Halaman ini memberikan tips dan pendekatan untuk memecahkan serta menyelesaikan masalah umum terkait Layanan Terkelola untuk Microsoft Active Directory.
Tidak dapat membuat domain Microsoft AD Terkelola
Jika Anda tidak dapat membuat domain Microsoft AD Terkelola, memverifikasi konfigurasi berikut dapat membantu.
API yang diperlukan
Microsoft AD terkelola mewajibkan Anda mengaktifkan grup API agar dapat membuat domain.
Untuk memverifikasi bahwa API yang diperlukan telah diaktifkan, selesaikan langkah-langkah berikut:
Konsol
- Buka halaman APIs & Services di Konsol Google Cloud.
Buka APIs & Services Di halaman Dashboard, pastikan API berikut tercantum:
- Layanan Terkelola untuk Microsoft Active Directory API
- Compute Engine API
- Cloud DNS API
gcloud
Jalankan perintah gcloud CLI berikut:
gcloud services list --available
Perintah akan menampilkan daftar API yang diaktifkan. Pastikan API berikut sudah tercantum:
- Layanan Terkelola untuk Microsoft Active Directory API
- Compute Engine API
- Cloud DNS API
Jika salah satu API ini tidak ada, selesaikan langkah-langkah berikut untuk mengaktifkannya:
Konsol
- Buka halaman Library API di Konsol Google Cloud.
Buka API Library - Di halaman Library API, di kolom penelusuran, masukkan nama API yang tidak ada.
- Di halaman informasi API, klik Enable.
gcloud
Jalankan perintah gcloud CLI berikut:
gcloud services enable API_NAME
Ganti API_NAME dengan nama API yang tidak ada.
Ulangi proses ini sampai semua API yang diperlukan diaktifkan.
Penagihan
Microsoft AD terkelola mewajibkan Anda mengaktifkan penagihan agar dapat membuat domain.
Untuk memverifikasi bahwa penagihan diaktifkan, selesaikan langkah-langkah berikut:
Konsol
- Buka halaman Billing di Konsol Google Cloud.
Buka Penagihan - Pastikan ada akun penagihan yang disiapkan untuk organisasi Anda.
- Klik tab My projects, lalu pastikan project tempat Anda mencoba membuat domain Microsoft AD Terkelola telah tercantum.
gcloud
Jalankan perintah gcloud CLI berikut:
gcloud billing projects describe PROJECT_ID
Jika Anda tidak melihat akun penagihan yang valid ditautkan ke project, Anda harus mengaktifkan penagihan.
IP address range
Jika Anda menerima error IP range overlap saat mencoba membuat domain, artinya rentang alamat IP yang dicadangkan yang Anda berikan dalam permintaan pembuatan domain tumpang-tindih dengan rentang alamat IP jaringan yang diizinkan. Untuk mengatasi masalah ini, Anda harus memilih rentang alamat IP lain atau jaringan resmi lainnya. Untuk mengetahui informasi selengkapnya, lihat Memilih rentang alamat IP.
Izin
Jika menerima error Permission denied saat mencoba membuat
domain, Anda harus memverifikasi bahwa identitas panggilan
diizinkan untuk memanggil Managed Microsoft AD API. Pelajari Peran dan izin Microsoft AD terkelola lebih lanjut.
Kebijakan organisasi
Pembuatan domain dapat gagal karena konfigurasi kebijakan organisasi. Misalnya, Anda dapat mengonfigurasi kebijakan organisasi untuk mengizinkan akses hanya ke layanan tertentu, seperti GKE atau Compute Engine. Pelajari Batasan kebijakan organisasi lebih lanjut.
Minta administrator Anda yang memiliki peran IAM administrator kebijakan organisasi (roles/orgpolicy.policyAdmin) di organisasi untuk memperbarui kebijakan organisasi yang diperlukan.
Kebijakan organisasi Resource Location Restriction
Batasan daftar ini menentukan kumpulan lokasi tempat resource Google Cloud berbasis lokasi dapat dibuat. Menolak lokasi global dapat memengaruhi
Microsoft AD Terkelola.
Untuk melihat dan memperbarui kebijakan organisasi Resource Location Restriction:
Konsol
- Buka halaman Kebijakan organisasi di Konsol Google Cloud.
Buka Kebijakan organisasi - Di halaman Kebijakan organisasi, di kolom Nama, pilih kebijakan Pembatasan Lokasi Resource untuk membuka panel Ringkasan kebijakan.
- Di panel Policy summary, pastikan lokasi
globaldiizinkan. - Jika Anda perlu melakukan perubahan, pilih Edit, update kebijakan, lalu klik Save.
Pelajari cara membatasi lokasi resource.
gcloud
Untuk melihat detail kebijakan organisasi
Resource Location Restriction, jalankan perintah gcloud CLI berikut. Pelajari perintahgcloud resource-manager org-policies describe.gcloud resource-manager org-policies describe constraints/gcp.resourceLocations \ --organization=ORGANIZATION_IDJika perintah
describemenunjukkan bahwaglobaltidak diizinkan, jalankan perintah berikut untuk mengizinkannya. Pelajari perintahgcloud resource-manager org-policies allow.gcloud resource-manager org-policies allow constraints/gcp.resourceLocations global \ --organization=ORGANIZATION_ID
Pelajari cara membatasi lokasi resource.
Kebijakan organisasi Restrict VPC peering usage
Batasan daftar ini menentukan kumpulan jaringan VPC yang diizinkan untuk di-peering dengan jaringan VPC yang termasuk dalam resource tertentu. Saat Anda menentukan jaringan yang diizinkan untuk domain Microsoft AD Terkelola, peering VPC akan dibuat antara jaringan yang diizinkan dan jaringan terisolasi yang berisi pengontrol domain AD. Jika kebijakan organisasi untuk project menolak peering, Microsoft AD Terkelola tidak dapat membuat peering apa pun ke jaringan yang diizinkan, sehingga pembuatan domain akan gagal. Anda menerima error seperti ini:
GCE_PRECONDITION_FAILED: Constraint constraints /compute.restrictVpcPeering violated for project PROJECT_ID. Peering the network projects/PROJECT_ID/global/networks/VPC_NETWORK_NAME is not allowed.
Untuk melihat dan memperbarui kebijakan organisasi Restrict VPC peering usage:
Konsol
- Buka halaman Kebijakan organisasi di Konsol Google Cloud.
Buka Kebijakan organisasi - Di halaman Kebijakan organisasi, di kolom Nama, pilih kebijakan Batasi penggunaan peering VPC untuk membuka panel Ringkasan kebijakan.
- Di panel Ringkasan kebijakan, pastikan project tersebut mengizinkan peering.
- Jika Anda perlu melakukan perubahan, pilih Edit, update kebijakan, lalu klik Save.
gcloud
Untuk melihat detail kebijakan organisasi
Restrict VPC peering usage, jalankan perintah gcloud CLI berikut. Pelajari perintahgcloud resource-manager org-policies describe.gcloud resource-manager org-policies describe constraints/compute.restrictVpcPeering \ --organization=ORGANIZATION_IDJika perintah
describemenunjukkan bahwa peering tidak diizinkan, jalankan perintah berikut untuk mengizinkannya. Pelajari perintahgcloud resource-manager org-policies allow.gcloud resource-manager org-policies allow constraints/compute.restrictVpcPeering under:projects/PROJECT_ID \ --organization=ORGANIZATION_IDGanti kode berikut:
PROJECT_ID: nama project yang berisi resource Microsoft AD Terkelola.ORGANIZATION_ID: ID organisasi yang menghosting project tersebut.
Tidak dapat bergabung dengan VM Windows secara otomatis ke domain
Berikut adalah beberapa masalah dengan kode error yang mungkin Anda alami saat mencoba bergabung dengan VM Windows atau node GKE Windows Server secara otomatis ke domain:
| Kode error | Deskripsi | Solusi potensial |
|---|---|---|
CONFLICT (409) |
Menunjukkan bahwa akun instance VM sudah ada di domain Microsoft AD Terkelola. | Hapus akun secara manual dari Microsoft AD Terkelola menggunakan alat RSAT, lalu coba lagi. Untuk informasi selengkapnya tentang mengelola objek AD di Microsoft AD Terkelola, lihat Mengelola objek Active Directory. |
BAD_REQUEST (412) |
Menunjukkan bahwa permintaan bergabung domain berisi informasi yang tidak valid, seperti nama domain yang salah dan struktur hierarki unit organisasi (OU) salah. | Tinjau informasinya, perbarui detail jika perlu, lalu coba lagi. |
INTERNAL (500) |
Menunjukkan bahwa server mengalami error internal yang tidak diketahui. | Hubungi Dukungan Google Cloud untuk menyelesaikan masalah ini. |
FORBIDDEN (403) |
Menunjukkan bahwa akun layanan yang ditentukan tidak memiliki hak istimewa yang diperlukan. | Periksa apakah Anda memiliki hak istimewa yang diperlukan di akun layanan, lalu coba lagi. |
UNAUTHORIZED (401) |
Menunjukkan bahwa VM tidak memiliki otorisasi yang valid untuk bergabung ke domain. | Periksa apakah Anda memiliki cakupan akses yang diperlukan di VM dan coba lagi. |
Tidak dapat menggabungkan VM ke domain secara manual
Jika Anda tidak dapat menggabungkan komputer secara manual dari lingkungan lokal ke domain Microsoft AD Terkelola, verifikasi persyaratan berikut:
Komputer yang ingin Anda ikuti dapat ditemukan dari Microsoft AD Terkelola. Untuk memverifikasi konektivitas ini, lakukan pencarian DNS dari lingkungan lokal ke domain Microsoft AD Terkelola menggunakan perintah
nslookup.Jaringan lokal tempat mesin berada harus di-peering dengan jaringan VPC dari domain Microsoft AD Terkelola Anda. Untuk mengetahui informasi tentang cara memecahkan masalah koneksi Peering Jaringan VPC, lihat Pemecahan masalah.
Tidak dapat menggunakan VPC Bersama sebagai jaringan yang diizinkan
Untuk mengakses domain Microsoft AD Terkelola dari jaringan VPC Bersama, domain tersebut harus dibuat dalam project yang sama yang menghosting jaringan VPC Bersama.
Tidak dapat mengakses domain Microsoft AD Terkelola
Jika domain Microsoft AD Terkelola tampaknya tidak tersedia, Anda bisa mendapatkan informasi selengkapnya tentang statusnya dengan menyelesaikan langkah-langkah berikut:
Konsol
Buka halaman Managed Service for Microsoft Active Directory di Konsol Google Cloud.
Buka Layanan Terkelola untuk Microsoft Active Directory
Di halaman Layanan Terkelola untuk Microsoft Active Directory, di kolom Status, Anda dapat melihat status untuk domain Anda.
gcloud
Jalankan perintah gcloud CLI berikut:
gcloud active-directory domains list
Perintah ini akan menampilkan status domain Anda.
Jika status domain Anda adalah DOWN, ini menunjukkan bahwa akun Anda mungkin telah ditangguhkan. Hubungi Dukungan Google Cloud untuk mengatasi masalah ini.
Jika status domain Anda adalah PERFORMING_MAINTENANCE, Microsoft AD Terkelola akan tetap tersedia untuk digunakan, tetapi mungkin tidak mengizinkan operasi seperti memperluas skema, penambahan, atau penghapusan region. Status ini jarang dan hanya terjadi jika OS di-patch.
Tidak dapat membuat kepercayaan
Jika Anda mengikuti langkah-langkah untuk membuat kepercayaan, tetapi tidak dapat menyelesaikan prosesnya, memverifikasi konfigurasi berikut dapat membantu.
Domain lokal dapat dijangkau
Untuk memverifikasi bahwa domain lokal dapat dijangkau dari domain Microsoft AD Terkelola, Anda dapat menggunakan ping atau Test-NetConnection. Jalankan perintah ini dari
VM yang dihosting di Google Cloud dan di jaringan yang diizinkan. Pastikan bahwa VM dapat menjangkau pengontrol domain lokal. Pelajari Test-NetConnection lebih lanjut.
Alamat IP
Untuk memastikan bahwa alamat IP yang diberikan selama penyiapan kepercayaan dapat me-resolve domain lokal, jalankan perintah berikut:
nslookup ON_PREMISES_DOMAIN_NAME CONDITIONAL_FORWARDER_ADDRESS
Ganti kode berikut:
ON_PREMISES_DOMAIN_NAME: nama domain lokal Anda.CONDITIONAL_FORWARDER_ADDRESS: alamat IP penerus bersyarat DNS Anda.
Jika ada beberapa alamat penerus bersyarat, Anda dapat mengujinya terhadap salah satunya.
Pelajari nslookup lebih lanjut.
Hubungan kepercayaan lokal
Untuk memverifikasi bahwa hubungan kepercayaan lokal terbentuk, Anda harus memeriksa apakah informasi berikut cocok.
- Arah dan jenis kepercayaan di domain Microsoft AD Terkelola melengkapi kepercayaan yang dibuat di domain lokal.
- Rahasia kepercayaan yang diberikan saat membuat kepercayaan di domain Microsoft AD Terkelola cocok dengan yang dimasukkan di domain lokal.
Arah kepercayaan lokal melengkapi arah kepercayaan yang dikonfigurasi pada Microsoft AD Terkelola. Artinya, jika domain lokal mengharapkan kepercayaan masuk, arah kepercayaan untuk domain Microsoft AD Terkelola akan keluar. Pelajari petunjuk kepercayaan lebih lanjut.
Kepercayaan tidak lagi berfungsi
Jika sebelumnya Anda telah membuat kepercayaan, tetapi sekarang tidak berfungsi lagi, Anda harus memverifikasi konfigurasi yang sama seperti yang Anda lakukan untuk memecahkan masalah pembuatan kepercayaan.
Selain itu, jika kepercayaan tidak digunakan selama 60 hari atau lebih, sandi kepercayaan akan berakhir. Untuk me-refresh sandi, ubah sandi untuk kepercayaan di domain lokal, lalu perbarui sandi di domain Microsoft AD Terkelola.
Autentikasi Active Directory gagal (akun Terkelola yang dihosting Microsoft AD)
Jika tampaknya autentikasi Active Directory gagal saat menggunakan akun Terkelola yang dihosting Microsoft AD, memverifikasi konfigurasi berikut dapat membantu.
VM berada di jaringan yang diizinkan
Untuk memverifikasi bahwa VM yang digunakan untuk mengakses domain berada di jaringan yang diizinkan, selesaikan langkah-langkah berikut.
Buka halaman Managed Service for Microsoft Active Directory di Konsol Google Cloud.
Buka Layanan Terkelola untuk Microsoft Active DirectoryPilih nama domain Anda.
Di halaman Domain, pada bagian Jaringan, pastikan jaringan yang diizinkan sudah tercantum.
Nama pengguna dan sandi sudah benar
Pastikan nama pengguna dan sandi yang diberikan untuk login sudah benar.
Aturan firewall
Aturan firewall deny untuk traffic keluar ke rentang alamat IP pengontrol
domain dapat menyebabkan autentikasi gagal.
Untuk memeriksa aturan firewall, selesaikan langkah-langkah berikut:
Konsol
Buka halaman Firewall rules di Konsol Google Cloud.
Buka Aturan firewallDi halaman ini, pastikan tidak ada
denyuntuk traffic keluar yang dikonfigurasi untuk rentang alamat IP pengontrol domain.
gcloud
Jalankan perintah gcloud CLI berikut:
gcloud compute firewall-rules list
Perintah ini akan menampilkan daftar aturan firewall yang dikonfigurasi. Pastikan tidak ada
denyuntuk traffic keluar yang dikonfigurasi untuk rentang alamat IP pengontrol domain.
Pelajari aturan firewall lebih lanjut.
Alamat IP
Autentikasi bisa gagal jika alamat IP tidak berada dalam rentang CIDR yang dicadangkan.
Untuk memeriksa alamat IP, jalankan perintah berikut.
nslookup DOMAIN_NAME
Jika nslookup gagal atau menampilkan alamat IP yang tidak berada dalam rentang CIDR, Anda harus memverifikasi bahwa zona DNS ada.
Untuk memvalidasi bahwa zona DNS sudah ada, selesaikan langkah-langkah berikut:
Konsol
Buka halaman Cloud DNS di Konsol Google Cloud.
Buka Cloud DNSDi halaman Cloud DNS, pada tab Zones, periksa kolom In use by untuk jaringan yang diizinkan.
gcloud
Jalankan perintah gcloud CLI berikut:
gcloud dns managed-zones list --filter=FQDN
Ganti
FQDNdengan nama domain yang sepenuhnya memenuhi syarat dari domain Microsoft AD Terkelola Anda.
Jika tidak ada satu pun zona yang tercantum yang digunakan oleh jaringan yang diizinkan, Anda harus menghapus dan menambahkan kembali jaringan yang diizinkan.
Peering jaringan
Autentikasi dapat gagal jika peering jaringan VPC tidak dikonfigurasi dengan benar.
Untuk memverifikasi bahwa peering sudah disiapkan, selesaikan langkah-langkah berikut:
Konsol
Buka halaman peering jaringan VPC di Google Cloud Console.
Buka peering jaringan VPCDi halaman peering jaringan VPC, di kolom Name, cari peering yang disebut
peering-VPC_NETWORK_NAME.
gcloud
Jalankan perintah gcloud CLI berikut:
gcloud compute networks peerings list --network=VPC_NETWORK_NAME
Perintah ini akan menampilkan daftar peering. Dalam daftar, cari yang disebut
peering-VPC_NETWORK_NAME.
Jika peering-VPC_NETWORK_NAME tidak ada dalam
daftar, Anda harus menghapus dan menambahkan kembali jaringan yang diizinkan.
Autentikasi Active Directory gagal (melalui kepercayaan)
Jika tampaknya autentikasi Active Directory gagal saat menggunakan akun yang dihosting secara lokal terkelola melalui kepercayaan, Anda harus memverifikasi konfigurasi yang sama seperti yang Anda lakukan untuk memecahkan masalah pembuatan kepercayaan.
Selain itu, pastikan bahwa akun berada dalam
grup yang didelegasikan Cloud Service Computer Remote Desktop Users. Pelajari grup yang didelegasikan lebih lanjut
Tidak dapat mengakses domain dari VM pengelolaan
Jika tidak dapat mengakses domain Microsoft AD Terkelola dari VM yang digunakan untuk mengelola objek AD, Anda harus memverifikasi konfigurasi yang sama seperti yang dilakukan untuk memecahkan masalah autentikasi Active Directory untuk akun yang dihosting Microsoft AD Terkelola.
Org policy error saat membuat, memperbarui, atau menghapus
Jika mengalami error org policy saat membuat, memperbarui, atau menghapus resource, Anda mungkin perlu mengubah kebijakan organisasi. Pelajari
Batasan Kebijakan Organisasi.
Minta administrator Anda yang memiliki peran IAM administrator kebijakan organisasi (roles/orgpolicy.policyAdmin) di organisasi untuk memperbarui kebijakan organisasi yang diperlukan.
Kebijakan organisasi Define allowed APIs and services
Batasan daftar ini menentukan kumpulan layanan dan API yang dapat diaktifkan pada resource tertentu. Turunannya dalam hierarki resource juga mewarisi batasan tersebut. Jika batasan ini tidak mengizinkan API yang diperlukan untuk Microsoft AD Terkelola, Anda akan menerima error saat mencoba membuat, mengupdate, atau menghapus resource.
Untuk melihat dan memperbarui kebijakan organisasi Define allowed APIs and services:
Konsol
- Buka halaman Kebijakan organisasi di Konsol Google Cloud.
Buka Kebijakan organisasi - Di halaman Organization policies, di kolom Name, pilih kebijakan Define allowed APIs and services untuk membuka panel Policy summary.
- Di panel Policy summary, pastikan API berikut tidak
ditolak:
dns.googleapis.comcompute.googleapis.com
- Jika Anda perlu melakukan perubahan, pilih Edit, update kebijakan, lalu klik Save.
gcloud
Jalankan perintah gcloud CLI berikut. Pelajari perintah
gcloud resource-manager org-policies describe.gcloud resource-manager org-policies describe constraints/serviceuser.services \ --organization=ORGANIZATION_IDJika perintah
describemenunjukkan bahwadns.googleapis.comataucompute.googleapis.comtidak diizinkan, jalankan perintah berikut untuk mengizinkannya. Pelajari perintahgcloud resource-manager org-policies allow.gcloud resource-manager org-policies allow constraints/serviceuser.services API_NAME \ --organization=ORGANIZATION_ID
Kebijakan organisasi Restrict VPC peering usage
Batasan daftar ini menentukan kumpulan jaringan VPC yang diizinkan untuk di-peering dengan jaringan VPC yang termasuk dalam resource tertentu. Jika peering
ditolak, Anda akan menerima error saat mencoba membuat, memperbarui, atau menghapus
resource. Pelajari
cara melihat dan memperbarui kebijakan organisasi Restrict VPC peering usage.
Tidak dapat me-resolve resource lokal dari Google Cloud
Jika tidak dapat me-resolve resource lokal dari Google Cloud, Anda mungkin perlu mengubah konfigurasi DNS Anda. Pelajari cara mengonfigurasi penerusan DNS guna me-resolve kueri untuk objek Microsoft AD tidak Terkelola di jaringan VPC.
Kegagalan pencarian DNS sesekali
Jika Anda mengalami kegagalan pencarian DNS sesekali saat menggunakan skema yang sangat tersedia untuk Cloud Interconnect atau beberapa VPN, Anda harus memverifikasi konfigurasi berikut:
- Rute untuk 35.199.192.0/19 ada.
- Jaringan lokal mengizinkan traffic dari 35.199.192.0/19 untuk semua koneksi Cloud Interconnect atau tunnel VPN.
Masa berlaku sandi akun administrator yang didelegasikan telah berakhir
Jika masa berlaku sandi untuk akun administrator yang didelegasikan telah berakhir, Anda dapat mereset sandi. Pastikan Anda memiliki izin yang diperlukan guna mereset sandi untuk akun administrator yang didelegasikan. Jika mau, Anda juga dapat menonaktifkan masa berlaku sandi untuk akun tersebut.
Tidak dapat melihat log audit Microsoft AD Terkelola
Jika tidak dapat melihat log audit Microsoft AD Terkelola di Logs Viewer atau Logs Explorer, Anda harus memverifikasi konfigurasi berikut.
- Logging diaktifkan untuk domain.
- Anda memiliki peran IAM
roles/logging.viewerpada project tempat domain berada.