joindre manuellement une machine à partir d'un environnement sur site votre domaine Microsoft AD géré, vérifiez les points suivants:
La machine que vous essayez de rejoindre est visible depuis Service Microsoft AD géré Pour vérifier cette connectivité, effectuez une recherche DNS de l'environnement sur site vers le domaine Microsoft AD géré à l'aide de la commande
nslookup.Le réseau sur site dans lequel se trouve la machine doit être appairé avec réseau VPC de votre domaine Microsoft AD géré. Pour sur le dépannage d'une connexion d'appairage de réseaux VPC, consultez Dépannage
Impossible d'utiliser le VPC partagé en tant que réseau autorisé
Pour accéder à un domaine Microsoft AD géré à partir d'un réseau VPC partagé, le domaine doit être créé dans le même projet que celui hébergeant le VPC partagé réseau.
Impossible d'accéder au domaine Microsoft AD géré
Si votre domaine Microsoft AD géré semble indisponible, vous pouvez obtenir plus d'informations sur son état en procédant comme suit :
Console
Accédez au
Service géré pour Microsoft Active Directory
de la console Google Cloud.
Accéder au service géré pour Microsoft Active Directory
Sur la page Service géré pour Microsoft Active Directory, dans la colonne État, vous pouvez afficher les états de vos domaines.
gcloud
Exécutez la commande de gcloud CLI suivante :
gcloud active-directory domains list
Cette commande renvoie les états de vos domaines.
Si l'état de votre domaine est DOWN, cela indique que votre compte a peut-être été suspendu. Contactez l'assistance Google Cloud pour résoudre ce problème.
Si l'état de votre domaine est PERFORMING_MAINTENANCE,
Le service Microsoft AD géré doit rester disponible, mais peut ne pas autoriser
telles que l'extension du schéma, l'ajout ou la suppression de régions. Cet état est
rare et qui ne se produit que
lorsque l'OS est corrigé.
Impossible de créer une approbation
Si vous suivez les étapes pour créer une approbation, mais ne peut pas terminer en vérifiant les configurations suivantes.
Le domaine sur site est accessible
Pour vérifier que le domaine sur site est accessible à partir du domaine Microsoft AD géré, vous pouvez utiliser ping ou Test-NetConnection. Exécutez ces commandes à partir d'une VM hébergée sur Google Cloud et sur un réseau autorisé. Vérifiez que la VM peut atteindre un contrôleur de domaine sur site. En savoir plus sur Test-NetConnection.
Adresse IP
Pour vérifier que l'adresse IP qui a été fournie lors de l'installation de l'approbation est capable de résoudre le domaine sur site, exécutez la commande suivante :
nslookup ON_PREMISES_DOMAIN_NAME CONDITIONAL_FORWARDER_ADDRESS
Remplacez les éléments suivants :
ON_PREMISES_DOMAIN_NAME: nom de votre domaine sur site.CONDITIONAL_FORWARDER_ADDRESS: adresse IP de votre redirecteur conditionnel DNS.
S'il existe plusieurs adresses de redirecteur conditionnel, vous pouvez tester l'une d'entre elles.
Apprenez-en plus sur nslookup.
Relation d'approbation sur site
Pour vérifier que la relation d'approbation sur site est établie, vous devez vérifier que les informations suivantes correspondent.
- Type d'approbation et direction sur le domaine Microsoft AD géré complète l'approbation créée sur le domaine sur site.
- Secret de confiance fourni lors de la création de l'approbation sur le Le domaine Microsoft AD géré correspond à celui saisi sur site domaine.
La direction de l'approbation sur site complète la direction de l'approbation configurée sur Service Microsoft AD géré Autrement dit, si le domaine sur site attend un appel l'approbation du domaine Microsoft AD géré est sortante. En savoir plus sur les directions de confiance
Dysfonctionnement de l'approbation
Si vous avez précédemment créé une approbation, mais qu'elle ne fonctionne plus, vous devez vérifier les mêmes configurations que pour le dépannage de la création d'une approbation.
En outre, si une approbation n'est pas utilisée pendant 60 jours ou plus, le mot de passe d'approbation expire. Pour actualiser le mot de passe, modifiez le mot de passe de l'approbation sur le domaine sur site, puis mettez à jour le mot de passe sur le domaine Microsoft AD géré.
Échec de l'authentification Active Directory (comptes hébergés par Microsoft AD géré)
En cas d'échec de l'authentification Active Directory lors de l'utilisation de comptes hébergés gérés par Microsoft AD géré, la vérification des configurations suivantes peut être utile.
Présence de VM sur un réseau autorisé
Pour vérifier que la VM utilisée pour accéder au domaine se trouve sur un réseau autorisé, procédez comme suit.
Accédez au Service géré pour Microsoft Active Directory de la console Google Cloud.
Accéder au service géré pour Microsoft Active DirectorySélectionnez le nom de votre domaine.
Sur la page Domaine, sous Réseaux, vérifiez que le réseau autorisé est répertorié.*
Nom d'utilisateur et mot de passe corrects
Vérifiez que le nom d'utilisateur et le mot de passe fournis pour vous connecter sont corrects.
Règles de pare-feu
Une règle de pare-feu deny pour la sortie vers le domaine
contrôleurs La plage d'adresses IP peut entraîner l'échec de l'authentification.
Pour vérifier vos règles de pare-feu, procédez comme suit :
Console
Accédez à la page Règles de pare-feu. de la console Google Cloud.
Accéder à la page "Règles de pare-feu"Sur cette page, vérifiez l'absence de
denypour la sortie configurée pour la plage d'adresses IP des contrôleurs de domaine.
gcloud
Exécutez la commande de gcloud CLI suivante :
gcloud compute firewall-rules list
Cette commande renvoie une liste des règles de pare-feu configurées. Vérifiez l'absence de
denypour la sortie configurée pour la plage d'adresses IP des contrôleurs de domaine.
En savoir plus sur les règles de pare-feu.
Adresse IP
L'authentification peut échouer si l'adresse IP ne se trouve pas dans la plage CIDR réservée.
Pour vérifier l'adresse IP, exécutez la commande suivante.
nslookup DOMAIN_NAME
Si nslookup échoue ou renvoie une adresse IP qui ne se trouve pas dans la plage CIDR, vous devez vérifier que la zone DNS existe.
Pour valider l'existence de la zone DNS, procédez comme suit :
Console
Accédez à la page Cloud DNS dans la console Google Cloud.
Accéder à Cloud DNSSur la page Cloud DNS, dans l'onglet Zones, vérifiez la colonne Utilisé par pour le réseau autorisé.
gcloud
Exécutez la commande de gcloud CLI suivante :
gcloud dns managed-zones list --filter=FQDN
Remplacez
FQDNpar le nom de domaine complet de votre domaine Microsoft AD géré.
Si aucune des zones répertoriées n'est utilisée par le réseau autorisé, vous devez supprimer et rajouter le réseau autorisé.
Appairage de réseaux
L'authentification peut échouer si l'appairage du réseau VPC n'est pas correctement configuré.
Pour vérifier que l'appairage est configuré, procédez comme suit :
Console
Accédez à la page Appairage de réseaux VPC dans la console Google Cloud.
Accéder à la page "Appairage de réseaux VPC"Sur la page Appairage de réseaux VPC, dans la colonne Nom, recherchez un appairage appelé
peering-VPC_NETWORK_NAME.
gcloud
Exécutez la commande de gcloud CLI suivante :
gcloud compute networks peerings list --network=VPC_NETWORK_NAME
Cette commande renvoie une liste d'appairages. Dans la liste, recherchez celui nommé
peering-VPC_NETWORK_NAME.
Si peering-VPC_NETWORK_NAME ne figure pas dans la liste, vous devez supprimer et rajouter le réseau autorisé.
Échec de l'authentification Active Directory (via l'approbation)
En cas d'échec de l'authentification Active Directory lors de l'utilisation de comptes hébergés sur site gérés via une approbation, vous devez vérifier les mêmes configurations que pour le dépannage de la création d'une approbation.
Vérifiez également que le compte est
Cloud Service Computer Remote Desktop Users groupe délégué. En savoir plus sur les groupes délégués
Impossible d'accéder au domaine à partir d'une VM de gestion
Si vous ne parvenez pas à accéder au domaine Microsoft AD géré à partir de la VM utilisé pour gérer AD des objets, vous devez vérifiez les mêmes configurations que pour dépanner les ressources Authentification des annuaires pour les services gérés hébergés par le service Microsoft AD Google Cloud.
Erreur Org policy lors de la création, de la mise à jour ou de la suppression
Si vous rencontrez une erreur org policy lors de la création, de la mise à jour ou de la suppression de ressources, vous devrez peut-être modifier une règle d'administration. En savoir plus sur les contraintes liées aux règles d'administration.
Demandez à votre administrateur, qui dispose du rôle IAM Administrateur des règles d'administration (roles/orgpolicy.policyAdmin) dans l'organisation, de mettre à jour les règles d'administration requises.
Règle d'administration Define allowed APIs and services
Cette contrainte de liste définit l'ensemble des services et des API pouvant être activés sur une ressource donnée. Ses descendants dans la hiérarchie de la ressource héritent également de la contrainte. Si cette contrainte n'autorise pas les API requises pour Microsoft AD géré, vous recevez une erreur lorsque vous essayez de créer, mettre à jour ou supprimer des ressources.
Pour afficher et mettre à jour la règle d'organisation Define allowed APIs and services :
Console
- Accédez à la page Règles d'administration dans la console Google Cloud.
Accéder à la page Règles d'administration - Sur la page Règles d'administration, dans la colonne Nom, sélectionnez la règle Définir les API et services autorisés pour ouvrir le panneau Récapitulatif des règles.
- Dans le panneau Récapitulatif des règles, vérifiez que les API suivantes ne sont pas refusées :
dns.googleapis.comcompute.googleapis.com
- Si vous devez apporter une modification, sélectionnez Modifier, mettez à jour la règle puis cliquez sur Enregistrer.
gcloud
Exécutez la commande gcloud CLI suivante. En savoir plus sur les
gcloud resource-manager org-policies describe.gcloud resource-manager org-policies describe constraints/serviceuser.services \ --organization=ORGANIZATION_IDSi la commande
describeindique quedns.googleapis.comoucompute.googleapis.comn'est pas autorisé, exécutez la commande suivante pour l'autoriser. En savoir plus sur la commandegcloud resource-manager org-policies allow.gcloud resource-manager org-policies allow constraints/serviceuser.services API_NAME \ --organization=ORGANIZATION_ID
Règle d'administration Restrict VPC peering usage
Cette contrainte de liste définit l'ensemble des réseaux VPC autorisés à être appairés avec les réseaux VPC appartenant à une ressource donnée. Si les appairages sont refusés, vous recevez une erreur lorsque vous essayez de créer, mettre à jour ou supprimer des ressources. Découvrez comment afficher et mettre à jour la règle d'administration Restrict VPC peering usage.
Impossible de résoudre les ressources sur site à partir de Google Cloud
Si vous ne parvenez pas à résoudre les ressources sur site à partir de Google Cloud, vous devrez peut-être modifier votre configuration DNS. Apprendre comment configurer Transfert DNS pour résoudre les requêtes sur des objets Microsoft AD non gérés dans les réseaux VPC
Échecs de recherche DNS intermittents
Si vous rencontrez des échecs de recherche DNS intermittents lors de l'utilisation d'un schéma hautement disponible pour Cloud Interconnect ou plusieurs VPN, vous devez vérifier les configurations suivantes :
- Il existe une route pour 35.199.192.0/19.
- Le réseau sur site autorise le trafic à partir de 35.199.192.0/19 pour toutes les connexions Cloud Interconnect ou tunnels VPN.
Expiration du mot de passe du compte administrateur délégué
Si le mot de passe du compte administrateur délégué a expiré, vous pouvez réinitialisez le mot de passe. Assurez-vous de disposer des autorisations nécessaires pour réinitialiser le mot de passe du compte d'administrateur délégué. Si vous le souhaitez, vous pouvez également désactiver le mot de passe expiration pour le compte.
Impossible d'afficher les journaux d'audit du service Microsoft AD géré
Si vous ne parvenez pas à afficher les journaux d'audit pour le service Microsoft AD géré Visionneuse de journaux ou Explorateur de journaux, vérifiez les configurations suivantes.
- La journalisation est activée pour le domaine.
- Vous disposez du rôle IAM
roles/logging.viewersur le projet où se trouve le domaine.