Alat Diagnosis Direktori Aktif (AD) adalah skrip PowerShell utilitas yang membantu Anda memecahkan masalah penyiapan AD dengan domain lokal dan Cloud SQL untuk instance Server SQL di Google Cloud.
Alat ini melakukan berbagai pemeriksaan masalah, seperti port tertutup, pencarian FQDN, dan masalah DNS. Platform ini berjalan di VM Windows lokal yang merupakan salah satu pengontrol domain untuk domain lokal Anda.
Halaman ini menjelaskan cara menggunakan Alat Diagnosis Direktori Aktif untuk Cloud SQL dan menjelaskan pemeriksaan yang dijalankan alat tersebut.
Prasyarat
Pastikan Anda telah menyiapkan komponen berikut sebelum melanjutkan penggunaan alat Diagnosis AD:
- Domain lokal yang diaktifkan oleh AD.
- Domain AD Terkelola di konsol Google Cloud.
- Cloud SQL untuk instance Server SQL yang digabungkan ke domain AD Terkelola.
Cara menggunakan Alat Diagnosis AD
Untuk menggunakan alat Diagnosis AD, lakukan langkah-langkah berikut:
- Login ke salah satu pengontrol domain lokal atau VM yang tergabung ke domain lokal.
- Download skrip
diagnose_ad.ps1
di VM. - Luncurkan Powershell sebagai Administrator.
Jalankan skrip
diagnose_ad.ps1
di jendela Powershell menggunakan perintah berikut:powershell -command "& { . C:\\<var>SCRIPT_PATH</var>\\diagnose_ad.ps1; Run-Tool }"
Masukkan informasi berikut saat diminta:
- Nama domain lokal, seperti
my-onprem-domain.com
- Nama domain AD terkelola, seperti
my-ad-domain.com
- Daftar FQDN Direktori Aktif Server SQL dan alamat IP pribadi Daftar ini tersedia di konsol Google Cloud pada halaman Ringkasan instance.
- Nama domain lokal, seperti
Alat ini kemudian melakukan sejumlah pemeriksaan, seperti yang dijelaskan dalam Pemeriksaan yang dilakukan oleh Alat Diagnosis AD.
Pemeriksaan yang dilakukan oleh Alat Diagnosis AD
Periksa | Deskripsi | Catatan dan rekomendasi |
---|---|---|
Pengontrol domain yang tersedia | Mengeluarkan ping ke alamat IP dari setiap pengontrol domain di domain lokal untuk memastikan alamat IP tersebut dapat dijangkau. | Pemeriksaan selanjutnya akan dilanjutkan pada alamat IP yang dapat dijangkau. Jika terjadi kegagalan pada pemeriksaan ini, pastikan network connectivity ke pengontrol domain lokal yang tersisa. Untuk mempelajari lebih lanjut, lihat Membuat infrastruktur jaringan. |
Port | Memverifikasi bahwa semua port TCP dan UDP yang diperlukan untuk AD terbuka di semua pengontrol domain lokal. | Pemeriksaan ini menampilkan status peringatan untuk rentang port RPC (49152-65535) karena tidak memiliki daftar port terbuka yang konsisten. Sebaiknya Anda memverifikasi bahwa ada aturan firewall yang disetel untuk mengizinkan rentang ini. Untuk mempelajari lebih lanjut, lihat Membuka port firewall |
Server DNS | Memeriksa penyiapan AD yang responsif dan fault-tolerant. | Pemeriksaan ini menampilkan peringatan jika skrip tidak dijalankan di pengontrol domain lokal. Sebaiknya Anda men-deploy penyiapan AD fault-tolerant dengan menetapkan server DNS utama dan sekunder. |
FQDN (domain AD Terkelola) | Melakukan nslookup untuk nama domain AD Terkelola yang Anda berikan. | Pemeriksaan ini memvalidasi apakah domain AD Terkelola dapat dijangkau dari pengontrol domain lokal. Jika terjadi kegagalan, coba buat network connectivity antara jaringan lokal dan Virtual Private Cloud (VPC) Google Cloud Anda. Untuk mempelajari lebih lanjut, lihat Membuat network connectivity. |
FQDN (Server SQL) | Melakukan nslookup untuk FQDN Server SQL yang Anda berikan. | Pemeriksaan ini memvalidasi apakah instance Anda dapat dijangkau dari pengontrol domain lokal. Jika terjadi kegagalan, coba buat network connectivity antara jaringan lokal dan Virtual Private Cloud (VPC) Google Cloud Anda. Untuk mempelajari lebih lanjut, lihat Membuat network connectivity. |
Replikasi DC | Mencari adanya kegagalan replikasi AD di antara pengontrol domain lokal. | Jika skrip dijalankan di domain lokal yang bergabung dengan VM, kemungkinan status gagal jika Powershell tidak dijalankan sebagai pengguna domain Direktori Aktif. Jika pemeriksaan ini gagal, ikuti langkah-langkah yang diberikan dalam Menguji penginstalan. |
Penerusan DNS | Mencari penyiapan untuk meneruskan DNS bersyarat di pengontrol domain lokal, yang diperlukan untuk merutekan permintaan dari pengontrol domain lokal ke pengontrol domain AD Terkelola. | Pemeriksaan ini dapat gagal jika skrip tidak dijalankan di pengontrol domain lokal. Sebaiknya Anda konfigurasi penerusan DNS bersyarat. |
Penyiapan kepercayaan | Memverifikasi bahwa kepercayaan AD disiapkan antara domain lokal dan domain AD Terkelola. | Pemeriksaan ini memverifikasi bahwa kepercayaan AD disiapkan antara domain lokal dan domain AD Terkelola. Sebaiknya Anda buat kepercayaan antara domain lokal dan domain Microsoft AD Terkelola Anda. Untuk mempelajari lebih lanjut, lihat Menyiapkan kepercayaan |
Kebijakan keamanan lokal |
Memeriksa apakah konfigurasi kebijakan keamanan lokal
Network access: Named pipes that can be accessed anonymously telah disetel.
Anda memerlukan pemeriksaan ini untuk membuat kepercayaan AD.
|
Pemeriksaan ini diperkirakan akan gagal jika skrip tidak dijalankan di pengontrol domain lokal. Pemeriksaan ini mengharuskan Anda menjalankan Powershell sebagai Administrator untuk memeriksa setelan kebijakan keamanan lokal. Jika terjadi kegagalan, sebaiknya Anda verifikasi kebijakan keamanan lokal untuk domain lokal Anda. |
Perutean akhiran nama | Memeriksa apakah perutean akhiran nama ke domain AD Terkelola diaktifkan di pengontrol domain lokal. Anda memerlukan pemeriksaan ini untuk merutekan permintaan dari forest lokal ke forest AD Terkelola | Pemeriksaan ini mengharuskan Anda menjalankan Powershell sebagai Administrator untuk memeriksa setelan Perutean Akhiran Nama. Jika terjadi kegagalan, sebaiknya Anda memperbarui perutean akhiran nama untuk kepercayaan lokal. |
Tiket Kerberos untuk domain lokal | Memvalidasi bahwa autentikasi Kerberos diaktifkan di domain lokal. Google Play mencari tiket Kerberos yang ada untuk domain lokal. Jika tidak ditemukan, layanan ini berupaya untuk membuat tiket baru. | Pemeriksaan ini berupaya untuk menemukan tiket Kerberos yang ada untuk DC lokal. Jika gagal, sistem akan mencoba membuat tiket baru sebagai bentuk validasi. Error dalam pemeriksaan lain dapat menyebabkan error pada pemeriksaan ini. Jika Anda mengatasi kegagalan untuk pemeriksaan lainnya, maka kegagalan untuk pemeriksaan ini akan teratasi. |
Tiket Kerberos untuk Server SQL |
Memvalidasi bahwa autentikasi Kerberos diaktifkan
di domain lokal. Server akan mencari tiket Kerberos yang ada untuk setiap Server
SQL Service Principal Name (SPN) yang Anda berikan. SPN untuk Server SQL adalah
MSSQLSvc/{SQL Server FQDN}:1433 . Jika gagal mendapatkan tiket untuk SPN,
Cloud SQL memeriksa apakah
nilai registry Windows untuk mengizinkan IP di nama host telah disetel. Jika disetel, coba untuk mendapatkan tiket dengan SPN
MSSQLSvc/{SQL Server IP}:1433 .Untuk mempelajari lebih lanjut, lihat dokumentasi Microsoft. |
Pemeriksaan ini berupaya untuk menemukan tiket Kerberos yang ada untuk Server SQL. Jika gagal, sistem akan mencoba membuat tiket baru sebagai bentuk validasi. Error dalam pemeriksaan lain dapat menyebabkan error pada pemeriksaan ini. Menyelesaikan kegagalan untuk pemeriksaan lainnya harus menyelesaikan kegagalan untuk pemeriksaan ini. |
Langkah Berikutnya
- Untuk membagikan masukan, Anda dapat menggunakan Masalah GitHub.