Google uses AI technology to translate content into your preferred language. AI translations can contain errors.

כלי לאבחון Active Directory ב-Cloud SQL

כלי האבחון של Active Directory ‏ (AD) הוא סקריפט PowerShell שימושי שעוזר לפתור בעיות בהגדרת AD בדומיין המקומי ובמכונות של Cloud SQL ל-SQL Server ב- Google Cloud.

הכלי מבצע בדיקות שונות כדי לזהות בעיות, כמו יציאות סגורות, חיפושים של FQDN ובעיות ב-DNS. היא פועלת במכונה וירטואלית של Windows מקומית, שהיא אחת מבקרי הדומיין של הדומיין המקומי שלכם.

בדף הזה מוסבר איך להשתמש בכלי לאבחון Active Directory ב-Cloud SQL, ומוסברות הבדיקות שהכלי מבצע.

דרישות מוקדמות

לפני שמשתמשים בכלי לאבחון מודעות, צריך לוודא שהרכיבים הבאים מוגדרים:

דומיין מקומי שמופעל בו AD.
דומיין מנוהל של AD במסוף Google Cloud .
מופע של Cloud SQL ל-SQL Server שמצורף לדומיין Managed AD.

איך משתמשים בכלי האבחון של Active Directory

כדי להשתמש בכלי AD Diagnosis:

מתחברים לאחד מבקרי הדומיין המקומיים או למכונה וירטואלית שמצורפת לדומיין המקומי.
מורידים את סקריפט diagnose_ad.ps1 במכונה הווירטואלית.
מפעילים את Powershell כאדמין.
מריצים את הסקריפט diagnose_ad.ps1 בחלון Powershell באמצעות הפקודה הבאה:
```
powershell -command "& { . C:\\<var>SCRIPT_PATH</var>\\diagnose_ad.ps1; Run-Tool }"
```
מזינים את הפרטים הבאים כשתופיע בקשה:

הערה: חלק מהבדיקות דורשות הרשאות אדמין. אם לא הפעלתם את Powershell כאדמין קודם לכן, תוצג לכם בקשה להפעיל אותו כאדמין.
- שם דומיין מקומי, כמו my-onprem-domain.com
- שם דומיין מנוהל של AD, כמו my-ad-domain.com
- רשימה של שמות דומיין מלאים (FQDN) וכתובות IP פרטיות של Active Directory ב-SQL Server. הרשימה הזו זמינה במסוף Google Cloud בדף Overview של המופע.

הכלי מבצע מספר בדיקות, כפי שמתואר במאמר הבדיקות שמבוצעות על ידי הכלי לאבחון Active Directory.

בדיקות שמבוצעות על ידי הכלי לאבחון של Active Directory

המחאה	תיאור	הערות והמלצות
בקרי דומיין זמינים	מבצע פינג לכתובת ה-IP של כל בקר דומיין בדומיין המקומי כדי לוודא שאפשר להגיע אליו.	הבדיקות הנותרות מתבצעות על כתובות ה-IP שאפשר להגיע אליהן. במקרה של כשל בבדיקה הזו, צריך לוודא שיש קישוריות לרשת לבקרי הדומיין שנותרו בפריסה המקומית. מידע נוסף זמין במאמר בנושא יצירת תשתית הרשת.
יציאות	בודק שכל יציאות ה-TCP וה-UDP הנדרשות עבור AD פתוחות בכל בקרי הדומיין המקומיים.	הבדיקה הזו מחזירה סטטוס אזהרה לגבי טווח יציאות ה-RPC ‏ (49152-65535) כי אין לה רשימה עקבית של יציאות פתוחות. מומלץ לוודא שמוגדר כלל חומת אש שמאפשר את הטווח הזה. מידע נוסף זמין במאמר בנושא פתיחת פורטים בחומת האש
שרת DNS	בודק אם הגדרת ה-AD תקינה ועמידה בכשלים.	הבדיקה הזו מחזירה אזהרה אם הסקריפט לא מופעל בבקר דומיין מקומי. מומלץ לפרוס הגדרת AD עמידה בכשלים על ידי הגדרת שרתי DNS ראשיים ומשניים.
FQDN (דומיין מנוהל של AD)	מבצעת nslookup לשם הדומיין של Managed AD שסיפקתם.	בבדיקה הזו המערכת מוודאת שאפשר להגיע לדומיין Managed AD מבקר הדומיין המקומי. במקרה של כשל, נסו ליצור קישוריות בין הרשת המקומית שלכם לבין הענן הווירטואלי הפרטי (VPC) של Google Cloud. למידע נוסף, אפשר לקרוא את המאמר יצירת קישוריות לרשת.
FQDN ‏ (SQL Server)	מבצעת nslookup עבור שמות הדומיין המלאים (FQDN) של SQL Server שאתם מספקים.	בבדיקה הזו המערכת מוודאת שאפשר להגיע למופע שלכם מבקר הדומיין המקומי. במקרה של כשל, נסו ליצור קישוריות בין הרשת המקומית שלכם לבין הענן הווירטואלי הפרטי (VPC) של Google Cloud. למידע נוסף, אפשר לקרוא את המאמר יצירת קישוריות לרשת.
שכפול DC	בודק אם יש כשלים בשכפול של AD בין בקרי הדומיין המקומיים.	אם הסקריפט מופעל במכונה וירטואלית שמצורפת לדומיין מקומי, צפוי סטטוס של כשל אם Powershell לא מופעל כמשתמש בדומיין Active Directory. אם הבדיקה הזו נכשלת, פועלים לפי השלבים שמפורטים בקטע בדיקת ההתקנה.
העברת DNS	מחפש הגדרה של העברת DNS מותנית בבקרי הדומיין המקומיים, שנדרשת כדי לנתב בקשות מבקרי דומיין מקומיים לבקרי דומיין של Managed AD.	הבדיקה הזו עלולה להיכשל אם הסקריפט לא מופעל בבקר דומיין מקומי. מומלץ להגדיר מפנימי DNS להעברה מותנית.
הגדרת אמון	מוודאים שהגדרתם יחסי אמון ב-AD בין הדומיין המקומי לבין דומיין Managed AD.	בבדיקה הזו המערכת מוודאת שהגדרתם יחסי אמון ב-AD בין הדומיין המקומי לבין דומיין Managed AD. מומלץ ליצור יחסי אמון בין הדומיין המקומי לבין הדומיין של שירות מנוהל ל-Microsoft AD. מידע נוסף זמין במאמר בנושא הגדרת יחסי האמון. הערה: אין תמיכה בסוג האמון החיצוני.
מדיניות אבטחה מקומית	בודק שהוגדרה תצורת מדיניות האבטחה המקומית `Network access: Named pipes that can be accessed anonymously`. הבדיקה הזו נדרשת כדי ליצור יחסי אמון ב-AD.	הבדיקה הזו צפויה להיכשל אם הסקריפט לא מופעל בבקר דומיין מקומי. כדי לבצע את הבדיקה הזו, צריך להפעיל את Powershell כאדמין כדי לבדוק את הגדרות מדיניות האבטחה המקומית. במקרה של כשל, מומלץ לאמת את מדיניות האבטחה המקומית של הדומיין המקומי.
ניתוב של סיומות שמות	הבדיקה הזו בודקת אם ניתוב סיומות שמות לדומיין מנוהל של AD מופעל בבקר הדומיין המקומי. הבדיקה הזו נדרשת כדי להפנות בקשות מיער מקומי ליער מנוהל של Active Directory.	כדי לבצע את הבדיקה הזו, צריך להריץ את Powershell כאדמין כדי לבדוק את הגדרות הניתוב של סיומת השם. במקרה של כשל, מומלץ לרענן את הניתוב של סיומת השם עבור אמון מקומי.
כרטיס Kerberos לדומיין מקומי	בודקת שאימות Kerberos מופעל בדומיין המקומי. הוא מחפש טיקט קיים של Kerberos עבור הדומיין המקומי. אם לא נמצא כרטיס, המערכת מנסה ליצור כרטיס חדש.	הבדיקה הזו מנסה למצוא כרטיס Kerberos קיים עבור בקר הדומיין המקומי. אם הפעולה הזו נכשלת, המערכת מנסה ליצור כרטיס חדש כסוג של אימות. שגיאות בבדיקות אחרות יכולות לגרום לשגיאה בבדיקה הזו. אם תפתרו את הבעיות בבדיקות האחרות, סביר להניח שהבעיה בבדיקה הזו תיפתר.
כרטיס Kerberos ל-SQL Server	בודקת שאימות Kerberos מופעל בדומיין המקומי. הכלי מחפש טיקט Kerberos קיים לכל שם שירות ראשי (SPN) של שרת SQL שאתם מספקים. ה-SPN ל-SQL Server הוא `MSSQLSvc/{SQL Server FQDN}:1433`. אם לא ניתן לקבל כרטיס עבור ה-SPN,‏ Cloud SQL בודק אם הערך של רישום Windows שמאפשר IP בשמות מארחים מוגדר. אם הוא מוגדר, נסו לקבל כרטיס עם SPN `MSSQLSvc/{SQL Server IP}:1433`. מידע נוסף זמין ב מסמכי העזרה של Microsoft.	בבדיקה הזו המערכת מנסה למצוא כרטיס Kerberos קיים ל-SQL Server. אם הפעולה הזו נכשלת, המערכת מנסה ליצור כרטיס חדש כסוג של אימות. שגיאות בבדיקות אחרות יכולות לגרום לשגיאה בבדיקה הזו. פתרון של כשלים בבדיקות האחרות אמור לפתור כשל בבדיקה הזו.

המאמרים הבאים

כדי לשתף משוב, אפשר להשתמש בGitHub Issues.