Ferramenta de diagnóstico do Active Directory para Cloud SQL

A ferramenta de diagnóstico do Active Directory (AD) é um script utilitário do PowerShell que ajuda a solucionar problemas de configuração do AD com seu domínio local e instâncias do Cloud SQL para SQL Server no Google Cloud.

A ferramenta realiza várias verificações de problemas, como portas fechadas, pesquisas FQDN e problemas de DNS. Ele é executado em uma VM local do Windows, que é um dos controladores de domínio do seu domínio local.

Nesta página, descrevemos como usar a ferramenta de diagnóstico do Active Directory para o Cloud SQL e explicamos as verificações que a ferramenta realiza.

Pré-requisitos

Verifique se você tem os seguintes componentes configurados antes de continuar a usar a ferramenta de diagnóstico de anúncios:

  • Um domínio local com AD ativado.
  • Um domínio do AD gerenciado no console do Google Cloud.
  • Uma instância do Cloud SQL para SQL Server associada ao domínio do AD gerenciado.

Como usar a ferramenta de diagnóstico de anúncios

Para usar a ferramenta de diagnóstico do AD, siga estas etapas:

  1. Faça login em qualquer um dos controladores de domínio locais ou em uma VM associada ao domínio local.
  2. Faça o download do script diagnose_ad.ps1 na VMs
  3. Inicie o PowerShell como administrador
  4. Execute o script diagnose_ad.ps1 na janela do PowerShell usando o seguinte comando:

    powershell -command "& { . C:\\<var>SCRIPT_PATH</var>\\diagnose_ad.ps1; Run-Tool }"
    
  5. Digite as seguintes informações quando solicitado:

    • Nome de domínio local, como my-onprem-domain.com
    • Nome de domínio do AD gerenciado, como my-ad-domain.com
    • Lista de FQDNs e endereços IP particulares do SQL Server Active Directory. Essa lista está disponível no console do Google Cloud, na página de visão geral da instância.

Em seguida, a ferramenta realiza várias verificações, conforme descrito em Verificações realizadas pela ferramenta de diagnóstico de anúncios.

Verificações realizadas pela ferramenta de diagnóstico de anúncios

CheckDescrição Observações e recomendações
Controladores de domínio disponíveis Emite um ping ao endereço IP de cada controlador de domínio para verificar se estão disponíveis. As demais verificações continuam nos endereços IP que estavam acessíveis. Em caso de falha nessa verificação, verifique a conectividade de rede com os outros controladores de domínio locais. Para saber mais, consulte Como criar a infraestrutura de rede.
Portas Verifica se todas as portas TCP e UDP necessárias para o AD estão abertas em todos os controladores de domínio locais. Essa verificação retorna um status de aviso para o intervalo de portas RPC (49152-65535) porque não tem uma lista consistente de portas abertas. Recomendamos que você verifique se há uma regra de firewall definida para permitir esse intervalos Para saber mais, consulte Como abrir portas de firewalls
Servidor DNS Verifica uma configuração de AD íntegra e tolerante a falhas Essa verificação retornará um aviso se o script não for executado em um controlador de domínio local. Recomendamos que você implante a configuração do AD tolerante a falhas definindo servidores DNS primários e secundários.
FQDN (domínio do AD gerenciado) Realiza um nslookup para o nome de domínio do AD gerenciado que você fornece. Essa verificação valida se o domínio do AD gerenciado pode ser acessado no controlador de domínios local. Em caso de falha, tente estabelecer a conectividade de rede entre a rede local e a nuvem privada virtual (VPC) do Google Cloud. Para saber mais, consulte Como estabelecer conectividade de rede.
FQDN (SQL Server) Executa um nslookup para os FQDNs fornecidos pelo SQL Server. Essa verificação valida se a instância pode ser acessada pelo controlador de domínio local. Em caso de falha, tente estabelecer a conectividade de rede entre a rede local e a nuvem privada virtual (VPC) do Google Cloud. Para saber mais, consulte Como estabelecer conectividade de rede.
Replicação DC Procurar falhas de replicação do AD entre os controladores de domínio locais. Se o script for executado em uma VM conectada a um domínio local, haverá status de falha se o PowerShell não for executado como um usuário de domínio do Active Directory. Em caso de falha, verifique as etapas descritas em Como testar a instalação.
Encaminhamento de DNS Procura a configuração condicional de encaminhamento de DNS nos controladores de domínio locais, que é necessário para encaminhar solicitações de controladores de domínio locais para controladores de domínio gerenciados do AD. Essa verificação falhará se o script não for executado em um controlador de domínio local. Recomendamos que você configure encaminhadores condicionais de DNS.
Configuração de confiança Verifica se a confiança do AD está configurada entre o domínio local e o gerenciado. Essa verificação verifica se a confiança no AD está configurada entre o domínio do AD local e o gerenciado. Recomendamos que você crie uma confiança entre o domínio local e o domínio do Microsoft AD gerenciado. Para saber mais, consulte Como configurar a confiança
Política de segurança local Verifica se a configuração da política de segurança local Network access: Named pipes that can be accessed anonymously foi definida. Essa verificação é necessária para criar uma relação de confiança do AD. Essa verificação falhará se o script não for executado em um controlador de domínio local. Essa verificação exige que você execute o PowerShell como administrador para verificar as configurações de políticas de segurança locais. Em caso de falha, recomendamos que você verifique a política de segurança local do seu domínio local.
Roteamento do sufixo de nome Verifica se o roteamento do sufixo de nome para o domínio do AD gerenciado está ativado no controlador de domínio local. Você precisa dessa verificação para encaminhar solicitações de uma floresta local para a floresta de AD gerenciado. Essa verificação exige que você execute o PowerShell como administrador para verificar as configurações de roteamento do sufixo de nome. Em caso de falha, recomendamos que você atualize o roteamento do sufixo de nome para confiança no local.
tíquete do Kerberos para o domínio local Valida se a autenticação Kerberos está ativada no domínio local. Ele procura um tíquete do Kerberos existente para o domínio local. Caso contrário, ele tentará gerar um novo tíquete. Essa verificação tenta encontrar um tíquete do Kerberos para o DC local. Se falhar, ele tentará gerar um novo tíquete como forma de validação. Erros em outras verificações podem causar um erro nesta verificação. Se você resolver falhas nas outras verificações, isso também deverá resolver.
tíquete do Kerberos para o SQL Server Valida se a autenticação Kerberos está ativada no domínio local. Ele procura um tíquete do Kerberos existente para cada nome principal de serviço do SQL Server (SPN, na sigla em inglês) fornecido. O SPN do SQL Server é MSSQLSvc/{SQL Server FQDN}:1433. Se a entrada para um SPN falhar, o Cloud SQL verificará se o valor do registro do Windows para permitir IPs em nomes do host está definido. Se ele estiver definido, tente conseguir um ingresso com o SPN MSSQLSvc/{SQL Server IP}:1433.
Para saber mais, consulte a documentação da Microsoft.
Esta verificação tenta encontrar um tíquete do Kerberos para o SQL Server. Se falhar, ele tentará gerar um novo tíquete como forma de validação. Erros em outras verificações podem causar um erro nesta verificação. Resolver falhas de outras verificações resolve uma falha.

Próximas etapas