Utilizzare Microsoft Active Directory gestito con Cloud SQL

In questa pagina vengono descritti i modi per utilizzare Cloud SQL per:

  • Integrazione con Managed Service for Microsoft Active Directory (chiamato anche Microsoft Active Directory gestito).
  • Connettiti a un'istanza con un utente AD.

Un'istanza Cloud SQL integrata con Microsoft Active Directory gestito supporta Autenticazione Windows oltre all'autenticazione SQL.

Prima di iniziare

  1. Nella console Google Cloud, seleziona il nome del progetto.
  2. Verifica che la fatturazione sia attivata per il tuo progetto Google Cloud. Scopri come verificare che la fatturazione sia attivata per il tuo progetto.
  3. Installa e inizializza l'interfaccia a riga di comando gcloud.
  4. Assicurati di disporre del ruolo Cloud SQL Admin nel tuo account utente. Vai alla pagina IAM.
  5. Esamina il prerequisiti per l'integrazione.

Creare un'istanza con autenticazione Windows

Puoi eseguire l'integrazione con Microsoft AD gestito durante la creazione dell'istanza, attivando l'autenticazione Windows per l'istanza. Per eseguire l'integrazione, scegli un dominio a cui l'istanza può partecipare. Se l'aggiunta a un dominio non riesce, la creazione dell'istanza non riesce.

In preparazione alla creazione di un'istanza con l'autenticazione di Windows, rivedi le suggerimenti e limitazioni e alternative.

Un'istanza con IP pubblico è supportata, purché abbia anche un IP privato; L'IP privato deve essere abilitato per l'istanza. Poi puoi scegliere di utilizzare un IP pubblico o privato per connetterti all'istanza, a condizione che entrambi siano disponibili.

Di seguito sono riportate le opzioni per creare un'istanza integrata con Microsoft Active Directory gestito.

Console

  1. Nella console Google Cloud, vai alla pagina Istanze Cloud SQL.

    Vai a Istanze Cloud SQL

  2. Fai clic su Crea istanza.
  3. Fai clic su Scegli SQL Server.
  4. Inserisci un nome per l'istanza. Non includere informazioni sensibili o che consentono l'identificazione personale nel nome dell'istanza, poiché è visibile all'esterno. Non è necessario includere l'ID progetto nel nome dell'istanza. Viene creato automaticamente ove opportuno (ad esempio nei file di log).
  5. Inserisci la password per 'sqlserver' utente.
  6. Imposta la regione per l'istanza. Consulta Best practice per l'integrazione con Microsoft AD gestito.
  7. Nella sezione Opzioni di configurazione, imposta il livello che preferisci (ma attendi il passaggio successivo per le opzioni di autenticazione).
  8. Fai clic su Autenticazione. Il menu a discesa per entrare a far parte di un dominio Active Directory gestito elenca qualsiasi Domini Microsoft AD gestiti aggiunti in precedenza nel tuo progetto.
  9. Dal menu a discesa per l'unione a un dominio Active Directory gestito, seleziona un dominio.
  10. Al termine della selezione delle opzioni di configurazione, fai clic su Crea. Cloud SQL crea automaticamente un account di servizio per prodotto e progetto. Se l'account non dispone del ruolo appropriato, ti viene chiesto di concedere il ruolo managedidentities.sqlintegrator.

gcloud

Il comando seguente crea un'istanza integrata con Managed Microsoft AD e quindi è abilitato per l'autenticazione Windows. Per informazioni sul comando di base per la creazione di un'istanza, consulta Creare istanze.

Specifica un parametro di --active-directory-domain=DOMAIN nel comando gcloud. Ad esempio, specifica quanto segue: --active-directory-domain=ad.mydomain.com

Ecco un prototipo del comando gcloud:

gcloud beta sql instances create INSTANCE_NAME \
--database-version=EDITION \
--root-password=PASSWORD \
--active-directory-domain=DOMAIN\
--cpu=CPU \
--memory=MEMORY  \
--network=NETWORK

Terraform

Per creare un'istanza integrata con Managed Microsoft AD, utilizza una risorsa Terraform.

resource "google_sql_database_instance" "instance_with_ad" {
  name             = "database-instance-name"
  region           = "us-central1"
  database_version = "SQLSERVER_2019_STANDARD"
  root_password    = "INSERT-PASSWORD-HERE"

  depends_on = [google_service_networking_connection.private_vpc_connection]

  settings {
    tier = "db-custom-2-7680"
    active_directory_config {
      domain = "ad.domain.com"
    }
    ip_configuration {
      ipv4_enabled    = "false"
      private_network = google_compute_network.private_network.id
    }
  }
  # set `deletion_protection` to true, will ensure that one cannot accidentally delete this instance by
  # use of Terraform whereas `deletion_protection_enabled` flag protects this instance at the GCP level.
  deletion_protection = false
}

REST

Utilizzando l'API REST, puoi creare un'istanza integrata Microsoft Active Directory gestito. Specifica un dominio, ad esempio subdomain.mydomain.com, per il campo domain, come mostrato in questo prototipo di richiesta:

{
   "databaseVersion":"database-version",
   "name":"instance-id",
   "region":"region",
   "rootPassword":"password",
   "settings":{
      "tier":"machine-type",
      "ipConfiguration":{
         "privateNetwork":"network"
      },
      "activeDirectoryConfig":{
         "domain":"domain"
      }
   }
}

Aggiornare un'istanza con l'autenticazione Windows

Puoi aggiornare il dominio di un'istanza esistente, modificando o aggiungendo un dominio.

Per informazioni generali sull'aggiornamento di un'istanza, consulta Modificare le istanze.

Se un'istanza è attualmente unita a un dominio AD gestito, inizialmente viene scollegata da quel dominio prima di essere unita al nuovo dominio. Se l'aggiornamento non va a buon fine, l'istanza potrebbe non essere più unita a nessun dominio.

Console

  1. Nella console Google Cloud, vai alla pagina Istanze Cloud SQL.

    Vai a Istanze Cloud SQL

  2. Per aprire la pagina Panoramica di un'istanza, fai clic sul nome dell'istanza.
  3. Fai clic su Modifica.
  4. Fai clic su Autenticazione. Il menu a discesa Unisciti a un dominio Active Directory elenca i domini Microsoft AD gestiti aggiunti in precedenza al progetto.
  5. Dal menu a discesa per entrare a far parte di un dominio Active Directory gestito, selezionare un nuovo dominio (sostitutivo) per l'istanza.
  6. Fai clic su Salva per applicare le modifiche.

gcloud

Di seguito è riportato un prototipo di un comando per aggiornare un'istanza esistente. Il comando aggiunge o sostituisce un dominio. Passa --active-directory-domain=DOMAIN al comando, come segue:

gcloud beta sql instances patch INSTANCE_NAME \
--active-directory-domain=DOMAIN

REST

Utilizzando l'API REST, puoi aggiornare un'istanza esistente. Specifica un dominio, ad esempio subdomain.mydomain.com, nel campo domain. Di seguito è riportato un prototipo di richiesta:

{
   "settings":{
      "activeDirectoryConfig":{
         "domain":"domain"
      }
   }
}

Eseguire l'integrazione con un dominio AD gestito in un altro progetto

Puoi integrare l'istanza con un dominio Microsoft AD gestito che si trova in un progetto diverso.

Durante la pianificazione dell'integrazione, esamina vincoli.

Attiva peering di dominio

Prima di procedere con i passaggi descritti nelle sezioni seguenti, abilita il peering di dominio in modo che il tuo dominio sia disponibile per tutti i progetti necessari con le istanze Cloud SQL per SQL Server.

Per un elenco dei domini di altri progetti già disponibili, puoi specificare quanto segue:

`gcloud active-directory peerings list`

Per ulteriori informazioni, vedi Elenca i peering di dominio.

Il comando gcloud active-directory peerings list richiede l'autorizzazione managedidentities.peerings.list. I seguenti ruoli dispongono di questa autorizzazione:

  • roles/managedidentities.peeringViewer
  • roles/managedidentities.viewer

Per ulteriori informazioni, consulta Controllo dell'accesso con IAM.

Crea un account di servizio

Ripeti questi passaggi per ogni progetto che contiene un'istanza Cloud SQL per SQL Server che intendi integrare.

  1. Esamina le informazioni di base per la creazione di account di servizio.

  2. Utilizza un comando simile a questo per creare un account di servizio. Specifica l'ID del progetto contenente le istanze Cloud SQL per SQL Server:

    gcloud beta services identity create --service=sqladmin.googleapis.com \
--project=[PROJECT_ID]

  3. Concedi il ruolo managedidentities.sqlintegrator nel progetto con l'istanza Microsoft Active Directory gestita. Specifica l'ID del progetto contenente l'istanza Microsoft Active Directory gestita:

    gcloud projects add-iam-policy-binding [PROJECT_ID] \
--member=serviceAccount:SERVICE_ACCOUNT --role=roles/managedidentities.sqlintegrator

Attivare l'autenticazione Windows tra progetti

Puoi eseguire l'integrazione con un dominio AD in un altro progetto utilizzando i comandi gcloud o l'API REST di Cloud SQL. In entrambi i casi, devi specificare il nome completo della risorsa del dominio.

Specifica il nome completo della risorsa del dominio quando viene creata un'istanza Cloud SQL per SQL Server aggiornato. Sono supportati due formati:

  • projects/PROJECT_ID/locations/global/domains/DOMAIN_NAME
  • projects/PROJECT_NUMBER/locations/global/domains/DOMAIN_NAME

Ecco un esempio in cui viene utilizzato gcloud:

gcloud beta sql instances patch INSTANCE_NAME \
--active-directory-domain=projects/PROJECT_ID/locations/global/domains/DOMAIN_NAME

Se utilizzi un nome di risorsa del dominio breve (ad esempio DOMAIN_NAME), il sistema presume che il dominio Microsoft AD gestito si trovi nello stesso progetto delle istanze Cloud SQL per SQL Server.

Vincoli per l'integrazione con progetti diversi

Se esegui l'integrazione con un dominio AD gestito in un progetto diverso, si applicano i seguenti vincoli:

  • Fino a 10 reti con istanze Cloud SQL per SQL Server possono condividere una risorsa Istanza Microsoft AD situata in un progetto diverso.
  • La console Google Cloud supporta solo le istanze Microsoft AD gestite nello stesso progetto. Anziché utilizzare la console Google Cloud, puoi eseguire l'integrazione utilizzando i comandi gcloud o l'API REST Cloud SQL.
  • Se vengono utilizzati i Controlli di servizio VPC, le istanze Cloud SQL per SQL Server e un'istanza di Microsoft AD gestita devono trovarsi nello stesso perimetro.

Inoltre, se un'istanza è integrata con un dominio AD gestito in progetto diverso, il nome di dominio completo (FQDN) mostrato nell' La console Google Cloud potrebbe non essere precisa per l'istanza in questione. In particolare, nel Panoramica dell'istanza, in Connetti a questa istanza, I nomi di dominio completi potrebbero contenere stringhe separate da barre, che puoi ignorare. Ad esempio, un FQDN impreciso potrebbe essere visualizzato come:

private.myinstance.myregion.myproject.projects/mydirectory/locations/global/domains/mydomain.com

In questo caso, il FQDN corretto è: 

private.myinstance.myregion.myproject.cloudsql.mydomain.com

Rimozione dell'autenticazione Windows da un'istanza

Puoi rimuovere l'autenticazione Windows e quindi un'integrazione di AD Microsoft gestito da un'istanza esistente.

Console

  1. Nella console Google Cloud, vai alla pagina Istanze Cloud SQL.

    Vai a Istanze Cloud SQL

  2. Per aprire la pagina Panoramica di un'istanza, fai clic sul nome dell'istanza.
  3. Fai clic su Modifica.
  4. Fai clic su Authentication (Autenticazione). Il menu a discesa per l'unione a un dominio Active Directory gestito elenca i domini Microsoft AD gestiti aggiunti in precedenza al progetto.
  5. Dal menu a discesa, seleziona Nessun dominio/Unisciti in seguito per l'istanza.
  6. Leggi il messaggio relativo al riavvio dell'istanza e fai clic su Chiudi.
  7. Fai clic su Salva per applicare le modifiche.

gcloud

Per rimuovere un'istanza da un dominio, rimuovendo così l'autenticazione Windows, utilizza un valore vuoto per il dominio. In altre parole, nel comando utilizza un valore vuoto per il parametro--active-directory-domain, come segue:

gcloud beta sql instances patch INSTANCE_NAME \
--active-directory-domain=

REST

Con l'API REST puoi rimuovere un'istanza da un dominio. Specifica un valore vuoto nel campo domain, come segue:

{
   "settings":{
      "activeDirectoryConfig":{
         "domain":""
      }
   }
}

Connettiti a un'istanza con un utente

Per Cloud SQL per SQL Server, l'utente predefinito è sqlserver.

Dopo aver integrato un'istanza con AD Microsoft gestito, puoi connetterti all'istanza con l'utente sqlserver come segue:

  1. Crea un accesso a SQL Server basato su un utente o un gruppo di Windows, come segue:

    CREATE LOGIN [domain\user_or_group] FROM WINDOWS

  2. Accedi all'istanza utilizzando l'autenticazione di Windows con il DNS dell'istanza nome. Ecco alcuni esempi di nomi DNS delle istanze da specificare:

    • Per connetterti tramite IP privato: 

      private.myinstance.us-central1.myproject.cloudsql.mydomain.com

    • Per connetterti tramite IP pubblico: 

      public.myinstance.us-central1.myproject.cloudsql.mydomain.com

    • Per connetterti tramite il proxy di autenticazione Cloud SQL (vedi anche di seguito): 

      proxy.myinstance.us-central1.myproject.cloudsql.mydomain.com

    Se utilizzi l'indirizzo IP dell'istanza, devi configurare i client Kerberos. per supportare i nomi host IP. Cloud SQL non supporta gli accessi da domini collegati tramite un rapporto di attendibilità.

Utilizzare il proxy di autenticazione Cloud SQL con l'autenticazione Windows

Puoi utilizzare il proxy di autenticazione Cloud SQL con l'integrazione di Microsoft Active Directory gestito.

Prima di iniziare, controlla quanto segue:

Passaggi per l'autenticazione di Windows

Per informazioni sullo sfondo per l'avvio del proxy di autenticazione Cloud SQL, consulta Avvia il proxy di autenticazione Cloud SQL.

Per l'autenticazione Windows, devi eseguire il proxy di autenticazione Cloud SQL sulla porta 1433. Per mappare una voce Service Principal Name (SPN) predefinita a un indirizzo Cloud SQL Auth Proxy, usa:

proxy.[instance].[location].[project].cloudsql.[domain]

Esegui il proxy di autenticazione Cloud SQL localmente

Se esegui il proxy di autenticazione Cloud SQL localmente, utilizza il file hosts per mappare quanto segue a 127.0.0.1:

proxy.[instance].[location].[project].cloudsql.[domain]

Ad esempio, puoi aggiungere quanto segue al file hosts (ad esempio a c:\windows\system32\drivers\etc\hosts):

127.0.0.1 proxy.[instance].[location].[project].cloudsql.[domain]

In questo esempio, puoi eseguire il proxy di autenticazione Cloud SQL utilizzando questo comando e renderlo disponibile su 127.0.0.1:1433:

cloud-sql-proxy.exe --credentials-file credential.json project:name

Esegui il proxy di autenticazione Cloud SQL in modo non locale

Per eseguire il proxy di autenticazione Cloud SQL in modo non locale, segui le istruzioni in Esecuzione del proxy di autenticazione Cloud SQL in locale, ma con una voce diversa nel file hosts.

In particolare, se un host non locale è, ad esempio, MyOtherHost, puoi aggiungere quanto segue al file hosts:

127.0.0.1 MyOtherHost proxy.[instance].[location].[project].cloudsql.[domain]

Risolvere i problemi relativi al fallback NTLM nei client

Se utilizzi l'autenticazione Windows e un indirizzo IP dell'istanza per accedere a un'istanza, devi configurare un client Kerberos per supportare i nomi host IP.

Cloud SQL non supporta l'autenticazione NTLM, ma alcuni client Kerberos potrebbero provare a ricorrere a questo metodo. Come discusso in questa sezione, se provi a connetterti a SQL Server Management Studio (SSMS) e viene visualizzato il seguente messaggio di errore: causa probabile è NTLM di riserva:

Login failed. The login is from an untrusted domain and cannot be used with Integrated authentication. (Microsoft SQL Server, Error: 18452)

NTLM è un insieme di protocolli di sicurezza Microsoft per l'autenticazione. Consulta anche Motivi del fallback a NTLM.

Verifica di un fallback NTLM per un client Windows

Da Windows, per verificare che un fallback NTLM abbia causato un errore:

  1. Accedi con le credenziali on-premise desiderate (non utilizzare "Esegui come…").
  2. Apri un prompt dei comandi.
  3. Esegui klist purge.
  4. Da SSMS, prova a connetterti a SQL Server con l'autenticazione di Windows.
  5. Esegui klist e controlla se è stato emesso un ticket per "MSSQLSvc/<address>:1433 @ domain".
  6. Se non esiste un ticket di questo tipo, è probabile che la causa dell'errore sia il fallback NTLM.
  7. Se esiste un ticket di questo tipo, verifica che il driver SQL Server non imponga l'autenticazione NTLM. Controlla anche se l'autenticazione NTLM è impostata tramite Group Policy.

Verifica di un fallback NTLM per un client Linux

Da Ubuntu 16.04, per verificare che un fallback NTLM abbia causato un errore, segui i passaggi descritti in questa sezione. I passaggi sono simili a quelli per gli altri sistemi Linux distribuibili.

Configura autenticazione Kerberos

  1. Configura un client Kerberos:

    sudo apt-get install krb5-user

  2. Quando ti viene richiesta l'area di autenticazione predefinita, digita un nome di dominio on-premise in lettere maiuscole.

  3. Esegui quanto segue per installare gli strumenti a riga di comando di SQL Server:

    curl https://packages.microsoft.com/keys/microsoft.asc | sudo apt-key add -
curl https://packages.microsoft.com/config/ubuntu/16.04/prod.list | sudo tee /etc/apt/sources.list.d/msprod.list
sudo apt-get update
sudo apt-get install mssql-tools unixodbc-dev

Connettersi con l'autenticazione Windows

  1. Esegui lo strumento kinit come segue: kinit <user_account>
  2. Per connetterti con l'autenticazione Windows, esegui: /opt/mssql-tools/bin/sqlcmd -S <address >>
  3. Esegui il comando klist e controlla se è stato emesso un ticket in particolare per: "MSSQLSvc/<address>:1433 @ domain"
  4. Se il ticket non è stato emesso, l'errore riportato sopra probabilmente indica un problema. che attiva il fallback NTLM.

Motivi per i video di riserva NTLM

Il fallback su NTLM è un errore di configurazione del client che può essere associato le seguenti condizioni:

  • Per impostazione predefinita, Windows non tenta l'autenticazione Kerberos per un host se nome host è un indirizzo IP. Per attivare l'autenticazione Kerberos dalla piattaforma dominio, prova il metodo descritto in Documentazione Microsoft. Questo metodo non funziona con le credenziali on-premise quando devi utilizzare FQDNS.
  • L'autenticazione Kerberos tramite attendibilità esterne non funziona. Utilizza i trust forestali come descritto qui
  • L'autenticazione Kerberos richiede il routing dei suffissi dei nomi per consentire il rilevamento di servizi in un'altra foresta. Prova il metodo descritto qui.
  • L'autenticazione Kerberos non funziona se non è registrato alcun SPN per il completamente gestito di Google Cloud. Utilizza solo FQDN o indirizzi IP ottenuti dalla console Google Cloud per connetterti con l'autenticazione Windows.

Utenti AD on-premise: creazione di un accesso Windows

Puoi usare un utente AD on-premise per creare un accesso Windows a Cloud SQL o SQL Server.

Ad esempio, puoi connetterti utilizzando SQL Server Management Studio (SMSS) in esecuzione su una VM Windows ospitata nella console Cloud privato (VPC).

Per l'autenticazione Windows in questo contesto, solo Cloud SQL per SQL Server supporta il protocollo Kerberos. Per l'autenticazione Windows basata su Kerberos, il client deve risolvere il nome DNS dell'AD on-premise e dell'AD Microsoft gestito.

Configurazione di attendibilità unidirezionale o bidirezionale

Inizialmente, decidi se utilizzare una relazione di attendibilità unidirezionale o bidirezionale.

Quindi, segui le istruzioni per stabilire la fiducia tra il dominio AD on-premise e il dominio Microsoft AD gestito.

Configura una VM Windows e crea un accesso a Windows

Dopo aver stabilito la relazione di attendibilità tra il dominio AD on-premise e il dominio AD Microsoft gestito, completa i passaggi che seguono. Ad esempio, per scopo illustrativo, in questi passaggi viene utilizzato SQL Server Management Studio (SSMS), in esecuzione su una VM Windows, in hosting nella VPC del tuo progetto Google Cloud:

  1. Crea una VM Windows.
    • Crea una VM con una versione di Windows supportata da Managed Microsoft AD.
    • Crea la VM nel progetto che ospita il tuo dominio AD Microsoft gestito. Se un VPC condiviso è una rete autorizzata, puoi la VM viene creata anche in tutti i suoi progetti di servizio.
    • Crea la VM su una rete VPC che è una rete autorizzata Dominio Microsoft AD gestito e in cui è configurato il servizio privato l'accesso per Cloud SQL.
  2. Unisci la VM Windows al dominio Microsoft AD gestito.
  3. Installa SSMS sulla VM Windows.
  4. Risolvi il dominio on-premise nella rete VPC.
    • Dalla rete autorizzata su cui è in esecuzione la VM Windows, abilita risoluzione DNS on-premise seguendo i passaggi Risolvere le query per gli oggetti Microsoft AD non gestiti . I passaggi riportati in quella pagina sono prerequisiti per il funzionamento dell'autenticazione Windows basata su Kerberos per gli utenti on-premise.

  5. Crea un accesso Windows per un utente on-premise.

    • Segui le istruzioni per CREARE LOGIN per creare un accesso Windows per un utente on-premise. Ad esempio, specifica un comando simile al seguente:
    CREATE LOGIN [DOMAIN_NAME\USER_NAME] FROM WINDOWS

  6. Accedi all'istanza Cloud SQL per SQL Server utilizzando specifiche per l'applicazione per l'accesso di un utente on-premise. Ad esempio, se utilizzi SQL Server Management Studio, consulta queste istruzioni.

Se si verifica un problema durante l'accesso a un'istanza Cloud SQL per SQL Server, esegui queste operazioni: verifiche:

  • Verifica le configurazioni del firewall della rete on-premise e della VPC autorizzata dal progetto, seguendo le istruzioni per la creazione di una relazione di trust con un dominio on-premise.
  • Verifica il Routing del suffisso dei nomi per la relazione di attendibilità on-premise.
  • Verifica di poter eseguire queste operazioni di risoluzione DNS dalla VM Windows su cui è in esecuzione SSMS:
    • nslookup fqdn-for-managed-ad-domain
    • nslookup fqdn-for-on-premises-ad-domain
    • nslookup fqdn-for-cloud-sql-server-instance

Suggerimenti

  • Un'istanza con IP pubblico è supportata, purché abbia un IP privato well; l'IP privato deve essere abilitato l'istanza. Quindi puoi scegliere di utilizzare l'IP pubblico o l'IP privato per connetterti all'istanza, purché siano disponibili entrambe.
  • Prima di creare un'istanza, inclusa un'istanza sostitutiva, esamina quanto segue, se necessario:
  • Terraform è supportati.
  • Se ricevi uno dei seguenti errori, verifica di aver soddisfatto tutti i prerequisiti per l'integrazione:
    • "Account di servizio per prodotto per progetto non trovato"
    • "Autorizzazione insufficiente per l'integrazione con il dominio Managed Service for Microsoft Active Directory"
  • Se ricevi il messaggio di errore "Dominio non trovato", verifica che il nome di dominio sia corretto e che sia sensibile alle maiuscole.
  • Se l'autenticazione Windows non va a buon fine da un dominio connesso tramite un rapporto di attendibilità, verifica che l'autenticazione Windows funzioni per un utente di un dominio gestito. In questo caso:
    1. Verifica di aver utilizzato un nome DNS. Gli indirizzi IP non sono supportati dai domini collegati utilizzando un rapporto di attendibilità.
    2. Assicurati di aver seguito tutti i passaggi per la creazione di una relazione di trust con un dominio on-premise, inclusa l'apertura di tutte le porte del firewall.
    3. Convalida la relazione di attendibilità.
    4. Verifica che la direzione della relazione di attendibilità consenta agli utenti del dominio (collegato tramite una relazione di attendibilità) di autenticarsi nel dominio gestito.
    5. Verifica che il routing del suffisso del nome sia impostato sul dominio connesso tramite un rapporto di fiducia.
    6. Verifica che la attendibilità funzioni senza utilizzare Cloud SQL per SQL Server:
      1. Crea una VM Windows.
      2. Aggiungilo al dominio Microsoft AD gestito.
      3. Prova a eseguire, ad esempio, Blocco note come utente del dominio collegato tramite un rapporto di fiducia.
    7. Riavvia la VM client e ripeti il test dell'autenticazione di Windows.
  • Potresti provare a creare un accesso a SQL Server, ma ricevere il seguente errore: "Nome\dominio utente o gruppo Windows NT non trovato. Controlla il nome di nuovo". Ciò può essersi verificato perché i gruppi locali del dominio non sono supportati; se possibile, utilizza gruppi globali o universali.
  • Quando vengono emesse da un utente di un dominio connesso tramite una relazione di attendibilità, le query di SQL Server possono generare il seguente errore: "Impossibile ottenere informazioni su gruppo/utente Windows NT". Questo errore può verificarsi, ad esempio, se crei accessi da domini collegati tramite un rapporto di attendibilità. L'errore può verificarsi anche se concedi privilegi per gli accessi da domini collegati tramite una relazione di attendibilità. In questi casi, nuovi tentativi dell'operazione spesso hanno esito positivo. Se il nuovo tentativo non va a buon fine, chiudi il e aprirne una nuova.

  • Se ricevi l'errore "Impossibile ottenere informazioni sul gruppo/utente Windows NT", controlla la connettività di rete ai domini on-premise utilizzando il file logactive_directory.log disponibile in Cloud Logging per l'istanza Cloud SQL per SQL Server. Questo file contiene la seguente diagnostica relativa alle modifiche alla connettività del dominio on-premise:

    • Domini on-premise attendibili dall'istanza Cloud SQL per SQL Server. Ad esempio, il seguente log mostra la modifica da nessun dominio attendibile a due nuovi domini attendibili come nomi NetBIOS, ONPREM e CHILD: 
      2023-06-12 20:55:09.975 Detected change in trusted onprem domains: Previously trusted onprem domains: []. Current trusted onprem domains: [ONPREM CHILD]
       Se un dominio on-premise non è elencato o è registrato come non attendibile, verifica che l'attendibilità esista con il dominio Managed AD e sia stato convalidato. Se esiste un trust unidirezionale tra il dominio Managed AD e il dominio on-premise, gli altri domini on-premise attendibili dal dominio on-premise potrebbero non essere visibili.
    • Domini on-premise raggiungibili e non raggiungibili utilizzando un ping normale dall'istanza Cloud SQL per SQL Server. Ad esempio, il seguente log mostra il passaggio da nessun dominio raggiungibile a due nuovi domini raggiungibili, onprem.com e child.onprem.com: 
      2023-06-12 20:55:10.664 Detected change in reachable onprem domains: Previously reachable onprem domains: []. Current reachable onprem domains: [onprem.com child.onprem.com]
       Se un dominio non è elencato nei log di raggiungibilità, assicurati prima che sia registrato come dominio attendibile. In caso contrario, la raggiungibilità non viene controllata. Abbiamo sempre un peering VPC tra un progetto con istanze on-premise e i progetti Google Cloud. L'utilizzo anche di un altro peering VPC introduce una connessione in peering transitivo, non supportata da Cloud SQL. Ti consigliamo invece di utilizzare un tunnel VPN per connettere un dominio on-premise a Cloud SQL. Deve esistere al massimo una connessione in peering tra il progetto on-premise e il progetto Google Cloud con le istanze Cloud SQL per SQL Server.
    • ping della chiamata di procedura remota Microsoft (MSRPC) riusciti e non riusciti ai domini on-premise dall'istanza Cloud SQL per SQL Server. Ad esempio, il seguente log mostra la modifica dall'assenza di domini su cui è possibile eseguire il ping del servizio MSRPC a due nuovi domini disponibili per il ping del prezzo di vendita suggerito dal produttore (MSRP) ONPREM e CHILD: 
      2023-06-12 20:55:10.664 Detected change in MSRPC pingable domains: Previously pingable onprem domains: []. Current pingable onprem domains: [ONPREM CHILD]
       I ping MSRPC sono inclusi come diagnostica aggiuntiva e potrebbero non funzionare in alcune configurazioni. Puoi comunque verificare la connettività del dominio on-premise tramite le prime due diagnostica.

  • Se le query di SQL Server restituiscono l'errore "L'accesso proviene da un account non attendibile dominio", tieni presente che gli indirizzi IP non sono supportati per gli utenti di domini collegati in un rapporto di fiducia. Inoltre, le seguenti azioni potrebbe risolvere il problema:

    • Se viene utilizzato un indirizzo IP per connettere gli utenti da un dominio gestito, segui queste istruzioni.
    • Evita di utilizzare proxy e utilizza sempre lo stesso nome DNS per connetterti Cloud SQL per SQL Server, come vedi il nome nella console Google Cloud.
    • Elimina definitivamente i ticket Kerberos esistenti. L'errore riportato sopra potrebbe verificarsi se hai avuto un client che di recente si è connesso a un'istanza Cloud SQL per SQL Server e l'istanza è stata interrotta e avviata. In alternativa, l'errore potrebbe si verificano se Autenticazione Windows è stata disabilitata e poi riabilitata per Cloud SQL per l'istanza SQL Server. Se il client utilizza la cache delle credenziali di Windows, quindi blocca e sblocca la workstation client oppure esegui klist purge.

  • Un tentativo di attivare l'autenticazione di Windows potrebbe causare l'errore "Questo necessita di una data di creazione più recente per supportare il servizio gestito for Microsoft Active Directory". Tieni presente quanto segue in merito a questo errore:

    • In Cloud SQL, se un'istanza Cloud SQL per SQL Server è stata creata il giorno o prima Dal 12 marzo 2021, non può essere integrato con Managed Microsoft AD.
    • In alcuni casi, se crei un'istanza Cloud SQL per SQL Server e non attivi AD Microsoft gestito al momento della creazione, potresti ricevere lo stesso errore. Dopo aver letto gli altri suggerimenti di questa sezione, crea un nuovo abilitando Microsoft Active Directory gestito nel momento in cui crei in esecuzione in un'istanza Compute Engine.

  • Il tentativo di creare un'istanza Cloud SQL per SQL Server potrebbe generare l'errore "Questa istanza non supporta Managed Service for Microsoft Active Directory". Se viene visualizzato questo errore, il progetto potrebbe non essere supportato. prova a usare un progetto diverso.

  • Se un'istanza presenta problemi persistenti con l'autenticazione Windows (indipendentemente dal fatto che l'istanza sia stata aggiornata di recente o meno), prova a uscire dal dominio Active Directory gestito e poi a rientrarci. Per farlo, utilizza la procedura di aggiornamento per annullare l'unione e poi per eseguire nuovamente l'unione al dominio. In questo modo, non vengono rimossi gli utenti o gli accessi autenticati Windows esistenti nei tuoi database. Tuttavia, la rimozione dell'autenticazione Windows causa il riavvio di un'istanza.

  • Utilizza lo strumento di diagnostica AD per risolvere i problemi di configurazione di AD con il dominio on-premise e le istanze Cloud SQL per SQL Server nella console Google Cloud.

Risoluzione dei problemi

Fai clic sui link nella tabella per visualizzare i dettagli:

Per questo errore… Il problema potrebbe essere... Prova a fare così…
Per-product, per-project service account not found. Il nome dell'account di servizio non è corretto. Nella pagina Account di servizio, assicurati di aver creato un account di servizio per il progetto utente corretto.
Insufficient permission to integrate with Managed Service for Microsoft Active Directory domain. Il ruolo managedidentities.sqlintegrator non è presente nell'account di servizio. Dalla pagina IAM e amministrazione, aggiungi il ruolo managedidentities.sqlintegrator al tuo account di servizio.
Domain not found. Il dominio non esiste o è stato digitato in modo errato. Assicurati che il nome di dominio sia corretto. Fa distinzione tra maiuscole e minuscole.
The domain is busy with another operation. Please retry. Un'altra istanza Cloud SQL sta eseguendo un'operazione sulla stessa istanza Dominio Active Directory. Riprova a eseguire l'operazione. Se stai eseguendo un batch di aggiornamenti alle istanze Cloud SQL collegate allo stesso dominio, limita il numero di quelli eseguiti in parallelo.
The operation completed but an update to Active Directory failed. You may experience issues with Windows Authentication on this instance, please see https://cloud.google.com/sql/docs/sqlserver/configure-ad for tips. Non è stato possibile eseguire gli aggiornamenti richiesti sul dominio Active Directory gestito. Se riscontri problemi con l'autenticazione di Windows, puoi: prova a cancellarti un dominio Active Directory gestito per poi riconnetterlo. A questo scopo, utilizza procedura di aggiornamento per annullare l'iscrizione e poi rientrare nel dominio. Questa operazione non rimuove gli utenti o gli accessi autenticati da Windows esistenti nei tuoi database. Tuttavia, la rimozione dell'autenticazione di Windows fa sì che un'istanza riavvio.
This instance would need a more recent creation date to support Managed Service for Microsoft Active Directory. In Cloud SQL, se un'istanza Cloud SQL per SQL Server è stata creata il giorno o prima Dal 12 marzo 2021, non può essere integrato con Managed Microsoft AD. Prova l'operazione su un'istanza creata dopo il 12 marzo 2021.

Passaggi successivi

  • Conferma di aver esaminato interamente le pagina Panoramica, che include limitazioni e funzionalità non supportate. La pagina include anche i link alla documentazione aggiuntiva.