La herramienta de diagnóstico de Active Directory (AD) es una secuencia de comandos de PowerShell de utilidad que te ayuda a solucionar problemas de configuración de AD con tu dominio local y las instancias de Cloud SQL para SQL Server en Google Cloud.
La herramienta realiza varias verificaciones de problemas, como puertos cerrados, búsquedas de FQDN y problemas de DNS. Se ejecuta en una VM de Windows local que es uno de los controladores de dominio para tu dominio local.
En esta página, se describe cómo usar la herramienta de diagnóstico de Active Directory para Cloud SQL y se explican las verificaciones que realiza la herramienta.
Requisitos previos
Asegúrate de tener configurados los siguientes componentes antes de usar la herramienta de diagnóstico de AD:
- Un dominio local habilitado de AD.
- Un dominio de AD administrado en la consola de Google Cloud.
- Una instancia de Cloud SQL para SQL Server unida al dominio de AD administrado.
Cómo usar la herramienta de diagnóstico de AD
Para usar la herramienta de diagnóstico de AD, sigue estos pasos:
- Accede a cualquiera de los controladores de dominio locales o a una VM unida al dominio local.
- Descarga la secuencia de comandos
diagnose_ad.ps1en la VM. - Inicia PowerShell como administrador.
Ejecuta la secuencia de comandos
diagnose_ad.ps1en la ventana de PowerShell con el siguiente comando:powershell -command "& { . C:\\<var>SCRIPT_PATH</var>\\diagnose_ad.ps1; Run-Tool }"Ingresa la siguiente información cuando se te solicite:
- Nombre de dominio local, como
my-onprem-domain.com - Nombre de dominio de AD administrado, como
my-ad-domain.com - Lista de FQDN de Active Directory de SQL Server y direcciones IP privadas. Esta lista está disponible en la consola de Google Cloud en la página Descripción general de la instancia.
- Nombre de dominio local, como
Luego, la herramienta realizará una serie de verificaciones, como se describe en Verificaciones que realizó la herramienta Diagnóstico de AD.
Pruebas realizadas por la herramienta de diagnóstico de AD
| Verificación | Descripción | Notas y recomendaciones |
|---|---|---|
| Controladores de dominio disponibles | Emite un ping a la dirección IP de cada controlador de dominio en el dominio local para garantizar que se pueda acceder a ellos. | Las verificaciones restantes continúan en las direcciones IP a las que se pudo acceder. En caso de que no se realice esta verificación, asegúrate de que haya conectividad de red a los controladores de dominio locales restantes. Para obtener más información, consulta Crea la infraestructura de red. |
| Puertos | Verifica que todos los puertos TCP y UDP necesarios para AD estén abiertos en todos los controladores de dominio locales. | Esta verificación muestra un estado de advertencia para el rango de puertos RPC (49152-65535) porque no tiene una lista coherente de puertos abiertos. Te recomendamos que verifiques que haya una regla de firewall establecida para permitir este rango. Para obtener más información, consulta Abre puertos de firewall. |
| Servidor DNS | Comprueba si hay una configuración de AD en buen estado y tolerante a errores. | Esta verificación muestra una advertencia si la secuencia de comandos no se ejecuta en un controlador de dominio local. Te recomendamos que implementes la configuración de AD tolerante a errores mediante la configuración de servidores DNS principales y secundarios. |
| FQDN (dominio de AD administrado) | Realiza una nslookup para el nombre de dominio de AD administrado que proporciones. | Esta verificación valida si se puede acceder al dominio de AD administrado desde el controlador de dominio local. En caso de falla, intenta establecer una conectividad de red entre tu red local y tu nube privada virtual (VPC) de Google Cloud. Para obtener más información, consulta Cómo establecer conectividad de red. |
| FQDN (SQL Server) | Realiza una nslookup para los FQDN de SQL Server que proporciones. | Esta verificación valida si se puede acceder a la instancia desde el controlador de dominio local. En caso de falla, intenta establecer una conectividad de red entre tu red local y tu nube privada virtual (VPC) de Google Cloud. Para obtener más información, consulta Cómo establecer conectividad de red. |
| Replicación de DC | Busca fallas de replicación de AD entre los controladores de dominio locales. | Si la secuencia de comandos se ejecuta en un dominio local unido a una VM, espera un estado con error si Powershell no se ejecuta como un usuario de dominio de Active Directory. En caso de que se produzca una falla de esta verificación, sigue los pasos proporcionados en Prueba la instalación. |
| Reenvío de DNS | Busca la configuración del reenvío de DNS condicional en los controladores de dominio locales, que es necesaria para enrutar las solicitudes de los controladores de dominio locales a los controladores de dominio de AD administrado. | Esta verificación puede fallar si la secuencia de comandos no se ejecuta en un controlador de dominio local. Recomendamos que configures los servidores de reenvío condicionales de DNS. |
| Configuración de la relación de confianza | Verifica que la confianza de AD esté configurada entre el dominio local y el dominio de AD administrado. | Esta verificación verifica que la confianza de AD esté configurada entre el dominio local y el dominio de AD administrado. Te recomendamos crear una relación de confianza entre tu dominio local y tu dominio de Microsoft AD administrado. Para obtener más información, consulta Configura la confianza |
| Política de seguridad local |
Comprueba que se estableció la configuración de la política de seguridad local Network access: Named pipes that can be accessed anonymously.
Necesitas esta verificación para crear una relación de confianza de AD.
|
Se espera que esta verificación falle si la secuencia de comandos no se ejecuta en un controlador de dominio local. Esta verificación requiere que ejecutes PowerShell como administrador para verificar la configuración de la política de seguridad local. En caso de falla, te recomendamos verificar la política de seguridad local para tu dominio local. |
| Enrutamiento del sufijo del nombre | Comprueba si el enrutamiento del sufijo de nombre al dominio de AD administrado está habilitado en el controlador de dominio local. Necesitas esta verificación para enrutar las solicitudes de un bosque local a un bosque de AD administrado. | Esta verificación requiere que ejecutes PowerShell como administrador para verificar la configuración de enrutamiento del sufijo del nombre. En caso de falla, te recomendamos que actualices el enrutamiento de sufijo de nombre para la confianza local. |
| Ticket de Kerberos para el dominio local | Valida que la autenticación de Kerberos esté habilitada en el dominio local. Busca un ticket de Kerberos existente para el dominio local. Si no se encuentra, se intenta generar un ticket nuevo. | Esta verificación intenta encontrar un ticket de Kerberos existente para el centro de datos local. Si no se aprueba, intenta generar un ticket nuevo como forma de validación. Los errores en otras verificaciones pueden causar un error en esta verificación. Si resuelves las fallas de las otras verificaciones, debería resolverse una falla en esta verificación. |
| Ticket de Kerberos para SQL Server |
Valida que la autenticación de Kerberos esté habilitada en el dominio local. Busca un ticket de Kerberos existente para cada nombre principal de servicio de SQL Server (SPN) que proporciones. El SPN para SQL Server es MSSQLSvc/{SQL Server FQDN}:1433. Si la obtención de un ticket para el SPN falla, Cloud SQL verifica si se configuró el valor de registro de Windows para permitir la IP en los nombres de host. Si está configurada, intenta obtener un ticket con el SPN MSSQLSvc/{SQL Server IP}:1433.Para obtener más información, consulta la documentación de Microsoft. |
Esta verificación intenta encontrar un ticket de Kerberos existente para SQL Server. Si no se aprueba, intenta generar un ticket nuevo como forma de validación. Los errores en otras verificaciones pueden causar un error en esta verificación. La resolución de fallas para las otras verificaciones debe resolver una falla para esta verificación. |
Pasos siguientes
- Para compartir tus comentarios, puedes usar los problemas de GitHub.