本頁面提供一些提示與方法,協助您排解及解決 Managed Service for Microsoft Active Directory 的常見問題。
無法建立 Managed Microsoft AD 網域
如果無法建立 Managed Microsoft AD 網域,請檢查下列設定。
必要 API
Managed Microsoft AD 要求您先啟用一組 API,才能建立網域。
如要確認必要 API 已啟用,請完成下列步驟:
控制台
- 前往Google Cloud 控制台的「APIs & Services」(API 與服務) 頁面。
前往「API 與服務」頁面 在「資訊主頁」頁面中,確認下列 API 是否列出:
- Managed Service for Microsoft Active Directory API
- Compute Engine API
- Cloud DNS API
gcloud
執行下列 gcloud CLI 指令:
gcloud services list --available
這項指令會傳回已啟用 API 的清單。確認列出下列 API:
- Managed Service for Microsoft Active Directory API
- Compute Engine API
- Cloud DNS API
如果缺少任何 API,請按照下列步驟啟用:
控制台
- 前往Google Cloud 控制台的「API Library」(API 程式庫) 頁面。
前往 API 程式庫 - 在「API Library」(API 程式庫) 頁面的搜尋欄位中,輸入缺少的 API 名稱。
- 在 API 資訊頁面中,按一下「啟用」。
gcloud
執行下列 gcloud CLI 指令:
gcloud services enable API_NAME
將 API_NAME 替換為缺少的 API 名稱。
重複這個程序,直到所有必要的 API 都啟用為止。
帳單
Managed Microsoft AD 要求您先啟用帳單功能,才能建立網域。
如要確認帳單已啟用,請完成下列步驟:
控制台
gcloud
執行下列 gcloud CLI 指令:
gcloud billing projects describe PROJECT_ID
如果沒有看到與專案連結的有效帳單帳戶,請啟用計費功能。
IP 位址範圍
如果您嘗試建立網域時收到 IP range overlap 錯誤,表示您在網域建立要求中提供的保留 IP 位址範圍,與授權網路的 IP 位址範圍重疊。如要解決這個問題,請選擇其他 IP 位址範圍或其他授權網路。詳情請參閱「選取 IP 位址範圍」。
權限
嘗試建立網域時,如果收到 Permission denied 錯誤,請確認呼叫身分是否獲准呼叫 Managed Microsoft AD API。進一步瞭解Managed Microsoft AD 角色和權限。
組織政策
網域建立作業可能會因機構政策設定而失敗。 舉例來說,您可以設定機構政策,只允許存取特定服務,例如 GKE 或 Compute Engine。進一步瞭解機構政策限制。
請要求組織管理員 (具備組織的組織政策管理員 (roles/orgpolicy.policyAdmin) IAM 角色) 更新必要的組織政策。
Resource Location Restriction 機構政策
這項清單限制定義了一組位置,可用來建立位置型資源。Google Cloud 拒絕 global 位置資訊可能會影響受管理的 Microsoft AD。
如要查看及更新 Resource Location Restriction 組織政策,請按照下列步驟操作:
控制台
- 前往 Google Cloud 控制台的「Organization policies」(組織政策) 頁面。
前往「Organization policies」(組織政策) - 在「Organization policies」(組織政策) 頁面的「Name」(名稱) 欄中,選取「Resource Location Restriction」(資源位置限制) 政策,開啟「Policy summary」(政策摘要) 面板。
- 在「政策摘要」面板中,確認允許
global位置。 - 如要變更,請選取「編輯」,更新政策,然後按一下「儲存」。
瞭解如何限制資源位置。
gcloud
如要查看
Resource Location Restriction機構政策的詳細資料,請執行下列 gcloud CLI 指令。瞭解gcloud resource-manager org-policies describe指令。gcloud resource-manager org-policies describe constraints/gcp.resourceLocations \ --organization=ORGANIZATION_ID如果
describe指令顯示不允許global,請執行下列指令來允許。瞭解gcloud resource-manager org-policies allow指令。gcloud resource-manager org-policies allow constraints/gcp.resourceLocations global \ --organization=ORGANIZATION_ID
瞭解如何限制資源位置。
Restrict VPC peering usage 機構政策
這項清單限制定義了一組虛擬私有雲網路,可與屬於指定資源的虛擬私有雲網路對等互連。為 Managed Microsoft AD 網域指定授權網路時,系統會在授權網路和包含 AD 網域控制器的獨立網路之間,建立虛擬私有雲對等互連。如果專案的組織政策拒絕對等互連,Managed Microsoft AD 就無法建立任何與授權網路的對等互連,因此網域建立作業會失敗。您會收到類似下方的錯誤訊息:
GCE_PRECONDITION_FAILED: Constraint constraints /compute.restrictVpcPeering violated for project PROJECT_ID. Peering the network projects/PROJECT_ID/global/networks/VPC_NETWORK_NAME is not allowed.
如要查看及更新 Restrict VPC peering usage 組織政策,請按照下列步驟操作:
控制台
- 前往 Google Cloud 控制台的「Organization policies」(組織政策) 頁面。
前往「Organization policies」(組織政策) - 在「組織政策」 頁面的「名稱」欄中,選取「限制虛擬私有雲對接使用量」 政策,開啟「政策摘要」 面板。
- 在「政策摘要」面板中,確認專案允許對等互連。
- 如要變更,請選取「編輯」,更新政策,然後按一下「儲存」。
gcloud
如要查看
Restrict VPC peering usage機構政策的詳細資料,請執行下列 gcloud CLI 指令。瞭解gcloud resource-manager org-policies describe指令。gcloud resource-manager org-policies describe constraints/compute.restrictVpcPeering \ --organization=ORGANIZATION_ID如果
describe指令顯示不允許對等互連,請執行下列指令來允許。瞭解gcloud resource-manager org-policies allow指令。gcloud resource-manager org-policies allow constraints/compute.restrictVpcPeering under:projects/PROJECT_ID \ --organization=ORGANIZATION_ID更改下列內容:
PROJECT_ID:包含 Managed Microsoft AD 資源的專案名稱。ORGANIZATION_ID:託管該專案的機構 ID。
無法自動將 Windows VM 加入網域
嘗試將 Windows VM 或 GKE Windows Server 節點自動加入網域時,可能會遇到下列錯誤代碼問題:
| 錯誤代碼 | 說明 | 可能的解決方案 |
|---|---|---|
CONFLICT (409) |
表示 VM 執行個體帳戶已存在於 Managed Microsoft AD 網域中。 | 使用 RSAT 工具從 Managed Microsoft AD 手動移除帳戶,然後再試一次。如要進一步瞭解如何在 Managed Microsoft AD 中管理 AD 物件,請參閱「管理 Active Directory 物件」。 |
BAD_REQUEST (412) |
表示網域加入要求含有無效資訊,例如網域名稱錯誤,以及機構單位 (OU) 階層結構錯誤。 | 請檢查資訊,視需要更新詳細資料,然後再試一次。 |
INTERNAL (500) |
表示伺服器發生不明的內部錯誤。 | 如要解決這個問題,請與支援團隊聯絡 Google Cloud 。 |
FORBIDDEN (403) |
表示指定的服務帳戶沒有必要權限。 | 檢查服務帳戶是否具備必要權限,然後再試一次。 |
UNAUTHORIZED (401) |
表示 VM 沒有加入網域的有效授權。 | 請檢查虛擬機器是否具備必要存取權範圍,然後再試一次。 |
無法手動將 VM 加入網域
如果無法從地端部署環境手動將電腦加入 Managed Microsoft AD 網域,請確認是否滿足下列要求:
您嘗試加入的電腦可從 Managed Microsoft AD 探索。如要驗證這項連線,請使用
nslookup指令,從地端部署環境對 Managed Microsoft AD 網域執行 DNS 查詢。機器所在的內部部署網路必須與 Managed Microsoft AD 網域的虛擬私有雲網路對等互連。如要瞭解如何排解虛擬私有雲網路對等互連連線問題,請參閱「疑難排解」一文。
無法將 Shared VPC 設為授權網路
如要透過 Shared VPC 網路存取 Managed Microsoft AD 網域,必須在代管 Shared VPC 網路的專案中建立網域。
無法存取 Managed Microsoft AD 網域
如果 Managed Microsoft AD 網域似乎無法使用,請完成下列步驟,進一步瞭解網域狀態:
控制台
前往 Google Cloud 控制台的「Managed Service for Microsoft Active Directory」頁面。
前往 Managed Service for Microsoft Active Directory
在「Managed Service for Microsoft Active Directory」頁面的「狀態」欄中,您可以查看網域的狀態。
gcloud
執行下列 gcloud CLI 指令:
gcloud active-directory domains list
這項指令會傳回網域的狀態。
如果網域狀態為「DOWN」,表示您的帳戶可能已遭停權。如要解決這個問題,請與支援團隊聯絡 Google Cloud 。
如果網域狀態為 PERFORMING_MAINTENANCE,您應該仍可使用 Managed Microsoft AD,但可能無法執行擴充結構定義、新增或移除區域等作業。這種狀態很少見,只有在修補作業系統時才會發生。
無法建立信任關係
如果您按照建立信任關係的步驟操作,但無法完成程序,請驗證下列設定。
可連線至地端部署網域
如要確認可從 Managed Microsoft AD 網域連上地端部署網域,可以使用 ping 或 Test-NetConnection。請從授權網路中代管的 VM 執行這些指令。 Google Cloud 確認 VM 可以連線至地端部署網域控制站。進一步瞭解 Test-NetConnection。
IP 位址
如要確認在信任設定期間提供的 IP 位址是否能解析地端部署網域,請執行下列指令:
nslookup ON_PREMISES_DOMAIN_NAME CONDITIONAL_FORWARDER_ADDRESS
更改下列內容:
ON_PREMISES_DOMAIN_NAME:地端部署網域的名稱。CONDITIONAL_FORWARDER_ADDRESS:DNS 條件式轉寄站的 IP 位址。
如果有多個條件式轉送器位址,您可以針對其中任一項進行測試。
進一步瞭解 nslookup。
地端部署信任關係
如要確認已建立地端部署信任關係,請檢查下列資訊是否相符。
- Managed Microsoft AD 網域的信任類型和方向,與地端部署網域上建立的信任關係互補。
- 在 Managed Microsoft AD 網域上建立信任關係時提供的信任密鑰,與在地端部署網域上輸入的密鑰相符。
地端部署信任關係方向會補足在 Managed Microsoft AD 上設定的信任關係方向。也就是說,如果地端部署網域預期會有傳入信任關係,Managed Microsoft AD 網域的信任關係方向就是傳出。進一步瞭解信任方向。
「信任」功能已無法使用
如果您先前建立的信任關係已失效,請按照建立信任關係的疑難排解步驟,驗證相同的設定。
此外,如果信任關係閒置 60 天以上,信任關係密碼就會過期。如要重新整理密碼,請變更地端部署網域的信任關係密碼,然後更新 Managed Microsoft AD 網域的密碼。
Active Directory 驗證失敗 (Managed Microsoft AD 代管帳戶)
如果使用 Managed Microsoft AD 代管帳戶時,Active Directory 驗證似乎失敗,請驗證下列設定。
VM 位於授權網路中
如要確認用於存取網域的 VM 是否位於授權網路上,請完成下列步驟。
前往 Google Cloud 控制台的「Managed Service for Microsoft Active Directory」頁面。
前往 Managed Service for Microsoft Active Directory選取您的網域名稱。
在「網域」頁面的「網路」下方,確認授權網路是否已列出。
使用者名稱和密碼正確無誤
確認登入時提供的使用者名稱和密碼正確無誤。
防火牆規則
如果輸出至網域控制器的 IP 位址範圍有 deny 防火牆規則,驗證可能會失敗。
如要檢查防火牆規則,請完成下列步驟:
控制台
gcloud
執行下列 gcloud CLI 指令:
gcloud compute firewall-rules list
這項指令會傳回已設定的防火牆規則清單。確認網域控制器的 IP 位址範圍未設定任何輸出
deny。
進一步瞭解防火牆規則。
IP 位址
如果 IP 位址不在保留的 CIDR 範圍內,驗證可能會失敗。
如要檢查 IP 位址,請執行下列指令。
nslookup DOMAIN_NAME
如果 nslookup 失敗或傳回的 IP 位址不在 CIDR 範圍內,請確認 DNS 區域是否存在。
如要驗證 DNS 區域是否存在,請完成下列步驟:
控制台
前往 Google Cloud 控制台的「Cloud DNS」頁面。
前往 Cloud DNS在「Cloud DNS」頁面的「區域」分頁中,查看「使用中」欄的授權網路。
gcloud
執行下列 gcloud CLI 指令:
gcloud dns managed-zones list --filter=FQDN
將
FQDN替換為 Managed Microsoft AD 網域的完整網域名稱。
如果授權網路未使用任何列出的區域,請移除並重新新增授權網路。
網路對等互連
如果虛擬私有雲網路對等互連設定有誤,驗證可能會失敗。
如要確認已設定對等互連,請完成下列步驟:
控制台
前往Google Cloud 控制台的「虛擬私有雲網路對等互連」頁面。
前往「VPC network peering」(虛擬私有雲網路對等互連)在「VPC network peering」(虛擬私有雲網路對等互連) 頁面的「Name」(名稱) 欄中,尋找名為
peering-VPC_NETWORK_NAME的對等互連。
gcloud
執行下列 gcloud CLI 指令:
gcloud compute networks peerings list --network=VPC_NETWORK_NAME
這項指令會傳回對等互連清單。在清單中尋找名為
peering-VPC_NETWORK_NAME的程序。
如果清單中沒有 peering-VPC_NETWORK_NAME,請移除並重新新增授權網路。
Active Directory 驗證失敗 (透過信任)
如果使用透過信任關係管理的地端部署代管帳戶時,Active Directory 驗證似乎失敗,您應驗證與排解建立信任關係問題時相同的設定。
此外,請確認帳戶是否在Cloud Service Computer Remote Desktop Users委派群組中。進一步瞭解委派群組
無法從可管理性 VM 存取網域
如果無法從用於管理 AD 物件的 VM 存取 Managed Microsoft AD 網域,請驗證與排解 Managed Microsoft AD 代管帳戶的 Active Directory 驗證問題時相同的設定。
建立、更新或刪除時發生 Org policy 錯誤
如果在建立、更新或刪除資源時遇到 org policy 錯誤,可能需要變更機構政策。瞭解機構政策限制。
請要求組織管理員 (具備組織的組織政策管理員 (roles/orgpolicy.policyAdmin) IAM 角色) 更新必要的組織政策。
Define allowed APIs and services 機構政策
這項清單限制定義了可在特定資源上啟用的一組服務和 API。資源階層中的子系也會繼承這項限制。如果這項限制不允許 Managed Microsoft AD 必要的 API,您嘗試建立、更新或刪除資源時會收到錯誤訊息。
如要查看及更新 Define allowed APIs and services 組織政策,請按照下列步驟操作:
控制台
- 前往 Google Cloud 控制台的「Organization policies」(組織政策) 頁面。
前往「Organization policies」(組織政策) - 在「組織政策」頁面的「名稱」欄中,選取「定義允許的 API 和服務」政策,開啟「政策摘要」面板。
- 在「政策摘要」面板中,確認下列 API 未遭拒絕:
dns.googleapis.comcompute.googleapis.com
- 如要變更,請選取「編輯」,更新政策,然後按一下「儲存」。
gcloud
執行下列 gcloud CLI 指令。瞭解
gcloud resource-manager org-policies describe指令。gcloud resource-manager org-policies describe constraints/serviceuser.services \ --organization=ORGANIZATION_ID如果
describe指令顯示不允許dns.googleapis.com或compute.googleapis.com,請執行下列指令來允許。瞭解gcloud resource-manager org-policies allow指令。gcloud resource-manager org-policies allow constraints/serviceuser.services API_NAME \ --organization=ORGANIZATION_ID
Restrict VPC peering usage 機構政策
這項清單限制定義了一組虛擬私有雲網路,可與屬於指定資源的虛擬私有雲網路對等互連。如果對等互連遭拒,您嘗試建立、更新或刪除資源時會收到錯誤訊息。瞭解如何查看及更新Restrict VPC peering usage機構政策。
無法從「 Google Cloud」解析地端部署資源
如果無法從 Google Cloud解析地端部署資源,您可能需要變更 DNS 設定。瞭解如何設定 DNS 轉送,以解決虛擬私有雲網路中非代管 Microsoft AD 物件的查詢。
間歇性 DNS 查詢失敗
如果您使用 Cloud Interconnect 的高可用性架構或多個 VPN 時,發生間歇性 DNS 查詢失敗的情況,請驗證下列設定:
- 35.199.192.0/19 的路徑存在。
- 地端部署網路允許來自 35.199.192.0/19 的流量,適用於所有 Cloud Interconnect 連線或 VPN 通道。
委派管理員帳戶密碼過期
如果委派管理員帳戶的密碼已過期,您可以重設密碼。請確認您具備重設委派管理員帳戶密碼的必要權限。如有需要,您也可以停用帳戶的密碼到期設定。
無法查看 Managed Microsoft AD 稽核記錄
如果無法在記錄檢視器或 Logs Explorer 中查看任何 Managed Microsoft AD 稽核記錄,請驗證下列設定。
- 網域已啟用記錄功能。
- 您在網域所在的專案中具有
roles/logging.viewerIAM 角色。