Das Active Directory (AD)-Diagnosetool ist ein PowerShell-Skript, mit dem Sie Probleme bei der AD-Einrichtung mit Ihrer lokalen Domain und Cloud SQL for SQL Server-Instanzen in Google Cloud beheben können.
Das Tool führt verschiedene Prüfungen auf Probleme durch, z.0B. geschlossene Ports, FQDN-Suchvorgänge und DNS-Probleme. Er wird auf einer lokalen Windows-VM ausgeführt, die einer der Domänencontroller für Ihre lokale Domain ist.
Auf dieser Seite wird beschrieben, wie Sie das Active Directory-Diagnosetool für Cloud SQL verwenden und welche Prüfungen damit durchgeführt werden.
Vorbereitung
Prüfen Sie, ob die folgenden Komponenten eingerichtet sind, bevor Sie das AD-Diagnosetool verwenden:
- Eine AD-fähige lokale Domain.
- Eine verwaltete AD-Domain in der Google Cloud Console.
- Eine Cloud SQL for SQL Server-Instanz, die mit der Managed AD-Domain verbunden ist.
AD-Diagnosetool verwenden
Führen Sie die folgenden Schritte aus, um das AD-Diagnosetool zu verwenden:
- Melden Sie sich bei einem der lokalen Domänencontroller oder bei einer VM an, die mit der lokalen Domain verbunden ist.
- Laden Sie das Skript
diagnose_ad.ps1auf die VM herunter. - Starten Sie PowerShell als Administrator.
Führen Sie das Skript
diagnose_ad.ps1im PowerShell-Fenster mit dem folgenden Befehl aus.powershell -command "& { . C:\\<var>SCRIPT_PATH</var>\\diagnose_ad.ps1; Run-Tool }"Geben Sie die folgenden Informationen ein, wenn Sie dazu aufgefordert werden:
- Lokaler Domainname, z. B.
my-onprem-domain.com - Managed AD-Domainname, z. B.
my-ad-domain.com - Liste der FQDNs und privaten IP-Adressen von SQL Server Active Directory. Diese Liste ist in der Google Cloud Console auf der Seite Übersicht der Instanz verfügbar.
- Lokaler Domainname, z. B.
Das Tool führt dann eine Reihe von Prüfungen aus, wie unter Vom AD-Diagnosetool ausgeführte Prüfungen beschrieben.
Vom AD-Diagnosetool ausgeführte Prüfungen
| Häkchen | Beschreibung | Hinweise und Empfehlung |
|---|---|---|
| Verfügbare Domaincontroller | Sendet einen Ping an die IP-Adresse jedes Domaincontrollers in der lokalen Domain, um sicherzustellen, dass diese erreichbar sind. | Die verbleibenden Prüfungen werden für die erreichbaren IP-Adressen fortgesetzt. Stellen Sie im Falle eines Fehlers bei dieser Prüfung die Netzwerkverbindung zu den verbleibenden lokalen Domänencontrollern sicher. Weitere Informationen finden Sie unter Netzwerkinfrastruktur erstellen. |
| Ports | Verifiziert, dass alle erforderlichen TCP- und UDP-Ports für AD auf allen lokalen Domaincontrollern geöffnet sind. | Diese Prüfung gibt für den RPC-Portbereich (49152–65535) einen Warnstatus zurück, da keine konsistente Liste offener Ports vorhanden ist. Wir empfehlen Ihnen, zu prüfen, ob eine Firewallregel zum Zulassen dieses Bereichs festgelegt ist. Weitere Informationen finden Sie unter Firewallports öffnen. |
| DNS-Server | Prüft, ob eine fehlerfreie und fehlertolerante AD-Umgebung vorhanden ist. | Diese Prüfung gibt eine Warnung zurück, wenn das Skript nicht auf einem lokalen Domaincontroller ausgeführt wird. Wir empfehlen, AD so einzurichten, dass es fehlertolerant ist, indem Sie primäre und sekundäre DNS-Server festlegen. |
| FQDN (Verwaltete AD-Domain) | Führt einen nslookup für den von Ihnen angegebenen Managed AD-Domainnamen aus. | Bei dieser Prüfung wird geprüft, ob die Managed AD-Domain über den lokalen Domaincontroller erreichbar ist. Versuchen Sie, im Falle eines Fehlers eine Netzwerkverbindung zwischen Ihrem lokalen Netzwerk und Ihrer Google Cloud Virtual Private Cloud (VPC) herzustellen. Weitere Informationen finden Sie unter Netzwerkverbindung herstellen. |
| FQDN (SQL Server) | Führt einen nslookup für die von Ihnen angegebenen FQDNs von SQL Server aus. | Mit dieser Prüfung wird geprüft, ob Ihre Instanz über den lokalen Domaincontroller erreichbar ist. Versuchen Sie bei einem Fehler, eine Netzwerkverbindung zwischen Ihrem lokalen Netzwerk und Ihrer Google Cloud Virtual Private Cloud (VPC) herzustellen. Weitere Informationen finden Sie unter Netzwerkverbindung herstellen. |
| DC-Replikation | Sucht nach AD-Replikationsfehlern zwischen den lokalen Domänencontrollern. | Wenn das Skript auf einer lokalen Domain ausgeführt wird, die einer VM beitritt, schlägt der Status „Fehlgeschlagen“ fehl, wenn Powershell nicht als Active Directory-Domainnutzer ausgeführt wird. Wenn diese Prüfung fehlschlägt, führen Sie die Schritte unter Installation testen aus. |
| DNS-Weiterleitung | Es wird nach einer Konfiguration für die bedingte DNS-Weiterleitung auf den lokalen Domaincontrollern gesucht, die erforderlich ist, um Anfragen von lokalen Domaincontrollern an Managed AD-Domaincontroller weiterzuleiten. | Diese Prüfung kann fehlschlagen, wenn das Skript nicht auf einem lokalen Domaincontroller ausgeführt wird. Wir empfehlen das Konfigurieren bedingter DNS-Forwarder. |
| Trust-Einrichtung | Prüft, ob die AD-Vertrauensstellung zwischen der lokalen Domain und der Managed AD-Domain eingerichtet ist. | Bei dieser Prüfung wird überprüft, ob die AD-Vertrauensstellung zwischen der lokalen und der Managed AD-Domain eingerichtet ist. Wir empfehlen, eine Vertrauensstellung zwischen Ihrer lokalen Domain und Ihrer Managed Microsoft AD-Domain zu erstellen. Weitere Informationen finden Sie unter Vertrauensstellung einrichten |
| Lokale Sicherheitsrichtlinie |
Prüft, ob die Konfiguration der lokalen Sicherheitsrichtlinie Network access: Named pipes that can be accessed anonymously festgelegt wurde.
Sie benötigen diese Prüfung, um eine AD-Vertrauensstellung zu erstellen.
|
Diese Prüfung wird wahrscheinlich fehlschlagen, wenn das Skript nicht auf einem lokalen Domaincontroller ausgeführt wird. Für diese Prüfung müssen Sie PowerShell als Administrator ausführen, um die Einstellungen für lokale Sicherheitsrichtlinien zu prüfen. Bei einem Fehler empfehlen wir Ihnen, die lokale Sicherheitsrichtlinie für Ihre lokale Domain zu prüfen. |
| Namenssuffix-Routing | Prüft, ob das Namenssuffix-Routing zur Managed AD-Domain auf dem lokalen Domaincontroller aktiviert ist. Diese Prüfung ist erforderlich, um Anfragen von einer lokalen Gesamtstruktur an die Managed AD-Gesamtstruktur weiterzuleiten. | Für diese Prüfung müssen Sie Powershell als Administrator ausführen, um die Einstellungen für das Namenssuffix-Routing zu prüfen. Im Falle eines Fehlers empfehlen wir, das Namenssuffixrouting für die lokale Vertrauensstellung zu aktualisieren. |
| Kerberos-Ticket für die lokale Domain | Prüft, ob die Kerberos-Authentifizierung für die lokale Domain aktiviert ist. Es wird nach einem vorhandenen Kerberos-Ticket für die lokale Domain gesucht. Andernfalls wird versucht, ein neues Ticket zu generieren. | Bei dieser Prüfung wird versucht, ein vorhandenes Kerberos-Ticket für den lokalen DC zu finden. Wenn das fehlschlägt, wird versucht, ein neues Ticket als Validierungsmethode zu generieren. Fehler bei anderen Prüfungen können zu einem Fehler bei dieser Prüfung führen. Wenn Sie Fehler bei den anderen Prüfungen beheben, sollte auch der Fehler bei dieser Prüfung behoben werden. |
| Kerberos-Ticket für SQL Server |
Prüft, ob die Kerberos-Authentifizierung für die lokale Domain aktiviert ist. Es wird nach einem vorhandenen Kerberos-Ticket für jeden von Ihnen angegebenen Namen eines SQL-Server-Diensthauptkontos (SPN, Service Principal Name) gesucht. Der SPN für SQL Server ist MSSQLSvc/{SQL Server FQDN}:1433. Wenn das Abrufen eines Tickets für den SPN fehlschlägt, prüft Cloud SQL, ob der Windows-Registry-Wert für das Zulassen von IP-Adressen in Hostnamen festgelegt ist. Wenn das der Fall ist, versuchen Sie, ein Ticket mit SPN MSSQLSvc/{SQL Server IP}:1433 zu erhalten.Weitere Informationen zu finden Sie in der Microsoft-Dokumentation. |
Bei dieser Prüfung wird versucht, ein vorhandenes Kerberos-Ticket für SQL Server zu finden. Wenn das fehlschlägt, wird versucht, ein neues Ticket als Validierungsmethode zu generieren. Fehler bei anderen Prüfungen können zu einem Fehler bei dieser Prüfung führen. Wenn Sie Fehler bei anderen Prüfungen beheben, sollte auch ein Fehler für diese Prüfung behoben werden. |
Weitere Informationen
- Sie können uns Ihr Feedback über GitHub Issues senden.