Das Active Directory (AD)-Diagnosetool ist ein PowerShell-Skript, mit dem Sie Probleme bei der AD-Einrichtung mit Ihrer lokalen Domain und Cloud SQL for SQL Server-Instanzen in Google Cloud beheben können.
Das Tool führt verschiedene Prüfungen auf Probleme durch, z.0B. geschlossene Ports, FQDN-Suchvorgänge und DNS-Probleme. Er wird auf einer lokalen Windows-VM ausgeführt, die einer der Domänencontroller für Ihre lokale Domain ist.
Auf dieser Seite wird beschrieben, wie Sie das Active Directory-Diagnosetool für Cloud SQL verwenden. Außerdem werden die Prüfungen durch das Tool erläutert.
Vorbereitung
Prüfen Sie, ob die folgenden Komponenten eingerichtet sind, bevor Sie das AD Diagnosetool verwenden:
- Eine AD-fähige lokale Domain
- Eine verwaltete AD-Domain in der Google Cloud Console
- Eine Cloud SQL for SQL Server-Instanz, die mit der Managed AD-Domain verknüpft ist.
AD-Diagnosetool verwenden
Führen Sie die folgenden Schritte aus, um das AD-Diagnosetool zu verwenden:
- Melden Sie sich bei einem der lokalen Domänencontroller oder einer VM an, die mit der lokalen Domain verbunden ist.
- Laden Sie das Skript
diagnose_ad.ps1auf die VM herunter. - Starten Sie Powershell als Administrator.
Führen Sie das Skript
diagnose_ad.ps1im PowerShell-Fenster mit dem folgenden Befehl aus.powershell -command "& { . C:\\<var>SCRIPT_PATH</var>\\diagnose_ad.ps1; Run-Tool }"Geben Sie die folgenden Informationen ein, wenn Sie dazu aufgefordert werden:
- Lokaler Domainname, z. B.
my-onprem-domain.com - Managed AD-Domainname, z. B.
my-ad-domain.com - Liste der SQL Server-Active Directory-FQDNs und privaten IP-Adressen. Diese Liste finden Sie in der Google Cloud Console auf der Seite Übersicht der Instanz.
- Lokaler Domainname, z. B.
Das Tool führt dann eine Reihe von Prüfungen durch, wie unter Vom AD-Diagnosetool ausgeführte Prüfungen beschrieben.
Vom AD-Diagnosetool durchgeführte Prüfungen
| Häkchen | Beschreibung | Hinweise und Empfehlungen |
|---|---|---|
| Verfügbare Domaincontroller | Gibt einen Ping an die IP-Adresse jedes Domaincontrollers in der lokalen Domain aus, um sicherzustellen, dass sie erreichbar sind. | Die verbleibenden Prüfungen werden auf den erreichbaren IP-Adressen fortgesetzt. Stellen Sie bei einem Fehlschlagen der Prüfung sicher, dass Sie eine Netzwerkverbindung zu den verbleibenden lokalen Domänencontrollern herstellen. Weitere Informationen finden Sie unter Netzwerkinfrastruktur erstellen. |
| Ports | Verifiziert, dass alle erforderlichen TCP- und UDP-Ports für AD auf allen lokalen Domänencontrollern geöffnet sind. | Diese Prüfung gibt einen Warnstatus für den RPC-Portbereich (49152–65535) zurück, da er keine konsistente Liste offener Ports hat. Wir empfehlen Ihnen, zu prüfen, ob ein Firewallregelsatz zum Zulassen dieses Bereichs vorhanden ist. Weitere Informationen finden Sie unter Firewallports öffnen. |
| DNS-Server | Prüft eine fehlerfreie und fehlertolerante AD-Einrichtung. | Diese Prüfung gibt eine Warnung zurück, wenn das Skript nicht auf einem lokalen Domaincontroller ausgeführt wird. Wir empfehlen, fehlertolerante AD-Einrichtung bereitzustellen, indem Sie primäre und sekundäre DNS-Server festlegen. |
| FQDN (Managed AD-Domain) | Führt einen nslookup für den von Ihnen angegebenen Managed AD-Domainnamen durch. | Diese Prüfung überprüft, ob die Managed AD-Domain über den lokalen Domaincontroller erreichbar ist. Stellen Sie bei einem Fehler eine Netzwerkverbindung zwischen Ihrem lokalen Netzwerk und Ihrer Google Cloud Virtual Private Cloud (VPC) her. Weitere Informationen finden Sie unter Netzwerkverbindung herstellen. |
| FQDN (SQL Server) | Führt einen nslookup für die von Ihnen angegebenen SQL Server-FQDNs durch. | Diese Prüfung überprüft, ob Ihre Instanz vom lokalen Domaincontroller aus erreichbar ist. Stellen Sie bei einem Fehler eine Netzwerkverbindung zwischen Ihrem lokalen Netzwerk und Ihrer Google Cloud Virtual Private Cloud (VPC) her. Weitere Informationen finden Sie unter Netzwerkverbindung herstellen. |
| DC-Replikation | Sucht nach AD-Replikationsfehlern zwischen den lokalen Domänencontrollern. | Wenn das Skript auf einer lokalen Domain ausgeführt wird, die einer VM beitritt, schlägt der Status „Fehlgeschlagen“ fehl, wenn Powershell nicht als Active Directory-Domainnutzer ausgeführt wird. Wenn die Prüfung fehlschlägt, führen Sie die Schritte unter Installation testen aus. |
| DNS-Weiterleitung | Sucht nach der Einrichtung der bedingten DNS-Weiterleitung auf den lokalen Domänencontrollern, die erforderlich ist, um Anfragen von lokalen Domänencontrollern an die verwalteten AD-Domänencontroller weiterzuleiten. | Diese Prüfung kann fehlschlagen, wenn das Skript nicht auf einem lokalen Domaincontroller ausgeführt wird. Wir empfehlen, bedingte DNS-Forwarder zu konfigurieren. |
| Vertrauensstellung einrichten | Überprüft, ob die AD-Vertrauensstellung zwischen der lokalen Domain und der Managed AD-Domain eingerichtet ist. | Bei dieser Prüfung wird überprüft, ob die AD-Vertrauensstellung zwischen der lokalen und der Managed AD-Domain eingerichtet ist. Wir empfehlen, eine Vertrauensstellung zwischen Ihrer lokalen Domain und der Managed Microsoft AD-Domain zu erstellen. Weitere Informationen finden Sie unter Vertrauensstellung einrichten |
| Lokale Sicherheitsrichtlinie |
Prüft, ob die Konfiguration der lokalen Sicherheitsrichtlinie Network access: Named pipes that can be accessed anonymously festgelegt wurde.
Sie benötigen diese Prüfung, um eine AD-Vertrauensstellung zu erstellen.
|
Diese Prüfung wird wahrscheinlich fehlschlagen, wenn das Skript nicht auf einem lokalen Domaincontroller ausgeführt wird. Für diese Prüfung müssen Sie PowerShell als Administrator ausführen, um die Einstellungen für lokale Sicherheitsrichtlinien zu prüfen. Im Falle eines Fehlers empfehlen wir Ihnen, die lokale Sicherheitsrichtlinie für Ihre lokale Domain zu prüfen. |
| Namenssuffix-Routing | Prüft, ob das Namenssuffix-Routing an die verwaltete AD-Domain auf dem lokalen Domänencontroller aktiviert ist. Sie benötigen diese Prüfung, um Anfragen aus einer lokalen Gesamtstruktur an die verwaltete AD-Gesamtstruktur weiterzuleiten. | Für diese Prüfung müssen Sie PowerShell als Administrator ausführen, um die Einstellungen für das Namenssuffix-Routing zu prüfen. Im Falle eines Fehlers empfehlen wir die Aktualisierung des Namenssuffixroutings für die lokale Vertrauensstellung. |
| Kerberos-Ticket für lokale Domain | Prüft, ob die Kerberos-Authentifizierung in der lokalen Domain aktiviert ist. Es wird nach einem vorhandenen Kerberos-Ticket für die lokale Domain gesucht. Wenn es nicht gefunden wird, wird versucht, ein neues Ticket zu generieren. | Bei dieser Prüfung wird versucht, ein vorhandenes Kerberos-Ticket für den lokalen DC zu finden. Wenn dies fehlschlägt, wird versucht, ein neues Ticket als Form der Validierung zu generieren. Fehler in anderen Prüfungen können bei dieser Prüfung zu einem Fehler führen. Wenn Sie Fehler für die anderen Prüfungen beheben, sollte ein Fehler für diese Prüfung behoben werden. |
| Kerberos-Ticket für SQL Server |
Prüft, ob die Kerberos-Authentifizierung in der lokalen Domain aktiviert ist. Für jedes von Ihnen bereitgestellte SQL Server Service Principal Name (SPN) wird ein vorhandenes Kerberos-Ticket gesucht. Der SPN für SQL Server ist MSSQLSvc/{SQL Server FQDN}:1433. Wenn ein Ticket für den SPN fehlschlägt, prüft Cloud SQL, ob der Windows-Registry-Wert zum Zulassen von IP-Adressen in Hostnamen festgelegt ist. Wenn dies festgelegt ist, versuchen Sie, ein Ticket mit dem SPN MSSQLSvc/{SQL Server IP}:1433 zu erhalten.Weitere Informationen zu finden Sie in der Microsoft-Dokumentation. |
Mit dieser Prüfung wird versucht, ein vorhandenes Kerberos-Ticket für SQL Server zu finden. Wenn dies fehlschlägt, wird versucht, ein neues Ticket als Form der Validierung zu generieren. Fehler in anderen Prüfungen können bei dieser Prüfung zu einem Fehler führen. Beheben von Fehlern für die anderen Prüfungen sollte ein Fehler für diese Prüfung beheben. |
Weitere Informationen
- Sie können Ihr Feedback mithilfe von GitHub-Problemen teilen.