관리형 Microsoft AD 문제 해결

이 페이지에서는 Microsoft Active Directory용 관리형 서비스의 일반적인 문제를 해결하는 팁과 방법을 제공합니다.

관리형 Microsoft AD 도메인을 만들 수 없음

관리형 Microsoft AD 도메인을 만들 수 없는 경우 다음 구성을 확인하면 도움이 될 수 있습니다.

필수 API

관리형 Microsoft AD에서는 도메인을 만들기 전에 API 그룹을 사용 설정해야 합니다.

필수 API가 사용 설정되어 있는지 확인하려면 다음 단계를 완료하세요.

콘솔

  1. Google Cloud 콘솔에서 API 및 서비스 페이지로 이동합니다.
    API 및 서비스로 이동

  2. 대시보드 페이지에서 다음 API가 나열되어 있는지 확인하세요.

    • Microsoft Active Directory용 관리형 서비스 API
    • Compute Engine API
    • Cloud DNS API

gcloud

  1. 다음 gcloud CLI 명령어를 실행합니다.

    gcloud services list --available

  2. 명령어는 사용 가능한 API 목록을 반환합니다. 다음 API가 나열되어 있는지 확인하세요.

    • Microsoft Active Directory용 관리형 서비스 API
    • Compute Engine API
    • Cloud DNS API

이러한 API가 누락된 경우 다음 단계를 완료하여 사용 설정합니다.

콘솔

  1. Google Cloud 콘솔에서 API 라이브러리 페이지로 이동합니다.
    API 라이브러리로 이동
  2. API 라이브러리 페이지의 검색 필드에 누락된 API의 이름을 입력합니다.
  3. API 정보 페이지에서 사용 설정을 클릭합니다.

gcloud

다음 gcloud CLI 명령어를 실행합니다.

  gcloud services enable API_NAME

API_NAME을 누락된 API의 이름으로 바꿉니다.

필요한 모든 API가 사용 설정될 때까지 이 프로세스를 반복하세요.

결제

관리형 Microsoft AD에서는 도메인을 만들기 전에 결제를 사용 설정해야 합니다.

결제가 사용 가능한지 확인하려면 다음 단계를 완료하세요.

콘솔

  1. Google Cloud 콘솔에서 결제 페이지로 이동합니다.
    결제로 이동
  2. 조직에 결제 계정이 설정되어 있는지 확인하세요.
  3. 내 프로젝트 탭을 클릭한 다음 관리형 Microsoft AD 도메인을 만들려는 프로젝트가 나열되어 있는지 확인하세요.

gcloud

다음 gcloud CLI 명령어를 실행합니다.

  gcloud billing projects describe PROJECT_ID

프로젝트에 연결된 유효한 결제 계정이 없으면 결제를 사용 설정해야 합니다.

IP 주소 범위

도메인을 만들려고 할 때 IP range overlap 오류가 발생하면 도메인 생성 요청에서 제공한 예약된 IP 주소 범위가 승인된 네트워크의 IP 주소 범위와 겹치게 됩니다. 이 문제를 해결하려면 다른 IP 주소 범위 또는 다른 승인된 네트워크를 선택해야 합니다. 자세한 내용은 IP 주소 범위 선택을 참조하세요.

권한

도메인을 만들려고 할 때 Permission denied 오류가 발생하면 호출 ID가 관리형 Microsoft AD API를 호출할 수 있는지 확인해야 합니다. 관리형 Microsoft AD 역할 및 권한에 대해 자세히 알아보세요.

조직 정책

조직 정책 구성으로 인해 도메인 생성이 실패할 수 있습니다. 예를 들어 GKE 또는 Compute Engine과 같은 특정 서비스에만 액세스를 허용하도록 조직 정책을 구성할 수 있습니다. 조직 정책 제약조건에 대해 자세히 알아보세요.

조직의 조직 정책 관리자(roles/orgpolicy.policyAdmin) IAM 역할이 있는 관리자에게 필요한 조직 정책을 업데이트해 달라고 요청합니다.

Resource Location Restriction 조직 정책

이 목록 제약조건은 위치 기반 Google Cloud 리소스를 만들 수 있는 위치 집합을 정의합니다. global 위치를 거부하면 관리형 Microsoft AD에 영향을 줄 수 있습니다.

Resource Location Restriction 조직 정책을 보고 업데이트하려면 다음 안내를 따르세요.

콘솔

  1. Google Cloud 콘솔의 조직 정책 페이지로 이동합니다.
    조직 정책으로 이동
  2. 조직 정책 페이지의 이름 열에서 리소스 위치 제한 정책을 선택하여 정책 요약 패널을 엽니다.
  3. 정책 요약 패널에서 global 위치가 허용되는지 확인하세요.
  4. 변경이 필요한 경우 수정을 선택하고 정책을 업데이트한 다음 저장을 클릭하세요.

리소스 위치 제한에 대해 알아보세요.

gcloud

  1. Resource Location Restriction 조직 정책의 세부정보를 보려면 다음 gcloud CLI 명령어를 실행하세요. gcloud resource-manager org-policies describe 명령어에 대해 알아보세요.

    gcloud resource-manager org-policies describe constraints/gcp.resourceLocations \
    --organization=ORGANIZATION_ID

  2. describe 명령어가 global이 허용되지 않음을 표시하면 다음 명령어를 실행하여 허용하세요. gcloud resource-manager org-policies allow 명령어에 대해 알아보세요.

    gcloud resource-manager org-policies allow constraints/gcp.resourceLocations global \
    --organization=ORGANIZATION_ID

리소스 위치 제한에 대해 알아보세요.

Restrict VPC peering usage 조직 정책

이 목록 제약조건은 특정 리소스에 속한 VPC 네트워크와 피어링할 수 있는 VPC 네트워크 집합을 정의합니다. 관리형 Microsoft AD 도메인에 대해 승인된 네트워크를 지정하면 승인된 네트워크와 AD 도메인 컨트롤러가 포함된 격리된 네트워크 간에 VPC 피어링이 생성됩니다. 프로젝트의 조직 정책이 피어링을 거부하는 경우 관리형 Microsoft AD는 승인된 네트워크에 대한 피어링을 만들 수 없으므로 도메인 생성이 실패합니다. 다음과 같은 오류가 발생합니다.

GCE_PRECONDITION_FAILED: Constraint constraints /compute.restrictVpcPeering
violated for project PROJECT_ID. Peering the network projects/PROJECT_ID/global/networks/VPC_NETWORK_NAME
is not allowed.

Restrict VPC peering usage 조직 정책을 보고 업데이트하려면 다음 안내를 따르세요.

콘솔

  1. Google Cloud 콘솔의 조직 정책 페이지로 이동합니다.
    조직 정책으로 이동
  2. 조직 정책 페이지의 이름 열에서 VPC 피어링 사용 제한 정책을 선택하여 정책 요약 패널을 엽니다.
  3. 정책 요약 패널에서 프로젝트가 피어링을 허용하는지 확인하세요.
  4. 변경이 필요한 경우 수정을 선택하고 정책을 업데이트한 다음 저장을 클릭하세요.

gcloud

  1. Restrict VPC peering usage 조직 정책의 세부정보를 보려면 다음 gcloud CLI 명령어를 실행하세요. gcloud resource-manager org-policies describe 명령어에 대해 알아보세요.

    gcloud resource-manager org-policies describe constraints/compute.restrictVpcPeering \
    --organization=ORGANIZATION_ID

  2. describe 명령어가 피어링이 허용되지 않음을 표시하면 다음 명령어를 실행하여 허용하세요. gcloud resource-manager org-policies allow 명령어에 대해 알아보세요.

    gcloud resource-manager org-policies allow constraints/compute.restrictVpcPeering under:projects/PROJECT_ID \
    --organization=ORGANIZATION_ID

    다음을 바꿉니다.

    • PROJECT_ID: 관리형 Microsoft AD 리소스가 포함된 프로젝트의 이름
    • ORGANIZATION_ID: 해당 프로젝트를 호스팅하는 조직의 ID

Windows VM을 도메인에 자동으로 조인할 수 없음

다음은 Windows VM 또는 GKE Windows Server 노드를 도메인에 자동으로 조인하려고 할 때 발생할 수 있는 오류 코드와 관련된 몇 가지 문제입니다.

오류 코드 설명 잠재적 해결책
CONFLICT (409) 관리형 Microsoft AD 도메인에 VM 인스턴스 계정이 이미 있음을 나타냅니다. RSAT 도구를 사용하여 관리형 Microsoft AD에서 계정을 수동으로 삭제하고 다시 시도하세요. 관리형 Microsoft AD의 AD 객체 관리에 대한 자세한 내용은 Active Directory 객체 관리를 참조하세요.
BAD_REQUEST (412) 도메인 가입 요청에 잘못된 도메인 이름 및 잘못된 조직 단위(OU) 계층 구조와 같은 잘못된 정보가 포함되어 있음을 나타냅니다. 정보를 검토하고 필요한 경우 세부정보를 업데이트한 후 다시 시도하세요.
INTERNAL (500) 서버에 알 수 없는 내부 오류가 발생했음을 나타냅니다. 이 문제를 해결하려면 Google Cloud 지원팀에 문의하세요.
FORBIDDEN (403) 지정된 서비스 계정에 필요한 권한이 없음을 나타냅니다. 서비스 계정에 필요한 권한이 있는지 확인하고 다시 시도하세요.
UNAUTHORIZED (401) VM에 도메인에 조인할 수 있는 유효한 승인이 없음을 나타냅니다. VM에 필요한 액세스 범위가 있는지 확인하고 다시 시도하세요.

VM을 도메인에 수동으로 조인할 수 없음

온프레미스 환경에서 관리형 Microsoft AD 도메인에 머신을 수동으로 조인할 수 없는 경우 다음 요구사항을 확인하세요.

  • 조인하려는 머신을 관리형 Microsoft AD에서 검색할 수 있습니다. 이 연결을 확인하려면 nslookup 명령어를 사용하여 온프레미스 환경에서 관리형 Microsoft AD 도메인으로 DNS 조회를 수행합니다.

  • 머신이 있는 온프레미스 네트워크는 관리형 Microsoft AD 도메인의 VPC 네트워크와 피어링되어야 합니다. VPC 네트워크 피어링 연결 문제 해결에 대한 자세한 내용은 문제 해결을 참조하세요.

공유 VPC를 승인된 네트워크로 사용할 수 없음

공유 VPC 네트워크에서 관리형 Microsoft AD 도메인에 액세스하려면 공유 VPC 네트워크를 호스팅하는 동일한 프로젝트에서 도메인을 만들어야 합니다.

관리형 Microsoft AD 도메인에 액세스할 수 없음

관리형 Microsoft AD 도메인을 사용할 수 없는 것 같으면 다음 단계를 완료하여 해당 상태에 대한 자세한 정보를 얻을 수 있습니다.

콘솔

Google Cloud 콘솔에서 Microsoft Active Directory용 관리형 서비스 페이지로 이동합니다.
Microsoft Active Directory용 관리형 서비스로 이동

Microsoft Active Directory용 관리형 서비스 페이지의 상태 열에서 도메인의 상태를 볼 수 있습니다.

gcloud

다음 gcloud CLI 명령어를 실행합니다.

gcloud active-directory domains list

이 명령어는 도메인의 상태를 반환합니다.

도메인 상태가 DOWN인 경우 계정이 정지되었을 수 있습니다. 이 문제를 해결하려면 Google Cloud 지원팀에 문의하세요.

도메인 상태가 PERFORMING_MAINTENANCE인 경우 관리형 Microsoft AD를 계속 사용할 수 있지만 스키마 확장, 리전 추가 또는 제거와 같은 작업이 허용되지 않을 수 있습니다. 이 상태는 드물며 OS가 패치될 때만 발생합니다.

트러스트를 만들 수 없음

트러스트 만들기 단계를 수행했지만 프로세스를 완료할 수 없는 경우 다음 구성을 확인하면 도움이 될 수 있습니다.

온프레미스 도메인에 연결 가능

관리형 Microsoft AD 도메인에서 온프레미스 도메인에 연결할 수 있는지 확인하려면 ping 또는 Test-NetConnection을 사용할 수 있습니다. Google Cloud 및 승인된 네트워크에서 호스팅되는 VM에서 이러한 명령어를 실행하세요. VM이 온프레미스 도메인 컨트롤러에 연결할 수 있는지 확인하세요. Test-NetConnection 자세히 알아보기

IP 주소

트러스트 설정 중에 제공된 IP 주소가 온프레미스 도메인을 확인할 수 있는지 인증하려면 다음 명령어를 실행하세요.

nslookup ON_PREMISES_DOMAIN_NAME CONDITIONAL_FORWARDER_ADDRESS

다음을 바꿉니다.

  • ON_PREMISES_DOMAIN_NAME: 온프레미스 도메인 이름
  • CONDITIONAL_FORWARDER_ADDRESS: DNS 조건부 전달자의 IP 주소

조건부 전달자 주소가 여러 개인 경우 해당 주소에 대해 테스트할 수 있습니다.

nslookup 자세히 알아보기

온프레미스 트러스트 관계

온프레미스 트러스트 관계가 설정되었는지 확인하려면 다음 정보가 일치하는지 확인해야 합니다.

  • 관리형 Microsoft AD 도메인의 트러스트 유형과 방향은 온프레미스 도메인에서 생성된 트러스트를 보완합니다.
  • 관리형 Microsoft AD 도메인에서 트러스트를 만드는 동안 제공된 트러스트 보안 비밀은 온프레미스 도메인에 입력한 것과 일치합니다.

온프레미스 트러스트 방향은 관리형 Microsoft AD에 구성된 트러스트 방향을 보완합니다. 즉, 온프레미스 도메인에 인바운드 트러스트가 필요한 경우 관리형 Microsoft AD 도메인의 트러스트 방향이 아웃바운드임을 의미합니다. 트러스트 방향에 대해 자세히 알아보세요.

트러스트는 더 이상 작동하지 않음

이전에 트러스트를 만들었지만 더 이상 작동하지 않는 경우 트러스트 만들기 문제 해결과 동일한 구성을 확인해야 합니다.

또한 트러스트를 60일 이상 사용하지 않으면 트러스트 비밀번호가 만료됩니다. 비밀번호를 새로 고치려면 온프레미스 도메인의 트러스트 비밀번호를 변경한 다음 관리형 Microsoft AD 도메인에서 암호를 업데이트합니다.

Active Directory 인증 실패(관리형 Microsoft AD 호스트 계정)

관리형 Microsoft AD 호스트 계정을 사용할 때 Active Directory 인증이 실패한 것으로 나타나면 다음 구성을 확인하면 도움이 될 수 있습니다.

VM이 승인된 네트워크에 있습니다.

도메인에 액세스하는 데 사용된 VM이 승인된 네트워크에 있는지 확인하려면 다음 단계를 완료하세요.

  1. Google Cloud 콘솔에서 Microsoft Active Directory용 관리형 서비스 페이지로 이동합니다.
    Microsoft Active Directory용 관리형 서비스로 이동

  2. 도메인 이름을 선택합니다.

  3. 도메인 페이지의 네트워크에서 승인된 네트워크가 나열되어 있는지 확인하세요.

사용자 이름과 비밀번호가 올바릅니다.

로그인에 제공된 사용자 이름과 비밀번호가 올바른지 확인하세요.

방화벽 규칙

도메인 컨트롤러의 IP 주소 범위에 대한 이그레스용 deny 방화벽 규칙으로 인해 인증이 실패할 수 있습니다.

방화벽 규칙을 확인하려면 다음 단계를 완료하세요.

콘솔

  1. Google Cloud 콘솔에서 방화벽 규칙 페이지로 이동합니다.
    방화벽 규칙으로 이동

  2. 이 페이지에서 도메인 컨트롤러의 IP 주소 범위에 대해 구성된 이그레스에 대한 deny가 없는지 확인하세요.

gcloud

  1. 다음 gcloud CLI 명령어를 실행합니다.

    gcloud compute firewall-rules list

  2. 이 명령어는 구성된 방화벽 규칙 목록을 반환합니다. 도메인 컨트롤러의 IP 주소 범위에 구성된 이그레스에 대한 deny가 없는지 확인하세요.

방화벽 규칙에 대해 자세히 알아보세요.

IP 주소

IP 주소가 예약된 CIDR 범위에 있지 않으면 인증이 실패할 수 있습니다.

IP 주소를 확인하려면 다음 명령어를 실행합니다.

nslookup DOMAIN_NAME

nslookup이 실패하거나 CIDR 범위에 없는 IP 주소를 반환하면 DNS 영역이 있는지 확인해야 합니다.

DNS 영역이 있는지 확인하려면 다음 단계를 완료하세요.

콘솔

  1. Google Cloud 콘솔에서 Cloud DNS 페이지로 이동합니다.
    Cloud DNS로 이동

  2. Cloud DNS 페이지의 영역 탭에서 승인된 네트워크의 다음에서 사용 중 열을 확인하세요.

gcloud

  1. 다음 gcloud CLI 명령어를 실행합니다.

    gcloud dns managed-zones list --filter=FQDN

    FQDN을 관리형 Microsoft AD 도메인의 정규화된 도메인 이름으로 바꿉니다.

승인된 네트워크에서 나열된 영역을 사용하지 않는 경우 승인된 네트워크를 제거했다가 다시 추가해야 합니다.

네트워크 피어링

VPC 네트워크 피어링이 제대로 구성되지 않으면 인증이 실패할 수 있습니다.

피어링이 설정되었는지 확인하려면 다음 단계를 완료하세요.

콘솔

  1. Google Cloud 콘솔에서 VPC 네트워크 피어링 페이지로 이동합니다.
    VPC 네트워크 피어링으로 이동

  2. VPC 네트워크 피어링 페이지의 이름 열에서 peering-VPC_NETWORK_NAME이라는 피어링을 찾으세요.

gcloud

  1. 다음 gcloud CLI 명령어를 실행합니다.

    gcloud compute networks peerings list --network=VPC_NETWORK_NAME

  2. 이 명령어는 피어링 목록을 반환합니다. 목록에서 peering-VPC_NETWORK_NAME이라는 것을 찾으세요.

peering-VPC_NETWORK_NAME이 목록에 없으면 승인된 네트워크를 제거했다가 다시 추가해야 합니다.

Active Directory 인증 실패(트러스트 사용)

트러스트를 통해 관리형 온프레미스 호스팅 계정을 사용할 때 Active Directory 인증에 실패한 것으로 나타나면 트러스트 만들기 문제 해결과 동일한 구성을 확인해야 합니다.

또한 계정이 Cloud Service Computer Remote Desktop Users 위임된 그룹에 있는지 확인합니다. 위임된 그룹에 대해 자세히 알아보세요.

관리 효율성 VM에서 도메인에 액세스할 수 없음

AD 객체를 관리하는 데 사용하는 VM에서 관리형 Microsoft AD 도메인에 액세스할 수 없는 경우 관리형 Microsoft AD 호스트 계정에 대한 Active Directory 인증 문제 해결과 동일한 구성을 확인해야 합니다.

만들기, 업데이트 또는 삭제 시 Org policy 오류

리소스를 만들기, 업데이트 또는 삭제할 때 org policy 오류가 발생하면 조직 정책을 변경해야 합니다. 조직 정책 제약조건 알아보기

조직의 조직 정책 관리자(roles/orgpolicy.policyAdmin) IAM 역할이 있는 관리자에게 필요한 조직 정책을 업데이트해 달라고 요청합니다.

Define allowed APIs and services 조직 정책

이 목록 제약조건은 특정 리소스에 사용 설정할 수 있는 서비스 및 API 집합을 정의합니다. 리소스 계층 구조의 하위 요소도 제약조건을 상속합니다. 이 제약조건에서 관리형 Microsoft AD에 필요한 API를 허용하지 않는 경우 리소스 생성, 업데이트 또는 삭제 시 오류가 발생합니다.

Define allowed APIs and services 조직 정책을 보고 업데이트하려면 다음 안내를 따르세요.

콘솔

  1. Google Cloud 콘솔의 조직 정책 페이지로 이동합니다.
    조직 정책으로 이동
  2. 조직 정책 페이지의 이름 열에서 허용되는 API 및 서비스 정의 정책을 선택하여 정책 요약 패널을 엽니다.
  3. 정책 요약 패널에서 다음 API가 거부되지 않았는지 확인하세요.
    • dns.googleapis.com
    • compute.googleapis.com
  4. 변경이 필요한 경우 수정을 선택하고 정책을 업데이트한 다음 저장을 클릭하세요.

gcloud

  1. 다음 gcloud CLI 명령어를 실행합니다. gcloud resource-manager org-policies describe 명령어에 대해 알아보세요.

    gcloud resource-manager org-policies describe constraints/serviceuser.services \
    --organization=ORGANIZATION_ID

  2. describe 명령어가 dns.googleapis.com 또는 compute.googleapis.com이 허용되지 않음을 표시하면 다음 명령어를 실행하여 허용하세요. gcloud resource-manager org-policies allow 명령어에 대해 알아보세요.

    gcloud resource-manager org-policies allow constraints/serviceuser.services API_NAME \
    --organization=ORGANIZATION_ID

Restrict VPC peering usage 조직 정책

이 목록 제약조건은 특정 리소스에 속한 VPC 네트워크와 피어링할 수 있는 VPC 네트워크 집합을 정의합니다. 피어링이 거부되면 리소스 생성, 업데이트 또는 삭제 시 오류가 발생합니다. Restrict VPC peering usage 조직 정책의 확인 및 업데이트 방법을 알아보세요.

Google Cloud에서 온프레미스 리소스를 확인할 수 없음

Google Cloud에서 온프레미스 리소스를 확인할 수 없는 경우 DNS 구성을 변경해야 할 수 있습니다. VPC 네트워크에서 비관리형 Microsoft AD 객체에 대한 쿼리를 해결하기 위해 DNS 전달을 구성하는 방법에 대해 알아보세요.

간헐적 DNS 조회 실패

Cloud Interconnect 또는 다중 VPN에 가용성이 높은 스키마를 사용할 때 간헐적 DNS 조회 실패가 발생하는 경우 다음 구성을 확인해야 합니다.

  • 35.199.192.0/19의 경로가 있습니다.
  • 온프레미스 네트워크는 모든 Cloud Interconnect 연결 또는 VPN 터널에 대해 35.199.192.0/19의 트래픽을 허용합니다.

위임된 관리자 계정 비밀번호가 만료됨

위임된 관리자 계정의 비밀번호가 만료되었다면 비밀번호를 재설정할 수 있습니다. 위임된 관리자 계정의 비밀번호를 재설정하는 데 필요한 권한이 있는지 확인합니다. 원하는 경우 계정의 비밀번호 만료를 사용 중지할 수도 있습니다.

관리형 Microsoft AD 감사 로그를 볼 수 없음

로그 뷰어 또는 로그 탐색기에서 관리형 Microsoft AD 감사 로그를 볼 수 없으면 다음 구성을 확인해야 합니다.