本页面提供排查和解决 Managed Service for Microsoft Active Directory 常见问题的提示和方法。
无法创建托管式 Microsoft AD 网域
如果您无法创建代管式 Microsoft AD 网域,验证以下配置会有所帮助。
必需的 API
托管式 Microsoft AD 要求先启用一组 API,然后才能创建网域。
要验证是否启用了必需的 API,请完成以下步骤:
控制台
- 前往 Google Cloud 控制台中的 API 和服务页面。
前往“API 和服务” 在信息中心页面上,验证是否列出了以下 API:
- Managed Service for Microsoft Active Directory API
- Compute Engine API
- Cloud DNS API
gcloud
运行以下 gcloud CLI 命令:
gcloud services list --available
该命令会返回已启用 API 的列表。验证是否列出了以下 API:
- Managed Service for Microsoft Active Directory API
- Compute Engine API
- Cloud DNS API
如果缺少任何这些 API,请完成以下步骤以启用它们:
控制台
gcloud
运行以下 gcloud CLI 命令:
gcloud services enable API_NAME
将 API_NAME 替换为缺失 API 的名称。
重复此过程,直到启用了所有必需的 API。
结算
托管式 Microsoft AD 要求您先启用结算功能,然后才能创建网域。
要验证是否已启用结算功能,请完成以下步骤:
控制台
gcloud
运行以下 gcloud CLI 命令:
gcloud billing projects describe PROJECT_ID
如果您没有看到与该项目关联的有效结算账号,则应启用结算功能。
IP 地址范围
如果您在尝试创建网域时收到 IP range overlap 错误,则表示您在网域创建请求中提供的预留 IP 地址范围与已获授权的网络的 IP 地址范围重叠。要解决此问题,您应该选择其他 IP 地址范围或其他已获授权的网络。如需了解详情,请参阅选择 IP 地址范围。
权限
如果在尝试创建网域时收到 Permission denied 错误,则应验证发起调用的身份是否有权调用托管式 Microsoft AD API。详细了解托管式 Microsoft AD 角色和权限。
组织政策
由于组织政策配置,网域创建可能会失败。例如,您可以将组织政策配置为仅允许访问特定服务,例如 GKE 或 Compute Engine。详细了解组织政策限制条件。
请让拥有组织的组织政策管理员 (roles/orgpolicy.policyAdmin) IAM 角色的管理员更新所需的组织政策。
Resource Location Restriction 组织政策
此列表限制条件定义了可以创建基于位置的 Google Cloud 资源的一组位置。拒绝 global 位置可能会影响托管式 Microsoft AD。
要查看和更新 Resource Location Restriction 组织政策,请执行以下操作:
控制台
- 前往 Google Cloud 控制台中的组织政策页面。
转到“组织政策” - 在组织政策页面上的名称列中,选择资源位置限制政策以打开政策摘要面板。
- 在政策摘要面板中,验证是否允许
global位置。 - 如果需要进行更改,请选择修改,更新政策,然后点击保存。
了解限制资源位置。
gcloud
如需查看
Resource Location Restriction组织政策的详细信息,请运行以下 gcloud CLI 命令。了解gcloud resource-manager org-policies describe命令。gcloud resource-manager org-policies describe constraints/gcp.resourceLocations \ --organization=ORGANIZATION_ID如果
describe命令显示不允许global,请运行以下命令来允许它。了解gcloud resource-manager org-policies allow命令。gcloud resource-manager org-policies allow constraints/gcp.resourceLocations global \ --organization=ORGANIZATION_ID
了解限制资源位置。
Restrict VPC peering usage 组织政策
此列表限制条件定义了允许与属于给定资源的 VPC 网络对等互连的一组 VPC 网络。当您为托管式 Microsoft AD 网域指定已获授权的网络时,系统将在已获授权的网络和包含 AD 网域控制器的独立网络之间创建 VPC 对等互连。如果项目的组织政策拒绝对等互连,则托管式 Microsoft AD 将无法创建到已获授权的网络的任何对等互连,从而导致网域创建失败。您会收到如下所示的错误:
GCE_PRECONDITION_FAILED: Constraint constraints /compute.restrictVpcPeering violated for project PROJECT_ID. Peering the network projects/PROJECT_ID/global/networks/VPC_NETWORK_NAME is not allowed.
要查看和更新 Restrict VPC peering usage 组织政策,请执行以下操作:
控制台
- 前往 Google Cloud 控制台中的组织政策页面。
转到“组织政策” - 在组织政策页面上,在名称列中选择限制 VPC 对等互连使用量政策,以打开政策摘要面板。
- 在政策摘要面板中,验证项目是否允许对等互连。
- 如果需要进行更改,请选择修改,更新政策,然后点击保存。
gcloud
如需查看
Restrict VPC peering usage组织政策的详细信息,请运行以下 gcloud CLI 命令。了解gcloud resource-manager org-policies describe命令。gcloud resource-manager org-policies describe constraints/compute.restrictVpcPeering \ --organization=ORGANIZATION_ID如果
describe命令显示不允许对等互连,请运行以下命令来允许它。了解gcloud resource-manager org-policies allow命令。gcloud resource-manager org-policies allow constraints/compute.restrictVpcPeering under:projects/PROJECT_ID \ --organization=ORGANIZATION_ID替换以下内容:
PROJECT_ID:包含代管式 Microsoft AD 资源的项目的名称。ORGANIZATION_ID:托管该项目的组织的 ID。
无法将 Windows 虚拟机自动加入网域
以下是在尝试将 Windows 虚拟机或 GKE Windows Server 节点自动加入网域时可能会遇到的一些错误代码问题:
| 错误代码 | 说明 | 可能的解决方案 |
|---|---|---|
CONFLICT (409) |
表示代管式 Microsoft AD 网域中已存在该虚拟机实例账号。 | 请使用 RSAT 工具手动从 Managed Microsoft AD 中移除此账号,然后重试。如需详细了解如何在 Managed Microsoft AD 中管理 AD 对象,请参阅管理 Active Directory 对象。 |
BAD_REQUEST (412) |
表示网域加入请求包含无效信息,例如域名不正确和组织部门 (OU) 层次结构不正确。 | 请检查相应信息,根据需要更新详细信息,然后重试。 |
INTERNAL (500) |
表示服务器遇到未知内部错误。 | 请与 Google Cloud 支持团队联系,以解决此问题。 |
FORBIDDEN (403) |
表示指定的服务帐号没有所需的权限。 | 请检查您是否拥有服务账号所需的权限,然后重试。 |
UNAUTHORIZED (401) |
表示虚拟机缺少加入网域的有效授权。 | 请检查您是否对虚拟机拥有所需的访问权限范围,然后重试。 |
无法将虚拟机手动加入网域
如果您无法将机器从本地环境手动联接到代管式 Microsoft AD 网域,请验证以下要求:
可以从代管式 Microsoft AD 检测到您尝试加入的机器。如需验证此连接,请使用
nslookup命令执行从本地环境到 Managed Microsoft AD 网域的 DNS 查找。机器所在的本地网络必须与 Managed Microsoft AD 网域的 VPC 网络对等互连。如需了解如何排查 VPC 网络对等互连连接问题,请参阅问题排查。
无法将共享 VPC 用作已获授权的网络
如需从共享 VPC 网络访问 Managed Microsoft AD 网域,必须在托管共享 VPC 网络的同一项目中创建该网域。
无法访问托管式 Microsoft AD 网域
如果您的托管式 Microsoft AD 网域不可用,则可以通过完成以下步骤来获取有关其状态的详细信息:
控制台
前往 Google Cloud 控制台中的 Managed Service for Microsoft Active Directory 页面。
转到 Managed Service for Microsoft Active Directory
在 Managed Service for Microsoft Active Directory 页面上的状态列中,您可以查看网域的状态。
gcloud
运行以下 gcloud CLI 命令:
gcloud active-directory domains list
此命令返回您的网域的状态。
如果网域状态为 DOWN,则表明您的账号可能已被暂停。要解决此问题,请联系 Google Cloud 支持。
如果您的网域状态为 PERFORMING_MAINTENANCE,则代管式 Microsoft AD 应仍然可用,但可能不允许执行扩展架构、添加或移除区域等操作。此状态很少见,只有在操作系统修补后才会发生。
无法创建信任
如果您按照创建信任的步骤进行操作,但无法完成该过程,验证以下配置会有所帮助。
可访问本地网域
要验证是否可以从托管式 Microsoft AD 网域访问本地网域,可以使用 ping 或 Test-NetConnection。从托管在 Google Cloud 和已获授权的网络上的虚拟机运行这些命令。验证该虚拟机是否可以访问本地网域控制器。详细了解 Test-NetConnection。
IP 地址
要验证在信任设置过程中提供的 IP 地址是否能够解析本地网域,请运行以下命令:
nslookup ON_PREMISES_DOMAIN_NAME CONDITIONAL_FORWARDER_ADDRESS
替换以下内容:
ON_PREMISES_DOMAIN_NAME:本地网域的名称。CONDITIONAL_FORWARDER_ADDRESS:您的 DNS 条件转发器的 IP 地址。
如果有多个条件转发器地址,则可以针对其中任何一个进行测试。
详细了解 nslookup。
本地信任关系
要验证本地信任关系是否已建立,您应检查以下信息是否匹配。
- 代管式 Microsoft AD 网域上的信任类型和方向是对本地网域上创建的信任进行补充。
- 在代管式 Microsoft AD 网域上创建信任时提供的信任密钥与在本地网域上输入的信任密钥一致。
本地信任方向与代管式 Microsoft AD 上配置的信任方向相辅相成。也就是说,如果本地网域需要入站信任,则 Managed Microsoft AD 网域的信任方向为出站。详细了解信任方向。
信任不再有效
如果您之前创建了信任,但该信任不再有效,您应验证与排查创建信任的问题相同的配置。
此外,如果在 60 天或更长时间内没有使用信任,则信任密码将过期。要刷新密码,请更改本地网域上的信任密码,然后更新托管式 Microsoft AD 网域上的密码。
Active Directory 身份验证失败(托管式 Microsoft AD 托管账号)
使用代管式 Microsoft AD 托管的帐号时,如果 Active Directory 身份验证失败,验证以下配置会有所帮助。
虚拟机位于已获授权的网络上
要验证用于访问网域的虚拟机是否在已获授权的网络上,请完成以下步骤。
前往 Google Cloud 控制台中的 Managed Service for Microsoft Active Directory 页面。
转到 Managed Service for Microsoft Active Directory选择您的域名。
在网域页面上的网络下,检查是否列出了已获授权的网络。
用户名和密码正确
验证提供的用于登录的用户名和密码是否正确。
防火墙规则
针对流向网域控制器 IP 地址范围的出站流量的 deny 防火墙规则可能会导致身份验证失败。
要检查防火墙规则,请完成以下步骤:
控制台
gcloud
运行以下 gcloud CLI 命令:
gcloud compute firewall-rules list
此命令返回已配置的防火墙规则的列表。检查是否没有为网域控制器的 IP 地址范围配置出站流量
deny防火墙规则。
详细了解防火墙规则。
IP 地址
如果 IP 地址不在预留的 CIDR 范围内,则身份验证可能会失败。
要检查 IP 地址,请运行以下命令。
nslookup DOMAIN_NAME
如果 nslookup 失败或返回的 IP 地址不在 CIDR 范围内,您应验证 DNS 地区是否存在。
要验证 DNS 地区是否存在,请完成以下步骤:
控制台
前往 Google Cloud 控制台中的 Cloud DNS 页面。
转到 Cloud DNS在 Cloud DNS 页面上的地区标签页上,检查已获授权的网络的使用者列。
gcloud
运行以下 gcloud CLI 命令:
gcloud dns managed-zones list --filter=FQDN
将
FQDN替换为代管式 Microsoft AD 网域的完全限定域名。
如果已获授权的网络未使用任何列出的地区,您应移除并重新添加已获授权的网络。
网络对等互连
如果未正确配置 VPC 网络对等互连,则身份验证可能会失败。
要验证是否设置了对等互连,请完成以下步骤:
控制台
前往 Google Cloud 控制台中的 VPC 网络对等互连页面。
转到 VPC 网络对等互连在 VPC 网络对等互连页面上的名称列中,查找名为
peering-VPC_NETWORK_NAME的对等互连。
gcloud
运行以下 gcloud CLI 命令:
gcloud compute networks peerings list --network=VPC_NETWORK_NAME
此命令返回对等互连列表。在列表中,查找名为
peering-VPC_NETWORK_NAME对等互连。
如果列表中没有 peering-VPC_NETWORK_NAME,您应移除并重新添加已获授权的网络。
Active Directory 身份验证失败(通过信任)
如果通过信任关系使用托管的本地托管账号时,Active Directory 身份验证失败,您应验证与排查创建信任的问题相同的配置。
此外,请验证该帐号是否属于 Cloud Service Computer Remote Desktop Users 委托群组。详细了解委托的群组
无法从管理虚拟机访问网域
如果您无法通过用于管理 AD 对象的虚拟机访问 Managed Microsoft AD 网域,则应验证与排查代管式 Microsoft AD 托管帐号的 Active Directory 身份验证问题相同的配置。
创建、更新或删除时发生 Org policy 错误
如果您在创建、更新或删除资源时遇到 org policy 错误,则可能需要更改组织政策。了解组织政策限制。
请让拥有组织的组织政策管理员 (roles/orgpolicy.policyAdmin) IAM 角色的管理员更新所需的组织政策。
Define allowed APIs and services 组织政策
此列表限制条件定义了可在给定资源上启用的一组服务和 API。其在资源层次结构中的后代也会继承该限制条件。如果此限制条件不允许托管式 Microsoft AD 所需的 API,则您在尝试创建、更新或删除资源时会收到错误。
要查看和更新 Define allowed APIs and services 组织政策,请执行以下操作:
控制台
- 前往 Google Cloud 控制台中的组织政策页面。
转到“组织政策” - 在组织政策页面上的名称列中,选择定义允许的 API 和服务政策以打开政策摘要面板。
- 在政策摘要面板中,验证以下 API 是否未被拒绝:
dns.googleapis.comcompute.googleapis.com
- 如果需要进行更改,请选择修改,更新政策,然后点击保存。
gcloud
运行以下 gcloud CLI 命令。了解
gcloud resource-manager org-policies describe命令。gcloud resource-manager org-policies describe constraints/serviceuser.services \ --organization=ORGANIZATION_ID如果
describe命令显示不允许dns.googleapis.com或compute.googleapis.com,请运行以下命令来允许它。了解gcloud resource-manager org-policies allow命令。gcloud resource-manager org-policies allow constraints/serviceuser.services API_NAME \ --organization=ORGANIZATION_ID
Restrict VPC peering usage 组织政策
此列表限制条件定义了允许与属于给定资源的 VPC 网络对等互连的一组 VPC 网络。如果对等互连被拒绝,则您在尝试创建、更新或删除资源时会收到错误。了解如何查看和更新 Restrict VPC peering usage 组织政策。
无法从 Google Cloud 解析本地资源
如果您无法从 Google Cloud 解析本地资源,则可能需要更改 DNS 配置。了解如何配置 DNS 转发以解析针对 VPC 网络中的非代管式 Microsoft AD 对象的查询。
间歇性 DNS 查找失败
如果在使用 Cloud Interconnect 或多个 VPN 的高可用性架构时遇到间歇性 DNS 查找失败,您应验证以下配置:
- 存在 35.199.192.0/19 的路由。
- 对于所有 Cloud Interconnect 连接或 VPN 隧道,本地网络允许来自 35.199.192.0/19 的流量。
委派管理员账号密码到期
如果委派管理员帐号的密码已过期,您可以重置密码。确保您拥有重置委托管理员帐号密码所需的权限。如果需要,您还可以为帐号停用密码过期功能。
无法查看代管式 Microsoft AD 审核日志
如果您无法在日志查看器或 Logs Explorer 中查看任何代管式 Microsoft AD 审核日志,则应验证以下配置。
- 已为网域启用了日志记录。
- 您拥有网域所在项目的
roles/logging.viewerIAM 角色。