A ferramenta de diagnóstico do Active Directory (AD) é um script do PowerShell utilitário que ajuda a resolver problemas de configuração do AD com o seu domínio no local e instâncias do Cloud SQL para SQL Server no Google Cloud.
A ferramenta realiza várias verificações de problemas, como portas fechadas, pesquisas de FQDN e problemas de DNS. É executado numa VM do Windows nas instalações que é um dos controladores de domínio para o seu domínio nas instalações.
Esta página descreve como usar a ferramenta de diagnóstico do Active Directory para o Cloud SQL e explica as verificações que a ferramenta realiza.
Pré-requisitos
Certifique-se de que tem os seguintes componentes configurados antes de usar a ferramenta de diagnóstico de anúncios:
- Um domínio no local com o AD ativado.
- Um domínio do AD gerido na consola do Google Cloud .
- Uma instância do Cloud SQL para SQL Server associada ao domínio do AD gerido.
Como usar a ferramenta de diagnóstico de anúncios
Para usar a ferramenta de diagnóstico de anúncios, siga estes passos:
- Inicie sessão num dos controladores de domínio no local ou numa VM associada ao domínio no local.
- Transfira o
diagnose_ad.ps1script na VM. - Inicie o Powershell como administrador.
Execute o script
diagnose_ad.ps1na janela do PowerShell com o seguinte comando:powershell -command "& { . C:\\<var>SCRIPT_PATH</var>\\diagnose_ad.ps1; Run-Tool }"Introduza as seguintes informações quando lhe for pedido:
- Nome de domínio no local, como
my-onprem-domain.com - Nome do domínio do AD gerido, como
my-ad-domain.com - Lista de FQDNs do Active Directory do SQL Server e endereços IP privados. Esta lista está disponível na consola na página Vista geral da instância. Google Cloud
- Nome de domínio no local, como
Em seguida, a ferramenta executa várias verificações, conforme descrito no artigo Verificações realizadas pela ferramenta de diagnóstico de anúncios.
Verificações realizadas pela ferramenta de diagnóstico de anúncios
| Selecionar | Descrição | Notas e recomendações |
|---|---|---|
| Controladores de domínio disponíveis | Envia um ping para o endereço IP de cada controlador de domínio no domínio no local para garantir que estão acessíveis. | As restantes verificações prosseguem nos endereços IP que estavam acessíveis. Em caso de falha desta verificação, certifique-se de que existe conetividade de rede com os restantes controladores de domínio no local. Para saber mais, consulte o artigo Criar a infraestrutura de rede. |
| Portas | Verifica se todas as portas TCP e UDP necessárias para o AD estão abertas em todos os controladores de domínio no local. | Esta verificação devolve um estado de aviso para o intervalo de portas RPC (49152-65535) porque não tem uma lista consistente de portas abertas. Recomendamos que verifique se existe uma regra de firewall definida para permitir este intervalo. Para saber mais, consulte o artigo Abrir portas da firewall |
| Servidor DNS | Verifica se existe uma configuração do AD saudável e tolerante a falhas. | Esta verificação devolve um aviso se o script não for executado num controlador de domínio no local. Recomendamos que implemente uma configuração de AD tolerante a falhas definindo servidores DNS primários e secundários. |
| FQDN (domínio AD gerido) | Executa um nslookup para o nome de domínio do AD gerido que indicar. | Esta verificação valida se o domínio do AD gerido está acessível a partir do controlador de domínio no local. Em caso de falha, experimente estabelecer conetividade de rede entre a sua rede no local e a nuvem virtual privada (VPC) do Google Cloud. Para saber mais, consulte o artigo Estabelecer conetividade de rede. |
| FQDN (SQL Server) | Executa um nslookup para os FQDNs do SQL Server que fornecer. | Esta verificação valida se a sua instância está acessível a partir do controlador de domínio no local. Em caso de falha, experimente estabelecer a conetividade de rede entre a sua rede no local e a nuvem virtual privada (VPC) do Google Cloud. Para saber mais, consulte o artigo Estabelecer conetividade de rede. |
| Replicação de DC | Procura falhas de replicação do AD entre os controladores de domínio no local. | Se o script for executado numa VM associada a um domínio no local, espere um estado de falha se o Powershell não for executado como um utilizador do domínio do Active Directory. Em caso de falha desta verificação, siga os passos indicados em Testar a instalação. |
| Encaminhamento de DNS | Procura a configuração de encaminhamento DNS condicional nos controladores de domínio no local, o que é necessário para encaminhar pedidos dos controladores de domínio no local para os controladores de domínio do AD gerido. | Esta verificação pode falhar se o script não for executado num controlador de domínio no local. Recomendamos que configure encaminhadores condicionais de DNS. |
| Configuração de confiança | Valida se a confiança do AD está configurada entre o domínio no local e o domínio do AD gerido. | Esta verificação confirma que a confiança do AD está configurada entre o domínio do AD gerido e no local. Recomendamos que crie uma relação de confiança entre o seu domínio no local e o seu domínio do Microsoft AD gerido. Para saber mais, consulte Configurar a fidedignidade |
| Política de segurança local |
Verifica se a configuração da política de segurança local
Network access: Named pipes that can be accessed anonymously foi definida.
Precisa desta verificação para criar uma relação de confiança do AD.
|
Espera-se que esta verificação falhe se o script não for executado num controlador de domínio no local. Esta verificação requer que execute o Powershell como administrador para verificar as definições da política de segurança local. Em caso de falha, recomendamos que valide a política de segurança local do seu domínio no local. |
| Encaminhamento de sufixos de nomes | Verifica se o encaminhamento do sufixo do nome para o domínio do AD gerido está ativado no controlador de domínio no local. Precisa desta verificação para encaminhar pedidos de uma floresta no local para uma floresta do AD gerido. | Esta verificação requer que execute o Powershell como administrador para verificar as definições de encaminhamento do sufixo do nome. Em caso de falha, recomendamos que atualize o encaminhamento do sufixo do nome para a confiança no local. |
| Permissão Kerberos para domínio no local | Valida se a autenticação Kerberos está ativada no domínio no local. Procura um pedido Kerberos existente para o domínio no local. Se não for encontrado, tenta gerar um novo pedido. | Esta verificação tenta encontrar uma autorização Kerberos existente para o DC no local. Se isso falhar, tenta gerar um novo pedido como forma de validação. Os erros noutras verificações podem causar um erro nesta verificação. Se resolver as falhas das outras verificações, deve resolver a falha desta verificação. |
| Permissão Kerberos para o SQL Server |
Valida se a autenticação Kerberos está ativada no domínio no local. Procura uma permissão Kerberos existente para cada nome principal do serviço (SPN) do SQL Server que fornecer. O SPN para o SQL Server é
MSSQLSvc/{SQL Server FQDN}:1433. Se a obtenção de um pedido para o SPN falhar,
o Cloud SQL verifica se o valor do registo do Windows para permitir o IP em nomes de anfitriões está definido. Se estiver definido, tente obter um bilhete com o SPN
MSSQLSvc/{SQL Server IP}:1433.Para saber mais, consulte a documentação da Microsoft. |
Esta verificação tenta encontrar um pedido do Kerberos existente para o SQL Server. Se isso falhar, tenta gerar um novo pedido como forma de validação. Os erros noutras verificações podem causar um erro nesta verificação. A resolução das falhas das outras verificações deve resolver uma falha desta verificação. |
O que se segue
- Para partilhar o seu feedback, pode usar o GitHub Issues.