Halaman ini memberikan tips dan pendekatan untuk memecahkan masalah umum pada Managed Service for Microsoft Active Directory dan menyelesaikannya.
Tidak dapat membuat domain Microsoft AD Terkelola
Jika Anda tidak dapat membuat domain Managed Microsoft AD, memverifikasi konfigurasi berikut dapat membantu.
API yang diperlukan
Managed Microsoft AD mengharuskan Anda mengaktifkan sekelompok API sebelum dapat membuat domain.
Untuk memverifikasi bahwa API yang diperlukan telah diaktifkan, selesaikan langkah-langkah berikut:
Konsol
- Buka halaman APIs & Services di
Google Cloud konsol.
Buka APIs & Services Di halaman Dashboard, pastikan bahwa API berikut tercantum:
- Managed Service for Microsoft Active Directory API
- Compute Engine API
- Cloud DNS API
gcloud
Jalankan perintah gcloud CLI berikut:
gcloud services list --available
Perintah ini akan menampilkan daftar API yang diaktifkan. Pastikan API berikut tercantum:
- Managed Service for Microsoft Active Directory API
- Compute Engine API
- Cloud DNS API
Jika salah satu API ini tidak ada, selesaikan langkah-langkah berikut untuk mengaktifkannya:
Konsol
- Buka halaman
API Library di
Google Cloud konsol.
Buka Library API - Di halaman API Library, di kolom penelusuran, masukkan nama API yang tidak ada.
- Di halaman informasi API, klik Enable.
gcloud
Jalankan perintah gcloud CLI berikut:
gcloud services enable API_NAME
Ganti API_NAME dengan nama API yang tidak ada.
Ulangi proses ini hingga semua API yang diperlukan diaktifkan.
Penagihan
Managed Microsoft AD mengharuskan Anda mengaktifkan penagihan sebelum dapat membuat domain.
Untuk memverifikasi bahwa penagihan diaktifkan, selesaikan langkah-langkah berikut:
Konsol
- Buka halaman Billing di
Google Cloud console.
Buka Penagihan - Pastikan ada akun penagihan yang disiapkan untuk organisasi Anda.
- Klik tab Project saya, lalu verifikasi bahwa project tempat Anda mencoba membuat domain Microsoft AD Terkelola tercantum.
gcloud
Jalankan perintah gcloud CLI berikut:
gcloud billing projects describe PROJECT_ID
Jika tidak melihat akun penagihan yang valid ditautkan ke project, Anda harus mengaktifkan penagihan.
Rentang alamat IP
Jika Anda menerima error IP range overlap saat mencoba membuat domain, artinya rentang alamat IP yang dicadangkan yang Anda berikan dalam permintaan pembuatan domain tumpang-tindih dengan rentang alamat IP jaringan yang diberi otorisasi. Untuk mengatasi masalah ini, Anda harus memilih rentang alamat IP yang berbeda atau jaringan yang diizinkan berbeda. Untuk mengetahui informasi selengkapnya, lihat
Memilih rentang alamat IP.
Izin
Jika Anda menerima error Permission denied saat mencoba membuat domain, Anda harus memverifikasi bahwa identitas yang memanggil diizinkan untuk memanggil Managed Microsoft AD API. Pelajari lebih lanjut
peran dan izin Managed Microsoft AD.
Kebijakan organisasi
Pembuatan domain dapat gagal karena konfigurasi kebijakan organisasi. Misalnya, Anda dapat mengonfigurasi kebijakan organisasi untuk mengizinkan akses hanya ke layanan tertentu, seperti GKE atau Compute Engine. Pelajari lebih lanjut Batasan kebijakan organisasi.
Minta administrator Anda yang memiliki peran IAM
roles/orgpolicy.policyAdmin
administrator kebijakan organisasi di organisasi untuk memperbarui kebijakan
organisasi yang diperlukan.
Kebijakan organisasi Resource Location Restriction
Batasan daftar ini menentukan kumpulan lokasi tempat resource berbasis lokasi dapat dibuat.Google Cloud Menolak globallokasi dapat memengaruhi Managed Microsoft AD.
Untuk melihat dan memperbarui kebijakan organisasi Resource Location Restriction:
Konsol
- Buka halaman Organization policies di konsol Google Cloud .
Buka Kebijakan organisasi - Di halaman Organization policies, pada kolom Name, pilih kebijakan Resource Location Restriction untuk membuka panel Policy summary.
- Di panel Ringkasan kebijakan, pastikan lokasi
globaldiizinkan. - Jika Anda perlu melakukan perubahan, pilih Edit, perbarui kebijakan, lalu klik Simpan.
Pelajari cara membatasi lokasi resource.
gcloud
Untuk melihat detail kebijakan organisasi
Resource Location Restriction, jalankan perintah gcloud CLI berikut. Pelajari perintahgcloud resource-manager org-policies describe.gcloud resource-manager org-policies describe constraints/gcp.resourceLocations \ --organization=ORGANIZATION_IDJika perintah
describemenunjukkan bahwaglobaltidak diizinkan, jalankan perintah berikut untuk mengizinkannya. Pelajari perintahgcloud resource-manager org-policies allow.gcloud resource-manager org-policies allow constraints/gcp.resourceLocations global \ --organization=ORGANIZATION_ID
Pelajari cara membatasi lokasi resource.
Kebijakan organisasi Restrict VPC peering usage
Batasan daftar ini menentukan kumpulan jaringan VPC yang diizinkan untuk melakukan peering dengan jaringan VPC yang termasuk dalam resource tertentu. Saat Anda menentukan jaringan yang diizinkan untuk domain Managed Microsoft AD, peering VPC dibuat antara jaringan yang diizinkan dan jaringan terisolasi yang berisi pengontrol domain AD. Jika kebijakan organisasi untuk project menolak peering, Managed Microsoft AD tidak dapat membuat peering apa pun ke jaringan yang diizinkan sehingga pembuatan domain gagal. Anda menerima error seperti ini:
GCE_PRECONDITION_FAILED: Constraint constraints /compute.restrictVpcPeering violated for project PROJECT_ID. Peering the network projects/PROJECT_ID/global/networks/VPC_NETWORK_NAME is not allowed.
Untuk melihat dan memperbarui kebijakan organisasi Restrict VPC peering usage:
Konsol
- Buka halaman Organization policies di konsol Google Cloud .
Buka Kebijakan organisasi - Di halaman Organization policies, pada kolom Name, pilih kebijakan Restrict VPC peering usage untuk membuka panel Policy summary.
- Di panel Policy summary, pastikan project mengizinkan peering.
- Jika Anda perlu melakukan perubahan, pilih Edit, perbarui kebijakan, lalu klik Simpan.
gcloud
Untuk melihat detail kebijakan organisasi
Restrict VPC peering usage, jalankan perintah gcloud CLI berikut. Pelajari perintahgcloud resource-manager org-policies describe.gcloud resource-manager org-policies describe constraints/compute.restrictVpcPeering \ --organization=ORGANIZATION_IDJika perintah
describemenunjukkan bahwa peering tidak diizinkan, jalankan perintah berikut untuk mengizinkannya. Pelajari perintahgcloud resource-manager org-policies allow.gcloud resource-manager org-policies allow constraints/compute.restrictVpcPeering under:projects/PROJECT_ID \ --organization=ORGANIZATION_IDGanti kode berikut:
PROJECT_ID: nama project yang berisi resource Managed Microsoft AD.ORGANIZATION_ID: ID organisasi yang menghosting project tersebut.
Tidak dapat menggabungkan VM Windows secara otomatis ke domain
Berikut adalah beberapa masalah dengan kode error yang mungkin Anda alami saat mencoba bergabung dengan VM Windows atau node Windows Server GKE secara otomatis ke domain:
| Kode error | Deskripsi | Kemungkinan solusi |
|---|---|---|
CONFLICT (409) |
Menunjukkan bahwa akun instance VM sudah ada di domain Managed Microsoft AD. | Hapus akun secara manual dari Managed Microsoft AD menggunakan alat RSAT, lalu coba lagi. Untuk mengetahui informasi selengkapnya tentang cara mengelola objek AD di Managed Microsoft AD, lihat Mengelola objek Active Directory. |
BAD_REQUEST (412) |
Menunjukkan bahwa permintaan gabung domain berisi informasi yang tidak valid seperti nama domain yang salah dan struktur hierarki unit organisasi (OU) yang salah. | Tinjau informasi, perbarui detail jika diperlukan, lalu coba lagi. |
INTERNAL (500) |
Menunjukkan bahwa server mengalami error internal yang tidak diketahui. | Hubungi Google Cloud Dukungan untuk mengatasi masalah ini. |
FORBIDDEN (403) |
Menunjukkan bahwa akun layanan yang ditentukan tidak memiliki hak istimewa yang diperlukan. | Periksa apakah Anda memiliki hak istimewa yang diperlukan di akun layanan dan coba lagi. |
UNAUTHORIZED (401) |
Menunjukkan bahwa VM tidak memiliki otorisasi yang valid untuk bergabung dengan domain. | Periksa apakah Anda memiliki cakupan akses yang diperlukan di VM, lalu coba lagi. |
Tidak dapat menggabungkan VM secara manual ke domain
Jika Anda tidak dapat menggabungkan komputer secara manual dari lingkungan lokal ke domain Managed Microsoft AD, verifikasi persyaratan berikut:
Komputer yang ingin Anda ikuti dapat ditemukan dari Managed Microsoft AD. Untuk memverifikasi konektivitas ini, lakukan pencarian DNS dari lingkungan lokal ke domain Managed Microsoft AD menggunakan perintah
nslookup.Jaringan lokal tempat komputer berada harus di-peering dengan jaringan VPC domain Managed Microsoft AD Anda. Untuk informasi tentang cara memecahkan masalah koneksi Peering Jaringan VPC, lihat Pemecahan masalah.
Tidak dapat menggunakan VPC Bersama sebagai jaringan yang diizinkan
Untuk mengakses domain Managed Microsoft AD dari jaringan VPC Bersama, domain harus dibuat di project yang sama yang menghosting jaringan VPC Bersama.
Tidak dapat mengakses domain Microsoft AD Terkelola
Jika domain Managed Microsoft AD Anda tampaknya tidak tersedia, Anda bisa mendapatkan informasi selengkapnya tentang statusnya dengan menyelesaikan langkah-langkah berikut:
Konsol
Buka halaman
Managed Service for Microsoft Active Directory
di konsol Google Cloud .
Buka Managed Service for Microsoft Active Directory
Di halaman Managed Service for Microsoft Active Directory, di kolom Status, Anda dapat melihat status untuk domain Anda.
gcloud
Jalankan perintah gcloud CLI berikut:
gcloud active-directory domains list
Perintah ini akan menampilkan status untuk domain Anda.
Jika status domain Anda adalah DOWN, hal ini menunjukkan bahwa akun Anda mungkin telah ditangguhkan. Hubungi Google Cloud Dukungan untuk
menyelesaikan masalah ini.
Jika status domain Anda adalah PERFORMING_MAINTENANCE,
Managed Microsoft AD masih dapat digunakan, tetapi mungkin tidak mengizinkan
operasi seperti memperluas skema, menambahkan atau menghapus wilayah. Status ini jarang terjadi dan hanya terjadi saat OS di-patch.
Tidak dapat membuat kepercayaan
Jika Anda mengikuti langkah-langkah untuk membuat hubungan tepercaya, tetapi tidak dapat menyelesaikan prosesnya, memverifikasi konfigurasi berikut dapat membantu.
Domain lokal dapat dijangkau
Untuk memverifikasi bahwa domain lokal dapat dijangkau dari domain Managed Microsoft AD, Anda dapat menggunakan ping atau Test-NetConnection. Jalankan perintah ini dari
VM yang dihosting di Google Cloud dan di jaringan yang sah. Pastikan
VM dapat menjangkau pengontrol domain lokal. Pelajari lebih lanjut
Test-NetConnection.
Alamat IP
Untuk memverifikasi bahwa alamat IP yang diberikan selama penyiapan hubungan tepercaya dapat menyelesaikan domain lokal, jalankan perintah berikut:
nslookup ON_PREMISES_DOMAIN_NAME CONDITIONAL_FORWARDER_ADDRESS
Ganti kode berikut:
ON_PREMISES_DOMAIN_NAME: nama domain lokal Anda.CONDITIONAL_FORWARDER_ADDRESS: alamat IP forwarder kondisional DNS Anda.
Jika ada beberapa alamat penerusan bersyarat, Anda dapat menguji salah satu alamat tersebut.
Pelajari lebih lanjut
nslookup.
Hubungan kepercayaan lokal
Untuk memverifikasi bahwa hubungan tepercaya di lokasi telah dibuat, Anda harus memeriksa apakah informasi berikut cocok.
- Jenis dan arah kepercayaan di domain Microsoft AD Terkelola melengkapi kepercayaan yang dibuat di domain lokal.
- Secret kepercayaan yang diberikan saat membuat kepercayaan di domain Microsoft AD Terkelola cocok dengan yang dimasukkan di domain lokal.
Arah kepercayaan lokal melengkapi arah kepercayaan yang dikonfigurasi di Managed Microsoft AD. Artinya, jika domain lokal mengharapkan kepercayaan masuk, arah kepercayaan untuk domain Managed Microsoft AD adalah keluar. Pelajari lebih lanjut arah kepercayaan.
Kepercayaan tidak lagi berfungsi
Jika sebelumnya Anda membuat hubungan tepercaya, tetapi tidak lagi berfungsi, Anda harus memverifikasi konfigurasi yang sama seperti yang Anda lakukan untuk memecahkan masalah pembuatan hubungan tepercaya.
Selain itu, jika kepercayaan tidak digunakan selama 60 hari atau lebih, sandi kepercayaan akan berakhir. Untuk memperbarui sandi, ubah sandi untuk kepercayaan di domain lokal, lalu perbarui sandi di domain Managed Microsoft AD.
Autentikasi Active Directory gagal (Akun yang dihosting di Managed Microsoft AD)
Jika autentikasi Active Directory tampaknya gagal saat menggunakan akun yang dihosting di Managed Microsoft AD, memverifikasi konfigurasi berikut dapat membantu.
VM berada di jaringan yang diizinkan
Untuk memverifikasi bahwa VM yang digunakan untuk mengakses domain berada di jaringan yang diberi otorisasi, selesaikan langkah-langkah berikut.
Buka halaman Managed Service for Microsoft Active Directory di konsol Google Cloud .
Buka Managed Service for Microsoft Active DirectoryPilih nama domain Anda.
Di halaman Domain, di bagian Networks, pastikan jaringan yang diizinkan tercantum.
Nama pengguna dan sandi sudah benar
Verifikasi bahwa nama pengguna dan sandi yang diberikan untuk login sudah benar.
Aturan firewall
Aturan firewall deny untuk keluar ke rentang alamat IP pengontrol domain dapat menyebabkan otentikasi gagal.
Untuk memeriksa aturan firewall, selesaikan langkah-langkah berikut:
Konsol
Buka halaman Firewall rules di konsol Google Cloud .
Buka Aturan firewallDi halaman ini, pastikan tidak ada
denyuntuk keluar yang dikonfigurasi untuk rentang alamat IP pengontrol domain.
gcloud
Jalankan perintah gcloud CLI berikut:
gcloud compute firewall-rules list
Perintah ini akan menampilkan daftar aturan firewall yang dikonfigurasi. Pastikan tidak ada
denyuntuk keluar yang dikonfigurasi untuk rentang alamat IP pengontrol domain.
Pelajari lebih lanjut aturan firewall.
Alamat IP
Autentikasi dapat gagal jika alamat IP tidak berada dalam rentang CIDR yang dicadangkan.
Untuk memeriksa alamat IP, jalankan perintah berikut.
nslookup DOMAIN_NAME
Jika nslookup gagal atau menampilkan alamat IP yang tidak berada dalam rentang CIDR, Anda harus memverifikasi bahwa zona DNS ada.
Untuk memvalidasi bahwa zona DNS ada, selesaikan langkah-langkah berikut:
Konsol
Buka halaman Cloud DNS di konsol Google Cloud .
Buka Cloud DNSDi halaman Cloud DNS, pada tab Zones, periksa kolom In use by untuk jaringan yang diberi otorisasi.
gcloud
Jalankan perintah gcloud CLI berikut:
gcloud dns managed-zones list --filter=FQDN
Ganti
FQDNdengan nama domain yang sepenuhnya memenuhi syarat dari domain Managed Microsoft AD Anda.
Jika tidak ada zona yang tercantum yang digunakan oleh jaringan yang diizinkan, Anda harus menghapus dan menambahkan kembali jaringan yang diizinkan.
Peering jaringan
Autentikasi dapat gagal jika peering jaringan VPC tidak dikonfigurasi dengan benar.
Untuk memverifikasi bahwa peering telah disiapkan, selesaikan langkah-langkah berikut:
Konsol
Buka halaman VPC network peering di konsol Google Cloud .
Buka VPC network peeringDi halaman VPC network peering, di kolom Name, cari peering yang disebut
peering-VPC_NETWORK_NAME.
gcloud
Jalankan perintah gcloud CLI berikut:
gcloud compute networks peerings list --network=VPC_NETWORK_NAME
Perintah ini akan menampilkan daftar peering. Dalam daftar, cari salah satu yang disebut
peering-VPC_NETWORK_NAME.
Jika peering-VPC_NETWORK_NAME tidak ada dalam daftar, Anda harus menghapus dan menambahkan kembali jaringan yang diizinkan.
Autentikasi Active Directory gagal (melalui kepercayaan)
Jika autentikasi Active Directory tampaknya gagal saat menggunakan akun terkelola yang dihosting di lokal melalui kepercayaan, Anda harus memverifikasi konfigurasi yang sama seperti yang Anda lakukan untuk memecahkan masalah pembuatan kepercayaan.
Selain itu, pastikan akun tersebut berada di grup yang didelegasikan Cloud Service Computer Remote Desktop Users. Pelajari lebih lanjut
grup yang didelegasikan
Tidak dapat mengakses domain dari VM kemampuan pengelolaan
Jika Anda tidak dapat mengakses domain Managed Microsoft AD dari VM yang digunakan untuk mengelola objek AD, Anda harus memverifikasi konfigurasi yang sama seperti yang akan Anda lakukan untuk memecahkan masalah autentikasi Active Directory untuk akun yang dihosting Managed Microsoft AD.
Error Org policy saat membuat, memperbarui, atau menghapus
Jika Anda mengalami error org policy saat membuat, memperbarui, atau menghapus
resource, Anda mungkin perlu mengubah kebijakan organisasi. Pelajari
Batasan Kebijakan Organisasi.
Minta administrator Anda yang memiliki peran IAM
roles/orgpolicy.policyAdmin
administrator kebijakan organisasi di organisasi untuk memperbarui kebijakan
organisasi yang diperlukan.
Kebijakan organisasi Define allowed APIs and services
Batasan daftar ini menentukan kumpulan layanan dan API yang dapat diaktifkan pada resource tertentu. Turunannya dalam hierarki resource juga mewarisi batasan. Jika batasan ini tidak mengizinkan API yang diperlukan untuk Managed Microsoft AD, Anda akan menerima error saat mencoba membuat, mengupdate, atau menghapus resource.
Untuk melihat dan memperbarui kebijakan organisasi Define allowed APIs and services:
Konsol
- Buka halaman Organization policies di konsol Google Cloud .
Buka Kebijakan organisasi - Di halaman Kebijakan organisasi, di kolom Nama, pilih kebijakan Tentukan API dan layanan yang diizinkan untuk membuka panel Ringkasan kebijakan.
- Di panel Ringkasan kebijakan, pastikan API berikut tidak ditolak:
dns.googleapis.comcompute.googleapis.com
- Jika Anda perlu melakukan perubahan, pilih Edit, perbarui kebijakan, lalu klik Simpan.
gcloud
Jalankan perintah gcloud CLI berikut. Pelajari perintah
gcloud resource-manager org-policies describe.gcloud resource-manager org-policies describe constraints/serviceuser.services \ --organization=ORGANIZATION_IDJika perintah
describemenunjukkan bahwadns.googleapis.comataucompute.googleapis.comtidak diizinkan, jalankan perintah berikut untuk mengizinkannya. Pelajari perintahgcloud resource-manager org-policies allow.gcloud resource-manager org-policies allow constraints/serviceuser.services API_NAME \ --organization=ORGANIZATION_ID
Kebijakan organisasi Restrict VPC peering usage
Batasan daftar ini menentukan kumpulan jaringan VPC yang diizinkan untuk melakukan peering dengan jaringan VPC yang termasuk dalam resource tertentu. Jika peering ditolak, Anda akan menerima error saat mencoba membuat, memperbarui, atau menghapus resource. Pelajari
cara melihat dan memperbarui Restrict VPC peering usage kebijakan organisasi.
Tidak dapat menyelesaikan masalah resource lokal dari Google Cloud
Jika Anda tidak dapat me-resolve resource lokal dari Google Cloud, Anda mungkin perlu mengubah konfigurasi DNS Anda. Pelajari cara mengonfigurasi penerusan DNS untuk menyelesaikan kueri untuk objek non-Managed Microsoft AD di jaringan VPC.
Kegagalan pencarian DNS yang terjadi sesekali
Jika Anda mengalami kegagalan pencarian DNS yang tidak konsisten saat menggunakan skema dengan ketersediaan tinggi untuk Cloud Interconnect atau beberapa VPN, Anda harus memverifikasi konfigurasi berikut:
- Rute untuk 35.199.192.0/19 sudah ada.
- Jaringan lokal mengizinkan traffic dari 35.199.192.0/19 untuk semua koneksi Cloud Interconnect atau tunnel VPN.
Masa berlaku sandi akun administrator yang didelegasikan berakhir
Jika masa berlaku sandi untuk akun administrator yang didelegasikan telah berakhir, Anda dapat mereset sandi. Pastikan Anda memiliki izin yang diperlukan untuk mereset sandi akun administrator yang didelegasikan. Jika mau, Anda juga dapat menonaktifkan masa berlaku sandi untuk akun tersebut.
Tidak dapat melihat log audit Managed Microsoft AD
Jika Anda tidak dapat melihat log audit Managed Microsoft AD di Logs Viewer atau Logs Explorer, Anda harus memverifikasi konfigurasi berikut.
- Logging diaktifkan untuk domain.
- Anda memiliki peran IAM
roles/logging.viewerdi project tempat domain berada.