排查托管式 Microsoft AD 的问题

本主题介绍可能有助于排查 Managed Service for Microsoft Active Directory 常见问题的步骤。

无法创建托管式 Microsoft AD 网域

如果您无法创建托管式 Microsoft AD 网域,验证以下配置可能会有所帮助。

必需的 API

托管式 Microsoft AD 要求先启用一组 API,然后才能创建网域。

要验证是否启用了必需的 API,请完成以下步骤:

控制台

  1. 转到 Cloud Console 中的 API 和服务页面。
    转到“API 和服务”页面
  2. 信息中心页面上,验证是否列出了以下 API:

    • Managed Service for Microsoft Active Directory API
    • Compute Engine API
    • Cloud DNS API

gcloud

  1. 运行以下 gcloud 工具命令:

    gcloud services list --available
    
  2. 该命令返回已启用的 API 的列表。验证是否列出了以下 API:

    • Managed Service for Microsoft Active Directory API
    • Compute Engine API
    • Cloud DNS API

如果缺少任何这些 API,请完成以下步骤以启用它们:

控制台

  1. 转到 Cloud Console 中的 API 库页面。
    转到“API 库”页面
  2. API 库页面上的搜索字段中,输入缺少的 API 的名称。
  3. 在 API 信息页面上,点击启用

gcloud

运行以下 gcloud 工具命令:

  gcloud services enable api-name
  

重复此过程,直到启用了所有必需的 API。

结算

托管式 Microsoft AD 要求您先启用结算功能,然后才能创建网域。

要验证是否已启用结算功能,请完成以下步骤:

控制台

  1. 转到 Cloud Console 中的结算页面。
    转到“结算”页面
  2. 验证是否为您的组织设置了结算帐号。
  3. 选择我的项目标签页,然后验证是否列出了您尝试在其中创建托管式 Microsoft AD 网域的项目。

gcloud

运行以下 gcloud 工具命令:

  gcloud beta billing projects describe project-id
  

如果您没有看到与该项目关联的有效结算帐号,则应启用结算功能

IP 地址范围

如果在尝试创建网域时收到 IP range overlap 错误,则意味着您在网域创建请求中提供的预留 IP 地址范围与已获授权的网络的 IP 地址范围重叠。要解决此问题,您应该选择其他 IP 地址范围或其他已获授权的网络。详细了解选择 IP 地址范围

权限

如果在尝试创建网域时收到 Permission denied 错误,则应验证发起调用的身份是否有权调用托管式 Microsoft AD API。详细了解托管式 Microsoft AD 角色和权限

组织政策

如果网域创建失败,您可能需要更改组织政策。了解组织政策限制

要更新组织政策,您必须是组织政策管理员 (roles/orgpolicy.policyAdmin)。

Resource Location Restriction 组织政策

此列表限制条件定义了可以创建基于位置的 Google Cloud 资源的一组位置。拒绝 global 位置可能会影响托管式 Microsoft AD。

要查看和更新 Resource Location Restriction 组织政策,请执行以下操作:

控制台

  1. 转到 Google Cloud Console 中的组织政策页面。
    转到“组织政策”页面
  2. 组织政策页面上的名称列中,选择资源位置限制政策以打开政策摘要面板。
  3. 政策摘要面板中,验证是否允许 global 位置。
  4. 如果需要进行更改,请选择修改,更新政策,然后点击保存

了解限制资源位置

gcloud

  1. 要查看 Resource Location Restriction 组织政策的详细信息,请运行以下 gcloud 工具命令。了解 gcloud beta resource-manager org-policies describe 命令。

    gcloud beta resource-manager org-policies describe constraints/gcp.resourceLocations \
        --organization=organization-id
    
  2. 如果 describe 命令显示不允许 global,请运行以下命令来允许它。了解 gcloud beta resource-manager org-policies allow 命令。

    gcloud beta resource-manager org-policies allow constraints/gcp.resourceLocations global \
        --organization=organization-id
    

了解限制资源位置

Restrict VPC peering usage 组织政策

此列表限制条件定义了允许与属于给定资源的 VPC 网络对等互连的一组 VPC 网络。当您为托管式 Microsoft AD 网域指定已获授权的网络时,系统将在已获授权的网络和包含 AD 网域控制器的独立网络之间创建 VPC 对等互连。如果项目的组织政策拒绝对等互连,则托管式 Microsoft AD 将无法创建到已获授权的网络的任何对等互连,从而导致网域创建失败。您会收到如下所示的错误:

GCE_PRECONDITION_FAILED: Constraint constraints /compute.restrictVpcPeering
violated for project project-id. Peering the network projects/id/global/networks/network
is not allowed.

要查看和更新 Restrict VPC peering usage 组织政策,请执行以下操作:

控制台

  1. 转到 Google Cloud Console 中的组织政策页面。
    转到“组织政策”页面
  2. 组织政策页面上,在名称列中选择限制 VPC 对等互连使用量政策,以打开政策摘要面板。
  3. 政策摘要面板中,验证项目是否允许对等互连。
  4. 如果需要进行更改,请选择修改,更新政策,然后点击保存

gcloud

  1. 要查看 Restrict VPC peering usage 组织政策的详细信息,请运行以下 gcloud 工具命令。了解 gcloud beta resource-manager org-policies describe 命令。

    gcloud beta resource-manager org-policies describe constraints/compute.restrictVpcPeering \
        --organization=organization-id
    
  2. 如果 describe 命令显示不允许对等互连,请运行以下命令来允许它。了解 gcloud beta resource-manager org-policies allow 命令。

    gcloud beta resource-manager org-policies allow constraints/compute.restrictVpcPeering under:projects/project-name \
        --organization=organization-id
    

    project-name 是包含托管式 Microsoft AD 资源的项目的名称。organization-id 是托管项目的组织的 ID。

无法将共享 VPC 用作已获授权的网络

为了从共享 VPC 网络访问托管式 Microsoft AD 网域,必须在托管共享 VPC 网络的同一项目中创建该网域。

无法访问托管式 Microsoft AD 网域

如果您的托管式 Microsoft AD 网域不可用,则可以通过完成以下步骤来获取有关其状态的详细信息:

控制台

转到 Cloud Console 中的 Managed Service for Microsoft Active Directory 页面。
转到 Managed Service for Microsoft Active Directory 页面

Managed Service for Microsoft Active Directory 页面上的状态列中,您可以查看网域的状态。

gcloud

运行以下 gcloud 工具命令:

gcloud active-directory domains list

此命令返回您的网域的状态。

如果网域状态为 DOWN,则表明您的帐号可能已被暂停。要解决此问题,请联系 Google Cloud 支持

如果网域状态为 PERFORMING_MAINTENANCE,则托管式 Microsoft AD 应该仍然可以使用,但可能不允许添加或移除区域。此状态很少见,仅在修补操作系统时才会出现。

无法创建信任

如果您遵循了创建信任的步骤,但是无法完成此过程,则验证以下配置可能会有用。

可访问本地网域

要验证是否可以从托管式 Microsoft AD 网域访问本地网域,可以使用 pingTest-NetConnection。从托管在 Google Cloud 和已获授权的网络上的虚拟机运行这些命令。验证该虚拟机是否可以访问本地网域控制器。详细了解 Test-NetConnection

IP 地址

要验证在信任设置过程中提供的 IP 地址是否能够解析本地网域,请运行以下命令:

nslookup on-premises-domain-name conditional-forwarder-address

如果有多个条件转发器地址,则可以针对其中任何一个进行测试。

详细了解 nslookup

本地信任关系

要验证本地信任关系是否已建立,您应检查以下信息是否匹配。

  • 信任的类型和方向符合本地预期
  • 创建信任时提供的信任密钥与在本地输入的信任密钥匹配

本地信任方向与托管式 Microsoft AD 信任预期是互补的。这意味着,如果本地网域预期入站信任,则托管式 Microsoft AD 网域的信任方向为出站。了详细了解信任方向

信任不再有效

如果您之前创建了信任,但该信任不再有效,您应验证与排查创建信任的问题相同的配置。

此外,如果在 60 天或更长时间内没有使用信任,则信任密码将过期。要刷新密码,请更改本地网域上的信任密码,然后更新托管式 Microsoft AD 网域上的密码。

Active Directory 身份验证失败(托管式 Microsoft AD 托管帐号)

如果使用托管式 Microsoft AD 托管帐号时 Active Directory 身份验证失败,验证以下配置可能会有用。

虚拟机位于已获授权的网络上

要验证用于访问网域的虚拟机是否在已获授权的网络上,请完成以下步骤。

  1. 转到 Cloud Console 中的 Managed Service for Microsoft Active Directory 页面。
    转到 Managed Service for Microsoft Active Directory 页面

  2. 选择您的域名。

  3. 网域页面上的网络下,检查是否列出了已获授权的网络。

用户名和密码正确

验证提供的用于登录的用户名和密码是否正确。

防火墙规则

针对到网域控制器的 IP 地址范围的出站流量的 deny 防火墙规则可能会导致身份验证失败。

要检查防火墙规则,请完成以下步骤:

控制台

  1. 转到 Cloud Console 中的防火墙规则页面。
    转到“防火墙规则”页面

  2. 在此页面上,检查是否没有为网域控制器的 IP 地址范围配置出站流量 deny 防火墙规则。

gcloud

  1. 运行以下 gcloud 工具命令:

    gcloud compute firewall-rules list
    
  2. 此命令返回已配置的防火墙规则的列表。检查是否没有为网域控制器的 IP 地址范围配置出站流量 deny 防火墙规则。

详细了解防火墙规则

IP 地址

如果 IP 地址不在预留的 CIDR 范围内,则身份验证可能会失败。

要检查 IP 地址,请运行以下命令。

nslookup domain-name

如果 nslookup 失败或返回的 IP 地址不在 CIDR 范围内,您应验证 DNS 地区是否存在。

要验证 DNS 地区是否存在,请完成以下步骤:

控制台

  1. 转到 Cloud Console 中的 Cloud DNS 页面。
    转到 Cloud DNS 页面

  2. Cloud DNS 页面上的地区标签页上,检查已获授权的网络的使用者列。

gcloud

  1. 运行以下 gcloud 工具命令:

    gcloud dns managed-zones list --filter=fqdn-for-domain
    

如果已获授权的网络未使用任何列出的地区,您应移除并重新添加已获授权的网络。

网络对等互连

如果未正确配置 VPC 网络对等互连,则身份验证可能会失败。

要验证是否设置了对等互连,请完成以下步骤:

控制台

  1. 转到 Cloud Console 中的 VPC 网络对等互连页面。
    转到“VPC 网络对等互连”页面

  2. VPC 网络对等互连页面上的名称列中,查找名为 peering-vpc-network-name 的对等互连。

gcloud

  1. 运行以下 gcloud 工具命令:

    gcloud compute networks peering list --network=network
    
  2. 此命令返回对等互连列表。在列表中,查找名为 peering-vpc-network-name 对等互连。

如果列表中没有 peering-vpc-network-name,您应移除并重新添加已获授权的网络。

Active Directory 身份验证失败(通过信任)

如果通过信任关系使用托管的本地托管帐号时,Active Directory 身份验证失败,您应验证与排查创建信任的问题相同的配置。

此外,请验证该帐号是否在 Cloud Service Computer Remote Desktop Users 委派组中。详细了解委派组

无法从管理虚拟机访问网域

如果您无法从管理虚拟机访问 AD 网域,则应验证与排查托管式 Microsoft AD 托管帐号的 Active Directory 身份验证的问题相同的配置。

创建、更新或删除时发生 Org policy 错误

如果您在创建、更新或删除资源时遇到 org policy 错误,则可能需要更改组织政策。了解组织政策限制

要更新组织政策,您必须是组织政策管理员 (roles/orgpolicy.policyAdmin)。

Define allowed APIs and services 组织政策

此列表限制条件定义了可在给定资源上启用的一组服务和 API。其在资源层次结构中的后代也会继承该限制条件。如果此限制条件不允许托管式 Microsoft AD 所需的 API,则您在尝试创建、更新或删除资源时会收到错误。

要查看和更新 Define allowed APIs and services 组织政策,请执行以下操作:

控制台

  1. 转到 Google Cloud Console 中的组织政策页面。
    转到“组织政策”页面
  2. 组织政策页面上的名称列中,选择定义允许的 API 和服务政策以打开政策摘要面板。
  3. 政策摘要面板中,验证以下 API 是否未被拒绝:
    • dns.googleapis.com
    • compute.googleapis.com
  4. 如果需要进行更改,请选择修改,更新政策,然后点击保存

gcloud

  1. 运行以下 gcloud 工具命令。了解 gcloud beta resource-manager org-policies describe 命令。

    gcloud beta resource-manager org-policies describe constraints/serviceuser.services \
        --organization=organization-id
    
  2. 如果 describe 命令显示不允许 dns.googleapis.comcompute.googleapis.com,请运行以下命令来允许它。了解 gcloud beta resource-manager org-policies allow 命令。

    gcloud beta resource-manager org-policies allow constraints/serviceuser.services api-name \
        --organization=organization-id
    

Restrict VPC peering usage 组织政策

此列表限制条件定义了允许与属于给定资源的 VPC 网络对等互连的一组 VPC 网络。如果对等互连被拒绝,则您在尝试创建、更新或删除资源时会收到错误。了解如何查看和更新 Restrict VPC peering usage 组织政策

无法从 Google Cloud 解析本地资源

如果您无法从 Google Cloud 解析本地资源,则可能需要更改 DNS 配置。了解如何配置 DNS 转发以解析针对 VPC 网络中的非托管式 AD 对象的查询

间歇性 DNS 查找失败

如果在使用 Cloud Interconnect 或多个 VPN 的高可用性架构时遇到间歇性 DNS 查找失败,您应验证以下配置:

  • 存在 35.199.192.0/19 的路由。
  • 对于所有 Cloud Interconnect 连接或 VPN 隧道,本地网络允许来自 35.199.192.0/19 的流量。

委派管理员帐号密码到期

如果委派管理员帐号的密码已过期,您可以重置密码。 为避免将来出现此问题,您可以为该帐号停用密码失效设置

无法查看代管式 Microsoft AD 审核日志

如果您无法在日志查看器或日志浏览器中查看任何代管式 Microsoft AD 审核日志,则应验证以下配置。