Questa pagina fornisce suggerimenti e approcci per risolvere i problemi comuni relativi a Managed Service for Microsoft Active Directory.
Impossibile creare un dominio Managed Microsoft AD
Se non riesci a creare un dominio Managed Microsoft AD, la verifica delle seguenti configurazioni può esserti d'aiuto.
API obbligatorie
Managed Microsoft AD richiede l'attivazione di un gruppo di API prima di poter creare un dominio.
Per verificare che le API richieste siano abilitate, completa i seguenti passaggi:
Console
- Vai alla pagina API e servizi nella console
Google Cloud .
Vai ad API e servizi Nella pagina Dashboard, verifica che siano elencate le seguenti API:
- API Managed Service for Microsoft Active Directory
- API Compute Engine
- API del cloud DNS
gcloud
Esegui questo comando gcloud CLI:
gcloud services list --available
Il comando restituisce l'elenco delle API abilitate. Verifica che siano elencate le seguenti API:
- API Managed Service for Microsoft Active Directory
- API Compute Engine
- API del cloud DNS
Se una di queste API non è presente, completa i seguenti passaggi per abilitarle:
Console
- Vai alla pagina
Libreria API nella
consoleGoogle Cloud .
Vai alla libreria API - Nella pagina Libreria API, inserisci il nome dell'API mancante nel campo di ricerca.
- Nella pagina delle informazioni sull'API, fai clic su Abilita.
gcloud
Esegui questo comando gcloud CLI:
gcloud services enable API_NAME
Sostituisci API_NAME con il nome dell'API mancante.
Ripeti questa procedura finché non sono state abilitate tutte le API richieste.
Fatturazione
Managed Microsoft AD richiede l'abilitazione della fatturazione prima di poter creare un dominio.
Per verificare che la fatturazione sia abilitata, completa i seguenti passaggi:
Console
- Vai alla pagina Fatturazione nella consoleGoogle Cloud .
Vai a Fatturazione - Verifica che sia configurato un account di fatturazione per la tua organizzazione.
- Fai clic sulla scheda I miei progetti e verifica che sia elencato il progetto in cui stai tentando di creare un dominio Managed Microsoft AD.
gcloud
Esegui questo comando gcloud CLI:
gcloud billing projects describe PROJECT_ID
Se non vedi un account di fatturazione valido collegato al progetto, devi abilitare la fatturazione.
Intervallo di indirizzi IP
Se ricevi l'errore IP range overlap quando tenti di creare un dominio, significa che l'intervallo di indirizzi IP riservati che hai fornito nella richiesta di creazione del dominio si sovrappone all'intervallo di indirizzi IP della rete autorizzata. Per risolvere il problema, devi scegliere un intervallo di indirizzi IP diverso o una rete autorizzata diversa. Per saperne di più, consulta Selezionare intervalli di indirizzi IP.
Autorizzazioni
Se ricevi un errore Permission denied quando provi a creare un dominio, devi verificare che l'identità chiamante sia autorizzata a chiamare l'API Managed Microsoft AD. Scopri di più su
ruoli e autorizzazioni di Managed Microsoft AD.
Policy dell'organizzazione
La creazione del dominio può non riuscire a causa di una configurazione delle policy dell'organizzazione. Ad esempio, puoi configurare un criterio dell'organizzazione per consentire l'accesso solo a servizi specifici, come GKE o Compute Engine. Scopri di più sui vincoli delle policy dell'organizzazione.
Chiedi all'amministratore che dispone del ruolo IAM Amministratore policy dell'organizzazione (roles/orgpolicy.policyAdmin) nell'organizzazione di aggiornare le policy dell'organizzazione richieste.
Resource Location Restriction criteri dell'organizzazione
Questo vincolo dell'elenco definisce l'insieme di località in cui è possibile creare risorseGoogle Cloud basate sulla località. Il rifiuto della posizione global può influire su
Managed Microsoft AD.
Per visualizzare e aggiornare la policy dell'organizzazione Resource Location Restriction:
Console
- Vai alla pagina Policy dell'organizzazione nella console Google Cloud .
Vai a Policy dell'organizzazione - Nella pagina Policy dell'organizzazione, nella colonna Nome, seleziona la policy Limitazione della località delle risorse per aprire il riquadro Riepilogo policy.
- Nel riquadro Riepilogo policy, verifica che la posizione
globalsia consentita. - Se devi apportare una modifica, seleziona Modifica, aggiorna la norma e poi fai clic su Salva.
Scopri di più sulle limitazioni relative alle località delle risorse.
gcloud
Per visualizzare i dettagli del criterio dell'organizzazione
Resource Location Restriction, esegui questo comando gcloud CLI. Scopri di più sul comandogcloud resource-manager org-policies describe.gcloud resource-manager org-policies describe constraints/gcp.resourceLocations \ --organization=ORGANIZATION_IDSe il comando
describemostra cheglobalnon è consentito, esegui il seguente comando per consentirlo. Scopri di più sul comandogcloud resource-manager org-policies allow.gcloud resource-manager org-policies allow constraints/gcp.resourceLocations global \ --organization=ORGANIZATION_ID
Scopri di più sulle limitazioni relative alle località delle risorse.
Restrict VPC peering usage criteri dell'organizzazione
Questo vincolo dell'elenco definisce l'insieme di reti VPC per cui è consentito il peering con le reti VPC che appartengono a una determinata risorsa. Quando specifichi una rete autorizzata per un dominio Managed Microsoft AD, viene creato un peering VPC tra la rete autorizzata e la rete isolata contenente i controller di dominio AD. Se la policy dell'organizzazione per il progetto nega i peering, Managed Microsoft AD non può creare peering alla rete autorizzata, quindi la creazione del dominio non va a buon fine. Ricevi un errore simile a questo:
GCE_PRECONDITION_FAILED: Constraint constraints /compute.restrictVpcPeering violated for project PROJECT_ID. Peering the network projects/PROJECT_ID/global/networks/VPC_NETWORK_NAME is not allowed.
Per visualizzare e aggiornare la policy dell'organizzazione Restrict VPC peering usage:
Console
- Vai alla pagina Policy dell'organizzazione nella console Google Cloud .
Vai a Policy dell'organizzazione - Nella pagina Policy dell'organizzazione, nella colonna Nome, seleziona la policy Limitare l'utilizzo del peering VPC per aprire il riquadro Riepilogo policy.
- Nel riquadro Riepilogo policy, verifica che il progetto consenta i peering.
- Se devi apportare una modifica, seleziona Modifica, aggiorna la norma e poi fai clic su Salva.
gcloud
Per visualizzare i dettagli del criterio dell'organizzazione
Restrict VPC peering usage, esegui questo comando gcloud CLI. Scopri di più sul comandogcloud resource-manager org-policies describe.gcloud resource-manager org-policies describe constraints/compute.restrictVpcPeering \ --organization=ORGANIZATION_IDSe il comando
describemostra che i peering non sono consentiti, esegui il comando seguente per consentirli. Scopri di più sul comandogcloud resource-manager org-policies allow.gcloud resource-manager org-policies allow constraints/compute.restrictVpcPeering under:projects/PROJECT_ID \ --organization=ORGANIZATION_IDSostituisci quanto segue:
PROJECT_ID: il nome del progetto che contiene la risorsa Managed Microsoft AD.ORGANIZATION_ID: l'ID dell'organizzazione che ospita il progetto.
Impossibile aggiungere automaticamente una VM Windows a un dominio
Di seguito sono riportati alcuni problemi relativi ai codici di errore che potresti riscontrare quando tenti di unire automaticamente una VM Windows o nodi GKE Windows Server a un dominio:
| Codice di errore | Descrizione | Potenziale soluzione |
|---|---|---|
CONFLICT (409) |
Indica che l'account istanza VM esiste già nel dominio Managed Microsoft AD. | Rimuovi manualmente l'account da Managed Microsoft AD utilizzando gli strumenti RSAT e riprova. Per saperne di più sulla gestione degli oggetti AD in Managed Microsoft AD, vedi Gestire gli oggetti Active Directory. |
BAD_REQUEST (412) |
Indica che la richiesta di unione al dominio contiene informazioni non valide, ad esempio un nome di dominio errato e una struttura gerarchica dell'unità organizzativa (UO) errata. | Controlla le informazioni, aggiorna i dettagli se necessario e riprova. |
INTERNAL (500) |
Indica che il server ha rilevato un errore interno sconosciuto. | Contatta l' Google Cloud assistenza per risolvere il problema. |
FORBIDDEN (403) |
Indica che il account di servizio specificato non dispone dei privilegi richiesti. | Verifica di disporre dei privilegi richiesti sul service account e riprova. |
UNAUTHORIZED (401) |
Indica che la VM non dispone di un'autorizzazione valida per unirsi al dominio. | Controlla se disponi dell'ambito di accesso richiesto sulla VM e riprova. |
Impossibile aggiungere manualmente una VM a un dominio
Se non riesci ad aggiungere manualmente una macchina da un ambiente on-premise al tuo dominio Managed Microsoft AD, verifica i seguenti requisiti:
La macchina a cui stai tentando di accedere è rilevabile da Managed Microsoft AD. Per verificare questa connettività, esegui una ricerca DNS dall'ambiente on-premise al dominio Managed Microsoft AD utilizzando il comando
nslookup.La rete on-premise in cui si trova la macchina deve essere in peering con la rete VPC del tuo dominio Managed Microsoft AD. Per informazioni sulla risoluzione dei problemi relativi a una connessione di peering di rete VPC, consulta Risoluzione dei problemi.
Impossibile utilizzare VPC condiviso come rete autorizzata
Per accedere a un dominio Managed Microsoft AD da una rete VPC condiviso, il dominio deve essere creato nello stesso progetto che ospita la rete VPC condiviso.
Impossibile accedere al dominio Managed Microsoft AD
Se il tuo dominio Managed Microsoft AD sembra non essere disponibile, puoi ottenere maggiori informazioni sul suo stato completando i seguenti passaggi:
Console
Vai alla pagina
Managed Service for Microsoft Active Directory
nella console Google Cloud .
Vai a Managed Service for Microsoft Active Directory
Nella pagina Managed Service for Microsoft Active Directory, nella colonna Stato, puoi visualizzare gli stati dei tuoi domini.
gcloud
Esegui questo comando gcloud CLI:
gcloud active-directory domains list
Questo comando restituisce gli stati dei tuoi domini.
Se lo stato del tuo dominio è DOWN, significa che il tuo account potrebbe
essere stato sospeso. Contatta l' Google Cloud assistenza per
risolvere il problema.
Se lo stato del tuo dominio è PERFORMING_MAINTENANCE,
Managed Microsoft AD dovrebbe comunque essere disponibile per l'uso, ma potrebbe non consentire
operazioni come l'estensione dello schema, l'aggiunta o la rimozione di regioni. Questo stato è
raro e si verifica solo quando il sistema operativo viene patchato.
Impossibile creare l'attendibilità
Se segui i passaggi per creare un trust, ma non riesci a completare la procedura, può essere utile verificare le seguenti configurazioni.
Il dominio on-premise è raggiungibile
Per verificare che il dominio on-premise sia raggiungibile dal
dominio Managed Microsoft AD, puoi utilizzare ping o
Test-NetConnection. Esegui questi comandi da una
VM ospitata su Google Cloud e su una rete autorizzata. Verifica che
la VM possa raggiungere un controller di dominio on-premise. Scopri di più su
Test-NetConnection.
Indirizzo IP
Per verificare che l'indirizzo IP fornito durante la configurazione dell'attendibilità sia in grado di risolvere il dominio on-premise, esegui questo comando:
nslookup ON_PREMISES_DOMAIN_NAME CONDITIONAL_FORWARDER_ADDRESS
Sostituisci quanto segue:
ON_PREMISES_DOMAIN_NAME: il nome del tuo dominio on-premise.CONDITIONAL_FORWARDER_ADDRESS: l'indirizzo IP del server di forwarding condizionale DNS.
Se sono presenti più indirizzi di inoltro condizionale, puoi eseguire il test su uno qualsiasi di questi.
Scopri di più su
nslookup.
Relazione di trust on-premise
Per verificare che la relazione di trust on-premise sia stabilita, devi controllare che le seguenti informazioni corrispondano.
- Il tipo e la direzione del trust sul dominio Managed Microsoft AD integrano il trust creato sul dominio on-premise.
- Il secret di trust fornito durante la creazione del trust sul dominio Managed Microsoft AD corrisponde a quello inserito nel dominio on-premise.
La direzione di trust on-premise integra la direzione di trust configurata in Managed Microsoft AD. ovvero, se il dominio on-premise prevede un trust in entrata, la direzione del trust per il dominio Managed Microsoft AD è in uscita. Scopri di più sulle indicazioni di affidabilità.
L'attendibilità non funziona più
Se in precedenza hai creato un trust, ma non funziona più, devi verificare le stesse configurazioni che faresti per risolvere i problemi relativi alla creazione di un trust.
Inoltre, se una relazione di trust non viene utilizzata per 60 giorni o più, la password di trust scade. Per aggiornare la password, modificala per l'attendibilità nel dominio on-premise, quindi aggiornala nel dominio Managed Microsoft AD.
L'autenticazione Active Directory non riesce (account ospitati da Microsoft Active Directory gestito)
Se sembra che l'autenticazione di Active Directory non riesca quando utilizzi account Managed Microsoft AD ospitati, la verifica delle seguenti configurazioni può essere utile.
La VM si trova su una rete autorizzata
Per verificare che la VM utilizzata per accedere al dominio si trovi su una rete autorizzata, completa i seguenti passaggi.
Vai alla pagina Managed Service for Microsoft Active Directory nella console Google Cloud .
Vai a Managed Service for Microsoft Active DirectorySeleziona il nome del tuo dominio.
Nella pagina Dominio, in Reti, verifica che sia elencata la rete autorizzata.
Nome utente e password sono corretti
Verifica che il nome utente e la password forniti per l'accesso siano corretti.
Regole firewall
Una regola firewall deny per l'uscita verso l'intervallo di indirizzi IP dei controller di dominio può causare un errore di autenticazione.
Per controllare le regole firewall, completa i seguenti passaggi:
Console
Vai alla pagina Regole firewall nella console Google Cloud .
Vai a Regole firewallIn questa pagina, verifica che non sia presente un
denyper l'uscita configurato per l'intervallo di indirizzi IP dei domain controller.
gcloud
Esegui questo comando gcloud CLI:
gcloud compute firewall-rules list
Questo comando restituisce un elenco delle regole firewall configurate. Verifica che non sia presente un
denyper l'uscita configurato per l'intervallo di indirizzi IP dei domain controller.
Scopri di più sulle regole firewall.
Indirizzo IP
L'autenticazione può non riuscire se l'indirizzo IP non rientra nell'intervallo CIDR riservato.
Per controllare l'indirizzo IP, esegui questo comando.
nslookup DOMAIN_NAME
Se nslookup non riesce o restituisce un indirizzo IP non compreso nell'intervallo CIDR, devi verificare che la zona DNS esista.
Per verificare che la zona DNS esista, completa i seguenti passaggi:
Console
Vai alla pagina Cloud DNS nella console Google Cloud .
Vai a Cloud DNSNella pagina Cloud DNS, nella scheda Zone, controlla la colonna In uso da per la rete autorizzata.
gcloud
Esegui questo comando gcloud CLI:
gcloud dns managed-zones list --filter=FQDN
Sostituisci
FQDNcon il nome di dominio completo del tuo dominio Managed Microsoft AD.
Se nessuna delle zone elencate è utilizzata dalla rete autorizzata, devi rimuovere e aggiungere di nuovo la rete autorizzata.
Peering di rete
L'autenticazione può non riuscire se il peering di rete VPC non è configurato correttamente.
Per verificare che il peering sia configurato, completa i seguenti passaggi:
Console
Vai alla pagina Peering di reti VPC nella consoleGoogle Cloud .
Vai al peering di rete VPCNella pagina Peering di rete VPC, cerca un peering denominato
peering-VPC_NETWORK_NAMEnella colonna Nome.
gcloud
Esegui questo comando gcloud CLI:
gcloud compute networks peerings list --network=VPC_NETWORK_NAME
Questo comando restituisce un elenco di peering. Nell'elenco, cerca una chiamata
peering-VPC_NETWORK_NAME.
Se peering-VPC_NETWORK_NAME non è presente
nell'elenco, devi rimuovere e aggiungere di nuovo la rete autorizzata.
L'autenticazione Active Directory non riesce (tramite trust)
Se sembra che l'autenticazione Active Directory non vada a buon fine quando utilizzi account on-premise gestiti ospitati tramite trust, devi verificare le stesse configurazioni che faresti per risolvere i problemi relativi alla creazione di un trust.
Inoltre, verifica che l'account si trovi nel
gruppo delegato Cloud Service Computer Remote Desktop Users. Scopri di più sui
gruppi delegati
Impossibile accedere al dominio da una VM di gestibilità
Se non riesci ad accedere al dominio Microsoft Active Directory gestito dalla VM utilizzata per la gestione degli oggetti AD, devi verificare le stesse configurazioni che faresti per la risoluzione dei problemi di autenticazione di Active Directory per gli account ospitati da Microsoft Active Directory gestito.
Errore Org policy durante la creazione, l'aggiornamento o l'eliminazione
Se si verifica un errore org policy durante la creazione, l'aggiornamento o l'eliminazione
delle risorse, potrebbe essere necessario modificare una policy dell'organizzazione. Scopri di più sui vincoli delle policy dell'organizzazione.
Chiedi all'amministratore che dispone del ruolo IAM Amministratore policy dell'organizzazione (roles/orgpolicy.policyAdmin) nell'organizzazione di aggiornare le policy dell'organizzazione richieste.
Define allowed APIs and services criteri dell'organizzazione
Questo vincolo dell'elenco definisce l'insieme di servizi e API che possono essere abilitati su una determinata risorsa. Anche i relativi discendenti nella gerarchia delle risorse ereditano il vincolo. Se questo vincolo non consente le API richieste per Managed Microsoft AD, ricevi un errore quando tenti di creare, aggiornare o eliminare risorse.
Per visualizzare e aggiornare la policy dell'organizzazione Define allowed APIs and services:
Console
- Vai alla pagina Policy dell'organizzazione nella console Google Cloud .
Vai a Policy dell'organizzazione - Nella pagina Policy dell'organizzazione, nella colonna Nome, seleziona la policy Definisci API e servizi consentiti per aprire il riquadro Riepilogo policy.
- Nel riquadro Riepilogo criteri, verifica che le seguenti API non siano
negate:
dns.googleapis.comcompute.googleapis.com
- Se devi apportare una modifica, seleziona Modifica, aggiorna la norma e poi fai clic su Salva.
gcloud
Esegui il seguente comando gcloud CLI. Scopri di più sul comando
gcloud resource-manager org-policies describe.gcloud resource-manager org-policies describe constraints/serviceuser.services \ --organization=ORGANIZATION_IDSe il comando
describemostra chedns.googleapis.comocompute.googleapis.comnon è consentito, esegui il comando seguente per consentirlo. Scopri di più sul comandogcloud resource-manager org-policies allow.gcloud resource-manager org-policies allow constraints/serviceuser.services API_NAME \ --organization=ORGANIZATION_ID
Restrict VPC peering usage criteri dell'organizzazione
Questo vincolo dell'elenco definisce l'insieme di reti VPC per cui è consentito il peering con le reti VPC che appartengono a una determinata risorsa. Se i peering vengono
negati, ricevi un errore quando tenti di creare, aggiornare o eliminare
risorse. Scopri
come visualizzare e aggiornare la policy dell'organizzazione Restrict VPC peering usage.
Impossibile risolvere le risorse on-premise da Google Cloud
Se non riesci a risolvere le risorse on-premise da Google Cloud, potresti dover modificare la configurazione DNS. Scopri come configurare l'inoltro DNS per risolvere le query per gli oggetti Microsoft AD non gestiti nelle reti VPC.
Errori intermittenti di ricerca DNS
Se riscontri errori di ricerca DNS intermittenti quando utilizzi uno schema a disponibilità elevata per Cloud Interconnect o più VPN, devi verificare le seguenti configurazioni:
- Esiste una route per 35.199.192.0/19.
- La rete on-premise consente il traffico da 35.199.192.0/19 per tutte le connessioni Cloud Interconnect o i tunnel VPN.
La password dell'account amministratore delegato scade
Se la password dell'account amministratore delegato è scaduta, puoi reimpostarla. Assicurati di disporre delle autorizzazioni necessarie per reimpostare la password dell'account amministratore delegato. Se vuoi, puoi anche disattivare la scadenza della password per l'account.
Impossibile visualizzare gli audit log di Managed Microsoft AD
Se non riesci a visualizzare i log di controllo di Managed Microsoft AD in Visualizzatore log o Esplora log, verifica le seguenti configurazioni.
- Il logging è abilitato per il dominio.
- Disponi del ruolo IAM
roles/logging.viewersul progetto in cui si trova il dominio.