Lo strumento di diagnostica di Active Directory (AD) è uno script PowerShell di utilità che consente di risolvere i problemi di configurazione di AD con il dominio on-premise e le istanze Cloud SQL per SQL Server in Google Cloud.
Lo strumento esegue vari controlli per verificare la presenza di problemi, ad esempio porte chiuse, nomi di dominio completi ricerche e problemi DNS. Viene eseguito su una VM Windows on-premise che è uno dei controller di dominio per il tuo dominio on-premise.
Questa pagina descrive come utilizzare lo strumento di diagnosi di Active Directory per Cloud SQL e spiega i controlli eseguiti lo strumento di authoring.
Prerequisiti
Prima di procedere con l'utilizzo dello strumento di diagnosi degli annunci, assicurati di aver configurato i seguenti componenti:
- Un dominio on-premise abilitato per AD.
- Un dominio AD gestito nella console Google Cloud.
- Un'istanza Cloud SQL per SQL Server unita al dominio AD gestito.
Come utilizzare lo strumento Diagnosi annuncio
Per utilizzare lo strumento di diagnosi degli annunci:
- Accedi a uno dei controller di dominio on-premise o a una VM collegata al dominio on-premise.
- Scarica
diagnose_ad.ps1copione sulla VM. - Avvia PowerShell come amministratore.
Esegui lo script
diagnose_ad.ps1nella finestra di PowerShell utilizzando il seguente comando:powershell -command "& { . C:\\<var>SCRIPT_PATH</var>\\diagnose_ad.ps1; Run-Tool }"Quando richiesto, inserisci le seguenti informazioni:
- Nome di dominio on-premise, come
my-onprem-domain.com - Nome di dominio AD gestito, ad esempio
my-ad-domain.com - Elenco di indirizzi IP privati e FQDN Active Directory per SQL Server. Questo è disponibile nella console Google Cloud nella pagina Panoramica dell'istanza.
- Nome di dominio on-premise, come
Lo strumento esegue quindi una serie di controlli, come descritto in Controlli eseguiti dallo strumento di diagnosi degli annunci.
Controlli eseguiti dallo strumento di diagnosi AD
| Controllo | Descrizione | Note e consiglio |
|---|---|---|
| Controller di dominio disponibili | Invia un ping all'indirizzo IP di ogni controller di dominio nel dominio on-premise per assicurarti che siano raggiungibili. | I controlli rimanenti vengono eseguiti sugli indirizzi IP raggiungibili. In caso di errore di questo controllo, assicurati che la connettività di rete ai restanti controller di dominio on-premise. Per ulteriori informazioni, vedi Creazione dell'infrastruttura di rete. |
| Porte | Verifica che tutte le porte TCP e UDP richieste per AD siano aperte su tutte le e i controller di dominio on-premise. | Questo controllo restituisce uno stato di avviso per l'intervallo di porte RPC (49152-65535) perché non ha un elenco coerente di porte aperte. Ti consigliamo di verificare che è stata impostata una regola firewall per consentire questo intervallo. Per saperne di più, consulta Aprire le porte del firewall |
| Server DNS | Controlla la presenza di una configurazione AD sana e tollerante agli errori. | Questo controllo restituisce un avviso se lo script non viene eseguito su un controller di dominio on-premise. Ti consigliamo di di deployment a tolleranza di errore Configurazione di AD impostando quelli principali e secondari Server DNS. |
| FQDN (dominio AD gestito) | Esegue una ricerca nslookup per il nome di dominio Managed AD specificato. | Questo controllo verifica se il dominio AD gestito è raggiungibile dal controller del dominio on-premise. In caso di errore, prova a stabilire la connettività di rete tra la tua rete on-premise e il tuo Virtual Private Cloud (VPC) di Google Cloud. Per ulteriori informazioni, vedi Connessione di rete in corso.... |
| FQDN (SQL Server) | Esegue un nslookup per i FQDN di SQL Server che fornisci. | Questo controllo verifica se l'istanza è raggiungibile dal controller di dominio on-premise. In caso di errore, prova a stabilire la connettività di rete tra la tua rete on-premise e la tua rete VPC (Virtual Private Cloud) di Google Cloud. Per scoprire di più, consulta Stabilire la connettività di rete. |
| Replica del data center | Cerca eventuali errori di replica AD tra i controller di dominio on-premise. | Se lo script viene eseguito su una VM aggiunta a un dominio on-premise, è previsto uno stato Non riuscito se Powershell non viene eseguito come utente di un dominio Active Directory. In caso di mancato superamento di questo controllo, segui i passaggi indicati nella Test dell'installazione in corso. |
| Forwarding DNS | Cerca la configurazione dell'inoltro DNS condizionale on-premise necessari per instradare le richieste dal dominio on-premise ai controller di dominio Managed AD. | Questo controllo può non riuscire se lo script non viene eseguito su un dominio on-premise un controller di deployment. Ti consigliamo di configurare i server di forwarding condizionale DNS. |
| Configurazione dell'attendibilità | Verifica che sia configurato un trust AD tra il dominio on-premise e il dominio Managed AD. | Questo controllo verifica che il trust AD sia configurato tra il dominio AD on-premise e il dominio AD gestito. Ti consigliamo di creare un'associazione tra il tuo dominio on-premise e il tuo dominio Microsoft AD gestito. Per scoprire di più, consulta Configurare la attendibilità |
| Criterio di sicurezza locale |
Verifica che la configurazione del criterio di sicurezza locale
Network access: Named pipes that can be accessed anonymously sia stata impostata.
Devi eseguire questo controllo per creare un trust AD.
|
Questo controllo dovrebbe non riuscire se lo script non viene eseguito su un controller di dominio on-premise. Per questo controllo è necessario eseguire PowerShell come amministratore impostazioni dei criteri di sicurezza locali. In caso di errore, ti consigliamo di verificare il criterio di sicurezza locale per il tuo dominio on-premise. |
| Routing del suffisso dei nomi | Controlla se il routing dei suffissi dei nomi al dominio AD gestito è abilitato sul controller del dominio on-premise. Questo controllo è necessario per indirizzare le richieste da un dalla foresta on-premise alla foresta AD Managed. | Questo controllo richiede l'esecuzione di PowerShell come amministratore per controllare il suffisso del nome Impostazioni di routing. In caso di errore, ti consigliamo di aggiornare il routing del suffisso del nome per la attendibilità on-premise. |
| Richiesta di Kerberos per il dominio on-premise | Verifica che l'autenticazione Kerberos sia attivata nel dominio on-premise. Cerca un ticket Kerberos esistente il dominio on-premise. In caso contrario, tenta di generare un nuovo ticket. | Questo controllo tenta di trovare un ticket Kerberos esistente per il controller di dominio on-premise. Se non riesce, tenta di generare un nuovo ticket come forma di convalida. Gli errori in altri controlli possono causare un errore in questo controllo. Se risolvi gli errori per gli altri controlli, dovrebbe essere risolto anche l'errore per questo controllo. |
| Ticket Kerberos per SQL Server |
Verifica che l'autenticazione Kerberos sia attiva
sul dominio on-premise. Cerca un ticket Kerberos esistente per ogni nome entità servizio (SPN) del server SQL fornito. L'SPN per SQL Server è
MSSQLSvc/{SQL Server FQDN}:1433. Se non riesci a ottenere un ticket per l'SPN, Cloud SQL controlla se il valore del registro di Windows per l'autorizzazione dell'IP negli hostname è impostato. Se impostato, prova a ricevere un ticket con SPN
MSSQLSvc/{SQL Server IP}:1433.Per saperne di più, consulta documentazione di Microsoft. |
Questo controllo tenta di trovare un ticket Kerberos esistente per SQL Server. Se non riesce, tenta di generare un nuovo ticket come forma di convalida. Gli errori in altri controlli possono causare un errore in questo controllo. In risoluzione gli errori degli altri controlli dovrebbero risolvere un errore di questo controllo. |
Passaggi successivi
- Per condividere il tuo feedback, puoi utilizzare Problemi relativi a GitHub.