Lo strumento di diagnostica di Active Directory (AD) è uno script PowerShell di utilità che ti aiuta a risolvere i problemi di configurazione di AD con il tuo dominio on-premise e le istanze Cloud SQL per SQL Server in Google Cloud.
Lo strumento esegue vari controlli per verificare la presenza di problemi, ad esempio porte chiuse, ricerche FQDN e problemi DNS. Viene eseguito su una VM Windows on-premise che è uno dei domain controller per il tuo dominio on-premise.
Questa pagina descrive come utilizzare lo strumento di diagnostica di Active Directory per Cloud SQL e spiega i controlli eseguiti dallo strumento.
Prerequisiti
Prima di procedere all'utilizzo dello strumento di diagnostica di AD, assicurati di aver configurato i seguenti componenti:
- Un dominio on-premise con AD abilitato.
- Un dominio AD gestito in Google Cloud console.
- Un'istanza Cloud SQL per SQL Server unita al dominio AD gestito.
Come utilizzare lo strumento di diagnostica di AD
Per utilizzare lo strumento di diagnostica di AD, segui questi passaggi:
- Accedi a uno dei domain controller on-premise o a una VM unita al dominio on-premise.
- Scarica lo
diagnose_ad.ps1script sulla VM. - Avvia PowerShell come amministratore.
Esegui lo script
diagnose_ad.ps1nella finestra di PowerShell utilizzando il seguente comando:powershell -command "& { . C:\\<var>SCRIPT_PATH</var>\\diagnose_ad.ps1; Run-Tool }"Quando richiesto, inserisci le seguenti informazioni:
- Nome di dominio on-premise, ad esempio
my-onprem-domain.com - Nome di dominio AD gestito, ad esempio
my-ad-domain.com - Elenco di FQDN di Active Directory di SQL Server e indirizzi IP privati. Questo elenco è disponibile nella Google Cloud console nella pagina Panoramica dell'istanza.
- Nome di dominio on-premise, ad esempio
Lo strumento esegue quindi una serie di controlli, come descritto in Controlli eseguiti dallo strumento di diagnostica di AD.
Controlli eseguiti dallo strumento di diagnostica di AD
| Controllo | Descrizione | Note e consigli |
|---|---|---|
| Domain controller disponibili | Esegue un ping all'indirizzo IP di ogni domain controller del dominio on-premise per assicurarsi che siano raggiungibili. | I controlli rimanenti vengono eseguiti sugli indirizzi IP raggiungibili. In caso di errore di questo controllo, assicurati che la connettività di rete ai domain controller on-premise rimanenti sia attiva. Per saperne di più, consulta Creazione dell'infrastruttura di rete. |
| Porte | Verifica che tutte le porte TCP e UDP richieste per AD siano aperte su tutti i domain controller on-premise. | Questo controllo restituisce uno stato di avviso per l'intervallo di porte RPC (49152-65535) perché non ha un elenco coerente di porte aperte. Ti consigliamo di verificare che sia impostata una regola firewall per consentire questo intervallo. Per saperne di più, consulta Apertura delle porte firewall |
| Server DNS | Verifica la presenza di una configurazione AD integra e a tolleranza di errore. | Questo controllo restituisce un avviso se lo script non è eseguito su un domain controller on-premise. Ti consigliamo di eseguire il deployment di una configurazione AD a tolleranza di errore impostando server DNS primari e secondari DNS. |
| FQDN (dominio AD gestito) | Esegue un nslookup per il nome di dominio AD gestito che fornisci. | Questo controllo verifica se il dominio AD gestito è raggiungibile dal domain controller on-premise. In caso di errore, prova a stabilire la connettività di rete tra la tua rete on-premise e la tua rete Virtual Private Cloud (VPC) di Google Cloud. Per saperne di più, consulta Stabilire la connettività di rete. |
| FQDN (SQL Server) | Esegue un nslookup per gli FQDN di SQL Server che fornisci. | Questo controllo verifica se la tua istanza è raggiungibile dal domain controller on-premise. In caso di errore, prova a stabilire la connettività di rete tra la tua rete on-premise e la tua rete Virtual Private Cloud (VPC) di Google Cloud. Per saperne di più, consulta Stabilire la connettività di rete. |
| Replica DC | Cerca eventuali errori di replica di AD tra i domain controller on-premise. | Se lo script viene eseguito su una VM unita a un dominio on-premise, è previsto uno stato di errore se PowerShell non viene eseguito come utente del dominio Active Directory. In caso di errore di questo controllo, segui i passaggi indicati in Test dell'installazione. |
| Forwarding DNS | Cerca la configurazione di forwarding DNS condizionale sui domain controller on-premise, necessaria per instradare le richieste dai domain controller on-premise ai domain controller AD gestiti. | Questo controllo può non riuscire se lo script non viene eseguito su un domain controller on-premise. Ti consigliamo di configurare gli agenti di inoltro condizionali DNS. |
| Configurazione di trust | Verifica che il trust di AD sia configurato tra il dominio on-premise e il dominio AD gestito. | Questo controllo verifica che il trust di AD sia configurato tra il dominio on-premise e il dominio AD gestito. Ti consigliamo di creare un trust tra il tuo dominio on-premise e il tuo dominio Managed Microsoft AD. Per saperne di più, consulta Configurazione del trust |
| Criterio di sicurezza locale |
Verifica che sia stata impostata la configurazione del criterio di sicurezza locale
Network access: Named pipes that can be accessed anonymously.
Questo controllo è necessario per creare un trust di AD.
|
È previsto che questo controllo non vada a buon fine se lo script non viene eseguito su un domain controller on-premise. Questo controllo richiede l'esecuzione di PowerShell come amministratore per verificare le impostazioni dei criteri di sicurezza locali. In caso di errore, ti consigliamo di verificare il criterio di sicurezza locale per il tuo dominio on-premise. |
| Routing del suffisso del nome | Verifica se il routing del suffisso del nome al dominio AD gestito è abilitato sul domain controller on-premise. Questo controllo è necessario per instradare le richieste da un foresta on-premise alla foresta AD gestita. | Questo controllo richiede l'esecuzione di PowerShell come amministratore per verificare le impostazioni di routing del suffisso del nome. In caso di errore, ti consigliamo di aggiornare il routing del suffisso del nome per il trust on-premise. |
| Ticket Kerberos per il dominio on-premise | Verifica che l'autenticazione Kerberos sia abilitata sul dominio on-premise. Cerca un ticket Kerberos esistente per il dominio on-premise. Se non viene trovato, tenta di generare un nuovo ticket. | Questo controllo tenta di trovare un ticket Kerberos esistente per il DC on-premise. Se non riesce, tenta di generare un nuovo ticket come forma di convalida. Gli errori in altri controlli possono causare un errore in questo controllo. Se risolvi gli errori per gli altri controlli, dovresti risolvere un errore per questo controllo. |
| Ticket Kerberos per SQL Server |
Verifica che l'autenticazione Kerberos sia abilitata
sul dominio on-premise. Cerca un ticket Kerberos esistente per ogni nome entità servizio (SPN) di SQL
Server che fornisci. L'SPN per SQL Server è
MSSQLSvc/{SQL Server FQDN}:1433. Se non riesci a ottenere un ticket per l'SPN,
Cloud SQL verifica se
è impostato il valore del Registro di sistema di Windows per consentire l'IP nei nomi host. Se è impostato, prova a ottenere un ticket con l'SPN
MSSQLSvc/{SQL Server IP}:1433.Per saperne di più, consulta la documentazione di Microsoft. |
Questo controllo tenta di trovare un ticket Kerberos esistente per SQL Server. Se non riesce, tenta di generare un nuovo ticket come forma di convalida. Gli errori in altri controlli possono causare un errore in questo controllo. La risoluzione degli errori per gli altri controlli dovrebbe risolvere un errore per questo controllo. |
Passaggi successivi
- Per condividere il tuo feedback, puoi utilizzare i problemi di GitHub.