Ferramenta de diagnóstico do Active Directory para o Cloud SQL

A ferramenta de diagnóstico do Active Directory (AD) é um script do PowerShell utilitário que ajuda a resolver problemas de configuração do AD com o seu domínio no local e instâncias do Cloud SQL para SQL Server no Google Cloud.

A ferramenta realiza várias verificações de problemas, como portas fechadas, pesquisas de FQDN e problemas de DNS. É executado numa VM do Windows nas instalações que é um dos controladores de domínio para o seu domínio nas instalações.

Esta página descreve como usar a ferramenta de diagnóstico do Active Directory para o Cloud SQL e explica as verificações que a ferramenta realiza.

Pré-requisitos

Certifique-se de que tem os seguintes componentes configurados antes de usar a ferramenta de diagnóstico de anúncios:

  • Um domínio no local com o AD ativado.
  • Um domínio do AD gerido na consola do Google Cloud .
  • Uma instância do Cloud SQL para SQL Server associada ao domínio do AD gerido.

Como usar a ferramenta de diagnóstico de anúncios

Para usar a ferramenta de diagnóstico de anúncios, siga estes passos:

  1. Inicie sessão num dos controladores de domínio no local ou numa VM associada ao domínio no local.
  2. Transfira o diagnose_ad.ps1 script na VM.
  3. Inicie o Powershell como administrador.
  4. Execute o script diagnose_ad.ps1 na janela do PowerShell com o seguinte comando:

    powershell -command "& { . C:\\<var>SCRIPT_PATH</var>\\diagnose_ad.ps1; Run-Tool }"
    
  5. Introduza as seguintes informações quando lhe for pedido:

    • Nome de domínio no local, como my-onprem-domain.com
    • Nome do domínio do AD gerido, como my-ad-domain.com
    • Lista de FQDNs do Active Directory do SQL Server e endereços IP privados. Esta lista está disponível na consola na página Vista geral da instância. Google Cloud

Em seguida, a ferramenta executa várias verificações, conforme descrito no artigo Verificações realizadas pela ferramenta de diagnóstico de anúncios.

Verificações realizadas pela ferramenta de diagnóstico de anúncios

SelecionarDescrição Notas e recomendações
Controladores de domínio disponíveis Envia um ping para o endereço IP de cada controlador de domínio no domínio no local para garantir que estão acessíveis. As restantes verificações prosseguem nos endereços IP que estavam acessíveis. Em caso de falha desta verificação, certifique-se de que existe conetividade de rede com os restantes controladores de domínio no local. Para saber mais, consulte o artigo Criar a infraestrutura de rede.
Portas Verifica se todas as portas TCP e UDP necessárias para o AD estão abertas em todos os controladores de domínio no local. Esta verificação devolve um estado de aviso para o intervalo de portas RPC (49152-65535) porque não tem uma lista consistente de portas abertas. Recomendamos que verifique se existe uma regra de firewall definida para permitir este intervalo. Para saber mais, consulte o artigo Abrir portas da firewall
Servidor DNS Verifica se existe uma configuração do AD saudável e tolerante a falhas. Esta verificação devolve um aviso se o script não for executado num controlador de domínio no local. Recomendamos que implemente uma configuração de AD tolerante a falhas definindo servidores DNS primários e secundários.
FQDN (domínio AD gerido) Executa um nslookup para o nome de domínio do AD gerido que indicar. Esta verificação valida se o domínio do AD gerido está acessível a partir do controlador de domínio no local. Em caso de falha, experimente estabelecer conetividade de rede entre a sua rede no local e a nuvem virtual privada (VPC) do Google Cloud. Para saber mais, consulte o artigo Estabelecer conetividade de rede.
FQDN (SQL Server) Executa um nslookup para os FQDNs do SQL Server que fornecer. Esta verificação valida se a sua instância está acessível a partir do controlador de domínio no local. Em caso de falha, experimente estabelecer a conetividade de rede entre a sua rede no local e a nuvem virtual privada (VPC) do Google Cloud. Para saber mais, consulte o artigo Estabelecer conetividade de rede.
Replicação de DC Procura falhas de replicação do AD entre os controladores de domínio no local. Se o script for executado numa VM associada a um domínio no local, espere um estado de falha se o Powershell não for executado como um utilizador do domínio do Active Directory. Em caso de falha desta verificação, siga os passos indicados em Testar a instalação.
Encaminhamento de DNS Procura a configuração de encaminhamento DNS condicional nos controladores de domínio no local, o que é necessário para encaminhar pedidos dos controladores de domínio no local para os controladores de domínio do AD gerido. Esta verificação pode falhar se o script não for executado num controlador de domínio no local. Recomendamos que configure encaminhadores condicionais de DNS.
Configuração de confiança Valida se a confiança do AD está configurada entre o domínio no local e o domínio do AD gerido. Esta verificação confirma que a confiança do AD está configurada entre o domínio do AD gerido e no local. Recomendamos que crie uma relação de confiança entre o seu domínio no local e o seu domínio do Microsoft AD gerido. Para saber mais, consulte Configurar a fidedignidade
Política de segurança local Verifica se a configuração da política de segurança local Network access: Named pipes that can be accessed anonymously foi definida. Precisa desta verificação para criar uma relação de confiança do AD. Espera-se que esta verificação falhe se o script não for executado num controlador de domínio no local. Esta verificação requer que execute o Powershell como administrador para verificar as definições da política de segurança local. Em caso de falha, recomendamos que valide a política de segurança local do seu domínio no local.
Encaminhamento de sufixos de nomes Verifica se o encaminhamento do sufixo do nome para o domínio do AD gerido está ativado no controlador de domínio no local. Precisa desta verificação para encaminhar pedidos de uma floresta no local para uma floresta do AD gerido. Esta verificação requer que execute o Powershell como administrador para verificar as definições de encaminhamento do sufixo do nome. Em caso de falha, recomendamos que atualize o encaminhamento do sufixo do nome para a confiança no local.
Permissão Kerberos para domínio no local Valida se a autenticação Kerberos está ativada no domínio no local. Procura um pedido Kerberos existente para o domínio no local. Se não for encontrado, tenta gerar um novo pedido. Esta verificação tenta encontrar uma autorização Kerberos existente para o DC no local. Se isso falhar, tenta gerar um novo pedido como forma de validação. Os erros noutras verificações podem causar um erro nesta verificação. Se resolver as falhas das outras verificações, deve resolver a falha desta verificação.
Permissão Kerberos para o SQL Server Valida se a autenticação Kerberos está ativada no domínio no local. Procura uma permissão Kerberos existente para cada nome principal do serviço (SPN) do SQL Server que fornecer. O SPN para o SQL Server é MSSQLSvc/{SQL Server FQDN}:1433. Se a obtenção de um pedido para o SPN falhar, o Cloud SQL verifica se o valor do registo do Windows para permitir o IP em nomes de anfitriões está definido. Se estiver definido, tente obter um bilhete com o SPN MSSQLSvc/{SQL Server IP}:1433.
Para saber mais, consulte a documentação da Microsoft.
Esta verificação tenta encontrar um pedido do Kerberos existente para o SQL Server. Se isso falhar, tenta gerar um novo pedido como forma de validação. Os erros noutras verificações podem causar um erro nesta verificação. A resolução das falhas das outras verificações deve resolver uma falha desta verificação.

O que se segue