Resolver problemas do Microsoft AD gerenciado

Mantenha tudo organizado com as coleções Salve e categorize o conteúdo com base nas suas preferências.

Este tópico mostra as etapas que podem ajudar a solucionar problemas comuns com o Serviço Gerenciado para Microsoft Active Directory.

Não foi possível criar um domínio do Managed Microsoft AD

Se você não conseguir criar um domínio do Managed Microsoft AD, verificar as seguintes configurações poderá ajudar.

APIs necessárias

O Managed Microsoft AD exige que você habilite um grupo de APIs antes de poder criar um domínio.

Para verificar se as APIs necessárias estão ativadas, execute as seguintes etapas:

Console

  1. Acesse a página APIs e serviços no console do Google Cloud.
    Ir para a página "APIs e serviços"

  2. Na página Painel, verifique se as seguintes APIs estão listadas:

    • API Managed Service for Microsoft Active Directory
    • API Compute Engine
    • API Cloud DNS

gcloud

  1. Execute o seguinte comando da CLI gcloud:

    gcloud services list --available

  2. O comando retorna a lista de APIs ativadas. Verifique se as seguintes APIs estão listadas:

    • API Managed Service for Microsoft Active Directory
    • API Compute Engine
    • API Cloud DNS

Se alguma dessas APIs estiver ausente, execute as seguintes etapas para habilitá-la:

Console

  1. Acesse a página Biblioteca de APIs no Console do Google Cloud.
    Acessar a página "Biblioteca de APIs"
  2. Na página Biblioteca de APIs, no campo de pesquisa, digite o nome da API ausente.
  3. Na página de informações da API, clique em Ativar.

gcloud

Execute o seguinte comando da CLI gcloud:

  gcloud services enable api-name

Repita esse processo até que todas as APIs necessárias estejam ativadas.

Faturamento

O Managed Microsoft AD exige que você ative o faturamento antes de poder criar um domínio.

Para verificar se o faturamento está ativado, execute as seguintes etapas:

Console

  1. Acesse a página Faturamento no console do Google Cloud.
    Acessar a página "Faturamento"
  2. Verifique se há uma conta de faturamento configurada para sua organização.
  3. Selecione a guia Meus projetos e verifique se o projeto em que você está tentando criar um domínio do Managed Microsoft AD está listado.

gcloud

Execute o seguinte comando da CLI gcloud:

  gcloud beta billing projects describe project-id

Se você não vir uma conta de faturamento válida vinculada ao projeto, deverá ativá-la.

Intervalo de endereços IP

Se você receber um erro IP range overlap ao tentar criar um domínio, significa que o intervalo de endereços IP reservado que você forneceu na solicitação de criação de domínio se sobrepõe ao intervalo de endereços IP da rede autorizada. Para resolver esse problema, você deve escolher um intervalo de endereços IP diferente ou uma rede autorizada diferente. Para mais informações, consulte Selecionar intervalos de endereços IP.

Permissões

Se você receber um erro Permission denied ao tentar criar um domínio, verifique se a identidade de chamada tem permissão para chamar a API Managed Microsoft AD. Saiba mais sobre funções e permissões do Managed Microsoft AD.

Política da organização

Se a criação do domínio falhar, poderá ser necessário alterar uma política da organização. Saiba mais sobre restrições da política da organização.

Você deve ser um administrador de políticas da organização (roles/orgpolicy.policyAdmin) para atualizar as políticas da organização.

Política da organização Resource Location Restriction

Essa restrição de lista define o conjunto de locais onde os recursos do Google Cloud com base na localização podem ser criados. Negar o local global pode afetar o Managed Microsoft AD.

Para visualizar e atualizar a política da organização Resource Location Restriction:

Console

  1. Acesse a página Políticas da organização no Console do Google Cloud.
    Acessar a página "Políticas da organização"
  2. Na página Políticas da organização, na coluna Nome, selecione a política Restrição de local do recurso para abrir o painel Resumo da política.
  3. No painel Resumo da política, verifique se o local global é permitido.
  4. Se você precisar fazer uma alteração, selecione Editar, atualize a política e clique em Salvar.

Aprenda como restringir locais de recursos.

gcloud

  1. Para ver os detalhes da política da organização Resource Location Restriction, execute o seguinte comando da CLI gcloud. Aprenda sobre o comando gcloud beta resource-manager org-policies describe.

    gcloud beta resource-manager org-policies describe constraints/gcp.resourceLocations \
    --organization=organization-id

  2. Se o comando describe mostrar que global não é permitido, execute o seguinte comando para permiti-lo. Aprenda sobre o comando gcloud beta resource-manager org-policies allow.

    gcloud beta resource-manager org-policies allow constraints/gcp.resourceLocations global \
    --organization=organization-id

Aprenda como restringir locais de recursos.

Política da organização Restrict VPC peering usage

Essa restrição de lista define o conjunto de redes VPC que podem ser emparelhadas com as redes VPC pertencentes a um determinado recurso. Quando você especifica uma rede autorizada para um domínio do Managed Microsoft AD, um emparelhamento de VPC é criado entre a rede autorizada e a rede isolada que contém os controladores de domínio do AD. Se a política da organização do projeto negar emparelhamentos, o Managed Microsoft AD não poderá criar peerings na rede autorizada, portanto, a criação do domínio falhará. Você recebe um erro como este:

GCE_PRECONDITION_FAILED: Constraint constraints /compute.restrictVpcPeering
violated for project project-id. Peering the network projects/id/global/networks/network
is not allowed.

Para visualizar e atualizar a política da organização Restrict VPC peering usage:

Console

  1. Acesse a página Políticas da organização no Console do Google Cloud.
    Acessar a página "Políticas da organização"
  2. Na página Políticas da organização, na coluna Nome, selecione a política Restringir o uso de peering de VPC para abrir o painel Resumo da política.
  3. No painel Resumo da política, verifique se o projeto permite peerings.
  4. Se você precisar fazer uma alteração, selecione Editar, atualize a política e clique em Salvar.

gcloud

  1. Para ver os detalhes da política da organização Restrict VPC peering usage, execute o seguinte comando da CLI gcloud. Saiba mais sobre o comando gcloud beta resource-manager org-policies describe.

    gcloud beta resource-manager org-policies describe constraints/compute.restrictVpcPeering \
    --organization=organization-id

  2. Se o comando describe mostrar que os peerings não são permitidos, execute o seguinte comando para permiti-los. Aprenda sobre o comando gcloud beta resource-manager org-policies allow.

    gcloud beta resource-manager org-policies allow constraints/compute.restrictVpcPeering under:projects/project-name \
    --organization=organization-id

    project-name é o nome do projeto que contém o recurso do Microsoft AD gerenciado. organization-id é o ID da organização que hospeda esse projeto.

Não foi possível associar automaticamente uma VM do Windows a um domínio

Veja alguns problemas com códigos de erro que podem ser encontrados ao tentar vincular uma VM do Windows automaticamente a um domínio:

Código do erro Descrição Possível solução
CONFLICT (409) Indica que a conta de instância de VM do Compute Engine já existe no domínio do Microsoft AD gerenciado. Remova a conta manualmente do Microsoft AD gerenciado usando ferramentas RSAT e tente novamente. Veja mais informações sobre como gerenciar objetos do AD no Microsoft AD gerenciado, consulte Gerenciar objetos do Active Directory.
BAD_REQUEST (412) Indica que a solicitação de participação no domínio contém informações inválidas, como o nome de domínio e a estrutura de hierarquia da unidade organizacional (UO) incorretas. Revise as informações, atualize os detalhes, se necessário, e tente novamente.
INTERNAL (500) Indica que o servidor encontrou um erro interno desconhecido. Entre em contato com o suporte do Google Cloud para resolver o problema.
FORBIDDEN (403) Indica que o usuário ou a conta de serviço especificada não tem os privilégios necessários. Verifique se você tem os privilégios exigidos e tente novamente.
UNAUTHORIZED (401) Indica que a VM não tem autorização válida para participar do domínio. Verifique se você tem os privilégios exigidos e tente novamente.

Não foi possível usar a VPC compartilhada como rede autorizada

Para acessar um domínio do Managed Microsoft AD de uma rede VPC compartilhada, o domínio deve ser criado no mesmo projeto que hospeda a rede VPC compartilhada.

Não foi possível acessar o domínio do Managed Microsoft AD

Se seu domínio do Managed Microsoft AD parecer indisponível, você poderá obter mais informações sobre seu status executando as seguintes etapas:

Console

Acesse a página Serviço gerenciado para Microsoft Active Directory no Console do Google Cloud.
Vá para a página Serviço Gerenciado para Microsoft Active Directory

Na página Serviço Gerenciado para Microsoft Active Directory, na coluna Status, é possível exibir os status dos seus domínios.

gcloud

Execute o seguinte comando da CLI gcloud:

gcloud active-directory domains list

Este comando retorna os status dos seus domínios.

Se o status do seu domínio for DOWN, isso indicará que sua conta pode ter sido suspensa. Entre em contato com o suporte do Google Cloud para resolver esse problema.

Se o status do seu domínio for PERFORMING_MAINTENANCE, o Managed Microsoft AD ainda deverá estar disponível para uso, mas poderá não permitir adicionar ou remover regiões. Esse status é raro e só acontece quando o sistema operacional é corrigido.

Não foi possível criar confiança

Se você seguir as etapas para criar uma relação de confiança, mas não puder concluir o processo, a verificação das seguintes configurações poderá ajudar.

O domínio local está acessível

Para verificar se o domínio local é acessível do domínio do Managed Microsoft AD, você pode usar ping ou Test-NetConnection. Execute esses comandos em uma VM hospedada no Google Cloud e em uma rede autorizada. Verifique se a VM pode acessar um controlador de domínio local. Saiba mais sobre Test-NetConnection.

Endereço IP

Para verificar se o endereço IP fornecido durante a configuração da confiança é capaz de resolver o domínio local, execute o seguinte comando:

nslookup on-premises-domain-name conditional-forwarder-address

Se houver vários endereços de encaminhador condicionais, você poderá testar qualquer um deles.

Saiba mais sobre nslookup.

Relação de confiança local

Para verificar se o relacionamento de confiança local foi estabelecido, verifique se as seguintes informações correspondem.

  • O tipo e a direção da confiança correspondem às expectativas locais
  • O segredo de confiança fornecido durante a criação da confiança corresponde ao que foi digitado no local

A direção da confiança local é complementar à expectativa de confiança no Managed Microsoft AD. Isso significa que, se o domínio local espera uma confiança de entrada, a direção da confiança do domínio do Managed Microsoft AD é de saída. Saiba mais sobre direções de confiança.

A confiança não funciona mais

Se você criou anteriormente uma relação de confiança, mas ela não funciona mais, verifique as mesmas configurações que faria para solucionar problemas ao criar uma relação de confiança.

Além disso, se uma relação de confiança não for usada por 60 dias ou mais, a senha de confiança expirará. Para atualizar a senha, altere a senha da confiança no domínio local e atualize a senha no domínio do Managed Microsoft AD.

A autenticação do Active Directory está falhando (contas hospedadas no Managed Microsoft AD)

Se parecer que a autenticação do Active Directory está falhando ao usar contas hospedadas pelo Managed Microsoft AD, verificar as configurações a seguir poderá ajudar.

VM está em uma rede autorizada

Para verificar se a VM usada para acessar o domínio está em uma rede autorizada, execute as seguintes etapas.

  1. Acesse a página Serviço gerenciado para Microsoft Active Directory no Console do Google Cloud.
    Vá para a página Serviço Gerenciado para Microsoft Active Directory

  2. Selecione o nome do seu domínio.

  3. Na página Domínio, em Redes, verifique se a rede autorizada está listada.

Nome de usuário e senha estão corretos

Verifique se o nome de usuário e a senha fornecidos para efetuar login estão corretos.

Regras de firewall

Uma regra de firewall deny para saída para o intervalo de endereços IP dos controladores de domínio pode causar falha na autenticação.

Para verificar suas regras de firewall, execute as seguintes etapas:

Console

  1. Acesse a página Regras de firewall no Console do Google Cloud.
    Acessar a página "Regras de firewall"

  2. Nessa página, verifique se não há um deny para saída configurado para o intervalo de endereços IP dos controladores de domínio.

gcloud

  1. Execute o seguinte comando da CLI gcloud:

    gcloud compute firewall-rules list

  2. Esse comando retorna uma lista das regras de firewall configuradas. Verifique se não existe um deny para saída configurado para o intervalo de endereços IP dos controladores de domínio.

Saiba mais sobre regras de firewall.

Endereço IP

A autenticação pode falhar se o endereço IP não estiver no intervalo CIDR reservado.

Para verificar o endereço IP, execute o seguinte comando.

nslookup domain-name

Se nslookup falhar ou retornar um endereço IP que não esteja no intervalo CIDR, verifique se a zona DNS existe.

Para validar a existência da zona DNS, execute as seguintes etapas:

Console

  1. Acesse a página Cloud DNS no console do Google Cloud.
    Acessar a página do Cloud DNS

  2. Na página Cloud DNS, na guia Zonas, marque a coluna Em uso por da rede autorizada.

gcloud

  1. Execute o seguinte comando da CLI gcloud:

    gcloud dns managed-zones list --filter=fqdn-for-domain

Se nenhuma das zonas listadas estiver em uso pela rede autorizada, remova e adicione novamente a rede autorizada.

Peering de rede

A autenticação pode falhar se o peering de rede VPC não estiver configurado corretamente.

Para verificar se o peering está configurado, execute as seguintes etapas:

Console

  1. Acesse a página Peering da rede VPC no console do Google Cloud.
    Acessar a página Peering de redes VPC

  2. Na página Peering de redes VPC, na coluna Nome, procure um peering chamado peering-vpc-network-name.

gcloud

  1. Execute o seguinte comando da CLI gcloud:

    gcloud compute networks peering list --network=network

  2. Esse comando retorna uma lista de peerings. Na lista, procure um chamado peering-vpc-network-name.

Se peering-vpc-network-name não estiver na lista, remova e adicione novamente a rede autorizada.

A autenticação do Active Directory está falhando (via confiança)

Se parecer que a autenticação do Active Directory está falhando ao usar contas hospedadas locais gerenciadas via confiança, verifique as mesmas configurações que faria para solucionar problemas ao criar uma confiança.

Além disso, verifique se a conta está no grupo delegado Usuários da área de trabalho remota do computador de serviço de nuvem. Saiba mais sobre grupos delegados

Não foi possível acessar o domínio de uma VM de gerenciabilidade

Se você não conseguir acessar o domínio do AD de uma VM de gerenciabilidade, verifique as mesmas configurações que faria para solucionar problemas de autenticação do Active Directory para contas hospedadas pelo Managed Microsoft AD.

Erro Org policy ao criar, atualizar ou excluir

Se você encontrar um erro org policy ao criar, atualizar ou excluir recursos, poderá ser necessário alterar uma política da organização. Saiba mais sobre restrições da política da organização.

Você deve ser um administrador de políticas da organização (roles/orgpolicy.policyAdmin) para atualizar as políticas da organização.

Política da organização Define allowed APIs and services

Com essa restrição de lista, são definidos o conjunto de serviços e APIs que podem ser ativados em um determinado recurso. Os descendentes na hierarquia de recursos também herdam a restrição. Se essa restrição não permitir as APIs necessárias para o Microsoft AD gerenciado, você receberá um erro ao tentar criar, atualizar ou excluir recursos.

Para visualizar e atualizar a política da organização Define allowed APIs and services:

Console

  1. Acesse a página Políticas da organização no Console do Google Cloud.
    Acessar a página "Políticas da organização"
  2. Na página Políticas da organização, na coluna Nome, selecione a política Definir APIs e serviços permitidos para abrir o painel Resumo da política.
  3. No painel Resumo da política, verifique se as seguintes APIs não estão negadas:
    • dns.googleapis.com
    • compute.googleapis.com
  4. Se você precisar fazer uma alteração, selecione Editar, atualize a política e clique em Salvar.

gcloud

  1. Execute o comando CLI gcloud a seguir. Saiba mais sobre o comando gcloud beta resource-manager org-policies describe.

    gcloud beta resource-manager org-policies describe constraints/serviceuser.services \
    --organization=organization-id

  2. Se o comando describe mostrar que dns.googleapis.com ou compute.googleapis.com não é permitido, execute o seguinte comando para permiti-lo. Aprenda sobre o comando gcloud beta resource-manager org-policies allow.

    gcloud beta resource-manager org-policies allow constraints/serviceuser.services api-name \
    --organization=organization-id

Política da organização Restrict VPC peering usage

Essa restrição de lista define o conjunto de redes VPC que podem ser emparelhadas com as redes VPC pertencentes a um determinado recurso. Se os peerings forem negados, você receberá um erro ao tentar criar, atualizar ou excluir recursos. Aprenda como visualizar e atualizar a política da organização Restrict VPC peering usage.

Não foi possível resolver os recursos locais do Google Cloud

Se você não conseguir resolver os recursos locais do Google Cloud, poderá ser necessário alterar a configuração do DNS. Saiba como configurar o encaminhamento de DNS para resolver consultas de objetos do Microsoft AD não gerenciados em redes VPC.

Falhas de pesquisa DNS intermitentes

Se você estiver enfrentando falhas intermitentes de pesquisa DNS ao usar um esquema altamente disponível para Cloud Interconnect ou várias VPNs, verifique as seguintes configurações:

  • Existe uma rota para 35.199.192.0/19.
  • A rede local permite tráfego de 35.199.192.0/19 para todas as conexões do Cloud Interconnect ou de túneis VPN.

A senha da conta de administrador delegada expira

Se a senha da conta de administrador delegada tiver expirado, você poderá redefinir a senha. Para evitar esse problema no futuro, desative a expiração da senha da conta.

Não é possível ver os registros de auditoria do Microsoft AD gerenciado

Se você não conseguir ver os registros de auditoria do Microsoft AD gerenciado no visualizador de registros ou no explorador de registros, verifique as configurações a seguir.