En esta página, se proporcionan sugerencias y enfoques para solucionar problemas comunes con el servicio administrado para Microsoft Active Directory.
No se puede crear un dominio de Microsoft AD administrado
Si no puedes crear un dominio de Microsoft AD administrado, verificar las siguientes configuraciones puede ser útil.
APIs requeridas
Microsoft AD administrado requiere que habilites un grupo de API antes de que puedas crear un dominio.
Para verificar que las API obligatorias estén habilitadas, completa los siguientes pasos:
Console
- Ve a la página APIs & Services en la consola deGoogle Cloud .
Ir a APIs y servicios En la página Panel, verifica que se muestren las siguientes API en la lista:
- API del Servicio administrado para Microsoft Active Directory
- API de Compute Engine
- API de Cloud DNS
gcloud
Ejecuta el siguiente comando de gcloud CLI:
gcloud services list --available
El comando muestra la lista de las APIs habilitadas. Verifica que se enumeren las siguientes API:
- API del Servicio administrado para Microsoft Active Directory
- API de Compute Engine
- API de Cloud DNS
Si falta alguna de estas API, completa los siguientes pasos para habilitarlas:
Console
- Ve a la página Biblioteca de API en la consola deGoogle Cloud .
Ir a la biblioteca de la API - En la página Biblioteca de APIs, en el campo de búsqueda, ingresa el nombre de la API que falta.
- En la página de API, haz clic en HABILITAR.
gcloud
Ejecuta el siguiente comando de gcloud CLI:
gcloud services enable API_NAME
Reemplaza API_NAME por el nombre de la API faltante.
Repite este proceso hasta que estén habilitadas todas las API necesarias.
Facturación
Microsoft AD administrado requiere que habilites la facturación antes de que puedas crear un dominio.
Para verificar que la facturación esté habilitada, completa los siguientes pasos:
Console
- Ve a la página Facturación en la consola deGoogle Cloud .
Ir a Facturación - Verifica que haya una cuenta de facturación configurada para tu organización.
- Haz clic en la pestaña Mis proyectos y, luego, verifica que aparezca el proyecto en el que intentas crear un dominio de Microsoft AD administrado.
gcloud
Ejecuta el siguiente comando de gcloud CLI:
gcloud billing projects describe PROJECT_ID
Si no ves una cuenta de facturación válida vinculada al proyecto, debes habilitar la facturación.
Rango de direcciones IP
Si recibes un error IP range overlap cuando intentas crear un dominio, significa que el rango de direcciones IP reservadas que proporcionaste en la solicitud de creación de dominio se superpone con el rango de direcciones IP de la red autorizada. Para resolver este problema, debes elegir un rango de direcciones IP diferente o una red autorizada diferente. Para obtener más información, consulta Selecciona rangos de direcciones IP.
Permisos
Si recibes un error Permission denied cuando intentas crear un dominio, debes verificar que la identidad de llamada tenga permiso para llamar a la API de Microsoft AD administrada. Obtén más información sobre las funciones y permisos de Microsoft AD administrados.
Política de la organización
La creación del dominio puede fallar debido a la configuración de una política de la organización. Por ejemplo, puedes configurar una política de la organización para permitir el acceso solo a servicios específicos, como GKE o Compute Engine. Obtén más información sobre las restricciones de las políticas de la organización.
Pídele a tu administrador, que tiene el rol de IAM de administrador de políticas de la organización (roles/orgpolicy.policyAdmin) en la organización, que actualice las políticas de la organización requeridas.
Resource Location Restriction política de la organización
Esta restricción de lista define el conjunto de ubicaciones en las que se pueden crear recursos deGoogle Cloud basados en la ubicación. Rechazar la ubicación global puede afectar a Microsoft AD administrado.
Para ver y actualizar la política de la organización Resource Location Restriction, haz lo siguiente:
Console
- Ve a la página Políticas de la organización en la consola de Google Cloud .
Ir a Políticas de la organización - En la página Políticas de la organización, en la columna Nombre, selecciona la política Restricción de ubicación de recursos para abrir el panel Resumen de política.
- En el panel Resumen de la política, verifica que se permita la ubicación
global. - Si necesitas realizar un cambio, selecciona Editar, actualiza la política y, luego, haz clic en Guardar.
Obtén más información sobre cómo restringir ubicaciones de recursos.
gcloud
Para ver los detalles de la política de la organización
Resource Location Restriction, ejecuta el siguiente comando de gcloud CLI. Obtén más información sobre el comandogcloud resource-manager org-policies describe.gcloud resource-manager org-policies describe constraints/gcp.resourceLocations \ --organization=ORGANIZATION_IDSi el comando
describemuestra queglobalno está permitido, ejecuta el siguiente comando para permitirlo. Obtén más información sobre el comandogcloud resource-manager org-policies allow.gcloud resource-manager org-policies allow constraints/gcp.resourceLocations global \ --organization=ORGANIZATION_ID
Obtén más información sobre cómo restringir ubicaciones de recursos.
Restrict VPC peering usage política de la organización
En esta restricción de lista, se define el conjunto de redes de VPC mediante el cual se puede intercambiar tráfico con las redes de VPC que pertenecen a un recurso determinado. Cuando especificas una red autorizada para un dominio de Microsoft AD administrado, se crea un intercambio de tráfico de VPC entre la red autorizada y la red aislada que contiene los controladores de dominio de AD. Si la política de la organización del proyecto rechaza los intercambios de tráfico, Microsoft AD administrado no puede crear intercambios de tráfico a la red autorizada, por lo que la creación del dominio falla. Recibes un error como el siguiente:
GCE_PRECONDITION_FAILED: Constraint constraints /compute.restrictVpcPeering violated for project PROJECT_ID. Peering the network projects/PROJECT_ID/global/networks/VPC_NETWORK_NAME is not allowed.
Para ver y actualizar la política de la organización Restrict VPC peering usage, haz lo siguiente:
Console
- Ve a la página Políticas de la organización en la consola de Google Cloud .
Ir a Políticas de la organización - En la página Políticas de la organización, en la columna Nombre, selecciona la política Restringe el uso del intercambio de tráfico entre VPCs para abrir el panel Resumen de la política.
- En el panel Resumen de políticas, verifica que el proyecto permita el intercambio de tráfico.
- Si necesitas realizar un cambio, selecciona Editar, actualiza la política y, luego, haz clic en Guardar.
gcloud
Para ver los detalles de la política de la organización
Restrict VPC peering usage, ejecuta el siguiente comando de gcloud CLI. Obtén más información sobre el comandogcloud resource-manager org-policies describe.gcloud resource-manager org-policies describe constraints/compute.restrictVpcPeering \ --organization=ORGANIZATION_IDSi el comando
describemuestra que no se permiten los intercambios de tráfico, ejecuta el siguiente comando para permitirlo. Obtén más información sobre el comandogcloud resource-manager org-policies allow.gcloud resource-manager org-policies allow constraints/compute.restrictVpcPeering under:projects/PROJECT_ID \ --organization=ORGANIZATION_IDReemplaza lo siguiente:
PROJECT_ID: Es el nombre del proyecto que contiene el recurso de Microsoft AD administrado.ORGANIZATION_ID: Es el ID de la organización que aloja ese proyecto.
No se puede unir automáticamente una VM de Windows a un dominio
Estos son algunos problemas con códigos de error que puedes encontrar cuando intentas unir automáticamente una VM de Windows o nodos de Windows Server de GKE a un dominio:
| Código de error | Descripción | Solución potencial |
|---|---|---|
CONFLICT (409) |
Indica que la cuenta de la instancia de VM ya existe en el dominio de Microsoft AD administrado. | Quita la cuenta de forma manual de Microsoft AD administrado con las herramientas de RSAT y vuelve a intentarlo. Para obtener más información sobre la administración de objetos de AD en Microsoft AD administrado, consulta Administra objetos de Active Directory. |
BAD_REQUEST (412) |
Indica que la solicitud para unir el dominio contiene información no válida, como un nombre de dominio incorrecto y una estructura jerárquica de la unidad organizativa (UO) incorrecta. | Revisa la información, actualiza los detalles si es necesario y vuelve a intentarlo. |
INTERNAL (500) |
Indica que el servidor detectó un error interno desconocido. | Comunícate con Google Cloud el equipo de asistencia para resolver este problema. |
FORBIDDEN (403) |
Indica que la cuenta de servicio especificada no tiene los privilegios necesarios. | Verifica si tienes los privilegios necesarios en la cuenta de servicio y vuelve a intentarlo. |
UNAUTHORIZED (401) |
Indica que la VM no tiene autorización válida para unirse al dominio. | Verifica si tienes el permiso de acceso requerido en la VM y vuelve a intentarlo. |
No se puede unir una VM a un dominio de forma manual
Si no puedes unir manualmente una máquina de un entorno local a tu dominio de Microsoft AD administrado, verifica los siguientes requisitos:
La máquina a la que intentas unirte se puede detectar desde Microsoft AD administrado. Para verificar esta conectividad, realiza una búsqueda de DNS desde el entorno local al dominio de Microsoft AD administrado con el comando
nslookup.La red local en la que se encuentra la máquina debe intercambiar tráfico con la red de VPC de tu dominio de Microsoft AD administrado. Para obtener información sobre cómo solucionar problemas de una conexión de intercambio de tráfico entre redes de VPC, consulta Solución de problemas.
No se puede usar la VPC compartida como red autorizada
Para acceder a un dominio de Microsoft AD administrado desde una red de VPC compartida, el dominio debe crearse en el mismo proyecto que aloja la red de VPC compartida.
No se puede acceder al dominio de Microsoft AD administrado
Si parece ser que el dominio de Microsoft AD administrado no está disponible, puedes obtener más información sobre su estado si completas los siguientes pasos:
Console
Ve a la página Servicio administrado para Microsoft Active Directory en la consola de Google Cloud .
Ir a Servicio administrado para Microsoft Active Directory
En la página Servicio administrado para Microsoft Active Directory, en la columna Estado, puedes ver los estados de tus dominios.
gcloud
Ejecuta el siguiente comando de gcloud CLI:
gcloud active-directory domains list
Este comando muestra los estados de tus dominios.
Si el estado de tu dominio es DOWN, esto indica que tu cuenta podría haber sido suspendida. Comunícate con el Google Cloud equipo de asistencia para resolver este problema.
Si el estado de tu dominio es PERFORMING_MAINTENANCE, Microsoft AD administrado aún debería estar disponible para su uso, pero puede no permitir operaciones como extender el esquema, agregar o quitar regiones. Este estado es poco común y solo sucede cuando se aplican parches en el SO.
No se puede crear una relación de confianza
Si sigues los pasos para crear una relación de confianza, pero no puedes completar el proceso, verificar las siguientes opciones de configuración puede ser útil.
Se puede acceder al dominio local
Para verificar que se pueda acceder al dominio local desde el dominio de Microsoft AD administrado, puedes usar ping o Test-NetConnection. Ejecuta estos comandos desde una VM alojada en Google Cloud y en una red autorizada. Verifica que la VM pueda alcanzar un controlador de dominio local. Obtén más información sobre Test-NetConnection.
Dirección IP
Para verificar que la dirección IP proporcionada durante la configuración de la relación de confianza pueda resolver el dominio local, ejecuta el siguiente comando:
nslookup ON_PREMISES_DOMAIN_NAME CONDITIONAL_FORWARDER_ADDRESS
Reemplaza lo siguiente:
ON_PREMISES_DOMAIN_NAME: Es el nombre de tu dominio local.CONDITIONAL_FORWARDER_ADDRESS: Es la dirección IP de tu reenviador condicional de DNS.
Si hay varias direcciones de reenvío condicionales, puedes probarlas.
Obtén más información sobre nslookup.
Relación de confianza local
Para verificar que se haya establecido la relación de confianza local, debes verificar que la siguiente información coincida.
- El tipo y la dirección de la relación de confianza en el dominio de Microsoft AD administrado complementan la relación de confianza creada en el dominio local.
- El secreto de confianza proporcionado cuando se crea la relación de confianza en el dominio de Microsoft AD administrado coincide con el que se ingresó en el dominio local.
La dirección de confianza local complementa la dirección de confianza configurada en Microsoft AD administrado. Es decir, si el dominio local espera una confianza de entrada, la dirección de confianza para el dominio de Microsoft AD administrado es de salida. Obtén más información sobre las direcciones de confianza.
La relación de confianza ya no funciona
Si creaste una relación de confianza con anterioridad, pero ya no funciona, debes verificar los mismos parámetros de configuración que para solucionar los problemas de la creación de la relación de confianza.
Además, si no se usa una relación de confianza durante 60 días o más, se vence su contraseña. Para actualizar la contraseña, cambia la contraseña de la relación de confianza en el dominio local y, luego, actualiza la contraseña en el dominio de Microsoft AD administrado.
La autenticación de Active Directory falla (cuentas alojadas en Microsoft AD administrado)
Si parece que la autenticación de Active Directory falla cuando se usan cuentas alojadas en Microsoft AD administrado, verificar las siguientes opciones de configuración puede ser de ayuda.
La VM está en una red autorizada
A fin de verificar que la VM que se usa para acceder al dominio se encuentre en una red autorizada, completa los siguientes pasos.
Ve a la página Servicio administrado para Microsoft Active Directory en la consola de Google Cloud .
Ir a Servicio administrado para Microsoft Active DirectorySeleccione el nombre del dominio.
En la página Dominio, en Redes, verifica que la red autorizada aparezca en la lista.
El nombre de usuario y la contraseña son correctos
Verifica que el nombre de usuario y la contraseña proporcionados para acceder sean correctos.
Reglas de firewall
Una regla de firewall deny para la salida al rango de direcciones IP de los controladores de dominio puede hacer que la autenticación falle.
Para verificar las reglas de firewall, completa los siguientes pasos:
Console
Ve a la página Reglas de Firewall en la consola de Google Cloud .
Ir a Reglas de firewallEn esta página, verifica que no haya un
denypara la salida configurada para el rango de direcciones IP de los controladores de dominio.
gcloud
Ejecuta el siguiente comando de gcloud CLI:
gcloud compute firewall-rules list
Este comando muestra una lista de las reglas de firewall configuradas. Verifica que no haya un
denypara la salida configurada para el rango de direcciones IP de los controladores de dominio.
Obtén más información sobre las reglas de firewall.
Dirección IP
La autenticación puede fallar si la dirección IP no está en el rango CIDR reservado.
Para verificar la dirección IP, ejecuta el siguiente comando.
nslookup DOMAIN_NAME
Si nslookup falla o muestra una dirección IP que no está en el rango CIDR, debes verificar que exista la zona del DNS.
Para validar que la zona de DNS existe, completa los siguientes pasos:
Console
Ve a la página de Cloud DNS en la Google Cloud consola.
Ir a Cloud DNSEn la página Cloud DNS, en la pestaña Zonas, verifica la columna En uso de la red autorizada.
gcloud
Ejecuta el siguiente comando de gcloud CLI:
gcloud dns managed-zones list --filter=FQDN
Reemplaza
FQDNpor el nombre de dominio completamente calificado de tu dominio de Microsoft AD administrado.
Si la red autorizada no usa ninguna de las zonas enumeradas, debes quitar y volver a agregar la red autorizada.
Intercambio de tráfico entre redes
La autenticación puede fallar si el intercambio de tráfico entre redes de VPC no está configurado correctamente.
Para verificar que el intercambio de tráfico esté configurado, completa los siguientes pasos:
Console
Ve a la página Intercambio de tráfico entre redes de VPC en laGoogle Cloud consola.
Ir a Intercambio de tráfico entre redes de VPCEn la página Intercambio de tráfico entre redes de VPC, en la columna Nombre, busca un intercambio de tráfico llamado
peering-VPC_NETWORK_NAME.
gcloud
Ejecuta el siguiente comando de gcloud CLI:
gcloud compute networks peerings list --network=VPC_NETWORK_NAME
Este comando muestra una lista de intercambios de tráfico. En la lista, busca uno llamado
peering-VPC_NETWORK_NAME.
Si peering-VPC_NETWORK_NAME no está en la lista, debes quitar y volver a agregar la red autorizada.
La autenticación de Active Directory falla (a través de la relación de confianza)
Si, al parecer, la autenticación de Active Directory falla cuando se usan cuentas alojadas administradas locales, debes verificar las mismas configuraciones que para la solución de problemas de la creación de la relación de confianza.
Además, verifica que la cuenta esté en el grupo delegado Cloud Service Computer Remote Desktop Users. Más información sobre los grupos delegados
No se puede acceder al dominio desde una VM de administración
Si no puedes acceder al dominio de Microsoft AD administrado desde la VM que se usa para administrar objetos de AD, debes verificar las mismas configuraciones que para solucionar problemas de autenticación de Active Directory para cuentas alojadas en Microsoft AD administrado.
Error Org policy durante la creación, actualización o eliminación
Si encuentras un error org policy cuando creas, actualizas o borras recursos, es posible que debas cambiar una política de la organización. Obtén más información sobre las restricciones de las políticas de la organización.
Pídele a tu administrador, que tiene el rol de IAM de administrador de políticas de la organización (roles/orgpolicy.policyAdmin) en la organización, que actualice las políticas de la organización requeridas.
Define allowed APIs and services política de la organización
En esta restricción de lista, se define el conjunto de servicios y API que se pueden habilitar en un recurso determinado. Sus descendientes en la jerarquía de recursos también heredan la restricción. Si esta restricción no permite las API que se requieren para Microsoft AD administrado, recibirás un error cuando intentes crear, actualizar o borrar recursos.
Para ver y actualizar la política de la organización Define allowed APIs and services, haz lo siguiente:
Console
- Ve a la página Políticas de la organización en la consola de Google Cloud .
Ir a Políticas de la organización - En la página Políticas de la organización, en la columna Nombre, selecciona la política Definir las API y los servicios permitidos para abrir el panel Resumen de la política.
- En el panel Resumen de la política, verifica que no se rechacen las siguientes API:
dns.googleapis.comcompute.googleapis.com
- Si necesitas realizar un cambio, selecciona Editar, actualiza la política y, luego, haz clic en Guardar.
gcloud
Ejecuta el siguiente comando de gcloud CLI. Obtén más información sobre el comando
gcloud resource-manager org-policies describe.gcloud resource-manager org-policies describe constraints/serviceuser.services \ --organization=ORGANIZATION_IDSi el comando
describemuestra quedns.googleapis.comocompute.googleapis.comno están permitidos, ejecuta el siguiente comando para permitirlo. Obtén más información sobre el comandogcloud resource-manager org-policies allow.gcloud resource-manager org-policies allow constraints/serviceuser.services API_NAME \ --organization=ORGANIZATION_ID
Restrict VPC peering usage política de la organización
En esta restricción de lista, se define el conjunto de redes de VPC mediante el cual se puede intercambiar tráfico con las redes de VPC que pertenecen a un recurso determinado. Si se rechazan los intercambios de tráfico, recibirás un error cuando intentes crear, actualizar o borrar recursos. Obtén información para ver y actualizar la política de la organización Restrict VPC peering usage.
No se pueden resolver los recursos locales de Google Cloud
Si no puedes resolver los recursos locales desde Google Cloud, es posible que debas cambiar la configuración de DNS. Obtén más información sobre cómo configurar el reenvío de DNS para resolver consultas de objetos de Microsoft AD no administrados en redes de VPC.
Fallas intermitentes de la búsqueda de DNS
Si tienes fallas intermitentes de búsqueda de DNS cuando se usa un esquema con alta disponibilidad para Cloud Interconnect o varias VPN, debes verificar las siguientes opciones de configuración:
- Existe una ruta para 35.199.192.0/19.
- La red local permite el tráfico desde 35.199.192.0/19 para todas las conexiones de Cloud Interconnect o los túneles VPN.
Vencimiento de la contraseña de la cuenta de administrador delegado
Si la contraseña de la cuenta de administrador delegada está vencida, puedes restablecer la contraseña. Asegúrate de tener los permisos necesarios para restablecer la contraseña de la cuenta de administrador delegada. Si lo deseas, también puedes inhabilitar el vencimiento de la contraseña de la cuenta.
No se pueden ver los registros de auditoría de Microsoft AD administrado
Si no puedes ver los registros de auditoría de Microsoft AD administrado en el visor de registros o en el explorador de registros, debes verificar las siguientes configuraciones.
- El registro está habilitado para el dominio.
- Tienes la función de IAM
roles/logging.vieweren el proyecto en el que se encuentra el dominio.