Esta página fornece sugestões e abordagens para resolver problemas comuns com o Serviço gerido para o Microsoft Active Directory.
Não é possível criar um domínio do Microsoft AD gerido
Se não conseguir criar um domínio do Microsoft AD gerido, a validação das seguintes configurações pode ajudar.
APIs necessárias
O Microsoft AD gerido requer que ative um grupo de APIs antes de poder criar um domínio.
Para verificar se as APIs necessárias estão ativadas, conclua os seguintes passos:
Consola
- Aceda à página APIs e serviços na
Google Cloud consola.
Aceda a APIs e serviços Na página Painel de controlo, verifique se as seguintes APIs estão listadas:
- API Managed Service for Microsoft Active Directory
- API Compute Engine
- Cloud DNS API
gcloud
Execute o seguinte comando da CLI gcloud:
gcloud services list --available
O comando devolve a lista de APIs ativadas. Verifique se as seguintes APIs são apresentadas:
- API Managed Service for Microsoft Active Directory
- API Compute Engine
- Cloud DNS API
Se alguma destas APIs estiver em falta, conclua os passos seguintes para as ativar:
Consola
- Aceda à página
Biblioteca de APIs na
Google Cloud consola.
Aceda à Biblioteca de APIs - Na página Biblioteca de APIs, no campo de pesquisa, introduza o nome da API em falta.
- Na página de informações da API, clique em Ativar.
gcloud
Execute o seguinte comando da CLI gcloud:
gcloud services enable API_NAME
Substitua API_NAME pelo nome da API em falta.
Repita este processo até que todas as APIs necessárias estejam ativadas.
Faturação
O Microsoft AD gerido requer que ative a faturação antes de poder criar um domínio.
Para verificar se a faturação está ativada, conclua os seguintes passos:
Consola
- Aceda à página Faturação na
Google Cloud consola.
Aceder a Faturação - Verifique se existe uma conta de faturação configurada para a sua organização.
- Clique no separador Os meus projetos e, de seguida, verifique se o projeto no qual está a tentar criar um domínio do Microsoft AD gerido está listado.
gcloud
Execute o seguinte comando da CLI gcloud:
gcloud billing projects describe PROJECT_ID
Se não vir uma conta de faturação válida associada ao projeto, deve ativar a faturação.
Intervalo de endereços IP
Se receber um erro IP range overlap quando tentar criar um domínio, significa que o intervalo de endereços IP reservado que indicou no pedido de criação do domínio sobrepõe-se ao intervalo de endereços IP da rede autorizada. Para resolver este problema, deve escolher um intervalo de endereços IP diferente ou uma rede autorizada diferente. Para mais informações, consulte o artigo
Selecione intervalos de endereços IP.
Autorizações
Se receber um erro Permission denied quando tentar criar um domínio, deve verificar se a identidade de chamada tem autorização para chamar a API Managed Microsoft AD. Saiba mais sobre as
funções e autorizações do Microsoft AD gerido.
Política da organização
A criação do domínio pode falhar devido a uma configuração da política da organização. Por exemplo, pode configurar uma política da organização para permitir o acesso apenas a serviços específicos, como o GKE ou o Compute Engine. Saiba mais acerca das restrições da política da organização.
Peça ao administrador com a função de IAM de administrador de políticas da organização (roles/orgpolicy.policyAdmin) na organização para atualizar as políticas da organização necessárias.
Política da organização Resource Location Restriction
Esta restrição de lista define o conjunto de localizações onde é possível criar recursos baseados na localização.Google Cloud A recusa da localização global pode afetar
o Microsoft AD gerido.
Para ver e atualizar a política da organização Resource Location Restriction:
Consola
- Aceda à página Políticas de organização na Google Cloud consola.
Aceda às políticas da organização - Na página Políticas da organização, na coluna Nome, selecione a política Restrição de localização de recursos para abrir o painel Resumo da política.
- No painel Resumo das políticas, verifique se a localização
globalé permitida. - Se precisar de fazer uma alteração, selecione Editar, atualize a política e, de seguida, clique em Guardar.
Saiba como restringir localizações de recursos.
gcloud
Para ver os detalhes da política de organização
Resource Location Restriction, execute o seguinte comando da CLI gcloud. Saiba mais sobre o comandogcloud resource-manager org-policies describe.gcloud resource-manager org-policies describe constraints/gcp.resourceLocations \ --organization=ORGANIZATION_IDSe o comando
describemostrar queglobalnão é permitido, execute o comando seguinte para o permitir. Saiba mais sobre o comandogcloud resource-manager org-policies allow.gcloud resource-manager org-policies allow constraints/gcp.resourceLocations global \ --organization=ORGANIZATION_ID
Saiba como restringir localizações de recursos.
Política da organização Restrict VPC peering usage
Esta restrição de lista define o conjunto de redes de VPC que podem ser interligadas com as redes de VPC pertencentes a um determinado recurso. Quando especifica uma rede autorizada para um domínio do Microsoft AD gerido, é criada uma interligação de VPC entre a rede autorizada e a rede isolada que contém os controladores de domínio do AD. Se a política organizacional do projeto negar as interligações, o Microsoft AD gerido não pode criar interligações para a rede autorizada, pelo que a criação do domínio falha. Recebe um erro como este:
GCE_PRECONDITION_FAILED: Constraint constraints /compute.restrictVpcPeering violated for project PROJECT_ID. Peering the network projects/PROJECT_ID/global/networks/VPC_NETWORK_NAME is not allowed.
Para ver e atualizar a política da organização Restrict VPC peering usage:
Consola
- Aceda à página Políticas de organização na Google Cloud consola.
Aceda às políticas da organização - Na página Políticas da organização, na coluna Nome, selecione a política Restringir a utilização do peering de VPC para abrir o painel Resumo da política.
- No painel Resumo das políticas, verifique se o projeto permite as interligações.
- Se precisar de fazer uma alteração, selecione Editar, atualize a política e, de seguida, clique em Guardar.
gcloud
Para ver os detalhes da política de organização
Restrict VPC peering usage, execute o seguinte comando da CLI gcloud. Saiba mais sobre o comandogcloud resource-manager org-policies describe.gcloud resource-manager org-policies describe constraints/compute.restrictVpcPeering \ --organization=ORGANIZATION_IDSe o comando
describemostrar que as interligações não são permitidas, execute o seguinte comando para o permitir. Saiba mais sobre o comandogcloud resource-manager org-policies allow.gcloud resource-manager org-policies allow constraints/compute.restrictVpcPeering under:projects/PROJECT_ID \ --organization=ORGANIZATION_IDSubstitua o seguinte:
PROJECT_ID: o nome do projeto que contém o recurso do Microsoft AD gerido.ORGANIZATION_ID: o ID da organização que aloja esse projeto.
Não é possível juntar automaticamente uma VM do Windows a um domínio
Seguem-se alguns problemas com códigos de erro que pode encontrar ao tentar associar automaticamente uma VM do Windows ou nós do Windows Server do GKE a um domínio:
| Código de erro | Descrição | Potencial solução |
|---|---|---|
CONFLICT (409) |
Indica que a conta da instância de VM já existe no domínio do Microsoft AD gerido. | Remova a conta manualmente do Managed Microsoft AD através das ferramentas RSAT e tente novamente. Para mais informações sobre a gestão de objetos do AD no Microsoft AD gerido, consulte o artigo Faça a gestão de objetos do Active Directory. |
BAD_REQUEST (412) |
Indica que o pedido de associação ao domínio contém informações inválidas, como um nome de domínio incorreto e uma estrutura de hierarquia da unidade organizacional (UO) incorreta. | Reveja as informações, atualize os detalhes, se necessário, e tente novamente. |
INTERNAL (500) |
Indica que o servidor encontrou um erro interno desconhecido. | Contacte Google Cloud o apoio técnico para resolver este problema. |
FORBIDDEN (403) |
Indica que a conta de serviço especificada não tem os privilégios necessários. | Verifique se tem os privilégios necessários na conta de serviço e tente novamente. |
UNAUTHORIZED (401) |
Indica que a VM não tem autorização válida para aderir ao domínio. | Verifique se tem o âmbito de acesso necessário na VM e tente novamente. |
Não é possível associar manualmente uma VM a um domínio
Se não conseguir associar manualmente uma máquina de um ambiente no local ao seu domínio do Managed Microsoft AD, verifique os seguintes requisitos:
A máquina à qual está a tentar aderir é detetável a partir do Managed Microsoft AD. Para validar esta conetividade, faça uma procura de DNS do ambiente no local para o domínio do Microsoft AD gerido com o comando
nslookup.A rede no local em que a máquina se encontra tem de estar interligada com a rede VPC do seu domínio do Microsoft AD gerido. Para obter informações sobre a resolução de problemas de uma ligação de intercâmbio da rede da VPC, consulte a secção Resolução de problemas.
Não é possível usar a VPC partilhada como rede autorizada
Para aceder a um domínio do Microsoft AD gerido a partir de uma rede VPC partilhada, o domínio tem de ser criado no mesmo projeto que aloja a rede VPC partilhada.
Não é possível aceder ao domínio do Microsoft AD gerido
Se o seu domínio do Microsoft AD gerido parecer estar indisponível, pode obter mais informações acerca do respetivo estado ao concluir os seguintes passos:
Consola
Aceda à página
Serviço gerido para o Microsoft Active Directory
na Google Cloud consola.
Aceda ao Serviço gerido para o Microsoft Active Directory
Na página Serviço gerido para o Microsoft Active Directory, na coluna Estado, pode ver os estados dos seus domínios.
gcloud
Execute o seguinte comando da CLI gcloud:
gcloud active-directory domains list
Este comando devolve os estados dos seus domínios.
Se o estado do seu domínio for DOWN, isto indica que a sua conta pode ter sido suspensa. Contacte Google Cloud o apoio técnico para resolver este problema.
Se o estado do seu domínio for PERFORMING_MAINTENANCE, o Microsoft AD gerido deve continuar disponível para utilização, mas pode não permitir operações como a extensão do esquema, a adição ou a remoção de regiões. Este estado é raro e só ocorre quando o SO tem patches.
Não é possível criar confiança
Se seguir os passos para criar uma relação de confiança, mas não conseguir concluir o processo, a validação das seguintes configurações pode ajudar.
O domínio no local é acessível
Para verificar se o domínio no local é acessível a partir do domínio do Microsoft AD gerido, pode usar ping ou Test-NetConnection. Execute estes comandos a partir de uma VM alojada no Google Cloud e numa rede autorizada. Confirme se a VM consegue alcançar um controlador de domínio no local. Saiba mais sobre
Test-NetConnection.
Endereço IP
Para verificar se o endereço IP fornecido durante a configuração da confiança consegue resolver o domínio no local, execute o seguinte comando:
nslookup ON_PREMISES_DOMAIN_NAME CONDITIONAL_FORWARDER_ADDRESS
Substitua o seguinte:
ON_PREMISES_DOMAIN_NAME: o nome do seu domínio no local.CONDITIONAL_FORWARDER_ADDRESS: o endereço IP do encaminhador condicional de DNS.
Se existirem várias moradas de encaminhador condicional, pode testar qualquer uma delas.
Saiba mais sobre
nslookup.
Relação de confiança nas instalações
Para verificar se a relação de confiança no local está estabelecida, deve verificar se as seguintes informações correspondem.
- O tipo e a direção da confiança no domínio do Microsoft AD gerido complementam a confiança criada no domínio no local.
- A chave secreta de confiança fornecida durante a criação da confiança no domínio do Microsoft AD gerido corresponde à introduzida no domínio no local.
A direção de confiança no local complementa a direção de confiança configurada no Microsoft AD gerido. Ou seja, se o domínio no local esperar uma fidedignidade de entrada, a direção da fidedignidade para o domínio do Microsoft AD gerido é de saída. Saiba mais sobre as direções confiáveis.
A fidedignidade já não funciona
Se criou anteriormente uma relação de confiança, mas esta já não funciona, deve validar as mesmas configurações que faria para resolver problemas na criação de uma relação de confiança.
Além disso, se uma confiança não for usada durante 60 dias ou mais, a palavra-passe da confiança expira. Para atualizar a palavra-passe, altere a palavra-passe da confiança no domínio no local e, de seguida, atualize a palavra-passe no domínio do Microsoft AD gerido.
A autenticação do Active Directory está a falhar (contas alojadas no Microsoft AD gerido)
Se parecer que a autenticação do Active Directory está a falhar quando usa contas alojadas no Microsoft AD gerido, a verificação das seguintes configurações pode ajudar.
A VM está numa rede autorizada
Para verificar se a VM usada para aceder ao domínio está numa rede autorizada, conclua os seguintes passos.
Aceda à página Serviço gerido para o Microsoft Active Directory na Google Cloud consola.
Aceda ao Serviço gerido para o Microsoft Active DirectorySelecione o nome do domínio.
Na página Domínio, em Redes, verifique se a rede autorizada está listada.
O nome de utilizador e a palavra-passe estão corretos
Verifique se o nome de utilizador e a palavra-passe fornecidos para iniciar sessão estão corretos.
Regras de firewall
Uma regra de firewall deny para a saída para o intervalo de endereços IP dos controladores de domínio pode fazer com que a autenticação falhe.
Para verificar as regras da firewall, conclua os passos seguintes:
Consola
Aceda à página Regras de firewall na Google Cloud consola.
Aceda a Regras de firewallNesta página, verifique se não existe um
denypara saída configurado para o intervalo de endereços IP dos controladores de domínio.
gcloud
Execute o seguinte comando da CLI gcloud:
gcloud compute firewall-rules list
Este comando devolve uma lista das regras de firewall configuradas. Verifique se não existe um
denypara saída configurado para o intervalo de endereços IP dos controladores de domínio.
Saiba mais acerca das regras de firewall.
Endereço IP
A autenticação pode falhar se o endereço IP não estiver no intervalo CIDR reservado.
Para verificar o endereço IP, execute o seguinte comando.
nslookup DOMAIN_NAME
Se nslookup falhar ou devolver um endereço IP que não esteja no intervalo CIDR, deve verificar se a zona DNS existe.
Para validar que a zona DNS existe, conclua os seguintes passos:
Consola
Aceda à página Cloud DNS na Google Cloud consola.
Aceda ao Cloud DNSNa página Cloud DNS, no separador Zonas, verifique a coluna Em utilização por para a rede autorizada.
gcloud
Execute o seguinte comando da CLI gcloud:
gcloud dns managed-zones list --filter=FQDN
Substitua
FQDNpelo nome do domínio totalmente qualificado do seu domínio do Microsoft AD gerido.
Se nenhuma das zonas listadas estiver a ser usada pela rede autorizada, deve remover e voltar a adicionar a rede autorizada.
Intercâmbio de rede
A autenticação pode falhar se o intercâmbio das redes da VPC não estiver configurado corretamente.
Para verificar se o peering está configurado, conclua os seguintes passos:
Consola
Aceda à página Interligação de redes VPC na Google Cloud consola.
Aceda ao intercâmbio da rede da VPCNa página Interligação de redes VPC, na coluna Nome, procure uma interligação denominada
peering-VPC_NETWORK_NAME.
gcloud
Execute o seguinte comando da CLI gcloud:
gcloud compute networks peerings list --network=VPC_NETWORK_NAME
Este comando devolve uma lista de associações. Na lista, procure um ficheiro com o nome
peering-VPC_NETWORK_NAME.
Se peering-VPC_NETWORK_NAME não estiver na lista, deve remover e voltar a adicionar a rede autorizada.
A autenticação do Active Directory está a falhar (através de confiança)
Se parecer que a autenticação do Active Directory está a falhar quando usa contas alojadas no local geridas através de confiança, deve validar as mesmas configurações que faria para resolver problemas de criação de uma confiança.
Além disso, verifique se a conta está no
Cloud Service Computer Remote Desktop Users grupo delegado. Saiba mais sobre os
grupos delegados
Não é possível aceder ao domínio a partir de uma VM de capacidade de gestão
Se não conseguir aceder ao domínio do Microsoft AD gerido a partir da VM usada para gerir objetos do AD, deve validar as mesmas configurações que faria para resolver problemas de autenticação do Active Directory para contas alojadas no Microsoft AD gerido.
Erro Org policy ao criar, atualizar ou eliminar
Se encontrar um erro org policy ao criar, atualizar ou eliminar recursos, pode ter de alterar uma política da organização. Saiba mais sobre as restrições da política da organização.
Peça ao administrador com a função de IAM de administrador de políticas da organização (roles/orgpolicy.policyAdmin) na organização para atualizar as políticas da organização necessárias.
Política da organização Define allowed APIs and services
Esta restrição de lista define o conjunto de serviços e APIs que podem ser ativados num determinado recurso. Os seus descendentes na hierarquia de recursos também herdam a restrição. Se esta restrição não permitir as APIs necessárias para o Microsoft AD gerido, recebe um erro quando tenta criar, atualizar ou eliminar recursos.
Para ver e atualizar a política da organização Define allowed APIs and services:
Consola
- Aceda à página Políticas de organização na Google Cloud consola.
Aceda às políticas da organização - Na página Políticas da organização, na coluna Nome, selecione a política Definir APIs e serviços permitidos para abrir o painel Resumo da política.
- No painel Resumo das políticas, verifique se as seguintes APIs não estão
negadas:
dns.googleapis.comcompute.googleapis.com
- Se precisar de fazer uma alteração, selecione Editar, atualize a política e, de seguida, clique em Guardar.
gcloud
Execute o seguinte comando da CLI gcloud. Saiba mais sobre o comando
gcloud resource-manager org-policies describe.gcloud resource-manager org-policies describe constraints/serviceuser.services \ --organization=ORGANIZATION_IDSe o comando
describemostrar quedns.googleapis.comoucompute.googleapis.comnão é permitido, execute o seguinte comando para o permitir. Saiba mais sobre o comandogcloud resource-manager org-policies allow.gcloud resource-manager org-policies allow constraints/serviceuser.services API_NAME \ --organization=ORGANIZATION_ID
Política da organização Restrict VPC peering usage
Esta restrição de lista define o conjunto de redes de VPC que podem ser
interligadas com as redes de VPC pertencentes a um determinado recurso. Se as interligações forem recusadas, recebe um erro quando tenta criar, atualizar ou eliminar recursos. Saiba
como ver e atualizar a Restrict VPC peering usagepolítica da organização.
Não é possível resolver recursos no local a partir de Google Cloud
Se não conseguir resolver recursos no local a partir de Google Cloud, pode ter de alterar a configuração de DNS. Saiba como configurar o encaminhamento de DNS para resolver consultas de objetos do Microsoft AD não geridos em redes VPC.
Falhas intermitentes na procura de DNS
Se estiver a ter falhas intermitentes de procura de DNS quando usa um esquema de alta disponibilidade para o Cloud Interconnect ou várias VPNs, deve verificar as seguintes configurações:
- Existe um trajeto para 35.199.192.0/19.
- A rede no local permite o tráfego de 35.199.192.0/19 para todas as ligações do Cloud Interconnect ou túneis de VPN.
A palavra-passe da conta de administrador delegado expira
Se a palavra-passe da conta de administrador delegado tiver expirado, pode repô-la. Certifique-se de que tem as autorizações necessárias para repor a palavra-passe da conta de administrador delegado. Se quiser, também pode desativar a expiração da palavra-passe para a conta.
Não é possível ver os registos de auditoria do Microsoft AD gerido
Se não conseguir ver registos de auditoria do Microsoft AD gerido no Visualizador de registos ou no Explorador de registos, deve verificar as seguintes configurações.
- O registo está ativado para o domínio.
- Tem a função de IAM
roles/logging.viewerno projeto onde o domínio está localizado.