Resolver problemas do Microsoft AD gerenciado

Nesta página, você verá dicas e abordagens para solucionar problemas comuns com o serviço gerenciado para Microsoft Active Directory.

Não foi possível criar um domínio do Managed Microsoft AD

Se não for possível criar um domínio do Microsoft AD gerenciado, verificar as configurações a seguir poderá ajudar.

APIs necessárias

O Managed Microsoft AD exige que você habilite um grupo de APIs antes de poder criar um domínio.

Para verificar se as APIs necessárias estão ativadas, execute as seguintes etapas:

Console

  1. Acesse a página APIs e serviços no console do Google Cloud.
    Acessar APIs e serviços
  2. Na página Painel, verifique se as seguintes APIs estão listadas:

    • API Managed Service for Microsoft Active Directory
    • API Compute Engine
    • Cloud DNS API

gcloud

  1. Execute o seguinte comando da CLI gcloud:

    gcloud services list --available
    
  2. O comando retorna a lista de APIs ativadas. Verifique se as seguintes APIs estão listadas:

    • API Managed Service for Microsoft Active Directory
    • API Compute Engine
    • API Cloud DNS

Se alguma dessas APIs estiver ausente, execute as seguintes etapas para habilitá-la:

Console

  1. Acesse a página Biblioteca de APIs no console do Google Cloud.
    Acessar a Biblioteca de APIs
  2. Na página Biblioteca de APIs, no campo de pesquisa, digite o nome da API ausente.
  3. Na página de informações da API, clique em Ativar.

gcloud

Execute o seguinte comando da CLI gcloud:

  gcloud services enable API_NAME
  

Substitua API_NAME pelo nome da API ausente.

Repita esse processo até que todas as APIs necessárias estejam ativadas.

Faturamento

O Managed Microsoft AD exige que você ative o faturamento antes de poder criar um domínio.

Para verificar se o faturamento está ativado, execute as seguintes etapas:

Console

  1. Acesse a página Faturamento no console do Google Cloud.
    Acessar "Faturamento"
  2. Verifique se há uma conta de faturamento configurada para sua organização.
  3. Clique na guia Meus projetos e verifique se o projeto em que você está tentando criar um domínio do Microsoft AD gerenciado está listado.

gcloud

Execute o seguinte comando da CLI gcloud:

  gcloud billing projects describe PROJECT_ID
  

Se você não vir uma conta de faturamento válida vinculada ao projeto, deverá ativá-la.

Intervalo de endereços IP

Se você receber um erro IP range overlap ao tentar criar um domínio, isso significa que o intervalo de endereços IP reservados fornecido na solicitação de criação do domínio se sobrepõe ao intervalo de endereços IP da rede autorizada. Para resolver esse problema, você deve escolher um intervalo de endereços IP diferente ou uma rede autorizada diferente. Para mais informações, consulte Selecionar intervalos de endereços IP.

Permissões

Se você receber um erro Permission denied ao tentar criar um domínio, verifique se a identidade de chamada tem permissão para chamar a API Managed Microsoft AD. Saiba mais sobre funções e permissões do Managed Microsoft AD.

Política da organização

A criação do domínio pode falhar devido a uma configuração de política da organização. Por exemplo, é possível configurar uma política da organização para permitir o acesso apenas a serviços específicos, como o GKE ou o Compute Engine. Saiba mais sobre as Restrições da política da organização.

Peça ao administrador que tem o papel do IAM de administrador de políticas da organização (roles/orgpolicy.policyAdmin) na organização para atualizar as políticas necessárias.

Política da organização Resource Location Restriction

Essa restrição de lista define o conjunto de locais onde os recursos do Google Cloud com base na localização podem ser criados. Negar o local global pode afetar o Managed Microsoft AD.

Para visualizar e atualizar a política da organização Resource Location Restriction:

Console

  1. Acesse a página Políticas da organização no console do Google Cloud.
    Acessar as políticas da organização
  2. Na página Políticas da organização, na coluna Nome, selecione a política Restrição de local do recurso para abrir o painel Resumo da política.
  3. No painel Resumo da política, verifique se o local global é permitido.
  4. Se você precisar fazer uma alteração, selecione Editar, atualize a política e clique em Salvar.

Aprenda como restringir locais de recursos.

gcloud

  1. Para visualizar os detalhes da política da organização Resource Location Restriction, execute o seguinte comando da CLI gcloud. Aprenda sobre o comando gcloud resource-manager org-policies describe.

    gcloud resource-manager org-policies describe constraints/gcp.resourceLocations \
        --organization=ORGANIZATION_ID
    
  2. Se o comando describe mostrar que global não é permitido, execute o seguinte comando para permiti-lo. Aprenda sobre o comando gcloud resource-manager org-policies allow.

    gcloud resource-manager org-policies allow constraints/gcp.resourceLocations global \
        --organization=ORGANIZATION_ID
    

Aprenda como restringir locais de recursos.

Política da organização Restrict VPC peering usage

Essa restrição de lista define o conjunto de redes VPC que podem ser emparelhadas com as redes VPC pertencentes a um determinado recurso. Quando você especifica uma rede autorizada para um domínio do Managed Microsoft AD, um emparelhamento de VPC é criado entre a rede autorizada e a rede isolada que contém os controladores de domínio do AD. Se a política da organização do projeto negar emparelhamentos, o Managed Microsoft AD não poderá criar peerings na rede autorizada, portanto, a criação do domínio falhará. Você recebe um erro como este:

GCE_PRECONDITION_FAILED: Constraint constraints /compute.restrictVpcPeering
violated for project PROJECT_ID. Peering the network projects/PROJECT_ID/global/networks/VPC_NETWORK_NAME
is not allowed.

Para visualizar e atualizar a política da organização Restrict VPC peering usage:

Console

  1. Acesse a página Políticas da organização no console do Google Cloud.
    Acessar as políticas da organização
  2. Na página Políticas da organização, na coluna Nome, selecione a política Restringir o uso de peering de VPC para abrir o painel Resumo da política.
  3. No painel Resumo da política, verifique se o projeto permite peerings.
  4. Se você precisar fazer uma alteração, selecione Editar, atualize a política e clique em Salvar.

gcloud

  1. Para visualizar os detalhes da política da organização Restrict VPC peering usage, execute o seguinte comando da CLI gcloud. Saiba mais sobre o comando gcloud resource-manager org-policies describe.

    gcloud resource-manager org-policies describe constraints/compute.restrictVpcPeering \
        --organization=ORGANIZATION_ID
    
  2. Se o comando describe mostrar que os peerings não são permitidos, execute o seguinte comando para permiti-los. Aprenda sobre o comando gcloud resource-manager org-policies allow.

    gcloud resource-manager org-policies allow constraints/compute.restrictVpcPeering under:projects/PROJECT_ID \
        --organization=ORGANIZATION_ID
    

    Substitua:

    • PROJECT_ID: o nome do projeto que contém o recurso gerenciado do Microsoft AD.
    • ORGANIZATION_ID: o ID da organização que hospeda esse projeto.

Não é possível associar uma VM do Windows automaticamente a um domínio

Confira alguns problemas com códigos de erro que podem ser encontrados ao tentar mesclar uma VM do Windows ou nós do GKE Windows Server automaticamente a um domínio:

Código do erro Descrição Possível solução
CONFLICT (409) Indica que a conta da instância de VM já existe no domínio do Microsoft AD gerenciado. Remova a conta manualmente do Microsoft AD gerenciado usando ferramentas RSAT e tente de novo. Para mais informações sobre como gerenciar objetos do AD no Microsoft AD gerenciado, consulte Gerenciar objetos do Active Directory.
BAD_REQUEST (412) Indica que a solicitação de participação do domínio contém informações inválidas, como nome de domínio e estrutura de hierarquia de unidade organizacional (UO) incorretos. Revise as informações, atualize os detalhes, se necessário, e tente novamente.
INTERNAL (500) Indica que o servidor encontrou um erro interno desconhecido. Entre em contato com o suporte do Google Cloud para resolver esse problema.
FORBIDDEN (403) Indica que a conta de serviço especificada não tem os privilégios necessários. Verifique se você tem os privilégios necessários na conta de serviço e tente de novo.
UNAUTHORIZED (401) Indica que a VM não tem autorização válida para ingressar no domínio. Verifique se você tem o escopo de acesso necessário na VM e tente de novo.

Não é possível vincular uma VM manualmente a um domínio

Se não for possível ingressar em uma máquina manualmente de um ambiente local para o domínio do Microsoft AD gerenciado, verifique os seguintes requisitos:

  • A máquina em que você está tentando participar pode ser detectada pelo Microsoft AD gerenciado. Para verificar essa conectividade, execute uma busca DNS do ambiente local para o domínio do Microsoft AD gerenciado usando o comando nslookup.

  • A rede local em que a máquina está precisa fazer peering com a rede VPC do domínio do Microsoft AD gerenciado. Para informações sobre como solucionar problemas de uma conexão de peering de rede VPC, consulte Solução de problemas.

Não é possível usar a VPC compartilhada como rede autorizada

Para acessar um domínio do Microsoft AD gerenciado em uma rede VPC compartilhada, o domínio precisa ser criado no mesmo projeto que hospeda a rede VPC compartilhada.

Não foi possível acessar o domínio do Managed Microsoft AD

Se seu domínio do Managed Microsoft AD parecer indisponível, você poderá obter mais informações sobre seu status executando as seguintes etapas:

Console

Acesse a página Serviço gerenciado para o Microsoft Active Directory no console do Google Cloud.
Acessar o serviço gerenciado do Microsoft Active Directory

Na página Serviço Gerenciado para Microsoft Active Directory, na coluna Status, é possível exibir os status dos seus domínios.

gcloud

Execute o seguinte comando da CLI gcloud:

gcloud active-directory domains list

Este comando retorna os status dos seus domínios.

Se o status do seu domínio for DOWN, isso indicará que sua conta pode ter sido suspensa. Entre em contato com o suporte do Google Cloud para resolver esse problema.

Se o status do domínio for PERFORMING_MAINTENANCE, o Microsoft AD gerenciado ainda estará disponível para uso, mas não vai permitir operações como extensão de esquema, adição ou remoção de regiões. Esse status é raro e só acontece quando o SO recebe o patch.

Não foi possível criar confiança

Se você seguir as etapas para criar uma confiança, mas não conseguir concluir o processo, a verificação das configurações a seguir poderá ajudar.

O domínio local está acessível

Para verificar se o domínio local é acessível do domínio do Managed Microsoft AD, você pode usar ping ou Test-NetConnection. Execute esses comandos em uma VM hospedada no Google Cloud e em uma rede autorizada. Verifique se a VM pode acessar um controlador de domínio local. Saiba mais sobre Test-NetConnection.

Endereço IP

Para verificar se o endereço IP fornecido durante a configuração da confiança é capaz de resolver o domínio local, execute o seguinte comando:

nslookup ON_PREMISES_DOMAIN_NAME CONDITIONAL_FORWARDER_ADDRESS

Substitua:

  • ON_PREMISES_DOMAIN_NAME: o nome do domínio local.
  • CONDITIONAL_FORWARDER_ADDRESS: o endereço IP do seu encaminhador condicional de DNS.

Se houver vários endereços de encaminhador condicionais, você poderá testar qualquer um deles.

Saiba mais sobre nslookup.

Relação de confiança local

Para verificar se o relacionamento de confiança local foi estabelecido, verifique se as seguintes informações correspondem.

  • O tipo de confiança e a direção no domínio do Microsoft AD gerenciado complementam a confiança criada no domínio local.
  • O secret de confiança fornecido ao criar a confiança no domínio do Microsoft AD gerenciado corresponde ao inserido no domínio local.

A direção de confiança no local complementa a direção de confiança configurada no Microsoft AD gerenciado. Ou seja, se o domínio local espera uma confiança de entrada, a direção de confiança do domínio do Microsoft AD gerenciado é de saída. Saiba mais sobre as rotas de confiança.

A confiança não funciona mais

Se você criou anteriormente uma relação de confiança, mas ela não funciona mais, verifique as mesmas configurações que faria para solucionar problemas ao criar uma relação de confiança.

Além disso, se uma relação de confiança não for usada por 60 dias ou mais, a senha de confiança expirará. Para atualizar a senha, altere a senha da confiança no domínio local e atualize a senha no domínio do Managed Microsoft AD.

A autenticação do Active Directory está falhando (contas hospedadas no Managed Microsoft AD)

Se parecer que a autenticação do Active Directory está falhando ao usar contas gerenciadas hospedadas pelo Microsoft AD, verificar as configurações a seguir pode ajudar.

VM está em uma rede autorizada

Para verificar se a VM usada para acessar o domínio está em uma rede autorizada, execute as seguintes etapas.

  1. Acesse a página Serviço gerenciado para o Microsoft Active Directory no console do Google Cloud.
    Acessar o serviço gerenciado do Microsoft Active Directory

  2. Selecione o nome do seu domínio.

  3. Na página Domínio, em Redes, verifique se a rede autorizada está listada.

Nome de usuário e senha estão corretos

Verifique se o nome de usuário e a senha fornecidos para efetuar login estão corretos.

Regras de firewall

Uma regra de firewall deny para saída ao intervalo de endereços IP dos controladores de domínio pode causar falha na autenticação.

Para verificar suas regras de firewall, execute as seguintes etapas:

Console

  1. Acesse a página Regras de firewall no console do Google Cloud.
    Acessar "Regras de firewall"

  2. Nessa página, verifique se não há um deny para saída configurado para o intervalo de endereços IP dos controladores de domínio.

gcloud

  1. Execute o seguinte comando da CLI gcloud:

    gcloud compute firewall-rules list
    
  2. Esse comando retorna uma lista das regras de firewall configuradas. Verifique se não existe um deny para saída configurado para o intervalo de endereços IP dos controladores de domínio.

Saiba mais sobre regras de firewall.

Endereço IP

A autenticação pode falhar se o endereço IP não estiver no intervalo CIDR reservado.

Para verificar o endereço IP, execute o seguinte comando.

nslookup DOMAIN_NAME

Se nslookup falhar ou retornar um endereço IP que não esteja no intervalo CIDR, verifique se a zona DNS existe.

Para validar a existência da zona DNS, execute as seguintes etapas:

Console

  1. Acesse a página Cloud DNS no console do Google Cloud.
    Acessar o Cloud DNS

  2. Na página Cloud DNS, na guia Zonas, marque a coluna Em uso por da rede autorizada.

gcloud

  1. Execute o seguinte comando da CLI gcloud:

    gcloud dns managed-zones list --filter=FQDN
    

    Substitua FQDN pelo nome de domínio totalmente qualificado do seu domínio do Microsoft AD gerenciado.

Se nenhuma das zonas listadas estiver em uso pela rede autorizada, remova e adicione novamente a rede autorizada.

Peering de rede

A autenticação pode falhar se o peering de rede VPC não estiver configurado corretamente.

Para verificar se o peering está configurado, execute as seguintes etapas:

Console

  1. Acesse a página Peering de rede VPC no console do Google Cloud.
    Acessar o peering de rede VPC

  2. Na página Peering de redes VPC, na coluna Nome, procure um peering chamado peering-VPC_NETWORK_NAME.

gcloud

  1. Execute o seguinte comando da CLI gcloud:

    gcloud compute networks peerings list --network=VPC_NETWORK_NAME
    
  2. Esse comando retorna uma lista de peerings. Na lista, procure um chamado peering-VPC_NETWORK_NAME.

Se peering-VPC_NETWORK_NAME não estiver na lista, remova e adicione novamente a rede autorizada.

A autenticação do Active Directory está falhando (via confiança)

Se parecer que a autenticação do Active Directory está falhando ao usar contas hospedadas locais gerenciadas via confiança, verifique as mesmas configurações que faria para solucionar problemas ao criar uma confiança.

Além disso, verifique se a conta está no grupo delegado Cloud Service Computer Remote Desktop Users. Saiba mais sobre grupos delegados.

Não foi possível acessar o domínio de uma VM de gerenciabilidade

Se não for possível acessar o domínio do Microsoft AD gerenciado na VM usada para gerenciar objetos do AD, verifique as mesmas configurações que você faria para resolver problemas de autenticação do Active Directory em contas hospedadas pelo Microsoft AD.

Erro Org policy ao criar, atualizar ou excluir

Se você encontrar um erro org policy ao criar, atualizar ou excluir recursos, poderá ser necessário alterar uma política da organização. Saiba mais sobre restrições da política da organização.

Peça ao administrador que tem o papel do IAM de administrador de políticas da organização (roles/orgpolicy.policyAdmin) na organização para atualizar as políticas necessárias.

Política da organização Define allowed APIs and services

Com essa restrição de lista, são definidos o conjunto de serviços e APIs que podem ser ativados em um determinado recurso. Os descendentes na hierarquia de recursos também herdam a restrição. Se essa restrição não permitir as APIs necessárias para o Microsoft AD gerenciado, você receberá um erro ao tentar criar, atualizar ou excluir recursos.

Para visualizar e atualizar a política da organização Define allowed APIs and services:

Console

  1. Acesse a página Políticas da organização no console do Google Cloud.
    Acessar as políticas da organização
  2. Na página Políticas da organização, na coluna Nome, selecione a política Definir APIs e serviços permitidos para abrir o painel Resumo da política.
  3. No painel Resumo da política, verifique se as seguintes APIs não estão negadas:
    • dns.googleapis.com
    • compute.googleapis.com
  4. Se você precisar fazer uma alteração, selecione Editar, atualize a política e clique em Salvar.

gcloud

  1. Execute o comando da CLI gcloud a seguir. Saiba mais sobre o comando gcloud resource-manager org-policies describe.

    gcloud resource-manager org-policies describe constraints/serviceuser.services \
        --organization=ORGANIZATION_ID
    
  2. Se o comando describe mostrar que dns.googleapis.com ou compute.googleapis.com não é permitido, execute o seguinte comando para permiti-lo. Aprenda sobre o comando gcloud resource-manager org-policies allow.

    gcloud resource-manager org-policies allow constraints/serviceuser.services API_NAME \
        --organization=ORGANIZATION_ID
    

Política da organização Restrict VPC peering usage

Essa restrição de lista define o conjunto de redes VPC que podem ser emparelhadas com as redes VPC pertencentes a um determinado recurso. Se os peerings forem negados, você receberá um erro ao tentar criar, atualizar ou excluir recursos. Aprenda como visualizar e atualizar a política da organização Restrict VPC peering usage.

Não foi possível resolver os recursos locais do Google Cloud

Se você não conseguir resolver os recursos locais do Google Cloud, poderá ser necessário alterar a configuração do DNS. Saiba como configurar o encaminhamento de DNS para resolver consultas de objetos do Microsoft AD não gerenciados em redes VPC.

Falhas de pesquisa DNS intermitentes

Se você estiver enfrentando falhas intermitentes de pesquisa DNS ao usar um esquema altamente disponível para Cloud Interconnect ou várias VPNs, verifique as seguintes configurações:

  • Existe uma rota para 35.199.192.0/19.
  • A rede local permite tráfego de 35.199.192.0/19 para todas as conexões do Cloud Interconnect ou de túneis VPN.

A senha da conta de administrador delegada expira

Se a senha da conta de administrador delegada tiver expirado, redefina a senha. Verifique se você tem as permissões necessárias para redefinir a senha da conta de administrador delegada. Se quiser, também é possível desativar a validade da senha da conta.

Não é possível ver os registros de auditoria do Microsoft AD gerenciado

Se não for possível visualizar registros de auditoria do Microsoft AD gerenciado no Visualizador de registros ou na Análise de registros, verifique as configurações a seguir.