Usa Microsoft Active Directory gestito con Cloud SQL

In questa pagina vengono descritti i modi per utilizzare Cloud SQL per:

• Integrazione con Managed Service for Microsoft Active Directory (chiamato anche Microsoft Active Directory gestito).
• Connettiti a un'istanza con un utente AD.

Un'istanza Cloud SQL integrata con Microsoft Active Directory gestito supporta Autenticazione Windows oltre all'autenticazione SQL.

Prima di iniziare

1. Nella console Google Cloud, seleziona il nome del progetto.
2. Verifica che la fatturazione sia attivata per il tuo progetto Google Cloud. Scopri come verificare che la fatturazione sia abilitata per il tuo progetto.
3. Installa e inizializza gcloud CLI.
4. Assicurati di disporre del ruolo Cloud SQL Admin per il tuo account utente. Vai alla pagina IAM.
5. Esamina il prerequisiti per l'integrazione.

crea un'istanza con l'autenticazione di Windows

Puoi eseguire l'integrazione con Managed Microsoft AD durante creazione dell'istanza, abilitando l'autenticazione di Windows per l'istanza. Per eseguire l'integrazione, scegli un dominio a cui l'istanza può partecipare. Se l'aggiunta a un dominio non riesce, la creazione dell'istanza non riesce.

In preparazione alla creazione di un'istanza con l'autenticazione di Windows, rivedi le suggerimenti e limitazioni e alternative.

Un'istanza con IP pubblico è supportata, purché abbia anche un IP privato; L'IP privato deve essere abilitato per l'istanza. Quindi puoi scegliere di usare IP o IP privato per la connessione all'istanza, purché siano disponibili entrambi.

Di seguito sono riportate le opzioni per creare un'istanza integrata con Microsoft Active Directory gestito.

gcloud beta sql instances create INSTANCE_NAME \
--database-version=EDITION \
--root-password=PASSWORD \
--active-directory-domain=DOMAIN\
--cpu=CPU \
--memory=MEMORY  \
--network=NETWORK

resource "google_sql_database_instance" "instance_with_ad" {
  name             = "database-instance-name"
  region           = "us-central1"
  database_version = "SQLSERVER_2019_STANDARD"
  root_password    = "INSERT-PASSWORD-HERE"

  depends_on = [google_service_networking_connection.private_vpc_connection]

  settings {
    tier = "db-custom-2-7680"
    active_directory_config {
      domain = "ad.domain.com"
    }
    ip_configuration {
      ipv4_enabled    = "false"
      private_network = google_compute_network.private_network.id
    }
  }
  # set `deletion_protection` to true, will ensure that one cannot accidentally delete this instance by
  # use of Terraform whereas `deletion_protection_enabled` flag protects this instance at the GCP level.
  deletion_protection = false
}

{
   "databaseVersion":"database-version",
   "name":"instance-id",
   "region":"region",
   "rootPassword":"password",
   "settings":{
      "tier":"machine-type",
      "ipConfiguration":{
         "privateNetwork":"network"
      },
      "activeDirectoryConfig":{
         "domain":"domain"
      }
   }
}

Aggiorna un'istanza con l'autenticazione Windows

Puoi aggiornare il dominio di un'istanza esistente, modificando o aggiungendo un dominio.

Per informazioni generali sull'aggiornamento di un'istanza, consulta Modifica delle istanze.

Se un'istanza è attualmente aggiunta a un dominio Managed AD, l'istanza è inizialmente non unito a quel dominio, prima di essere aggiunto al nuovo dominio. Se l'aggiornamento un errore, l'istanza potrebbe non essere più aggiunta ad alcun dominio.

gcloud beta sql instances patch INSTANCE_NAME \
--active-directory-domain=DOMAIN

{
   "settings":{
      "activeDirectoryConfig":{
         "domain":"domain"
      }
   }
}

Esegui l'integrazione con un dominio AD gestito in un progetto diverso

Puoi integrare la tua istanza con un dominio Microsoft Active Directory gestito che si trova in una progetto diverso.

Durante la pianificazione dell'integrazione, esamina vincoli.

Attiva peering di dominio

Prima di procedere con i passaggi nelle sezioni seguenti, abilitare il peering di dominio in modo che il tuo dominio sia disponibile per tutti i progetti necessari con le istanze Cloud SQL per SQL Server.

Per un elenco dei domini di altri progetti già disponibili, puoi specificare quanto segue:

`gcloud active-directory peerings list`

Per ulteriori informazioni, vedi Elenca i peering di dominio.

Il comando gcloud active-directory peerings list richiede Autorizzazione managedidentities.peerings.list. I seguenti ruoli hanno questo autorizzazione:

• roles/managedidentities.peeringViewer
• roles/managedidentities.viewer

Per ulteriori informazioni, consulta Controllo dell'accesso con IAM.

Crea un account di servizio

Ripeti questi passaggi per ogni progetto che contiene un'istanza Cloud SQL per SQL Server intendono integrare.

1. Esamina il informazioni di base per la creazione di account di servizio.

2. Utilizza un comando simile a questo per creare un account di servizio. Specifica l'ID del progetto contenente le istanze Cloud SQL per SQL Server:

   gcloud beta services identity create --service=sqladmin.googleapis.com \
   --project=[PROJECT_ID]
   

3. Concedi il ruolo managedidentities.sqlintegrator nel progetto con l'istanza Microsoft Active Directory gestita. Specifica l'ID del progetto contenente l'istanza Microsoft Active Directory gestita:

   gcloud projects add-iam-policy-binding [PROJECT_ID] \
   --member=serviceAccount:SERVICE_ACCOUNT --role=roles/managedidentities.sqlintegrator
   

Attiva l'autenticazione Windows tra progetti

Puoi eseguire l'integrazione con un dominio AD in un progetto diverso utilizzando gcloud o l'API REST Cloud SQL. In entrambi i casi, devi specificare l'intera il nome della risorsa di dominio.

Specifica il nome completo della risorsa del dominio quando viene creata un'istanza Cloud SQL per SQL Server aggiornato. Sono supportati due formati:

• projects/PROJECT_ID/locations/global/domains/DOMAIN_NAME
• projects/PROJECT_NUMBER/locations/global/domains/DOMAIN_NAME

Ecco un esempio in cui viene utilizzato gcloud:

gcloud beta sql instances patch INSTANCE_NAME \
--active-directory-domain=projects/PROJECT_ID/locations/global/domains/DOMAIN_NAME

Se utilizzi un nome di risorsa di dominio breve (ad esempio DOMAIN_NAME), il parametro presuppone che il dominio Microsoft Active Directory gestito sia nello stesso progetto di per le istanze Cloud SQL per SQL Server.

Vincoli per l'integrazione con progetti diversi

Se esegui l'integrazione con un dominio AD gestito in un altro progetto, si applicano i seguenti vincoli:

• Fino a 10 reti con istanze Cloud SQL per SQL Server possono condividere una risorsa Istanza Microsoft AD situata in un progetto diverso.
• La console Google Cloud supporta solo le istanze Microsoft Active Directory gestite che si trovano in lo stesso progetto. Anziché utilizzare la console Google Cloud, puoi integrare utilizzando i comandi gcloud o l'API REST Cloud SQL.
• Se vengono utilizzati i Controlli di servizio VPC, le istanze Cloud SQL per SQL Server L'istanza Microsoft AD deve trovarsi nello stesso perimetro.

Inoltre, se un'istanza è integrata con un dominio AD gestito in progetto diverso, il nome di dominio completo (FQDN) mostrato nell' La console Google Cloud potrebbe non essere precisa per l'istanza in questione. In particolare, nel Panoramica dell'istanza, in Connetti a questa istanza, I nomi di dominio completi potrebbero contenere stringhe separate da barre, che puoi ignorare. Ad esempio, un nome di dominio completo impreciso potrebbe essere visualizzato come:

private.myinstance.myregion.myproject.projects/mydirectory/locations/global/domains/mydomain.com

In tal caso, il nome di dominio completo corretto è:

private.myinstance.myregion.myproject.cloudsql.mydomain.com

Rimozione dell'autenticazione Windows da un'istanza

È possibile rimuovere l’autenticazione Windows, quindi un server Microsoft Active Directory gestito per l'integrazione, da un'istanza esistente.

gcloud beta sql instances patch INSTANCE_NAME \
--active-directory-domain=

{
   "settings":{
      "activeDirectoryConfig":{
         "domain":""
      }
   }
}

Connettiti a un'istanza con un utente

Per Cloud SQL per SQL Server, il valore predefinito utente è sqlserver.

Dopo aver integrato un'istanza con Managed Microsoft AD, puoi connetterti a l'istanza con l'utente sqlserver, come segue:

1. Crea un accesso a SQL Server basato su un utente o un gruppo di Windows, come segue:

   CREATE LOGIN [domain\user_or_group] FROM WINDOWS
   

2. Accedi all'istanza utilizzando l'autenticazione di Windows con il DNS dell'istanza . Ecco alcuni esempi di nomi DNS delle istanze da specificare:

   • Per connetterti tramite IP privato:

     private.myinstance.us-central1.myproject.cloudsql.mydomain.com
     

   • Per connetterti tramite IP pubblico:

     public.myinstance.us-central1.myproject.cloudsql.mydomain.com
     

   • Per connetterti tramite il proxy di autenticazione Cloud SQL (vedi anche di seguito):

     proxy.myinstance.us-central1.myproject.cloudsql.mydomain.com
     

   Se utilizzi l'indirizzo IP dell'istanza, devi configurare i client Kerberos. per supportare i nomi host IP. Cloud SQL non supporta gli accessi da domini collegati in un rapporto di fiducia.

Utilizza il proxy di autenticazione Cloud SQL con autenticazione di Windows

Puoi utilizzare il proxy di autenticazione Cloud SQL con l'integrazione di Microsoft Active Directory gestito.

Prima di iniziare, rivedi:

• Informazioni sul proxy di autenticazione Cloud SQL

• Connessione tramite il proxy di autenticazione Cloud SQL

Procedura per l'autenticazione Windows

Per informazioni sull'avvio del proxy di autenticazione Cloud SQL, consulta Avvia il proxy di autenticazione Cloud SQL.

Per l'autenticazione Windows, devi eseguire il proxy di autenticazione Cloud SQL sulla porta 1433. Per mappare una voce Service Principal Name (SPN) predefinita a un indirizzo Cloud SQL Auth Proxy, usa:

proxy.[instance].[location].[project].cloudsql.[domain]

Esegui il proxy di autenticazione Cloud SQL in locale

Se esegui il proxy di autenticazione Cloud SQL in locale, utilizza il file hosts per mappare quanto segue a 127.0.0.1:

proxy.[instance].[location].[project].cloudsql.[domain]

Ad esempio, potresti aggiungere quanto segue al file hosts (ad esempio, per c:\windows\system32\drivers\etc\hosts):

127.0.0.1 proxy.[instance].[location].[project].cloudsql.[domain]

In questo esempio, potresti eseguire il proxy di autenticazione Cloud SQL utilizzando questo comando e renderlo disponibile su 127.0.0.1:1433:

cloud-sql-proxy.exe --credentials-file credential.json project:name

Esegui il proxy di autenticazione Cloud SQL in modo non locale

Per eseguire il proxy di autenticazione Cloud SQL in modo non locale, segui le istruzioni in Esecuzione del proxy di autenticazione Cloud SQL in locale, ma con una voce diversa nel file hosts.

In particolare, se un host non locale è, ad esempio, MyOtherHost, puoi aggiungere quanto segue al file hosts:

127.0.0.1 MyOtherHost proxy.[instance].[location].[project].cloudsql.[domain]

Risoluzione dei problemi relativi ai fallback NTLM nei client

Se utilizzi l'autenticazione Windows e un IP istanza per accedere a un'istanza, devi configurare un client Kerberos per supportare i nomi host IP.

Cloud SQL non supporta l'autenticazione NTLM, ma alcuni client Kerberos potrebbero tentare di in questo caso. Come discusso in questa sezione, se provi a connetterti a SQL Server Management Studio (SSMS) e viene visualizzato il seguente messaggio di errore: causa probabile è NTLM di riserva:

Login failed. The login is from an untrusted domain and cannot be used with Integrated authentication. (Microsoft SQL Server, Error: 18452)

NTLM è un insieme di protocolli di sicurezza Microsoft per l'autenticazione. Vedi anche Motivi per i video di riserva NTLM.

Verifica di un fallback NTLM per un client Windows

Per verificare che un fallback NTLM abbia causato un errore in Windows:

1. Accedi con le credenziali on-premise desiderate (non utilizzare "Esegui come...").
2. Apri un prompt dei comandi.
3. Esegui klist purge.
4. Da SSMS, prova a connetterti a SQL Server con l'autenticazione di Windows.
5. Esegui klist e controlla se è stato emesso un ticket per "MSSQLSvc/<address>:1433 @ domain".
6. Se il ticket di questo tipo non è presente, la causa più probabile dell'errore è la riserva NTLM.
7. Se esiste un ticket di questo tipo, controlla che il driver SQL Server non applichi Autenticazione NTLM. Controlla anche se l'autenticazione NTLM viene applicata in modo forzato tramite gruppo Policy.

Verifica di un fallback NTLM per un client Linux

Da Ubuntu 16.04, per verificare che un fallback NTLM abbia causato un errore, segui i passaggi in questa sezione. I passaggi sono simili a quelli per gli altri sistemi Linux distribuibili.

Configura autenticazione Kerberos

1. Configura un client Kerberos:

   sudo apt-get install krb5-user
   

2. Quando ti viene richiesta l'area di autenticazione predefinita, digita un nome di dominio on-premise in lettere maiuscole.

3. Esegui questo comando per installare gli strumenti a riga di comando di SQL Server:

   curl https://packages.microsoft.com/keys/microsoft.asc | sudo apt-key add -
   curl https://packages.microsoft.com/config/ubuntu/16.04/prod.list | sudo tee /etc/apt/sources.list.d/msprod.list
   sudo apt-get update
   sudo apt-get install mssql-tools unixodbc-dev
   

Connettersi con l'autenticazione Windows

1. Esegui lo strumento kinit nel seguente modo: kinit <user_account>
2. Per connetterti all'autenticazione Windows, esegui: /opt/mssql-tools/bin/sqlcmd -S <address >>
3. Esegui il comando klist e controlla se è stato emesso un ticket in particolare per: "MSSQLSvc/<address>:1433 @ domain"
4. Se il ticket non è stato emesso, l'errore riportato sopra probabilmente indica un problema. che attiva il fallback NTLM.

Motivi per i video di riserva NTLM

Il fallback su NTLM è un errore di configurazione del client che può essere associato le seguenti condizioni:

• Per impostazione predefinita, Windows non tenta l'autenticazione Kerberos per un host se nome host è un indirizzo IP. Per attivare l'autenticazione Kerberos dalla piattaforma dominio, prova il metodo descritto in Documentazione Microsoft. Questo metodo non funziona con le credenziali on-premise quando è necessario utilizzare FQDNS.
• L'autenticazione Kerberos su trust esterni non funziona. Utilizza trust forestali come descritto qui
• L'autenticazione Kerberos richiede il routing del suffisso dei nomi per consentire il rilevamento di in un'altra foresta. Prova il metodo descritto qui
• L'autenticazione Kerberos non funziona se non è registrato alcun SPN per il completamente gestito di Google Cloud. Utilizza solo nomi di dominio completi o indirizzi IP ottenuti dalla console Google Cloud per connetterti all'autenticazione Windows.

Utenti AD on-premise: creazione di un accesso a Windows

Puoi usare un utente AD on-premise per creare un accesso Windows a Cloud SQL o SQL Server.

Ad esempio, puoi connetterti utilizzando SQL Server Management Studio (SMSS) in esecuzione su una VM Windows ospitata nella console Cloud privato (VPC).

Per l'autenticazione Windows in questo contesto, solo Cloud SQL per SQL Server supporta il protocollo Kerberos. Per l'autenticazione Windows basata su Kerberos, il parametro Il client deve risolvere il nome DNS dell'AD on-premise e della console ANNUNCIO.

Configurazione di attendibilità unidirezionale o bidirezionale

Inizialmente, decidi se utilizzare relazione fiduciaria unidirezionale o bidirezionale.

Poi segui le istruzioni per instaurare un rapporto di fiducia tra il dominio AD on-premise e il dominio Microsoft Active Directory gestito.

Configura una VM Windows e crea un accesso a Windows

Dopo aver stabilito la fiducia tra il dominio AD on-premise e Dominio Microsoft AD gestito, completa i seguenti passaggi. Ad esempio: scopi, utilizza SQL Server Management Studio (SSMS), in esecuzione su una VM Windows, ospitato nel VPC del tuo progetto Google Cloud:

1. Creare una VM Windows.
   • Crea una VM con un versione di Windows supportata da Managed Microsoft AD.
   • Crea la VM nel progetto che ospita Microsoft Active Directory gestito dominio. Se un VPC condiviso è una rete autorizzata, puoi la VM viene creata anche in tutti i suoi progetti di servizio.
   • Crea la VM su una rete VPC che è una rete autorizzata Dominio Microsoft AD gestito e in cui è configurato il servizio privato l'accesso per Cloud SQL.
2. Partecipa la VM Windows al dominio Microsoft Active Directory gestito.
3. Installa SSMS sulla VM Windows.
4. Risolvi il dominio on-premise nella rete VPC.
   • Dalla rete autorizzata su cui è in esecuzione la VM Windows, abilita risoluzione DNS on-premise seguendo i passaggi Risolvere le query per gli oggetti Microsoft AD non gestiti . I passaggi riportati in quella pagina sono prerequisiti per i passaggi basati su Kerberos l'autenticazione Windows per gli utenti on-premise.

5. Creare un accesso Windows per un utente on-premise.

   • Segui le Istruzioni per CREA ACCESSO per la creazione di un accesso a Windows per un utente on-premise. Ad esempio: specificare un comando simile a questo:

   CREATE LOGIN [DOMAIN_NAME\USER_NAME] FROM WINDOWS
   

6. Accedi all'istanza Cloud SQL per SQL Server utilizzando specifiche per l'applicazione per l'accesso di un utente on-premise. Per Ad esempio, se utilizzi SQL Server Management Studio, consulta queste istruzioni.

Risolvere i problemi relativi a un utente AD on-premise

Se si verifica un problema durante l'accesso a un'istanza Cloud SQL per SQL Server, esegui queste operazioni: verifiche:

• Verificare le configurazioni firewall della rete on-premise un VPC autorizzato a un progetto, utilizzando le istruzioni per creazione di un trust con un dominio on-premise.
• Verifica il Routing del suffisso dei nomi per la relazione di attendibilità on-premise.
• Verifica di poter eseguire queste operazioni di risoluzione DNS da Windows VM che esegue SSMS:
  • nslookup fqdn-for-managed-ad-domain
  • nslookup fqdn-for-on-premises-ad-domain
  • nslookup fqdn-for-cloud-sql-server-instance

Suggerimenti

• Un'istanza con IP pubblico è supportata, purché abbia un IP privato beh, l'IP privato deve essere abilitato l'istanza. Quindi puoi scegliere di utilizzare l'IP pubblico o l'IP privato per connetterti all'istanza, purché siano disponibili entrambe.
• Prima di creare un'istanza, anche quella sostitutiva, esamina quanto segue in base alle esigenze:
  • Scopri di più sull'utilizzo dell'IP privato
  • Configura l'IP pubblico
• Terraform è supportati.
• Se ricevi uno dei seguenti errori, verifica di aver soddisfatto tutti i prerequisiti per l'integrazione:
  .
  • "Account di servizio per prodotto per progetto non trovato"
  • "Autorizzazione insufficiente per l'integrazione con Managed Service for Microsoft Dominio Active Directory"
• Se ricevi l'errore "Dominio non trovato", verifica che l'input sensibile alle maiuscole il nome di dominio sia corretto.
• Se l'autenticazione Windows non riesce da un dominio connesso tramite una relazione di attendibilità, verificare che l'autenticazione di Windows funzioni per un utente di un dominio gestito. In questo caso:
  1. Verifica di aver utilizzato un nome DNS. PROPRIETÀ INTELLETTUALE indirizzi non sono supportati da domini collegati tramite un trust relazione tra utenti.
  2. Assicurati di aver seguito tutti i passaggi per creare un trust con un dominio on-premise, compresa l'apertura di tutte le porte del firewall.
  3. Convalida la fiducia.
  4. Verifica che l'approccio basato sull'attendibilità consenta agli utenti dominio (collegato tramite una relazione di attendibilità) per l'autenticazione nel dominio gestito.
  5. Verifica che il routing del suffisso del nome sia impostato sul dominio connesso tramite un rapporto di fiducia.
  6. Verifica che l'attendibilità funzioni senza utilizzare Cloud SQL per SQL Server:
     1. Creare una VM Windows.
     2. Partecipa al dominio Microsoft Active Directory gestito.
     3. Prova a eseguire, ad esempio, Blocco note come utente del dominio collegate tramite un rapporto di fiducia.
  7. Riavvia la VM client e ripeti il test dell'autenticazione di Windows.
• Puoi provare a creare un accesso a SQL Server, ma poi ricevere quanto segue errore: "Dominio utente o gruppo Windows NT\nnome non trovato. Controlla il nome di nuovo". Ciò può essersi verificato perché i gruppi locali del dominio non sono supportati; se possibile, utilizza gruppi globali o universali.
• Se emessa da un utente di un dominio connesso attraverso una relazione di fiducia, Le query SQL Server possono generare il seguente errore: "Impossibile ottenere informazioni sul gruppo/utente di Windows NT". Questo errore può verificarsi, ad esempio, se crei accessi da domini collegati tramite un trust relazione tra utenti. L'errore può verificarsi anche se concedi i privilegi a da domini collegati attraverso una relazione di attendibilità. In questi casi, nuovi tentativi dell'operazione spesso hanno esito positivo. Se il nuovo tentativo non va a buon fine, chiudi il e aprirne una nuova.

• Se visualizzi il messaggio di errore "Impossibile ottenere informazioni sul gruppo/utente di Windows NT", verifica la connettività di rete ai domini on-premise utilizzando il file di log active_directory.log disponibile in Cloud Logging per l'istanza Cloud SQL per SQL Server. Questo file contiene la seguente diagnostica relativa alle modifiche della connettività al dominio on-premise:

  • Domini on-premise attendibili dall'istanza Cloud SQL per SQL Server. Ad esempio, il seguente log mostra la modifica da nessun dominio attendibile a due nuovi domini attendibili come nomi NetBIOS, ONPREM e CHILD:

    2023-06-12 20:55:09.975 Detected change in trusted onprem domains: Previously trusted onprem domains: []. Current trusted onprem domains: [ONPREM CHILD]
    

    Se un dominio on-premise non è elencato o è registrato come non attendibile, verifica che l'attendibilità esista con il dominio Managed AD e sia stato convalidato. Se esiste un trust unidirezionale tra il dominio Managed AD e il dominio on-premise, gli altri domini on-premise attendibili dal dominio on-premise potrebbero non essere visibili.
  • Domini on-premise raggiungibili e non raggiungibili utilizzando un ping regolare dall'istanza Cloud SQL per SQL Server. Ad esempio, il seguente log mostra il passaggio da domini non raggiungibili a due nuovi domini raggiungibili, onprem.com e child.onprem.com:

    2023-06-12 20:55:10.664 Detected change in reachable onprem domains: Previously reachable onprem domains: []. Current reachable onprem domains: [onprem.com child.onprem.com]
    

    Se un dominio non è elencato nei log di raggiungibilità, assicurati prima che sia registrato come dominio attendibile. In caso contrario, la raggiungibilità non viene controllata. Abbiamo sempre un peering VPC tra un progetto con istanze on-premise e progetti Google Cloud. L'utilizzo anche di un altro peering VPC introduce una connessione in peering transitivo, non supportata da Cloud SQL. Ti consigliamo invece di utilizzare un tunnel VPN per connettere un dominio on-premise a Cloud SQL. Deve esistere al massimo una connessione in peering tra il progetto on-premise e il progetto Google Cloud con le istanze Cloud SQL per SQL Server.
  • ping della chiamata di procedura remota Microsoft (MSRPC) riusciti e non riusciti ai domini on-premise dall'istanza Cloud SQL per SQL Server. Ad esempio, il seguente log mostra la modifica dall'assenza di domini su cui è possibile eseguire il ping del servizio MSRPC a due nuovi domini disponibili per il ping del prezzo di vendita suggerito dal produttore (MSRP) ONPREM e CHILD:

    2023-06-12 20:55:10.664 Detected change in MSRPC pingable domains: Previously pingable onprem domains: []. Current pingable onprem domains: [ONPREM CHILD]
    

    I ping MSRPC sono inclusi come diagnostica aggiuntiva e potrebbero non funzionare su alcune configurazioni. Puoi comunque verificare la connettività del dominio on-premise tramite le prime due diagnostica.

• Se le query di SQL Server restituiscono l'errore "L'accesso proviene da un account non attendibile dominio", tieni presente che gli indirizzi IP non sono supportati per gli utenti di domini collegati in un rapporto di fiducia. Inoltre, le seguenti azioni potrebbe risolvere il problema:

  • Se viene utilizzato un indirizzo IP per connettere gli utenti da un dominio gestito, segui queste istruzioni.
  • Evita di utilizzare proxy e utilizza sempre lo stesso nome DNS per connetterti Cloud SQL per SQL Server, come vedi il nome nella console Google Cloud.
  • Elimina definitivamente i ticket Kerberos esistenti. L'errore riportato sopra può verificarsi se aveva un client collegato di recente a un'istanza Cloud SQL per SQL Server l'istanza è stata arrestata e avviata. In alternativa, l'errore potrebbe si verificano se Autenticazione Windows è stata disabilitata e poi riabilitata per Cloud SQL per SQL Server. Se il client utilizza la cache delle credenziali di Windows, quindi blocca e sblocca la workstation client oppure esegui klist purge.

• Un tentativo di attivare l'autenticazione di Windows potrebbe causare l'errore "Questo necessita di una data di creazione più recente per supportare il servizio gestito for Microsoft Active Directory". Tieni presente quanto segue in merito a questo errore:

  • In Cloud SQL, se un'istanza Cloud SQL per SQL Server è stata creata il giorno o prima Dal 12 marzo 2021, non può essere integrato con Managed Microsoft AD.
  • In alcuni casi, se crei un'istanza Cloud SQL per SQL Server e non abiliti Microsoft Active Directory gestito al momento della creazione, potresti ricevere lo stesso errore. Dopo aver letto gli altri suggerimenti di questa sezione, crea un nuovo abilitando Microsoft Active Directory gestito nel momento in cui crei in esecuzione in un'istanza Compute Engine.

• Un tentativo di creare un'istanza Cloud SQL per SQL Server potrebbe causare l'errore "Questo non supporta Managed Service for Microsoft Active Directory." Se viene visualizzato questo errore, il progetto potrebbe non essere supportato. prova a usare un progetto diverso.

• Se per un'istanza continuano a verificarsi problemi con l'autenticazione di Windows (indipendentemente dal fatto che l'istanza sia stata aggiornata di recente o meno), prova ad annullare la unione un dominio Active Directory gestito per poi riconnetterlo. A questo scopo, utilizza procedura di aggiornamento per annullare l'iscrizione e poi rientrare nel dominio. In questo modo non vengono rimossi gli utenti o gli accessi esistenti con autenticazione Windows presenti nei tuoi database. Tuttavia, la rimozione dell'autenticazione di Windows fa sì che un'istanza riavvio.

• Utilizzare lo strumento di diagnostica AD per risolvere i problemi di configurazione di AD con il tuo dominio on-premise e a Cloud SQL per SQL Server di Compute Engine nella console Google Cloud.

Risoluzione dei problemi

Per informazioni dettagliate, fai clic sui link nella tabella:

Passaggi successivi

• Conferma di aver esaminato interamente le pagina Panoramica, che include limitazioni e funzionalità non supportate. La pagina include anche i link alla documentazione aggiuntiva.