כלי לאבחון Active Directory ב-Cloud SQL

כלי האבחון של Active Directory ‏ (AD) הוא סקריפט PowerShell שמאפשר לפתור בעיות בהגדרת AD בדומיין המקומי ובמכונות של Cloud SQL ל-SQL Server ב- Google Cloud.

הכלי מבצע בדיקות שונות כדי לזהות בעיות, כמו יציאות סגורות, חיפושי FQDN ובעיות ב-DNS. הוא פועל במכונה וירטואלית של Windows מקומית, שהיא אחת מבקרי הדומיין של הדומיין המקומי שלכם.

בדף הזה מוסבר איך להשתמש בכלי לאבחון Active Directory ב-Cloud SQL, ומוסברות הבדיקות שהכלי מבצע.

דרישות מוקדמות

לפני שמשתמשים בכלי לאבחון מודעות, צריך לוודא שהרכיבים הבאים מוגדרים:

דומיין מקומי שמופעל בו AD.
דומיין מנוהל של AD במסוף Google Cloud .
מופע של Cloud SQL ל-SQL Server שמצורף לדומיין Managed AD.

איך משתמשים בכלי האבחון של Active Directory

כדי להשתמש בכלי האבחון של AD, פועלים לפי השלבים הבאים:

מתחברים לאחד מבקרי הדומיין המקומיים או למכונה וירטואלית שמצורפת לדומיין המקומי.
מורידים את הסקריפט diagnose_ad.ps1 ב-VM.
מפעילים את Powershell כאדמין.
מריצים את הסקריפט diagnose_ad.ps1 בחלון Powershell באמצעות הפקודה הבאה:
```
powershell -command "& { . C:\\<var>SCRIPT_PATH</var>\\diagnose_ad.ps1; Run-Tool }"
```
מזינים את הפרטים הבאים כשתופיע ההודעה:

הערה: חלק מהבדיקות דורשות הרשאות אדמין. אם לא הפעלתם את Powershell כאדמינים קודם לכן, תוצג לכם בקשה להפעיל אותו כאדמינים.
- שם דומיין מקומי, כמו my-onprem-domain.com
- שם דומיין מנוהל של Active Directory, למשל my-ad-domain.com
- רשימה של שמות דומיין מלאים (FQDN) וכתובות IP פרטיות של Active Directory ב-SQL Server. הרשימה הזו זמינה במסוף Google Cloud בדף Overview של המופע.

הכלי מבצע מספר בדיקות, כפי שמתואר במאמר הבדיקות שמבוצעות על ידי הכלי לאבחון מודעות.

בדיקות שמבוצעות על ידי הכלי לאבחון בעיות ב-AD

המחאה	תיאור	הערות והמלצות
בקרי דומיין זמינים	מבצע פינג לכתובת ה-IP של כל בקר דומיין בדומיין המקומי כדי לוודא שאפשר להגיע אליהם.	הבדיקות הנותרות מתבצעות על כתובות ה-IP שאפשר להגיע אליהן. במקרה של כשל בבדיקה הזו, צריך לוודא שיש חיבור לרשת לבקרי הדומיין שנותרו בפריסה המקומית. מידע נוסף זמין במאמר בנושא יצירת תשתית הרשת.
יציאות	בודק שכל יציאות ה-TCP וה-UDP הנדרשות עבור AD פתוחות בכל בקרי הדומיין המקומיים.	הבדיקה הזו מחזירה סטטוס אזהרה לגבי טווח יציאות ה-RPC ‏ (49152-65535) כי אין לה רשימה עקבית של יציאות פתוחות. מומלץ לוודא שמוגדר כלל חומת אש שמאפשר את הטווח הזה. מידע נוסף זמין במאמר בנושא פתיחת פורטים בחומת האש.
שרת DNS	בודק אם הגדרת ה-AD תקינה ועמידה בכשלים.	הבדיקה הזו מחזירה אזהרה אם הסקריפט לא מופעל בבקר דומיין מקומי. מומלץ לפרוס הגדרת AD עמידה בכשלים על ידי הגדרת שרתי DNS ראשיים ומשניים.
FQDN (דומיין AD מנוהל)	מבצעת nslookup לשם הדומיין של Managed AD שסיפקתם.	בבדיקה הזו המערכת מוודאת שאפשר להגיע לדומיין Managed AD מבקר הדומיין המקומי. במקרה של כשל, נסו ליצור קישוריות בין הרשת המקומית שלכם לבין הענן הווירטואלי הפרטי (VPC) של Google Cloud. למידע נוסף, אפשר לקרוא את המאמר יצירת קישוריות לרשת.
FQDN ‏ (SQL Server)	מבצעת nslookup עבור שמות ה-FQDN של SQL Server שסיפקתם.	בבדיקה הזו המערכת מוודאת שאפשר להגיע למופע שלכם מבקר הדומיין המקומי. במקרה של כשל, נסו ליצור קישוריות בין הרשת המקומית שלכם לבין הענן הווירטואלי הפרטי (VPC) של Google Cloud. למידע נוסף, אפשר לקרוא את המאמר יצירת קישוריות לרשת.
שכפול DC	הכלי מחפש כשלים בשכפול של AD בין בקרי הדומיין המקומיים.	אם הסקריפט מופעל במכונה וירטואלית שמצורפת לדומיין מקומי, צפוי סטטוס של כשל אם Powershell לא מופעל כמשתמש בדומיין Active Directory. אם הבדיקה הזו נכשלת, פועלים לפי השלבים שמפורטים בקטע בדיקת ההתקנה.
העברת DNS	מחפש הגדרה של העברת DNS מותנית בבקרי הדומיין המקומיים, שנדרשת לניתוב בקשות מבקרי דומיין מקומיים לבקרי דומיין של Managed AD.	הבדיקה הזו יכולה להיכשל אם הסקריפט לא מופעל בבקר דומיין מקומי. מומלץ להגדיר מפנימי DNS להעברה מותנית.
הגדרת אמון	מוודא שהגדרתם יחסי אמון ב-AD בין הדומיין המקומי לבין דומיין Managed AD.	בבדיקה הזו המערכת מוודאת שהיחסים בין דומיין AD מקומי לדומיין Managed AD מוגדרים בצורה תקינה. מומלץ ליצור יחסי אמון בין הדומיין המקומי לבין הדומיין של שירות מנוהל ל-Microsoft AD. מידע נוסף זמין במאמר בנושא הגדרת יחסי האמון. הערה: אין תמיכה בסוג האמון החיצוני.
מדיניות אבטחה מקומית	בודקת שהוגדרה הגדרת מדיניות האבטחה המקומית `Network access: Named pipes that can be accessed anonymously`. הבדיקה הזו נדרשת כדי ליצור יחסי אמון ב-AD.	הבדיקה הזו צפויה להיכשל אם הסקריפט לא מופעל בבקר דומיין מקומי. כדי לבצע את הבדיקה הזו, צריך להפעיל את Powershell כאדמין כדי לבדוק את הגדרות מדיניות האבטחה המקומית. במקרה של כשל, מומלץ לאמת את מדיניות האבטחה המקומית של הדומיין המקומי.
ניתוב של סיומות שמות	הבדיקה הזו בודקת אם ניתוב סיומות שמות לדומיין מנוהל של AD מופעל בבקר הדומיין המקומי. הבדיקה הזו נדרשת כדי להפנות בקשות מיער מקומי ליער Managed AD.	כדי לבצע את הבדיקה הזו, צריך להפעיל את Powershell כאדמין כדי לבדוק את הגדרות הניתוב של סיומת השם. במקרה של כשל, מומלץ לרענן את הניתוב של סיומת השם עבור מהימנות מקומית.
כרטיס Kerberos לדומיין מקומי	המדיניות הזו מאמתת שאימות Kerberos מופעל בדומיין המקומי. היא מחפשת טיקט קיים של Kerberos עבור הדומיין המקומי. אם לא נמצאה התאמה, המערכת מנסה ליצור כרטיס חדש.	בבדיקה הזו מנסים למצוא כרטיס Kerberos קיים עבור בקר הדומיין המקומי. אם הפעולה הזו נכשלת, המערכת מנסה ליצור כרטיס חדש כסוג של אימות. שגיאות בבדיקות אחרות יכולות לגרום לשגיאה בבדיקה הזו. אם תפתרו את הבעיות בבדיקות האחרות, סביר להניח שהבעיה בבדיקה הזו תיפתר.
כרטיס Kerberos ל-SQL Server	בודק שאימות Kerberos מופעל בדומיין המקומי. הכלי מחפש טיקט קיים של Kerberos לכל שם שירות ראשי (SPN) של SQL Server שאתם מספקים. ה-SPN של SQL Server הוא `MSSQLSvc/{SQL Server FQDN}:1433`. אם לא ניתן לקבל כרטיס עבור ה-SPN,‏ Cloud SQL בודק אם הערך של רישום Windows שמאפשר IP בשמות מארחים מוגדר. אם הוא מוגדר, נסו לקבל כרטיס עם SPN `MSSQLSvc/{SQL Server IP}:1433`. מידע נוסף זמין ב מסמכי העזרה של Microsoft.	בבדיקה הזו המערכת מנסה למצוא כרטיס Kerberos קיים ל-SQL Server. אם הפעולה הזו נכשלת, המערכת מנסה ליצור כרטיס חדש כסוג של אימות. שגיאות בבדיקות אחרות יכולות לגרום לשגיאה בבדיקה הזו. פתרון הכשלים בבדיקות האחרות אמור לפתור את הכשל בבדיקה הזו.

המאמרים הבאים

כדי לשתף משוב, אפשר להשתמש בGitHub Issues.