פתרון בעיות בשירות מנוהל ל-Microsoft AD

בדף הזה ריכזנו טיפים וגישות לפתרון של בעיות נפוצות בשירות המנוהל ל-Microsoft Active Directory.

אי אפשר ליצור דומיין של שירות מנוהל ל-Microsoft AD

אם אתם לא מצליחים ליצור שירות מנוהל ל-Microsoft AD, תוכלו לבדוק את ההגדרות הבאות:

ממשקי API נדרשים

שירות מנוהל ל-Microsoft AD דורש להפעיל קבוצה של ממשקי API לפני שניתן ליצור דומיין.

כדי לוודא שממשקי ה-API הנדרשים מופעלים, מבצעים את השלבים הבאים:

המסוף

  1. נכנסים לדף APIs & Services במסוףGoogle Cloud .
    כניסה אל APIs & Services

  2. בדף Dashboard (מרכז הבקרה), מוודאים שממשקי ה-API הבאים מופיעים ברשימה:

    • Managed Service for Microsoft Active Directory API
    • Compute Engine API
    • Cloud DNS API

gcloud

  1. מריצים ב-CLI של gcloud את הפקודה הבאה:

    gcloud services list --available

  2. הפקודה מחזירה את רשימת ממשקי ה-API המופעלים. בודקים שממשקי ה-API הבאים מופיעים ברשימה:

    • Managed Service for Microsoft Active Directory API
    • Compute Engine API
    • Cloud DNS API

אם אחד מהממשקי ה-API האלה חסר, צריך לבצע את השלבים הבאים כדי להפעיל אותו:

המסוף

  1. נכנסים לדף API Library במסוףGoogle Cloud .
    לדף API Library
  2. בדף API Library, בשדה החיפוש, מזינים את השם של ה-API החסר.
  3. בדף פרטי ה-API, לוחצים על הפעלה.

gcloud

מריצים ב-CLI של gcloud את הפקודה הבאה:

  gcloud services enable API_NAME

מחליפים את API_NAME בשם ה-API החסר.

חוזרים על התהליך הזה עד שמפעילים את כל ממשקי ה-API הנדרשים.

חיוב

שירות מנוהל ל-Microsoft AD דורש להפעיל חיוב לפני שניתן ליצור דומיין.

כדי לוודא שהחיוב מופעל, פועלים לפי השלבים הבאים:

המסוף

  1. עוברים לדף Billing במסוףGoogle Cloud .
    לדף החיוב
  2. מוודאים שיש לארגון חשבון לחיוב.
  3. לוחצים על הכרטיסייה My projects (הפרויקטים שלי) ומוודאים שהפרויקט שבו מנסים ליצור שירות מנוהל ל-Microsoft AD מופיע ברשימה.

gcloud

מריצים ב-CLI של gcloud את הפקודה הבאה:

  gcloud billing projects describe PROJECT_ID

אם לא מופיע חשבון לחיוב תקין שמקושר לפרויקט, צריך להפעיל את החיוב.

טווח כתובות IP

אם מופיעה שגיאת IP range overlap כשמנסים ליצור דומיין, המשמעות היא שטווח כתובות ה-IP השמור שציינתם בבקשה ליצירת הדומיין חופף לטווח כתובות ה-IP של הרשת המורשית. כדי לפתור את הבעיה, צריך לבחור טווח כתובות IP אחר או רשת מורשית אחרת. מידע נוסף זמין במאמר בנושא בחירת טווחי כתובות IP.

הרשאות

אם מופיעה השגיאה Permission denied כשמנסים ליצור דומיין, צריך לוודא שהזהות שמבצעת את הקריאה מורשית לבצע קריאה ל-API של שירות מנוהל ל-Microsoft AD. מידע נוסף על תפקידים והרשאות בשירות מנוהל ל-Microsoft AD

מדיניות הארגון

יכול להיות שיצירת הדומיין תיכשל בגלל הגדרת מדיניות הארגון. לדוגמה, אפשר להגדיר מדיניות ארגונית שתאפשר גישה רק לשירותים ספציפיים, כמו GKE או Compute Engine. מידע נוסף על הגבלות של מדיניות הארגון

צריך לבקש מהאדמין שיש לו את תפקיד ה-IAM של אדמין מדיניות ארגונית (roles/orgpolicy.policyAdmin) בארגון לעדכן את המדיניות הארגונית הנדרשת.

מדיניות הארגון Resource Location Restriction

המגבלה הזו מגדירה את קבוצת המיקומים שבהם אפשר ליצור משאבים מבוססי-מיקום.Google Cloud דחיית ההרשאה לגישה למיקום עלולה להשפיע על שירות מנוהל ל-Microsoft AD.global

כדי לראות ולעדכן את מדיניות הארגון של Resource Location Restriction:

המסוף

  1. נכנסים לדף מדיניות הארגון במסוף Google Cloud .
    מעבר למדיניות הארגון
  2. בדף מדיניות הארגון, בעמודה Name, בוחרים במדיניות Resource Location Restriction כדי לפתוח את החלונית Policy summary.
  3. בחלונית סיכום המדיניות, מוודאים שהמיקום global מותר.
  4. אם צריך לבצע שינוי, בוחרים באפשרות עריכה, מעדכנים את המדיניות ולוחצים על שמירה.

מידע נוסף על הגבלת מיקומים של משאבים

gcloud

  1. כדי להציג את הפרטים של מדיניות הארגון Resource Location Restriction, מריצים את הפקודה הבאה ב-CLI של gcloud. מידע על הפקודה gcloud resource-manager org-policies describe

    gcloud resource-manager org-policies describe constraints/gcp.resourceLocations \
    --organization=ORGANIZATION_ID

  2. אם הפקודה describe מראה שהפעולה global לא מותרת, מריצים את הפקודה הבאה כדי לאפשר אותה. מידע על הפקודה gcloud resource-manager org-policies allow

    gcloud resource-manager org-policies allow constraints/gcp.resourceLocations global \
    --organization=ORGANIZATION_ID

מידע נוסף על הגבלת מיקומים של משאבים

מדיניות הארגון Restrict VPC peering usage

האילוץ הזה מגדיר את קבוצת רשתות ה-VPC שמותר ליצור איתן שותפות (peering) עם רשתות ה-VPC ששייכות למשאב נתון. כשמציינים רשת מורשית לדומיין של שירות מנוהל ל-Microsoft AD, נוצר קישור בין רשתות שכנות (peering) של VPC בין הרשת המורשית לבין הרשת המבודדת שמכילה את בקרי הדומיין של AD. אם מדיניות הארגון של הפרויקט דוחה את הקישור בין רשתות שכנות (peering), שירות מנוהל ל-Microsoft AD לא יכול ליצור קישור בין רשתות שכנות (peering) לרשת המורשית, ולכן יצירת הדומיין נכשלת. מוצגת שגיאה כמו זו:

GCE_PRECONDITION_FAILED: Constraint constraints /compute.restrictVpcPeering
violated for project PROJECT_ID. Peering the network projects/PROJECT_ID/global/networks/VPC_NETWORK_NAME
is not allowed.

כדי להציג ולעדכן את מדיניות הארגון Restrict VPC peering usage:

המסוף

  1. נכנסים לדף מדיניות הארגון במסוף Google Cloud .
    מעבר למדיניות הארגון
  2. בדף מדיניות הארגון, בעמודה Name, בוחרים במדיניות Restrict VPC peering usage כדי לפתוח את החלונית Policy summary.
  3. בחלונית Policy summary (סיכום המדיניות), מוודאים שהפרויקט מאפשר קישור בין רשתות.
  4. אם צריך לבצע שינוי, בוחרים באפשרות עריכה, מעדכנים את המדיניות ולוחצים על שמירה.

gcloud

  1. כדי להציג את הפרטים של מדיניות הארגון Restrict VPC peering usage, מריצים את הפקודה הבאה ב-CLI של gcloud. מידע על הפקודה gcloud resource-manager org-policies describe

    gcloud resource-manager org-policies describe constraints/compute.restrictVpcPeering \
    --organization=ORGANIZATION_ID

  2. אם הפקודה describe מראה שאין אפשרות ליצור חיבורי Peering, מריצים את הפקודה הבאה כדי לאפשר זאת. מידע על הפקודה gcloud resource-manager org-policies allow

    gcloud resource-manager org-policies allow constraints/compute.restrictVpcPeering under:projects/PROJECT_ID \
    --organization=ORGANIZATION_ID

    מחליפים את מה שכתוב בשדות הבאים:

    • PROJECT_ID: שם הפרויקט שמכיל את המשאב של שירות מנוהל ל-Microsoft AD.
    • ORGANIZATION_ID: מזהה הארגון שמארח את הפרויקט.

אי אפשר להצטרף ל-VM של Windows באופן אוטומטי לדומיין

ריכזנו כאן כמה בעיות עם קודי שגיאה שיכולות לקרות כשמנסים להצטרף אוטומטית למכונה וירטואלית של Windows או ל צמתים של GKE Windows Server בדומיין:

קוד שגיאה תיאור פתרון אפשרי
CONFLICT (409) מציין שחשבון מופע מכונה וירטואלית כבר קיים בדומיין של שירות מנוהל ל-Microsoft AD. מסירים את החשבון באופן ידני מ-שירות מנוהל ל-Microsoft AD באמצעות כלי RSAT ומנסים שוב. מידע נוסף על ניהול אובייקטים של AD ב-Managed Microsoft AD
BAD_REQUEST (412) מציין שבקשת ההצטרפות לדומיין מכילה מידע לא תקין, כמו שם דומיין שגוי ומבנה היררכי שגוי של יחידה ארגונית (OU). צריך לבדוק את המידע, לעדכן את הפרטים אם צריך ולנסות שוב.
INTERNAL (500) מציין שהייתה שגיאה פנימית לא ידועה בשרת. כדי לפתור את הבעיה, צריך לפנות Google Cloud לתמיכה.
FORBIDDEN (403) מציין שלחשבון השירות שצוין אין את ההרשאות הנדרשות. צריך לבדוק אם יש לכם את ההרשאות הנדרשות בחשבון השירות ולנסות שוב.
UNAUTHORIZED (401) מציין שלמכונה הווירטואלית אין הרשאה תקפה להצטרף לדומיין. צריך לבדוק אם יש לכם היקף הגישה הנדרש במכונה הווירטואלית ולנסות שוב.

אי אפשר להצטרף ל-VM באופן ידני לדומיין

אם אתם לא מצליחים להצטרף למכונה באופן ידני מסביבה מקומית לדומיין שירות מנוהל ל-Microsoft AD, ודאו שמתקיימות הדרישות הבאות:

  • המחשב שניסיתם להצטרף אליו ניתן לגילוי מ-שירות מנוהל ל-Microsoft AD. כדי לאמת את הקישוריות הזו, מבצעים חיפוש DNS מהסביבה המקומית לדומיין של שירות מנוהל ל-Microsoft AD באמצעות הפקודה nslookup.

  • הרשת המקומית שבה נמצא המחשב צריכה להיות מקושרת לרשת ה-VPC של דומיין שירות מנוהל ל-Microsoft AD. למידע על פתרון בעיות בחיבור של קישור בין רשתות VPC שכנות (peering), אפשר לעיין במאמר בנושא פתרון בעיות.

אי אפשר להשתמש ב-VPC משותף כרשת מורשית

כדי לגשת לדומיין של שירות מנוהל ל-Microsoft AD מרשת VPC משותפת, צריך ליצור את הדומיין באותו פרויקט שמארח את רשת ה-VPC המשותפת.

אין אפשרות לגשת לדומיין של שירות מנוהל ל-Microsoft AD

אם נראה שהדומיין שלכם ב-שירות מנוהל ל-Microsoft AD לא זמין, תוכלו לקבל מידע נוסף על הסטטוס שלו על ידי השלמת השלבים הבאים:

המסוף

נכנסים לדף שירות מנוהל ל-Microsoft Active Directory במסוף Google Cloud .
מעבר אל שירות מנוהל ל-Microsoft Active Directory

בדף שירות מנוהל ל-Microsoft Active Directory, בעמודה Status, אפשר לראות את הסטטוסים של הדומיינים.

gcloud

מריצים ב-CLI של gcloud את הפקודה הבאה:

gcloud active-directory domains list

הפקודה הזו מחזירה את הסטטוסים של הדומיינים שלכם.

אם סטטוס הדומיין הוא DOWN, יכול להיות שהחשבון שלכם הושעה. כדי לפתור את הבעיה, אפשר לפנות Google Cloud לתמיכה.

אם הסטטוס של הדומיין הוא PERFORMING_MAINTENANCE, שירות מנוהל ל-Microsoft AD אמור עדיין להיות זמין לשימוש, אבל ייתכן שלא יאפשר פעולות כמו הרחבת סכימה, הוספה או הסרה של אזורים. הסטטוס הזה נדיר וקורה רק כשהמערכת מופעלת.

לא ניתן ליצור יחסי אמון

אם פעלתם לפי השלבים ליצירת יחסי אמון אבל לא הצלחתם להשלים את התהליך, כדאי לבדוק את ההגדרות הבאות.

הדומיין המקומי נגיש

כדי לוודא שאפשר להגיע לדומיין המקומי משירות מנוהל ל-Microsoft AD, אפשר להשתמש ב-ping או ב-Test-NetConnection. מריצים את הפקודות האלה מ-VM שמתארח ב- Google Cloud וברשת מורשית. מוודאים שהמכונה הווירטואלית יכולה להגיע לבקר דומיין מקומי. מידע נוסף על Test-NetConnection

כתובת IP

כדי לוודא שכתובת ה-IP שסופקה במהלך הגדרת היחסים המהימנים יכולה לפתור את הבעיה בדומיין המקומי, מריצים את הפקודה הבאה:

nslookup ON_PREMISES_DOMAIN_NAME CONDITIONAL_FORWARDER_ADDRESS

מחליפים את מה שכתוב בשדות הבאים:

  • ON_PREMISES_DOMAIN_NAME: השם של הדומיין המקומי.
  • CONDITIONAL_FORWARDER_ADDRESS: כתובת ה-IP של מעביר ה-DNS המותנה.

אם יש כמה כתובות של העברה מותנית, אפשר לבדוק את ההעברה מול כל אחת מהן.

מידע נוסף על nslookup

יחסי אמון מקומיים

כדי לוודא שנוצר יחסי אמון מקומיים, צריך לבדוק שהמידע הבא זהה.

  • סוג האמון והכיוון בדומיין של שירות מנוהל ל-Microsoft AD משלימים את האמון שנוצר בדומיין המקומי.
  • הסוד של האמון שסופק במהלך יצירת האמון בשירות מנוהל ל-Microsoft AD תואם לזה שהוזן בדומיין המקומי.

כיוון האמון בארגון משלים את כיוון האמון שהוגדר בשירות מנוהל ל-Microsoft AD. כלומר, אם הדומיין המקומי מצפה לאמון נכנס, כיוון האמון עבור דומיין Managed Microsoft AD הוא יוצא. מידע נוסף על כיווני אמון

המהימנות כבר לא פועלת

אם יצרתם בעבר יחסי אמון, אבל הם כבר לא פועלים, אתם צריכים לבדוק את אותן ההגדרות כמו במקרה של פתרון בעיות ביצירת יחסי אמון.

בנוסף, אם לא משתמשים בסיסמה של יחסי האמון במשך 60 יום או יותר, תוקף הסיסמה פג. כדי לרענן את הסיסמה, משנים את הסיסמה של היחסים בדומיין המקומי, ואז מעדכנים את הסיסמה בדומיין של שירות מנוהל ל-Microsoft AD.

האימות ב-Active Directory נכשל (חשבונות שמתארחים ב-Managed Microsoft AD)

אם נראה שאימות Active Directory נכשל כשמשתמשים בחשבונות מתארחים מנוהלים של Microsoft AD, כדאי לאמת את ההגדרות הבאות.

המכונה הווירטואלית נמצאת ברשת מורשית

כדי לוודא שהמכונה הווירטואלית שמשמשת לגישה לדומיין נמצאת ברשת מורשית, צריך לבצע את השלבים הבאים.

  1. נכנסים לדף שירות מנוהל ל-Microsoft Active Directory במסוף Google Cloud .
    מעבר אל שירות מנוהל ל-Microsoft Active Directory

  2. בוחרים את שם הדומיין.

  3. בדף Domain (דומיין), בקטע Networks (רשתות), מוודאים שהרשת המורשית מופיעה ברשימה.

שם המשתמש והסיסמה נכונים

מוודאים ששם המשתמש והסיסמה שהוזנו להתחברות נכונים.

כללי חומת אש

כלל חומת אש deny ליציאה לטווח כתובות ה-IP של בקרי הדומיין עלול לגרום לכשל באימות.

כדי לבדוק את הכללים של חומת האש:

המסוף

  1. נכנסים לדף Firewall rules במסוף Google Cloud .
    לדף Firewall rules

  2. בדף הזה, מוודאים שאין deny לתעבורת נתונים יוצאת (egress) שמוגדרת לטווח כתובות ה-IP של בקרי הדומיין (DC).

gcloud

  1. מריצים ב-CLI של gcloud את הפקודה הבאה:

    gcloud compute firewall-rules list

  2. הפקודה הזו מחזירה רשימה של כללי חומת האש שהוגדרו. בודקים שאין deny ליציאה שהוגדר לטווח כתובות ה-IP של בקרי הדומיין.

מידע נוסף על כללים של חומת אש

כתובת IP

האימות עלול להיכשל אם כתובת ה-IP לא נמצאת בטווח ה-CIDR השמור.

כדי לבדוק את כתובת ה-IP, מריצים את הפקודה הבאה.

nslookup DOMAIN_NAME

אם הפקודה nslookup נכשלת או מחזירה כתובת IP שלא נמצאת בטווח CIDR, צריך לוודא שתחום ה-DNS קיים.

כדי לוודא שתחום ה-DNS קיים, מבצעים את השלבים הבאים:

המסוף

  1. עוברים לדף Cloud DNS במסוף Google Cloud .
    כניסה ל-Cloud DNS

  2. בדף Cloud DNS, בכרטיסייה אזורים, בודקים את העמודה בשימוש על ידי כדי לראות את הרשת המורשית.

gcloud

  1. מריצים ב-CLI של gcloud את הפקודה הבאה:

    gcloud dns managed-zones list --filter=FQDN

    מחליפים את FQDN בשם הדומיין שמוגדר במלואו של דומיין שירות מנוהל ל-Microsoft AD.

אם אף אחד מהאזורים שמופיעים ברשימה לא נמצא בשימוש ברשת המורשית, צריך להסיר את הרשת המורשית ולהוסיף אותה מחדש.

קישור בין רשתות שכנות

האימות עלול להיכשל אם הקישור בין רשתות VPC שכנות לא מוגדר בצורה נכונה.

כדי לוודא שהפירינג מוגדר, מבצעים את השלבים הבאים:

המסוף

  1. נכנסים לדף קישור בין רשתות שכנות (peering) של רשת VPC במסוף Google Cloud .
    מעבר לקישור בין רשתות VPC שכנות (peering)

  2. בדף רשת VPC, בעמודה Name, מחפשים קישור בין רשתות שכנות (peering) בשם peering-VPC_NETWORK_NAME.

gcloud

  1. מריצים ב-CLI של gcloud את הפקודה הבאה:

    gcloud compute networks peerings list --network=VPC_NETWORK_NAME

  2. הפקודה הזו מחזירה רשימה של חיבורי Peer. ברשימה, מחפשים את האפשרות peering-VPC_NETWORK_NAME.

אם הסמל peering-VPC_NETWORK_NAME לא מופיע ברשימה, צריך להסיר את הרשת המורשית ולהוסיף אותה מחדש.

האימות של Active Directory נכשל (דרך יחסי אמון)

אם נראה שאימות Active Directory נכשל כשמשתמשים בחשבונות מנוהלים שמתארחים בשרתים מקומיים באמצעות יחסי אמון, צריך לבדוק את אותן הגדרות כמו במקרה של פתרון בעיות ביצירת יחסי אמון.

בנוסף, צריך לוודא שהחשבון נמצא בCloud Service Computer Remote Desktop Users קבוצה עם הרשאת ניהול. מידע נוסף על קבוצות עם הרשאות ניהול

אין אפשרות לגשת לדומיין ממכונה וירטואלית לניהול

אם אין לכם גישה לדומיין של שירות מנוהל ל-Microsoft AD מהמכונה הווירטואלית שמשמשת לניהול אובייקטים של AD, אתם צריכים לבדוק את אותן ההגדרות כמו במקרה של פתרון בעיות באימות של Active Directory בחשבונות שמארחים שירות מנוהל ל-Microsoft AD.

שגיאה Org policy ביצירה, בעדכון או במחיקה

אם נתקלתם בשגיאה org policy כשניסיתם ליצור, לעדכן או למחוק משאבים, יכול להיות שתצטרכו לשנות את מדיניות הארגון. מידע נוסף על אילוצים של מדיניות הארגון

צריך לבקש מהאדמין שיש לו את תפקיד ה-IAM של אדמין מדיניות ארגונית (roles/orgpolicy.policyAdmin) בארגון לעדכן את המדיניות הארגונית הנדרשת.

מדיניות הארגון Define allowed APIs and services

אילוץ הרשימה הזה מגדיר את קבוצת השירותים וממשקי ה-API שאפשר להפעיל במשאב נתון. גם צאצאים בהיררכיית המשאבים יירשו את האילוץ. אם האילוץ הזה לא מאפשר שימוש בממשקי ה-API שנדרשים לשירות מנוהל ל-Microsoft AD, תוצג שגיאה כשמנסים ליצור, לעדכן או למחוק משאבים.

כדי להציג ולעדכן את מדיניות הארגון Define allowed APIs and services:

המסוף

  1. נכנסים לדף מדיניות הארגון במסוף Google Cloud .
    מעבר למדיניות הארגון
  2. בדף מדיניות הארגון, בעמודה Name, בוחרים במדיניות Define allowed APIs and services כדי לפתוח את החלונית Policy summary.
  3. בחלונית סיכום המדיניות, מוודאים שממשקי ה-API הבאים לא נדחו:
    • dns.googleapis.com
    • compute.googleapis.com
  4. אם צריך לבצע שינוי, בוחרים באפשרות עריכה, מעדכנים את המדיניות ולוחצים על שמירה.

gcloud

  1. מריצים את הפקודה הבאה ב-CLI של gcloud. מידע על הפקודה gcloud resource-manager org-policies describe

    gcloud resource-manager org-policies describe constraints/serviceuser.services \
    --organization=ORGANIZATION_ID

  2. אם הפקודה describe מראה שהאפשרות dns.googleapis.com או compute.googleapis.com לא מותרת, מריצים את הפקודה הבאה כדי לאפשר אותה. מידע על הפקודה gcloud resource-manager org-policies allow

    gcloud resource-manager org-policies allow constraints/serviceuser.services API_NAME \
    --organization=ORGANIZATION_ID

מדיניות הארגון Restrict VPC peering usage

האילוץ הזה מגדיר את קבוצת רשתות ה-VPC שמותר ליצור איתן שותפות (peering) עם רשתות ה-VPC ששייכות למשאב נתון. אם הגישה ל-Peering נדחית, מוצגת שגיאה כשמנסים ליצור, לעדכן או למחוק משאבים. איך צופים במדיניות הארגון של Restrict VPC peering usage ומעדכנים אותה

לא ניתן לפתור בעיות במשאבים מקומיים מ Google Cloud

אם אין אפשרות ליצור רזולוציה של משאבים מקומיים מ- Google Cloud, יכול להיות שצריך לשנות את הגדרת ה-DNS. איך מגדירים העברת DNS כדי לפתור שאילתות לגבי אובייקטים של Microsoft AD שלא מנוהלים ברשתות VPC

כשלים לסירוגין בחיפוש DNS

אם אתם נתקלים בכשלים לסירוגין בחיפוש DNS כשאתם משתמשים בסכימה של זמינות גבוהה ל-Cloud Interconnect או בכמה רשתות VPN, כדאי לבדוק את ההגדרות הבאות:

  • קיים מסלול ל-35.199.192.0/19.
  • הרשת המקומית מאפשרת תנועה מ-35.199.192.0/19 לכל חיבורי Cloud Interconnect או מנהרות VPN.

פג תוקף הסיסמה של חשבון אדמין עם הרשאות ניהול מוגבלות

אם תוקף הסיסמה של חשבון האדמין עם הגישה פג, אפשר לאפס את הסיסמה. מוודאים שיש לכם את ההרשאות הנדרשות לאיפוס הסיסמה של חשבון האדמין שהוקצו לו הרשאות. אם רוצים, אפשר גם להשבית את תוקף הסיסמה בחשבון.

אין אפשרות לצפות ביומני ביקורת של שירות מנוהל ל-Microsoft AD

אם אתם לא מצליחים לראות יומני ביקורת של שירות מנוהל ל-Microsoft AD בכלי מציג היומנים או ב-Logs Explorer, אתם צריכים לוודא שההגדרות הבאות תקינות.