Utilizza Microsoft AD gestito con Cloud SQL

Mantieni tutto organizzato con le raccolte Salva e classifica i contenuti in base alle tue preferenze.

In questa pagina vengono descritti i modi in cui puoi utilizzare Cloud SQL per:

  • Integrazione con Managed Service for Microsoft Active Directory (noto anche come Managed Microsoft AD).
  • Connetterti a un'istanza con un utente AD.

Un'istanza Cloud SQL integrata con Microsoft AD gestita supporta Autenticazione Windows oltre all'Autenticazione SQL.

Prima di iniziare

  1. In Google Cloud Console, seleziona il nome del progetto.
  2. Assicurati che la fatturazione sia attivata per il tuo progetto Google Cloud. Scopri come confermare che la fatturazione è abilitata per il tuo progetto.
  3. Installa e inizializza l'interfaccia a riga di comando gcloud.
  4. Assicurati di avere il ruolo Cloud SQL Admin nel tuo account utente. Vai alla pagina IAM.
  5. Consulta i prerequisiti per l'integrazione.

Creare un'istanza con autenticazione Windows

Puoi eseguire l'integrazione con Microsoft Active Directory gestito durante la creazione di istanze, abilitando l'autenticazione di Windows per l'istanza. Per l'integrazione, scegli un dominio a cui far partecipare l'istanza. Se l'unione di un dominio non va a buon fine, la creazione dell'istanza non va a buon fine.

In preparazione alla creazione di un'istanza con autenticazione Windows, consulta i suggerimenti e le limitazioni e alternative.

È supportata un'istanza con IP pubblico, purché abbia IP privato. L'IP privato deve essere abilitato per l'istanza. Puoi quindi scegliere di utilizzare l'IP pubblico o l'IP privato per la connessione all'istanza, a condizione che entrambi siano disponibili.

Di seguito sono riportate le opzioni per la creazione di un'istanza integrata con Microsoft AD gestito.

console

  1. In Google Cloud Console, vai alla pagina Istanze Cloud SQL.

    Vai alle istanze Cloud SQL

  2. Fai clic su Crea istanza.
  3. Fai clic su Scegli SQL Server.
  4. Inserisci un nome per l'istanza. Non includere informazioni sensibili o che consentono l'identificazione personale nel nome dell'istanza, dato che sono visibili esternamente. Non è necessario includere l'ID progetto nel nome dell'istanza. Viene creato automaticamente ove appropriato (ad es. nei file di log).
  5. Inserisci la password per l'utente 'sqlserver'.
  6. Imposta la regione per l'istanza. Consulta le Best practice per l'integrazione con Managed Microsoft AD.
  7. Nella sezione Opzioni di configurazione, imposta le opzioni desiderate (ma attendi il passaggio successivo per le opzioni di autenticazione).
  8. Fai clic su Autenticazione. Il menu a discesa per unire un dominio Active Directory gestito elenca tutti i domini Microsoft AD gestiti aggiunti in precedenza al progetto.
  9. Dal menu a discesa per unire un dominio Active Directory gestito, seleziona un dominio.
  10. Dopo aver selezionato le opzioni di configurazione, fai clic su Crea. Cloud SQL crea automaticamente un account di servizio per prodotto e per progetto. Se l'account non dispone del ruolo appropriato, ti verrà chiesto di concedere il ruolo managedidentities.sqlintegrator.

gcloud

Il comando seguente crea un'istanza integrata con Microsoft Active Directory gestita, pertanto abilitata per l'autenticazione di Windows. Per informazioni sul comando di base per la creazione di un'istanza, consulta la sezione Creazione di istanze.

Specifica un parametro --active-directory-domain=DOMAIN nel comando gcloud. Ad esempio, specifica quanto segue: --active-directory-domain=ad.mydomain.com

Ecco un prototipo del comando gcloud:

gcloud beta sql instances create INSTANCE_NAME \
--database-version=EDITION \
--root-password=PASSWORD \
--active-directory-domain=DOMAIN\
--cpu=CPU \
--memory=MEMORY  \
--network=NETWORK

Terraform

Per creare un'istanza integrata con Microsoft Active Directory gestito, utilizza una risorsa Terraform.

resource "google_sql_database_instance" "instance_with_ad" {
  name             = "database-instance-name"
  region           = "us-central1"
  database_version = "SQLSERVER_2019_STANDARD"
  root_password    = "INSERT-PASSWORD-HERE"

  depends_on = [google_service_networking_connection.private_vpc_connection]

  settings {
    tier = "db-custom-2-7680"
    active_directory_config {
      domain = "ad.domain.com"
    }
    ip_configuration {
      ipv4_enabled    = "false"
      private_network = google_compute_network.private_network.id
    }
  }
  deletion_protection = false # set to true to prevent destruction of the resource
}

REST

Utilizzando l'API REST, puoi creare un'istanza integrata con Microsoft AD gestito. Specifica un dominio, ad esempio subdomain.mydomain.com, per il campo domain, come mostrato in questo prototipo di richiesta:

{
   "databaseVersion":"database-version",
   "name":"instance-id",
   "region":"region",
   "rootPassword":"password",
   "settings":{
      "tier":"machine-type",
      "ipConfiguration":{
         "privateNetwork":"network"
      },
      "activeDirectoryConfig":{
         "domain":"domain"
      }
   }
}

Aggiorna un'istanza con autenticazione Windows

Puoi aggiornare il dominio di un'istanza esistente, cambiare o aggiungere un dominio.

Per informazioni generali sull'aggiornamento di un'istanza, consulta la sezione Modifica delle istanze.

Se un'istanza è attualmente aggiunta a un dominio Active Directory gestito, l'istanza viene inizialmente unita dal dominio, prima di essere aggiunta al nuovo dominio. Se l'aggiornamento non va a buon fine, l'istanza potrebbe non essere più associata a nessun dominio.

console

  1. In Google Cloud Console, vai alla pagina Istanze Cloud SQL.

    Vai alle istanze Cloud SQL

  2. Per aprire la pagina Panoramica di un'istanza, fai clic sul suo nome.
  3. Fai clic su Modifica.
  4. Fai clic su Autenticazione. Il menu a discesa Unisci un dominio Active Directory elenca i domini Microsoft AD gestiti che in precedenza erano stati aggiunti al tuo progetto.
  5. Dal menu a discesa per unire un dominio Active Directory gestito, seleziona un nuovo dominio (di sostituzione) per l'istanza.
  6. Fai clic su Salva per applicare le modifiche.

gcloud

Di seguito è riportato un prototipo di comando per aggiornare un'istanza esistente. Il comando aggiunge o sostituisce un dominio. Passa --active-directory-domain=DOMAIN al comando come segue:

gcloud beta sql instances patch INSTANCE_NAME \
--active-directory-domain=DOMAIN

REST

Tramite l'API REST puoi aggiornare un'istanza esistente. Specifica un dominio, ad esempio subdomain.mydomain.com, nel campo domain. Di seguito è riportato un prototipo di richiesta:

{
   "settings":{
      "activeDirectoryConfig":{
         "domain":"domain"
      }
   }
}

Esegui l'integrazione con un dominio AD gestito in un altro progetto

Puoi integrare l'istanza con un dominio Microsoft AD gestito che si trova in un progetto diverso.

Durante la pianificazione dell'integrazione, rivedi i vincoli.

Attiva peering di dominio

Prima di procedere con i passaggi riportati nelle sezioni seguenti, attiva il peering di dominio in modo che il dominio sia disponibile per tutti i progetti necessari con le istanze SQL Server.

Per un elenco di domini di altri progetti già disponibili, puoi specificare quanto segue:

`gcloud active-directory peerings list`

Per ulteriori informazioni, consulta la pagina Peering di domini elencati.

Il comando gcloud active-directory peerings list richiede l'autorizzazione managedidentities.peerings.list. I seguenti ruoli dispongono di questa autorizzazione:

  • roles/managedidentities.peeringViewer
  • roles/managedidentities.viewer

Per ulteriori informazioni, consulta Controllo dell'accesso con IAM.

Crea un account di servizio

Ripeti questi passaggi per ogni progetto contenente un'istanza SQL Server di cui intendi eseguire l'integrazione.

  1. Esamina le informazioni di base per la creazione degli account di servizio.
  2. Utilizza un comando simile al seguente per creare un account di servizio. Specifica l'ID del progetto contenente le istanze SQL Server:

    gcloud beta services identity create --service=sqladmin.googleapis.com \
    --project=[PROJECT_ID]
    
  3. Concedi il ruolo managedidentities.sqlintegrator nel progetto con l'istanza Microsoft AD gestita. Specifica l'ID del progetto contenente l'istanza Microsoft AD gestita:

    gcloud projects add-iam-policy-binding [PROJECT_ID] \
    --member=serviceAccount:SERVICE_ACCOUNT --role=roles/managedidentities.sqlintegrator
    

Abilita l'autenticazione Windows tra progetti

Puoi eseguire l'integrazione con un dominio AD in un altro progetto utilizzando i comandi gcloud o l'API REST Cloud SQL. In entrambi i casi, devi specificare il nome completo della risorsa di dominio.

Specifica il nome completo della risorsa del dominio quando un'istanza SQL Server viene creata o aggiornata. Sono supportati due formati:

  • projects/PROJECT_ID/locations/global/domains/DOMAIN_NAME
  • projects/PROJECT_NUMBER/locations/global/domains/DOMAIN_NAME

Ecco un esempio con l'utilizzo di gcloud:

gcloud beta sql instances patch INSTANCE_NAME \
--active-directory-domain=projects/PROJECT_ID/locations/global/domains/DOMAIN_NAME

Se utilizzi un nome di risorsa del dominio breve (ad esempio DOMAIN_NAME), il sistema presume che il dominio Microsoft AD gestito sia nello stesso progetto delle istanze SQL Server.

vincoli per l'integrazione con progetti diversi

Se esegui l'integrazione con un dominio AD gestito in un altro progetto, si applicano i seguenti vincoli:

  • Fino a 10 reti con istanze SQL Server possono condividere un'istanza Microsoft Active Directory gestita in un progetto diverso.
  • Google Cloud Console supporta solo istanze Microsoft Active Directory gestite che si trovano nello stesso progetto. Invece di utilizzare la console Google Cloud, puoi eseguire l'integrazione utilizzando i comandi gcloud o l'API REST Cloud SQL.
  • Se vengono utilizzati i Controlli di servizio VPC, le istanze SQL Server e un'istanza Microsoft AD gestita devono essere situate nello stesso perimetro.

Inoltre, se un'istanza è integrata con un dominio AD gestito in un progetto diverso, il nome di dominio completo (FQDN) mostrato in Google Cloud Console potrebbe essere impreciso per tale istanza. In particolare, nella pagina Panoramica di quell'istanza, nella sezione Connetti a questa istanza, i nomi di dominio completi possono contenere stringhe separate da barre che puoi ignorare. Ad esempio, un nome di dominio completo potrebbe non essere indicato come segue:

private.myinstance.myregion.myproject.projects/mydirectory/locations/global/domains/mydomain.com

In tal caso, il nome di dominio completo corretto è:

private.myinstance.myregion.myproject.mydomain.com

Rimuovi l'autenticazione di Windows da un'istanza

Puoi rimuovere l'autenticazione Windows e, di conseguenza, l'integrazione di Microsoft AD gestito da un'istanza esistente.

console

  1. In Google Cloud Console, vai alla pagina Istanze Cloud SQL.

    Vai alle istanze Cloud SQL

  2. Per aprire la pagina Panoramica di un'istanza, fai clic sul suo nome.
  3. Fai clic su Modifica.
  4. Fai clic su Autenticazione. Il menu a discesa per unire un dominio Active Directory gestito elenca i domini Microsoft AD gestiti che in precedenza erano stati aggiunti al tuo progetto.
  5. Dal menu a discesa, seleziona Nessun dominio/Partecipa in un secondo momento per la tua istanza.
  6. Leggi il messaggio sul riavvio dell'istanza e fai clic su Chiudi.
  7. Fai clic su Salva per applicare le modifiche.

gcloud

Per rimuovere un'istanza da un dominio, eliminando quindi Windows Authentication, utilizza un valore vuoto per il dominio. In altre parole, nel comando utilizza un valore vuoto per il parametro --active-directory-domain, come segue:

gcloud beta sql instances patch INSTANCE_NAME \
--active-directory-domain=

REST

Con l'API REST puoi rimuovere un'istanza da un dominio. Specifica un valore vuoto nel campo domain, come segue:

{
   "settings":{
      "activeDirectoryConfig":{
         "domain":""
      }
   }
}

Connettiti a un'istanza con un utente

Per Cloud SQL per SQL Server, l'utente predefinito è sqlserver.

Dopo aver integrato un'istanza con Managed Microsoft AD, puoi connetterti all'istanza con l'utente sqlserver nel seguente modo:

  1. Crea un accesso SQL Server basato su un utente o un gruppo Windows, come descritto di seguito:

    CREATE LOGIN [domain\user_or_group] FROM WINDOWS
    
  2. Accedi all'istanza, utilizzando Autenticazione Windows, con il nome DNS dell'istanza. Di seguito sono riportati alcuni esempi di nomi DNS di istanza da specificare:

    • Per collegarti tramite IP privato:

      private.myinstance.us-central1.myproject.cloudsql.mydomain.com
      

    • Per collegarti tramite IP pubblico:

      public.myinstance.us-central1.myproject.cloudsql.mydomain.com
      

    • Per connetterti tramite il proxy di autenticazione Cloud SQL (vedi anche di seguito):

      proxy.myinstance.us-central1.myproject.cloudsql.mydomain.com
      

    Se utilizzi l'indirizzo IP dell'istanza, i client Kerberos devono essere configurati per supportare i nomi host IP. Dai domini collegati attraverso una relazione di attendibilità, l'accesso con un indirizzo IP non è supportato.

Utilizzare il proxy di autenticazione Cloud SQL con l'autenticazione di Windows

Puoi utilizzare il proxy di autenticazione Cloud SQL con l'integrazione di Microsoft AD gestito.

Prima di iniziare, esamina:

Passaggi per l'autenticazione di Windows

Per informazioni di base sull'avvio del proxy di autenticazione Cloud SQL, consulta Avviare il proxy di autenticazione Cloud SQL.

Per l'autenticazione Windows, il proxy di autenticazione Cloud SQL deve essere eseguito sulla porta 1433. Puoi mappare una voce predefinita Service Principal Name (SPN) a un indirizzo proxy di autenticazione Cloud SQL:

proxy.[instance].[location].[project].cloudsql.[domain]

Esegui il proxy di autenticazione Cloud SQL localmente

Se esegui il proxy di autenticazione Cloud SQL in locale, utilizza il tuo file host per mappare quanto segue a 127.0.0.1:

proxy.[instance].[location].[project].cloudsql.[domain]

Ad esempio, puoi aggiungere quanto segue al file hosts (ad esempio, a c:\windows\system32\drivers\etc\hosts):

127.0.0.1 proxy.[instance].[location].[project].cloudsql.[domain]

In questo esempio, puoi eseguire il proxy di autenticazione Cloud SQL utilizzando questo comando e renderlo disponibile su 127.0.0.1:1433:

cloud_sql_proxy_x64.exe -credential_file credential.json  -instances=project:name=tcp:1433

Esegui il proxy di autenticazione Cloud SQL non localmente

Per eseguire il proxy di autenticazione Cloud SQL non localmente, segui le istruzioni nell'articolo Eseguire il proxy di autenticazione Cloud SQL in locale, ma utilizza una voce diversa nel file host.

In particolare, se un host non locale è, ad esempio, MyOtherHost, puoi aggiungere al file host quanto segue:

127.0.0.1 MyOtherHost proxy.[instance].[location].[project].cloudsql.[domain]

Risolvere i problemi relativi ai fallback NTLM nei client

Se utilizzi l'autenticazione di Windows e un indirizzo IP di istanza per accedere a un'istanza, è necessario che un client Kerberos sia configurato per supportare i nomi host IP.

L'autenticazione NTLM non è supportata, ma alcuni client Kerberos potrebbero tentare di utilizzarla. Come descritto in questa sezione, se tenti di connetterti a SQL Server Server Studio (SSMS) e viene visualizzato il seguente messaggio di errore, probabilmente la causa è il fallback NTLM:

Login failed. The login is from an untrusted domain and cannot be used with Integrated authentication. (Microsoft SQL Server, Error: 18452)

NTLM è un insieme di protocolli di sicurezza di Microsoft per l'autenticazione. Vedi anche i motivi per il fallback NTLM.

Verifica di un NTLM di riserva per un client Windows

Da Windows, per verificare che l'errore riportato sopra sia causato da un fallback su NTLM:

  1. Accedi con le credenziali on-premise desiderate (non utilizzare "Run as...").
  2. Apri un prompt dei comandi.
  3. Esegui klist purge.
  4. Da SSMS, prova a connetterti a SQL Server tramite autenticazione Windows.
  5. Esegui klist e controlla se esiste un biglietto emesso per "MSSQLSvc/<address>:1433 @ domain".
  6. Se non è presente un ticket di questo tipo, è probabile che l'errore sia stato causato dal video di riserva di NTLM.
  7. Se esiste un ticket di questo tipo, verifica che il driver SQL Server non applichi l'autenticazione NTLM. Controlla anche se l'autenticazione NTLM viene applicata tramite Criteri di gruppo.

Verifica di un NTLM di riserva per un client Linux

Da Ubuntu 16.04, per verificare che l'errore riportato sopra sia causato dal fallback NTLM, utilizza la procedura descritta in questa sezione. I passaggi sono simili a quelli di altre distribuzioni Linux.

Configura l'autenticazione Kerberos

  1. Configurare un client Kerberos:

    sudo apt-get install krb5-user
    
  2. Quando ti viene chiesto l'area di autenticazione predefinita, digita un nome di dominio on-premise in lettere maiuscole.

  3. Per installare gli strumenti a riga di comando di SQL Server, esegui il comando seguente:

    curl https://packages.microsoft.com/keys/microsoft.asc | sudo apt-key add -
    curl https://packages.microsoft.com/config/ubuntu/16.04/prod.list | sudo tee /etc/apt/sources.list.d/msprod.list
    sudo apt-get update
    sudo apt-get install mssql-tools unixodbc-dev
    

Connetti con autenticazione Windows

  1. Esegui lo strumento kinit come segue: kinit <user_account>
  2. Per connetterti con Autenticazione Windows, esegui: /opt/mssql-tools/bin/sqlcmd -S <address>
  3. Esegui il comando klist e controlla se è stato emesso un ticket specifico per: "MSSQLSvc/<address>:1433 @ domain"
  4. Se il biglietto non è stato emesso, l'errore riportato sopra probabilmente indica un problema che causa la riserva NTLM.

Motivi del fallback NTLM

Il procedimento di riserva su NTLM è un errore di configurazione del client che può essere associato alle seguenti condizioni:

  • Per impostazione predefinita, Windows non tenta l'autenticazione Kerberos per un host se il nome host è un indirizzo IP. Per abilitare l'autenticazione Kerberos dal dominio gestito, prova il metodo descritto qui. Questo metodo non funziona con le credenziali on-premise quando è necessario utilizzare i nomi di dominio completi.
  • L'autenticazione Kerberos su trust esterni non funziona. Utilizza i trust forestali, come descritto qui.
  • L'autenticazione Kerberos richiede il routing dei suffissi di nome per consentire il reperimento di servizi in un'altra foresta. Prova il metodo descritto qui.
  • L'autenticazione Kerberos non funziona in assenza di SPN registrato per il servizio. Usa solo FQDN o indirizzi IP ottenuti da Google Cloud Console per connetterti all'autenticazione Windows.

Utente AD on-premise: creazione di un accesso Windows

Puoi utilizzare un utente AD on-premise per creare un accesso di Windows a Cloud SQL per SQL Server.

Ad esempio, puoi connetterti utilizzando SQL Server Management Studio (SMSS) in esecuzione su una VM Windows ospitata nel tuo Virtual Private Cloud (VPC) del tuo progetto Google Cloud.

Per l'autenticazione Windows in questo contesto, Cloud SQL per SQL Server supporta solo il protocollo Kerberos. Per l'autenticazione Windows basata su Kerberos, il client deve risolvere il nome DNS dell'annuncio AD on-premise e dell'annuncio Microsoft gestito.

Configura trust unidirezionale o bidirezionale

Inizialmente, decidi se utilizzare una relazione di fiducia unidirezionale o bidirezionale.

Successivamente, segui le istruzioni per creare attendibilità tra il dominio AD on-premise e il dominio Microsoft AD gestito.

Configura una VM Windows e crea un accesso Windows

Dopo aver stabilito l'attendibilità tra il dominio AD on-premise e il dominio Microsoft AD gestito, completa i passaggi seguenti. Ad esempio, questi passaggi utilizzano SQL Server Management Studio (SSMS), in esecuzione su una VM Windows, ospitato nel VPC del tuo progetto Google Cloud:

  1. Creare una VM Windows.
    • Crea una VM con una versione di Windows supportata da Microsoft AD gestito.
    • Crea la VM nel progetto che ospita il tuo dominio Microsoft AD gestito. Se esiste un VPC condiviso che è una rete autorizzata, puoi anche creare una VM in uno qualsiasi dei suoi progetti di servizio.
    • Crea la VM su una rete VPC che è una rete autorizzata del dominio Microsoft AD gestito e che ha configurato l'accesso privato ai servizi per Cloud SQL.
  2. Partecipa alla VM Windows al dominio Microsoft AD gestito.
  3. Installa SMS sulla VM Windows.
  4. Risolvi il dominio on-premise nella rete VPC.
    • Dalla rete autorizzata su cui è in esecuzione la VM Windows, abilita la risoluzione DNS on-premise seguendo i passaggi descritti nella pagina Risoluzione di query per oggetti AD non gestiti. I passaggi riportati in questa pagina sono dei prerequisiti per eseguire l'autenticazione di Windows basata su Kerberos per gli utenti on-premise.
  5. Crea un accesso Windows per un utente on-premise.

    CREATE LOGIN [DOMAIN_NAME\USER_NAME] FROM WINDOWS
    
  6. Accedi all'istanza Cloud SQL per SQL Server utilizzando le istruzioni specifiche dell'applicazione per il logging in un utente on-premise. Ad esempio, se utilizzi SQL Server Management Studio, consulta queste istruzioni.

Se si verifica un problema durante l'accesso a un'istanza SQL Server, esegui queste verifiche:

  • Verifica le configurazioni del firewall della rete on-premise e del VPC autorizzato dal progetto, seguendo le istruzioni per la creazione di un trust con un dominio on-premise.
  • Verifica il Routing del suffisso di nome per la relazione di trust on-premise.
  • Verifica di poter eseguire queste operazioni di risoluzione DNS dalla VM Windows che esegue SSMS:
    • nslookup fqdn-for-managed-ad-domain
    • nslookup fqdn-for-on-premises-ad-domain
    • nslookup fqdn-for-cloud-sql-server-instance

Suggerimenti

  • È supportata un'istanza con IP pubblico, purché abbia anche l'IP privato; l'IP privato deve essere abilitato per l'istanza. Puoi quindi scegliere di utilizzare l'IP pubblico o l'IP privato per la connessione all'istanza, a condizione che entrambi siano disponibili.
  • Prima di creare un'istanza, inclusa un'istanza sostitutiva, controlla quanto segue in base alle necessità:
  • Terraform è supportato.
  • Se ricevi uno dei seguenti errori, verifica di aver soddisfatto tutti i prerequisiti per l'integrazione:
    • "L'account di servizio per progetto non è stato trovato"
    • "Autorizzazione insufficiente per l'integrazione con Managed Service for Microsoft Active Directory domain"
  • Se viene visualizzato il messaggio di errore "Dominio non trovato", verifica che il nome di dominio sensibile alle maiuscole sia corretto.
  • Se l'autenticazione di Windows non riesce per un dominio connesso tramite una relazione di attendibilità, verifica che l'autenticazione di Windows funzioni per un utente di un dominio gestito. In questo caso:
    1. Verifica di aver utilizzato un nome DNS. Gli indirizzi IP non sono supportati dai domini collegati che utilizzano una relazione di attendibilità.
    2. Assicurati di aver seguito tutti i passaggi per creare un trust con un dominio on-premise, inclusa l'apertura di tutte le porte firewall.
    3. Convalida il trust.
    4. Verifica che la direzione del trust consenta agli utenti del dominio (connessi tramite una relazione di trust) di eseguire l'autenticazione nel dominio gestito.
    5. Verifica che il routing del suffisso del nome sia impostato sul dominio collegato tramite una relazione di trust.
    6. Verifica che il trust funzioni senza utilizzare Cloud SQL per SQL Server:
      1. Creare una VM Windows.
      2. Aggiungilo al dominio Microsoft AD gestito.
      3. Prova a eseguire, ad esempio, Blocco note come un utente del dominio collegato tramite una relazione di trust.
    7. Riavvia la VM client e ripeti il test di autenticazione Windows.
  • Puoi provare a creare un accesso a SQL Server, ma poi ricevi il seguente errore: "Dominio utente o gruppo di Windows NT\nnon trovato. Controlla di nuovo il nome. Ciò può essersi verificato perché i gruppi locali del dominio non sono supportati; se applicabile, utilizza invece gruppi globali o universali.
  • Quando vengono inviate da un utente da un dominio collegato tramite una relazione di attendibilità, le query SQL Server possono causare il seguente errore: "Impossibile ottenere informazioni sul gruppo/utente Windows NT". Questo errore può verificarsi, ad esempio, se stai creando accessi da domini collegati tramite una relazione di trust. L'errore può verificarsi anche se concedi i privilegi di accesso ai domini collegati attraverso una relazione di trust. In questi casi, spesso riprovare l'operazione ha esito positivo. Se il nuovo tentativo non va a buon fine, chiudi la connessione e aprine una nuova.
  • Se le query SQL Server restituiscono l'errore "L'accesso proviene da un dominio non attendibile", tieni presente che gli indirizzi IP non sono supportati per gli utenti dei domini collegati attraverso una relazione di attendibilità. Inoltre, il seguente problema potrebbe essere risolto nel seguente modo:
    • Se viene utilizzato un indirizzo IP per connettere gli utenti da un dominio gestito, segui queste istruzioni.
    • Evita di utilizzare proxy e utilizza sempre lo stesso nome DNS per connetterti a Cloud SQL per SQL Server, così come vedi il nome nella console Google Cloud.
    • Elimina definitivamente i ticket Kerberos esistenti. L'errore sopra riportato potrebbe verificarsi se un client era connesso di recente a un'istanza SQL Server e l'istanza è stata arrestata e avviata. In alternativa, l'errore potrebbe verificarsi se l'autenticazione di Windows è stata disabilitata e poi riattivata per l'istanza SQL Server. Se il client utilizza la cache delle credenziali di Windows, blocca e sblocca la workstation del client o esegui klist purge.
  • Un tentativo di abilitare l'autenticazione di Windows potrebbe causare un errore di tipo "Questa istanza richiederebbe una data di creazione più recente per supportare il Servizio gestito per Microsoft Active Directory." Tieni presente quanto segue in merito a questo errore:
    • In Cloud SQL, se un'istanza SQL Server è stata creata il 12 marzo 2021 o in una data precedente, non può essere integrata con Microsoft Active Directory gestito.
    • In alcuni casi, se crei un'istanza SQL Server e non abiliti la gestione gestita di Microsoft AD durante la creazione, potresti ricevere lo stesso errore. Dopo aver esaminato gli altri suggerimenti in questa sezione, crea una nuova istanza, abilitando Microsoft Active Directory gestito nel momento in cui crei l'istanza.
  • Un tentativo di creare un'istanza SQL Server può causare l'errore "Questa istanza non supporta Managed Service per Microsoft Active Directory". Se ricevi questo errore, il progetto potrebbe non essere supportato; prova a utilizzare un progetto diverso.
  • Se un'istanza presenta problemi in corso con l'autenticazione di Windows (indipendentemente dal fatto che sia stata aggiornata di recente), prova a annullare la connessione al dominio Active Directory gestito, quindi esegui di nuovo la riassociazione. Per farlo, utilizza la procedura di aggiornamento per annullare l'iscrizione e poi per rientrare nel dominio. Questa operazione non rimuove gli utenti autenticati con Windows esistenti o gli accessi esistenti nei tuoi database. Tuttavia, la rimozione di Windows Authentication comporta il riavvio di un'istanza.

Risoluzione dei problemi

Fai clic sui link nella tabella per maggiori dettagli:

Per questo errore... Il problema potrebbe essere... Prova...
Per-product, per-project service account not found. Il nome dell'account di servizio non è corretto. Nella pagina Account di servizio, assicurati di aver creato un account di servizio per il progetto utente corretto.
Insufficient permission to integrate with Managed Service for Microsoft Active Directory domain. Ruolo managedidentities.sqlintegrator mancante nell'account di servizio. Dalla pagina IAM e amministratore, aggiungi il ruolo managedidentities.sqlintegrator al tuo account di servizio.
Domain not found. Il dominio non esiste o non è stato digitato correttamente. Assicurati che il nome di dominio sia corretto. Fa distinzione tra maiuscole e minuscole.
The domain is busy with another operation. Please retry. Un'altra istanza Cloud SQL sta eseguendo un'operazione sullo stesso dominio Active Directory gestito. Riprova a eseguire l'operazione. Se esegui un batch di aggiornamenti delle istanze Cloud SQL collegate allo stesso dominio, limitane quanti vengono eseguiti in parallelo.
The operation completed but an update to Active Directory failed. You may experience issues with Windows Authentication on this instance, please see https://cloud.google.com/sql/docs/sqlserver/configure-ad for tips. Impossibile eseguire gli aggiornamenti richiesti nel dominio Managed Active Directory. Se riscontri problemi con l'autenticazione di Windows, puoi provare a annullare la connessione al dominio Active Directory gestito e quindi riassociarla. Per farlo, utilizza la procedura di aggiornamento per annullare l'iscrizione e poi per rientrare nel dominio. Questa operazione non rimuove gli utenti o gli accessi autenticati da Windows esistenti esistenti nei database. Tuttavia, la rimozione di Windows Authentication comporta il riavvio di un'istanza.
This instance would need a more recent creation date to support Managed Service for Microsoft Active Directory. In Cloud SQL, se un'istanza SQL Server è stata creata il 12 marzo 2021 o in una data precedente, non può essere integrata con Microsoft AD gestito. Prova a eseguire l'operazione su un'istanza creata dopo il 12 marzo 2021.

Passaggi successivi

  • Verifica di aver esaminato completamente la pagina di riepilogo, che include limitazioni e funzionalità non supportate. che include anche link a documentazione aggiuntiva.