Outil de diagnostic Active Directory pour Cloud SQL

L'outil de diagnostic Active Directory (AD) est un script utilitaire PowerShell qui vous aide à résoudre les problèmes de configuration d'AD avec votre domaine sur site et vos instances Cloud SQL pour SQL Server dans Google Cloud.

L'outil effectue diverses vérifications pour des problèmes potentiels tels que les ports fermés, les recherches de nom de domaine complet et les problèmes de DNS. Il s'exécute sur une VM Windows sur site qui est l'un des contrôleurs de votre domaine sur site.

Cette page explique comment utiliser l'outil de diagnostic Active Directory pour Cloud SQL et explique les vérifications effectuées par l'outil.

Prérequis

Assurez-vous que les composants suivants sont configurés avant de continuer à utiliser l'outil de diagnostic AD :

  • Un domaine sur site activé pour AD.
  • Un domaine AD géré dans la console Google Cloud.
  • Une instance Cloud SQL pour SQL Server rattachée au domaine AD géré.

Comment utiliser l'outil de diagnostic AD

Pour utiliser l'outil de diagnostic AD, procédez comme suit :

  1. Connectez-vous à l'un des contrôleurs de domaine sur site ou à une VM jointe au domaine sur site.
  2. Téléchargez le script diagnose_ad.ps1 sur la VM.
  3. Lancez Powershell en tant qu'administrateur.

  4. Exécutez le script diagnose_ad.ps1 dans la fenêtre Powershell à l'aide de la commande suivante :

    powershell -command "& { . C:\\<var>SCRIPT_PATH</var>\\diagnose_ad.ps1; Run-Tool }"

  5. Saisissez les informations suivantes lorsque vous y êtes invité :

    • Nom de domaine sur site, tel que my-onprem-domain.com.
    • Nom de domaine AD géré, tel que my-ad-domain.com.
    • Liste des noms de domaine complets (FQDN) SQL Server et adresses IP privées. Cette liste est disponible dans la console Google Cloud sur la page Présentation de l'instance.

L'outil effectue ensuite un certain nombre de vérifications, comme décrit dans la section Vérifications effectuées par l'outil de diagnostic AD.

Vérifications effectuées par l'outil de diagnostic AD

VérifierDescription Remarques et recommandations
Contrôleurs de domaine disponibles Envoie un ping à l'adresse IP de chaque contrôleur de domaine sur le domaine sur site afin de s'assurer qu'il est accessible. Les vérifications restantes sont effectuées sur les adresses IP accessibles. En cas d'échec de cette vérification, vérifiez la connectivité réseau aux autres contrôleurs de domaine sur site. Pour en savoir plus, consultez Créer l'infrastructure réseau.
Ports Vérifie que tous les ports TCP et UDP requis pour AD sont ouverts sur tous les contrôleurs de domaine sur site. Cette vérification renvoie un état d'avertissement pour la plage de ports RPC (49152-65535), car elle ne dispose pas d'une liste cohérente des ports ouverts. Nous vous recommandons de vérifier qu'une règle de pare-feu est définie pour autoriser cette plage. Pour en savoir plus, consultez Ouvrir des ports de pare-feu.
Serveur DNS Vérifie si une configuration AD est opérationnelle et tolérante aux pannes. Cette vérification renvoie un avertissement si le script n'est pas exécuté sur un contrôleur de domaine sur site. Nous vous recommandons de déployer une configuration AD tolérante aux pannes en définissant les serveurs DNS principal et secondaire.
Nom de domaine complet (domaine AD géré) Effectue une recherche nslookup pour le nom de domaine AD géré que vous fournissez. Cette vérification vérifie si le domaine AD géré est accessible à partir du contrôleur de domaine sur site. En cas d'échec, essayez d'établir la connectivité réseau entre votre réseau sur site et votre cloud privé virtuel (VPC) Google Cloud. Pour en savoir plus, consultez la section Établir la connectivité réseau.
Nom de domaine complet (SQL Server) Effectue une recherche nslookup pour les noms de domaine complets SQL Server que vous fournissez. Cette vérification vérifie si votre instance est accessible à partir du contrôleur de domaine sur site. En cas d'échec, essayez d'établir la connectivité réseau entre votre réseau sur site et votre cloud privé virtuel (VPC) Google Cloud. Pour en savoir plus, consultez Établir la connectivité réseau.
Réplication DC Recherche les échecs de réplication AD entre les contrôleurs de domaine sur site. Si le script est exécuté sur une VM jointe à un domaine sur site, attendez-vous à un état défaillant si Powershell n'est pas exécuté en tant qu'utilisateur de domaine Active Directory. En cas d'échec de cette vérification, suivez les étapes décrites dans Tester l'installation.
Transfert DNS Recherche, sur les contrôleurs de domaine sur site, une configuration de transfert DNS conditionnelle, qui est nécessaire pour acheminer les requêtes des contrôleurs de domaine sur site vers les contrôleurs de domaine AD gérés. Cette vérification peut échouer si le script n'est pas exécuté sur un contrôleur de domaine sur site. Nous vous recommandons de configurer les redirecteurs conditionnels du DNS.
Configuration d'approbation Vérifie que l'approbation AD est configurée entre le domaine AD sur site et le domaine AD géré. Cette vérification vérifie que l'approbation AD est configurée entre le domaine AD sur site et le domaine AD géré. Nous vous recommandons de créer une approbation entre votre domaine sur site et votre domaine Microsoft AD géré. Pour en savoir plus, consultez Configurer l'approbation.
Règle de sécurité locale Vérifie que la configuration de la règle de sécurité locale Network access: Named pipes that can be accessed anonymously a été définie. Vous avez besoin de cette vérification pour créer une approbation AD. Cette vérification devrait échouer si le script n'est pas exécuté sur un contrôleur de domaine sur site. Pour effectuer cette vérification, vous devez exécuter Powershell en tant qu'administrateur pour vérifier les paramètres de règle de sécurité locale. En cas d'échec, nous vous recommandons de vérifier la règle de sécurité locale de votre domaine sur site.
Routage des suffixes de noms Vérifie si le routage de suffixes de noms vers le domaine AD géré est activé sur le contrôleur de domaine sur site. Vous avez besoin de cette vérification pour acheminer les requêtes d'une forêt sur site vers une forêt AD gérée. Cette vérification nécessite d'exécuter Powershell en tant qu'administrateur afin de vérifier les paramètres de routage des suffixes de noms. En cas d'échec, nous vous recommandons d'actualiser le routage des suffixes de noms pour l'approbation sur site.
Ticket Kerberos pour un domaine sur site Valide l'activation de l'authentification Kerberos sur le domaine sur site. Recherche un ticket Kerberos existant pour le domaine sur site. En l'absence d'une telle demande, tente de générer une nouvelle demande. Cette vérification tente de trouver un ticket Kerberos existant pour le contrôleur de domaine sur site. Si elle échoue, l'outil tente de générer une nouvelle demande à des fins de validation. Les erreurs lors d'autres vérifications peuvent entraîner une erreur lors de cette vérification. Si vous résolvez les échecs des autres vérifications, l'échec de cette vérification devrait également être résolu.
Ticket Kerberos pour SQL Server Valide l'activation de l'authentification Kerberos sur le domaine sur site. Recherche un ticket Kerberos existant pour chaque nom principal de service (SPN) SQL Server que vous fournissez. Le SPN pour SQL Server est MSSQLSvc/{SQL Server FQDN}:1433. Si l'obtention d'un ticket pour le SPN échoue, Cloud SQL vérifie si la valeur du registre Windows permettant d'autoriser les adresses IP dans les noms d'hôte est bien définie. Si ce paramètre est défini, l'outil tente d'obtenir un ticket avec SPN MSSQLSvc/{SQL Server IP}:1433.
Pour en savoir plus, consultez la documentation Microsoft. 		Cette vérification tente de trouver un ticket Kerberos existant pour SQL Server. Si elle échoue, l'outil tente de générer une nouvelle demande à des fins de validation. Les erreurs lors d'autres vérifications peuvent entraîner une erreur lors de cette vérification. Si vous résolvez les échecs des autres vérifications, l'échec de cette vérification devrait également être résolu.

Étape suivante