Lo strumento di diagnostica di Active Directory (AD) è un'utilità di script PowerShell che consente di risolvere i problemi di configurazione di AD con il dominio on-premise e le istanze Cloud SQL per SQL Server in Google Cloud.
Lo strumento esegue vari controlli per verificare la presenza di problemi, ad esempio porte chiuse, ricerche di nomi di dominio completi e problemi relativi al DNS. Viene eseguito su una VM Windows on-premise che è uno dei controller di dominio del tuo dominio on-premise.
Questa pagina descrive come utilizzare lo strumento di diagnosi di Active Directory per Cloud SQL e illustra i controlli eseguiti dallo strumento.
Prerequisiti
Assicurati di aver configurato i seguenti componenti prima di utilizzare lo strumento di diagnostica degli annunci:
- Un dominio on-premise abilitato per AD.
- Un dominio AD gestito nella console Google Cloud.
- Un'istanza Cloud SQL per SQL Server aggiunta al dominio AD gestito.
Come utilizzare lo strumento diagnosi annunci
Per utilizzare lo strumento diagnostica annunci, procedi nel seguente modo:
- Accedi a uno qualsiasi dei controller di dominio on-premise o a una VM aggiunta al dominio on-premise.
- Scarica lo script
diagnose_ad.ps1sulla VM. - Avvia PowerShell come amministratore.
Esegui lo script
diagnose_ad.ps1nella finestra di Powershell utilizzando il seguente comando:powershell -command "& { . C:\\<var>SCRIPT_PATH</var>\\diagnose_ad.ps1; Run-Tool }"Inserisci le seguenti informazioni quando ti viene richiesto:
- Nome di dominio on-premise, come
my-onprem-domain.com - Nome di dominio AD gestito, ad esempio
my-ad-domain.com - Elenco di nomi di dominio completi e indirizzi IP privati di SQL Server Active Directory. Questo elenco è disponibile nella pagina Panoramica dell'istanza della console Google Cloud.
- Nome di dominio on-premise, come
Lo strumento esegue quindi una serie di controlli, come descritto nella sezione Controlli eseguiti dallo strumento diagnosi annunci.
Controlli eseguiti dallo strumento diagnosi annunci
| Controllo | Descrizione | Note e consigli |
|---|---|---|
| Controller di dominio disponibili | Emette un ping all'indirizzo IP di ciascun controller di dominio nel dominio on-premise per garantire che siano raggiungibili. | I controlli rimanenti vengono eseguiti sugli indirizzi IP raggiungibili. In caso di errore di questo controllo, assicurati la connettività di rete ai restanti controller di dominio on-premise. Per scoprire di più, vedi Creazione dell'infrastruttura di rete. |
| Porte | Verifica che tutte le porte TCP e UDP richieste per AD siano aperte su tutti i controller di dominio on-premise. | Questo controllo restituisce uno stato di avviso per l'intervallo di porte RPC (49152-65535) perché non ha un elenco coerente di porte aperte. Ti consigliamo di verificare che sia presente una regola firewall impostata per consentire questo intervallo. Per scoprire di più, consulta Apertura delle porte firewall |
| Server DNS | Verifica che la configurazione di AD integro e a tolleranza di errore sia corretta. | Questo controllo restituisce un avviso se lo script non viene eseguito su un controller di dominio on-premise. Ti consigliamo di eseguire il deployment di una configurazione di AD a tolleranza di errore impostando i server DNS primari e secondari. |
| FQDN (dominio AD gestito) | Esegue una ricerca nslookup per il nome di dominio AD gestito che hai specificato. | Questo controllo convalida se il dominio AD gestito è raggiungibile dal controller di dominio on-premise. In caso di errore, prova a stabilire la connettività di rete tra la rete on-premise e la rete VPC (Virtual Private Cloud) di Google Cloud. Per scoprire di più, consulta Stabilire la connettività di rete. |
| Nome di dominio completo (SQL Server) | Esegue una ricerca nslookup per i nomi di dominio completi di SQL Server che fornisci. | Questo controllo convalida se l'istanza è raggiungibile dal controller di dominio on-premise. In caso di errore, prova a stabilire la connettività di rete tra la rete on-premise e la rete VPC (Virtual Private Cloud) di Google Cloud. Per scoprire di più, consulta Stabilire la connettività di rete. |
| Replica DC | Cerca eventuali errori di replica di AD tra i controller di dominio on-premise. | Se lo script viene eseguito su una VM aggiunta a un dominio on-premise, si prevede uno stato di errore se PowerShell non viene eseguito come utente del dominio Active Directory. In caso di errore di questo controllo, segui i passaggi indicati nella sezione Testare l'installazione. |
| Forwarding DNS | Cerca la configurazione dell'inoltro DNS condizionale sui controller di dominio on-premise, necessaria per instradare le richieste dai controller di dominio on-premise ai controller di dominio AD gestiti. | Questo controllo può avere esito negativo se lo script non viene eseguito su un controller di dominio on-premise. Ti consigliamo di configurare i forwarding condizionali DNS. |
| Configurazione di attendibilità | Verifica che il trust di AD sia impostato tra il dominio on-premise e il dominio AD gestito. | Questo controllo verifica che l'attendibilità di AD è configurata tra il dominio on-premise e quello di AD gestito. Ti consigliamo di creare un trust tra il tuo dominio on-premise e il dominio Microsoft AD gestito. Per saperne di più, consulta Configurazione dell'attendibilità |
| Criterio di sicurezza locale |
Verifica che la configurazione del criterio di sicurezza locale Network access: Named pipes that can be accessed anonymously sia stata impostata.
Questo controllo è necessario per creare un trust AD.
|
Questo controllo dovrebbe avere esito negativo se lo script non viene eseguito su un controller di dominio on-premise. Questo controllo richiede di eseguire PowerShell come amministratore per controllare le impostazioni dei criteri di sicurezza locali. In caso di errore, ti consigliamo di verificare il criterio di sicurezza locale per il tuo dominio on-premise. |
| Routing del suffisso del nome | Verifica se il routing del suffisso dei nomi al dominio AD gestito è abilitato sul controller di dominio on-premise. È necessario questo controllo per instradare le richieste da una foresta on-premise a una foresta AD gestita. | Questo controllo richiede di eseguire PowerShell come amministratore per controllare le impostazioni di routing del suffisso nome. In caso di errore, ti consigliamo di aggiornare il routing del suffisso del nome per l'attendibilità on-premise. |
| Ticket Kerberos per il dominio on-premise | Verifica che l'autenticazione Kerberos sia abilitata sul dominio on-premise. Cerca un ticket Kerberos esistente per il dominio on-premise. Se non lo trovi, tenta di generare un nuovo ticket. | Questo controllo tenta di trovare un ticket Kerberos esistente per il controller di dominio on-premise. Se non va a buon fine, prova a generare un nuovo ticket come forma di convalida. Gli errori in altri controlli possono causare un errore in questo controllo. La risoluzione degli errori relativi agli altri controlli dovrebbe risolvere l'errore relativo a questo controllo. |
| Ticket Kerberos per SQL Server |
Verifica che l'autenticazione Kerberos sia abilitata
sul dominio on-premise. Cerca un ticket Kerberos esistente per ogni nome entità servizio SQL Server (SPN) che fornisci. Il SPN per SQL Server è
MSSQLSvc/{SQL Server FQDN}:1433. Se la ricezione di un ticket per l'SPN non va a buon fine, Cloud SQL controlla se è impostato il valore del Registro di sistema di Windows per consentire l'IP nei nomi host. Se è impostato, prova a ottenere un ticket con SPN MSSQLSvc/{SQL Server IP}:1433.Per saperne di più, consulta la documentazione Microsoft. |
Questo controllo tenta di trovare un ticket Kerberos esistente per SQL Server. Se non va a buon fine, prova a generare un nuovo ticket come forma di convalida. Gli errori in altri controlli possono causare un errore in questo controllo. La risoluzione degli errori relativi agli altri controlli dovrebbe risolvere un errore relativo a questo controllo. |
Passaggi successivi
- Per condividere il tuo feedback, puoi consultare la pagina Problemi di GitHub.