Questa pagina fornisce suggerimenti e approcci per risolvere i problemi comuni di Managed Service for Microsoft Active Directory.
Impossibile creare un dominio Microsoft AD gestito
Se non riesci a creare un dominio Microsoft Active Directory gestito, verifica le configurazioni seguenti.
API obbligatorie
Microsoft Active Directory gestito richiede l'abilitazione di un gruppo di API prima di poter creare un dominio.
Per verificare che le API richieste siano abilitate, completa i seguenti passaggi:
Console
- Vai alla pagina API e servizi nella console Google Cloud.
Vai ad API e servizi Nella pagina Dashboard, verifica che siano elencate le seguenti API:
- API Managed Service for Microsoft Active Directory
- API Compute Engine
- API del cloud DNS
gcloud
Esegui questo comando gcloud CLI:
gcloud services list --available
Il comando restituisce l'elenco delle API abilitate. Verifica che siano elencate le seguenti API:
- API Managed Service for Microsoft Active Directory
- API Compute Engine
- API del cloud DNS
Se una di queste API non è presente, completa i seguenti passaggi per abilitarla:
Console
- Vai alla pagina Libreria API nella console Google Cloud.
Vai alla libreria API - Inserisci nel campo di ricerca il nome dell'API mancante della pagina Libreria API.
- Nella pagina delle informazioni sull'API, fai clic su Abilita.
gcloud
Esegui questo comando gcloud CLI:
gcloud services enable API_NAME
Sostituisci API_NAME con il nome dell'API mancante.
Ripeti questo processo finché non saranno abilitate tutte le API richieste.
Fatturazione
Microsoft Active Directory gestito richiede l'abilitazione della fatturazione prima di poter creare un dominio.
Per verificare che la fatturazione sia abilitata, segui questi passaggi:
Console
- Vai alla pagina Fatturazione nella console Google Cloud.
Vai a Fatturazione - Verifica che sia stato configurato un account di fatturazione per la tua organizzazione.
- Fai clic sulla scheda I miei progetti, quindi verifica che sia elencato il progetto in cui stai tentando di creare un dominio Microsoft AD gestito.
gcloud
Esegui questo comando gcloud CLI:
gcloud billing projects describe PROJECT_ID
Se non vedi un account di fatturazione valido collegato al progetto, devi abilitare la fatturazione.
Intervallo di indirizzi IP
Se ricevi un errore IP range overlap quando provi a creare un dominio, significa che l'intervallo di indirizzi IP riservati che hai fornito nella richiesta di creazione del dominio si sovrappone all'intervallo di indirizzi IP della rete autorizzata. Per risolvere il problema, devi scegliere un intervallo di indirizzi IP diverso o una rete autorizzata diversa. Per maggiori informazioni, consulta Selezionare intervalli di indirizzi IP.
Autorizzazioni
Se ricevi un errore Permission denied quando provi a creare un dominio, devi verificare che l'identità di chiamata sia autorizzata a chiamare l'API Managed Microsoft AD. Scopri di più sui ruoli e le autorizzazioni di Microsoft AD gestiti.
Criteri dell'organizzazione
La creazione del dominio potrebbe non riuscire a causa di una configurazione dei criteri dell'organizzazione. Ad esempio, puoi configurare un criterio dell'organizzazione per consentire l'accesso solo a servizi specifici, come GKE o Compute Engine. Scopri di più sui vincoli dei criteri dell'organizzazione.
Chiedi all'amministratore che ha il ruolo IAM di amministratore dei criteri dell'organizzazione (roles/orgpolicy.policyAdmin) di aggiornare i criteri dell'organizzazione richiesti.
Resource Location Restriction criterio dell'organizzazione
Questo vincolo dell'elenco definisce l'insieme di località in cui è possibile creare le risorse Google Cloud basate sulla località. Negare la località global può influire
su Microsoft AD gestito.
Per visualizzare e aggiornare il criterio dell'organizzazione Resource Location Restriction:
Console
- Vai alla pagina Criteri dell'organizzazione nella console Google Cloud.
Vai a Criteri dell'organizzazione - Nella pagina Criteri dell'organizzazione, nella colonna Nome, seleziona il criterio Restrizione sulla località delle risorse per aprire il riquadro Riepilogo criteri.
- Nel riquadro Riepilogo criteri, verifica che la località
globalsia consentita. - Se devi apportare una modifica, seleziona Modifica, aggiorna la norma e fai clic su Salva.
Scopri di più sulla limitazione delle località delle risorse.
gcloud
Per visualizzare i dettagli del criterio dell'organizzazione
Resource Location Restriction, esegui questo comando gcloud CLI. Scopri di più sul comandogcloud resource-manager org-policies describe.gcloud resource-manager org-policies describe constraints/gcp.resourceLocations \ --organization=ORGANIZATION_IDSe il comando
describeindica cheglobalnon è consentito, esegui il comando seguente per autorizzarlo. Scopri di più sul comandogcloud resource-manager org-policies allow.gcloud resource-manager org-policies allow constraints/gcp.resourceLocations global \ --organization=ORGANIZATION_ID
Scopri di più sulla limitazione delle località delle risorse.
Restrict VPC peering usage criterio dell'organizzazione
Questo vincolo dell'elenco definisce l'insieme di reti VPC autorizzate a connettersi in peering con le reti VPC appartenenti a una determinata risorsa. Quando specifichi una rete autorizzata per un dominio Microsoft AD gestito, viene creato un peering VPC tra la rete autorizzata e la rete isolata contenente i controller di dominio AD. Se il criterio dell'organizzazione per il progetto nega i peering, Microsoft AD gestito non può creare alcun peering nella rete autorizzata, di conseguenza la creazione del dominio non va a buon fine. Ricevi un errore come il seguente:
GCE_PRECONDITION_FAILED: Constraint constraints /compute.restrictVpcPeering violated for project PROJECT_ID. Peering the network projects/PROJECT_ID/global/networks/VPC_NETWORK_NAME is not allowed.
Per visualizzare e aggiornare il criterio dell'organizzazione Restrict VPC peering usage:
Console
- Vai alla pagina Criteri dell'organizzazione nella console Google Cloud.
Vai a Criteri dell'organizzazione - Nella pagina Criteri dell'organizzazione, nella colonna Nome, seleziona il criterio Limita l'utilizzo del peering VPC per aprire il riquadro Riepilogo criteri.
- Nel riquadro Riepilogo criteri, verifica che il progetto consenta i peering.
- Se devi apportare una modifica, seleziona Modifica, aggiorna la norma e fai clic su Salva.
gcloud
Per visualizzare i dettagli del criterio dell'organizzazione
Restrict VPC peering usage, esegui questo comando gcloud CLI. Scopri di più sul comandogcloud resource-manager org-policies describe.gcloud resource-manager org-policies describe constraints/compute.restrictVpcPeering \ --organization=ORGANIZATION_IDSe il comando
describeindica che i peering non sono consentiti, esegui il comando seguente per autorizzarli. Scopri di più sul comandogcloud resource-manager org-policies allow.gcloud resource-manager org-policies allow constraints/compute.restrictVpcPeering under:projects/PROJECT_ID \ --organization=ORGANIZATION_IDSostituisci quanto segue:
PROJECT_ID: il nome del progetto che contiene la risorsa Microsoft AD gestito.ORGANIZATION_ID: l'ID dell'organizzazione che ospita il progetto.
Impossibile unire automaticamente una VM Windows a un dominio
Di seguito sono riportati alcuni problemi relativi ai codici di errore che potresti riscontrare quando provi a unire automaticamente una VM Windows o i nodi GKE Windows Server a un dominio:
| Codice di errore | Descrizione | Possibile soluzione |
|---|---|---|
CONFLICT (409) |
Indica che l'account dell'istanza VM esiste già nel dominio Microsoft AD gestito. | Rimuovi manualmente l'account da Microsoft Active Directory gestito utilizzando gli strumenti RSAT e riprova. Per saperne di più sulla gestione degli oggetti AD in Microsoft Active Directory gestito, vedi Gestire gli oggetti di Active Directory. |
BAD_REQUEST (412) |
Indica che la richiesta di unione al dominio contiene informazioni non valide, ad esempio un nome di dominio o una struttura gerarchica di unità organizzative (UO) non corretti. | Controlla le informazioni, aggiorna i dettagli se necessario e riprova. |
INTERNAL (500) |
Indica che il server ha riscontrato un errore interno sconosciuto. | Contatta l'assistenza Google Cloud per risolvere il problema. |
FORBIDDEN (403) |
Indica che l'account di servizio specificato non dispone dei privilegi necessari. | Verifica di disporre dei privilegi necessari per l'account di servizio e riprova. |
UNAUTHORIZED (401) |
Indica che la VM non dispone di un'autorizzazione valida per l'unione al dominio. | Verifica di disporre dell'ambito di accesso richiesto sulla VM e riprova. |
Impossibile unire una VM manualmente a un dominio
Se non riesci a unire manualmente una macchina da un ambiente on-premise al dominio Microsoft AD gestito, verifica i seguenti requisiti:
La macchina a cui stai tentando di accedere è rilevabile da Microsoft AD gestito. Per verificare la connettività, esegui una ricerca DNS dall'ambiente on-premise al dominio Microsoft AD gestito utilizzando il comando
nslookup.La rete on-premise in cui si trova la macchina deve essere connessa in peering con la rete VPC del dominio Microsoft AD gestito. Per informazioni sulla risoluzione dei problemi di una connessione di peering di rete VPC, consulta Risoluzione dei problemi.
Impossibile utilizzare il VPC condiviso come rete autorizzata
Per accedere a un dominio Microsoft AD gestito da una rete VPC condiviso, il dominio deve essere creato nello stesso progetto che ospita la rete VPC condiviso.
Impossibile accedere al dominio Microsoft AD gestito
Se il tuo dominio Microsoft AD gestito sembra non essere disponibile, puoi ottenere ulteriori informazioni sul suo stato svolgendo i seguenti passaggi:
Console
Vai alla pagina Managed Service for Microsoft Active Directory nella console Google Cloud.
Vai a Managed Service for Microsoft Active Directory
Nella colonna Stato della pagina Managed Service for Microsoft Active Directory puoi visualizzare gli stati dei tuoi domini.
gcloud
Esegui questo comando gcloud CLI:
gcloud active-directory domains list
Questo comando restituisce gli stati dei tuoi domini.
Se lo stato del tuo dominio è DOWN, significa che il tuo account potrebbe essere stato sospeso. Contatta l'assistenza Google Cloud per risolvere il problema.
Se lo stato del dominio è PERFORMING_MAINTENANCE, Microsoft Active Directory gestito dovrebbe essere ancora disponibile per l'uso, ma potrebbe non consentire operazioni come l'estensione dello schema e l'aggiunta o la rimozione delle regioni. Questo stato è raro e si verifica solo quando viene applicata una patch al sistema operativo.
Impossibile creare il trust
Se segui i passaggi per la creazione di un trust, ma non riesci a completare la procedura, verifica le seguenti configurazioni.
Il dominio on-premise è raggiungibile
Per verificare che il dominio on-premise sia raggiungibile dal dominio Microsoft AD gestito, puoi utilizzare ping o Test-NetConnection. Esegui questi comandi da una VM ospitata su Google Cloud e su una rete autorizzata. Verifica che la VM possa raggiungere un controller di dominio on-premise. Scopri di più su
Test-NetConnection.
Indirizzo IP
Per verificare che l'indirizzo IP fornito durante la configurazione dell'attendibilità sia in grado di risolvere il dominio on-premise, esegui questo comando:
nslookup ON_PREMISES_DOMAIN_NAME CONDITIONAL_FORWARDER_ADDRESS
Sostituisci quanto segue:
ON_PREMISES_DOMAIN_NAME: il nome del tuo dominio on-premise.CONDITIONAL_FORWARDER_ADDRESS: l'indirizzo IP del forwarding condizionale DNS.
Se esistono più indirizzi di inoltro condizionali, puoi eseguire il test rispetto a uno di questi.
Scopri di più su
nslookup.
Relazione di attendibilità on-premise
Per verificare che sia stata stabilita la relazione di attendibilità on-premise, verifica che le seguenti informazioni corrispondano.
- Il tipo di attendibilità e la direzione per il dominio Microsoft AD gestito completano il trust creato nel dominio on-premise.
- Il secret per attendibilità fornito durante la creazione del trust nel dominio Microsoft AD gestito corrisponde a quello inserito nel dominio on-premise.
La direzione di attendibilità on-premise completa la direzione di attendibilità configurata in Microsoft AD gestito. Ciò significa che, se il dominio on-premise prevede un'attendibilità in entrata, la direzione di attendibilità per il dominio Microsoft AD gestito è l'esterno. Scopri di più sulle istruzioni per l'attendibilità.
Il trust non funziona più
Se in precedenza hai creato un trust, ma non funziona più, devi verificare le stesse configurazioni che utilizzi per la risoluzione dei problemi relativi alla creazione di un trust.
Inoltre, se un trust non viene utilizzato per almeno 60 giorni, la password di attendibilità scade. Per aggiornare la password, cambia la password per l'attendibilità nel dominio on-premise, quindi aggiorna la password nel dominio Microsoft AD gestito.
L'autenticazione di Active Directory non riesce (account Microsoft AD gestiti ospitati)
Se l'autenticazione di Active Directory non riesce quando si utilizzano account ospitati Microsoft AD gestiti, verificare le configurazioni seguenti può essere di aiuto.
La VM si trova su una rete autorizzata
Per verificare che la VM utilizzata per accedere al dominio si trovi su una rete autorizzata, completa i seguenti passaggi.
Vai alla pagina Managed Service for Microsoft Active Directory nella console Google Cloud.
Vai a Managed Service for Microsoft Active DirectorySeleziona il nome del tuo dominio.
Nella pagina Dominio, in Reti, verifica che la rete autorizzata sia presente nell'elenco.
Nome utente e password siano corretti
Verifica che il nome utente e la password forniti per accedere siano corretti.
Regole del firewall
Una regola firewall deny per il traffico in uscita verso l'intervallo di indirizzi IP dei controller di dominio può causare un errore di autenticazione.
Per verificare le regole del firewall, completa i seguenti passaggi:
Console
Vai alla pagina Regole firewall nella console Google Cloud.
Vai a Regole firewallIn questa pagina, verifica che non sia presente un valore
denyper il traffico in uscita configurato per l'intervallo di indirizzi IP dei controller di dominio.
gcloud
Esegui questo comando gcloud CLI:
gcloud compute firewall-rules list
Questo comando restituisce un elenco delle regole del firewall configurate. Verifica che non sia presente un valore
denyper il traffico in uscita configurato per l'intervallo di indirizzi IP dei controller di dominio.
Scopri di più sulle regole firewall.
Indirizzo IP
L'autenticazione può non riuscire se l'indirizzo IP non è compreso nell'intervallo CIDR riservato.
Per verificare l'indirizzo IP, esegui questo comando:
nslookup DOMAIN_NAME
Se nslookup non funziona o restituisce un indirizzo IP che non è compreso nell'intervallo CIDR, devi verificare che la zona DNS esista.
Per verificare l'esistenza della zona DNS, completa i seguenti passaggi:
Console
Vai alla pagina Cloud DNS nella console Google Cloud.
Vai a Cloud DNSNella pagina Cloud DNS, nella scheda Zone, controlla la colonna Utilizzato da per la rete autorizzata.
gcloud
Esegui questo comando gcloud CLI:
gcloud dns managed-zones list --filter=FQDN
Sostituisci
FQDNcon il nome di dominio completo del dominio Microsoft Active Directory gestito.
Se nessuna delle zone elencate è in uso dalla rete autorizzata, devi rimuovere e aggiungere nuovamente la rete autorizzata.
Peering di rete
L'autenticazione può non riuscire se il peering di rete VPC non è configurato correttamente.
Per verificare che il peering sia configurato, completa i seguenti passaggi:
Console
Vai alla pagina Peering di rete VPC nella console Google Cloud.
Vai al peering di rete VPCNella colonna Nome della pagina peering di rete VPC, cerca un peering chiamato
peering-VPC_NETWORK_NAME.
gcloud
Esegui questo comando gcloud CLI:
gcloud compute networks peerings list --network=VPC_NETWORK_NAME
Il comando restituisce un elenco di peering. Cerca
peering-VPC_NETWORK_NAMEnell'elenco.
Se peering-VPC_NETWORK_NAME non è nell'elenco, devi rimuovere e aggiungere nuovamente la rete autorizzata.
L'autenticazione di Active Directory non riesce (tramite attendibilità)
Se sembra che l'autenticazione di Active Directory non vada a buon fine quando utilizzi account ospitati on-premise gestiti tramite attendibilità, devi verificare le stesse configurazioni per la risoluzione dei problemi relativi alla creazione di un trust.
Inoltre, verifica che l'account appartenga al gruppo delegato Cloud Service Computer Remote Desktop Users. Scopri di più sui
gruppi delegati
Impossibile accedere al dominio da una VM gestibilità
Se non riesci ad accedere al dominio Microsoft AD gestito dalla VM utilizzata per la gestione degli oggetti AD, devi verificare le stesse configurazioni che faresti per la risoluzione dei problemi di autenticazione di Active Directory per gli account ospitati da Microsoft AD gestiti.
Org policy errore durante la creazione, l'aggiornamento o l'eliminazione
Se si verifica un errore org policy durante la creazione, l'aggiornamento o l'eliminazione delle risorse, potrebbe essere necessario modificare un criterio dell'organizzazione. Scopri di più sui
vincoli dei criteri dell'organizzazione.
Chiedi all'amministratore che ha il ruolo IAM di amministratore dei criteri dell'organizzazione (roles/orgpolicy.policyAdmin) di aggiornare i criteri dell'organizzazione richiesti.
Define allowed APIs and services criterio dell'organizzazione
Questo vincolo dell'elenco definisce l'insieme di servizi e API che possono essere abilitati su una determinata risorsa. Anche i suoi discendenti nella gerarchia delle risorse ereditano il vincolo. Se questo vincolo non consente le API necessarie per Microsoft Active Directory gestito, verrà visualizzato un errore quando provi a creare, aggiornare o eliminare risorse.
Per visualizzare e aggiornare il criterio dell'organizzazione Define allowed APIs and services:
Console
- Vai alla pagina Criteri dell'organizzazione nella console Google Cloud.
Vai a Criteri dell'organizzazione - Nella pagina Criteri dell'organizzazione, nella colonna Nome, seleziona il criterio Definisci API e servizi consentiti per aprire il riquadro Riepilogo criteri.
- Nel riquadro Riepilogo criteri, verifica che le seguenti API non siano negate:
dns.googleapis.comcompute.googleapis.com
- Se devi apportare una modifica, seleziona Modifica, aggiorna la norma e fai clic su Salva.
gcloud
Esegui il seguente comando gcloud CLI. Scopri di più sul comando
gcloud resource-manager org-policies describe.gcloud resource-manager org-policies describe constraints/serviceuser.services \ --organization=ORGANIZATION_IDSe il comando
describeindica chedns.googleapis.comocompute.googleapis.comnon sono consentiti, esegui il comando seguente per autorizzarlo. Scopri di più sul comandogcloud resource-manager org-policies allow.gcloud resource-manager org-policies allow constraints/serviceuser.services API_NAME \ --organization=ORGANIZATION_ID
Restrict VPC peering usage criterio dell'organizzazione
Questo vincolo dell'elenco definisce l'insieme di reti VPC autorizzate a connettersi in peering con le reti VPC appartenenti a una determinata risorsa. Se i peering vengono negati, viene visualizzato un errore quando provi a creare, aggiornare o eliminare le risorse. Scopri come visualizzare e aggiornare il criterio dell'organizzazione Restrict VPC peering usage.
Impossibile risolvere le risorse on-premise da Google Cloud
Se non riesci a risolvere le risorse on-premise su Google Cloud, potresti dover modificare la configurazione DNS. Scopri come configurare l'inoltro DNS per risolvere le query per gli oggetti Microsoft AD non gestiti nelle reti VPC.
Errori di ricerca DNS intermittenti
Se riscontri errori di ricerca DNS intermittenti quando utilizzi uno schema ad alta disponibilità per Cloud Interconnect o per più VPN, devi verificare le seguenti configurazioni:
- Esiste un percorso per 35.199.192.0/19.
- La rete on-premise consente il traffico da 35.199.192.0/19 per tutte le connessioni Cloud Interconnect o i tunnel VPN.
Scadenza della password dell'account amministratore con delega
Se la password dell'account con delega di amministratore è scaduta, puoi reimpostare la password. Assicurati di disporre delle autorizzazioni necessarie per reimpostare la password dell'account amministratore delegato. Se vuoi, puoi anche disattivare la scadenza della password per l'account.
Impossibile visualizzare gli audit log di Microsoft AD gestito
Se non riesci a visualizzare gli audit log di Microsoft AD gestiti nel visualizzatore log o in Esplora log, devi verificare le seguenti configurazioni.
- Logging è abilitato per il dominio.
- Disponi del ruolo IAM
roles/logging.viewernel progetto in cui si trova il dominio.