Auf dieser Seite finden Sie Tipps und Vorgehensweisen zum Beheben häufiger Probleme mit Managed Service for Microsoft Active Directory.
Es kann keine Managed Microsoft AD-Domain erstellt werden
Wenn Sie keine Managed Microsoft AD-Domain erstellen können, kann die Überprüfung der folgenden Konfigurationen hilfreich sein.
Erforderliche APIs
Für Managed Microsoft AD müssen Sie eine Gruppe von APIs aktivieren, bevor Sie eine Domain erstellen können.
Führen Sie die folgenden Schritte aus, um zu überprüfen, ob die erforderlichen APIs aktiviert sind:
Console
- Rufen Sie in der Google Cloud Console die Seite APIs & Dienste auf.
Zu „APIs und Dienste“ Überprüfen Sie auf der Seite Dashboard, ob die folgenden APIs aufgelistet sind:
- Managed Service for Microsoft Active Directory API
- Compute Engine API
- Cloud DNS API
gcloud
Führen Sie den folgenden gcloud CLI-Befehl aus:
gcloud services list --available
Der Befehl gibt die Liste der aktivierten APIs zurück. Stellen Sie sicher, dass die folgenden APIs aufgelistet sind:
- Managed Service for Microsoft Active Directory API
- Compute Engine API
- Cloud DNS API
Wenn eine dieser APIs fehlt, führen Sie die folgenden Schritte aus, um sie zu aktivieren:
Console
- Rufen Sie in der Google Cloud Console die Seite API-Bibliothek auf.
Zur API-Bibliothek - Geben Sie auf der Seite API-Bibliothek im Suchfeld den Namen der fehlenden API ein.
- Klicken Sie auf der API-Informationsseite auf Aktivieren.
gcloud
Führen Sie den folgenden gcloud CLI-Befehl aus:
gcloud services enable API_NAME
Ersetzen Sie API_NAME
durch den Namen der fehlenden API.
Wiederholen Sie diesen Vorgang, bis alle erforderlichen APIs aktiviert sind.
Abrechnung
Für Managed Microsoft AD müssen Sie die Abrechnung aktivieren, bevor Sie eine Domain erstellen können.
Führen Sie die folgenden Schritte aus, um zu überprüfen, ob die Abrechnung aktiviert ist:
Console
- Rufen Sie in der Google Cloud Console die Seite Abrechnung auf.
Zur Abrechnung - Stellen Sie sicher, dass für Ihre Organisation ein Abrechnungskonto eingerichtet ist.
- Klicken Sie auf den Tab Meine Projekte und prüfen Sie, ob das Projekt aufgelistet ist, in dem Sie eine Managed Microsoft AD-Domain erstellen möchten.
gcloud
Führen Sie den folgenden gcloud CLI-Befehl aus:
gcloud billing projects describe PROJECT_ID
Wenn Sie kein gültiges Abrechnungskonto sehen, das mit dem Projekt verknüpft ist, sollten Sie die Abrechnung aktivieren.
IP-Adressbereich
Wenn beim Versuch, eine Domain zu erstellen, ein IP range overlap
-Fehler angezeigt wird, bedeutet dies, dass sich der reservierte IP-Adressbereich, den Sie in der Anforderung zur Domänenerstellung angegeben haben, mit dem IP-Adressbereich des autorisierten Netzwerks überschneidet. Um dieses Problem zu beheben, sollten Sie einen anderen IP-Adressbereich oder ein anderes autorisiertes Netzwerk auswählen. Weitere Informationen finden Sie unter IP-Adressbereiche auswählen.
Berechtigungen
Wenn beim Versuch, eine Domain zu erstellen, eine Permission denied
-Fehlermeldung angezeigt wird, sollten Sie überprüfen, ob die aufrufende Identität die Managed Microsoft AD-API aufrufen darf. Weitere Informationen zu Managed Microsoft AD-Rollen und -Berechtigungen.
Unternehmensrichtlinien
Die Domainerstellung kann aufgrund einer Organisationsrichtlinienkonfiguration fehlschlagen. Sie können beispielsweise eine Organisationsrichtlinie so konfigurieren, dass nur der Zugriff auf bestimmte Dienste wie GKE oder Compute Engine zugelassen wird. Weitere Informationen zu Einschränkungen für Organisationsrichtlinien
Bitten Sie Ihren Administrator, der die IAM-Rolle „Administrator für Organisationsrichtlinien“ (roles/orgpolicy.policyAdmin
) für die Organisation hat, die erforderlichen Organisationsrichtlinien zu aktualisieren.
Resource Location Restriction
Unternehmensrichtlinien
Diese Listeneinschränkung definiert die Gruppe von Standorten, an denen standortbasierte Google Cloud-Ressourcen erstellt werden können. Das Verweigern des Speicherorts global
kann sich auf Managed Microsoft AD auswirken.
So zeigen Sie die Organisationsrichtlinie Resource Location Restriction
an und aktualisieren sie:
Console
- Rufen Sie in der Google Cloud Console die Seite Organisationsrichtlinien auf.
Zu den Organisationsrichtlinien - Wählen Sie auf der Seite Organisationsrichtlinien in der Spalte Name die Richtlinie Einschränkung des Ressourcenstandorts aus, um die Zusammenfassung der Richtlinien zu öffnen. Panel.
- Überprüfen Sie im Bereich Richtlinienzusammenfassung, ob der Speicherort
global
zulässig ist. - Wenn Sie eine Änderung vornehmen müssen, wählen Sie Bearbeiten, aktualisieren Sie die Richtlinie und klicken Sie dann auf Speichern.
Erfahren Sie mehr über Einschränken der Ressourcenpositionen.
gcloud
Führen Sie den folgenden gcloud CLI-Befehl aus, um die Details für die Organisationsrichtlinie
Resource Location Restriction
aufzurufen. Erfahren Sie mehr über den Befehlgcloud resource-manager org-policies describe
.gcloud resource-manager org-policies describe constraints/gcp.resourceLocations \ --organization=ORGANIZATION_ID
Wenn der Befehl
describe
anzeigt, dassglobal
nicht zulässig ist, führen Sie den folgenden Befehl aus, um dies zuzulassen. Erfahren Sie mehr über den Befehlgcloud resource-manager org-policies allow
.gcloud resource-manager org-policies allow constraints/gcp.resourceLocations global \ --organization=ORGANIZATION_ID
Erfahren Sie mehr über Einschränken der Ressourcenpositionen.
Restrict VPC peering usage
Unternehmensrichtlinien
Diese Listeneinschränkung definiert den Satz von VPC-Netzwerken, die mit den zu einer bestimmten Ressource gehörenden VPC-Netzwerken verglichen werden dürfen. Wenn Sie ein autorisiertes Netzwerk für eine Managed Microsoft AD-Domain angeben, wird ein VPC-Peering zwischen dem autorisierten Netzwerk und dem isolierten Netzwerk mit den AD-Domänencontrollern erstellt. Wenn die Organisationsrichtlinie für das Projekt Peerings verweigert, kann Managed Microsoft AD keine Peerings für das autorisierte Netzwerk erstellen, sodass die Domänenerstellung fehlschlägt. Sie erhalten folgende Fehlermeldung:
GCE_PRECONDITION_FAILED: Constraint constraints /compute.restrictVpcPeering violated for project PROJECT_ID. Peering the network projects/PROJECT_ID/global/networks/VPC_NETWORK_NAME is not allowed.
So zeigen Sie die Organisationsrichtlinie Restrict VPC peering usage
an und aktualisieren sie:
Console
- Rufen Sie in der Google Cloud Console die Seite Organisationsrichtlinien auf.
Zu den Organisationsrichtlinien - Auf der Organisationsrichtlinien Seite, in der Name Spalte, wählen Sie die Beschränken Sie die Verwendung von VPC-Peering Politik zum Öffnen der Zusammenfassung der Richtlinien Panel.
- Überprüfen Sie im Bereich Richtlinienzusammenfassung, ob das Projekt Peerings zulässt.
- Wenn Sie eine Änderung vornehmen müssen, wählen Sie Bearbeiten, aktualisieren Sie die Richtlinie und klicken Sie dann auf Speichern.
gcloud
Führen Sie den folgenden gcloud CLI-Befehl aus, um die Details für die Organisationsrichtlinie
Restrict VPC peering usage
aufzurufen. Weitere Informationen zum Befehlgcloud resource-manager org-policies describe
gcloud resource-manager org-policies describe constraints/compute.restrictVpcPeering \ --organization=ORGANIZATION_ID
Wenn der Befehl
describe
anzeigt, dass Peerings nicht zulässig sind, führen Sie den folgenden Befehl aus, um dies zuzulassen. Erfahren Sie mehr über den Befehlgcloud resource-manager org-policies allow
.gcloud resource-manager org-policies allow constraints/compute.restrictVpcPeering under:projects/PROJECT_ID \ --organization=ORGANIZATION_ID
Ersetzen Sie Folgendes:
PROJECT_ID
: der Name des Projekts, das die verwaltete Microsoft AD-Ressource enthält.ORGANIZATION_ID
: die ID der Organisation, die das Projekt hostet.
Windows-VM kann nicht automatisch mit einer Domain verbunden werden
Im Folgenden finden Sie einige Probleme mit Fehlercodes, die auftreten können, wenn Sie versuchen, eine Windows-VM oder GKE-Windows-Serverknoten automatisch einer Domain beitreten zu lassen:
Fehlercode | Beschreibung | Mögliche Lösung |
---|---|---|
CONFLICT (409) |
Gibt an, dass das Konto der VM-Instanz bereits in der verwalteten Microsoft AD-Domain vorhanden ist. | Entfernen Sie das Konto manuell mithilfe von RSAT-Tools aus Managed Microsoft AD und versuchen Sie es noch einmal. Weitere Informationen zum Verwalten von AD-Objekten in Managed Microsoft AD finden Sie unter Active Directory-Objekte verwalten. |
BAD_REQUEST (412) |
Gibt an, dass die Domainbeitrittsanfrage ungültige Informationen enthält, z. B. einen falschen Domainnamen und eine falsche OU-Hierarchie (Organizational Unit). | Prüfen Sie die Informationen, aktualisieren Sie die Details bei Bedarf und versuchen Sie es noch einmal. |
INTERNAL (500) |
Gibt an, dass auf dem Server ein unbekannter interner Fehler aufgetreten ist. | Wenden Sie sich an den Google Cloud-Support, um dieses Problem zu beheben. |
FORBIDDEN (403) |
Das angegebene Dienstkonto hat nicht die erforderlichen Berechtigungen. | Prüfen Sie, ob Sie die erforderlichen Berechtigungen für das Dienstkonto haben, und versuchen Sie es noch einmal. |
UNAUTHORIZED (401) |
Gibt an, dass die VM keine gültige Autorisierung zum Beitritt zur Domain hat. | Prüfen Sie, ob Sie den erforderlichen Zugriffsbereich auf die VM haben, und versuchen Sie es noch einmal. |
VM kann nicht manuell einer Domain beitreten
Wenn Sie einen Computer nicht manuell aus einer lokalen Umgebung mit Ihrer Managed Microsoft AD-Domain verknüpfen können, prüfen Sie die folgenden Anforderungen:
Der Computer, dem Sie beitreten möchten, ist in Managed Microsoft AD sichtbar. Führen Sie zum Überprüfen dieser Verbindung eine DNS-Suche von der lokalen Umgebung zur Managed Microsoft AD-Domain mit dem Befehl
nslookup
aus.Das lokale Netzwerk, in dem sich der Computer befindet, muss mit dem VPC-Netzwerk Ihrer verwalteten Microsoft AD-Domain verbunden sein. Informationen zur Fehlerbehebung bei einer VPC-Netzwerk-Peering-Verbindung finden Sie unter Fehlerbehebung.
Freigegebene VPC kann nicht als autorisiertes Netzwerk verwendet werden
Um von einem freigegebene VPC-Netzwerk aus auf eine Managed Microsoft AD-Domain zugreifen zu können, muss die Domain in demselben Projekt erstellt werden, in dem sich das freigegebene VPC-Netzwerk befindet.
Zugriff auf Managed Microsoft AD-Domain nicht möglich
Wenn Ihre Managed Microsoft AD-Domain nicht verfügbar zu sein scheint, können Sie weitere Informationen zum Status abrufen, indem Sie die folgenden Schritte ausführen:
Console
Rufen Sie in der Google Cloud Console die Seite Managed Service für Microsoft Active Directory auf.
Wechseln Sie zu „Managed Service for Microsoft Active Directory“
Auf der Seite Managed Service für Microsoft Active Directory in der Spalte Status können Sie die Status Ihrer Domains anzeigen.
gcloud
Führen Sie den folgenden gcloud CLI-Befehl aus:
gcloud active-directory domains list
Dieser Befehl gibt den Status für Ihre Domains zurück.
Wenn Ihr Domain-Status DOWN
ist, bedeutet dies, dass Ihr Konto möglicherweise gesperrt wurde. Wenden Sie sich an den Google Cloud-Support, um dieses Problem zu beheben.
Wenn Ihr Domainstatus PERFORMING_MAINTENANCE
lautet, sollte Managed Microsoft AD weiterhin zur Verwendung verfügbar sein, das Erweitern des Schemas, das Hinzufügen oder Entfernen von Regionen ist jedoch möglicherweise nicht möglich. Dieser Status ist selten und tritt nur auf, wenn das Betriebssystem gepatcht ist.
Vertrauensstellung kann nicht geschaffen werden
Wenn Sie die Schritte zum Erstellen einer Vertrauensstellung ausführen, den Vorgang jedoch nicht abschließen können, kann die Überprüfung der folgenden Konfigurationen hilfreich sein.
Die lokale Domain ist erreichbar
Um zu überprüfen, ob die lokale Domain über die Managed Microsoft AD-Domain erreichbar ist, können Sie ping
oder Test-NetConnection
verwenden. Führen Sie diese Befehle von einer VM aus, die in Google Cloud und in einem autorisierten Netzwerk gehostet wird. Stellen Sie sicher, dass die VM einen lokalen Domänencontroller erreichen kann. Weitere Informationen über Test-NetConnection
IP-Adresse
Führen Sie den folgenden Befehl aus, um zu überprüfen, ob die IP-Adresse, die während des Vertrauens-Setups angegeben wurde, die lokale Domain auflösen kann:
nslookup ON_PREMISES_DOMAIN_NAME CONDITIONAL_FORWARDER_ADDRESS
Ersetzen Sie Folgendes:
ON_PREMISES_DOMAIN_NAME
: der Name Ihrer lokalen Domain.CONDITIONAL_FORWARDER_ADDRESS
: die IP-Adresse Ihres bedingten DNS-Weiterleitungsservers.
Wenn mehrere bedingte Weiterleitungsadressen vorhanden sind, können Sie diese testen.
Lokale Vertrauensbeziehung
Um zu überprüfen, ob die lokale Vertrauensbeziehung hergestellt wurde, sollten Sie überprüfen, ob die folgenden Informationen übereinstimmen.
- Art und Richtung der Vertrauensstellung in der Managed Microsoft AD-Domain ergänzen die in der lokalen Domain erstellte Vertrauensstellung.
- Das beim Erstellen der Vertrauensstellung in der Managed Microsoft AD-Domain angegebene Vertrauensgeheimnis stimmt mit dem in der lokalen Domain eingegebenen überein.
Die lokale Vertrauensrichtung ergänzt die in Managed Microsoft AD konfigurierte Vertrauensrichtung. Das heißt, wenn die lokale Domain eine eingehende Vertrauensstellung erwartet, ist die Vertrauensrichtung für die Managed Microsoft AD-Domain ausgehend. Weitere Informationen zu Vertrauensanweisungen
Vertrauensstellung funktioniert nicht mehr
Wenn Sie zuvor eine Vertrauensstellung erstellt haben, diese jedoch nicht mehr funktioniert, sollten Sie dieselben Konfigurationen überprüfen wie bei der Fehlerbehebung beim Erstellen einer Vertrauensstellung.
Wenn eine Vertrauensstellung 60 Tage oder länger nicht verwendet wird, läuft das Vertrauensstellungskennwort ab. Um das Kennwort zu aktualisieren, ändern Sie das Kennwort für die Vertrauensstellung in der lokalen Domain und aktualisieren Sie dann das Kennwort in der Managed Microsoft AD-Domain.
Die Active Directory-Authentifizierung schlägt fehl (von Microsoft AD gehostete Konten verwaltet).
Wenn sich herausstellt, dass die Active Directory-Authentifizierung bei Verwendung von von Microsoft AD gehosteten verwalteten Konten fehlschlägt, kann die Überprüfung der folgenden Konfigurationen hilfreich sein.
VM befindet sich in einem autorisierten Netzwerk
Führen Sie die folgenden Schritte aus, um zu überprüfen, ob sich die für den Zugriff auf die Domain verwendete VM in einem autorisierten Netzwerk befindet.
Rufen Sie in der Google Cloud Console die Seite Managed Service für Microsoft Active Directory auf.
Wechseln Sie zu „Managed Service for Microsoft Active Directory“Wählen Sie den Namen Ihrer Domain aus.
Überprüfen Sie auf der Seite Domain unter Netzwerke, ob das autorisierte Netzwerk aufgeführt ist.
Benutzername und Passwort sind korrekt
Stellen Sie sicher, dass der Nutzername und das Kennwort für die Anmeldung korrekt sind.
Firewallregeln
Eine deny
-Firewallregel für den Austritt in den IP-Adressbereich der Domaincontroller kann dazu führen, dass die Authentifizierung fehlschlägt.
Führen Sie die folgenden Schritte aus, um Ihre Firewall-Regeln zu überprüfen:
Console
Rufen Sie in der Google Cloud Console die Seite Firewallregeln auf.
Zu FirewallregelnÜberprüfen Sie auf dieser Seite, ob für den IP-Adressbereich der Domänencontroller kein
deny
für den Ausgang konfiguriert ist.
gcloud
Führen Sie den folgenden gcloud CLI-Befehl aus:
gcloud compute firewall-rules list
Dieser Befehl gibt eine Liste der konfigurierten Firewall-Regeln zurück. Stellen Sie sicher, dass für den IP-Adressbereich der Domänencontroller kein
deny
für den Ausgang konfiguriert ist.
Weitere Informationen zu Firewallregeln
IP-Adresse
Die Authentifizierung kann fehlschlagen, wenn die IP-Adresse nicht im reservierten CIDR-Bereich liegt.
Führen Sie den folgenden Befehl aus, um die IP-Adresse zu überprüfen.
nslookup DOMAIN_NAME
Wenn nslookup
fehlschlägt oder eine IP-Adresse zurückgibt, die nicht im CIDR-Bereich liegt, sollten Sie überprüfen, ob die DNS-Zone vorhanden ist.
Führen Sie die folgenden Schritte aus, um zu überprüfen, ob die DNS-Zone vorhanden ist:
Console
Rufen Sie in der Google Cloud Console die Seite Cloud DNS auf.
Cloud DNS aufrufenAktivieren Sie auf der Seite Cloud DNS auf dem Tab Zones die Spalte In Verwendung von für das autorisierte Netzwerk.
gcloud
Führen Sie den folgenden gcloud CLI-Befehl aus:
gcloud dns managed-zones list --filter=FQDN
Ersetzen Sie
FQDN
durch den vollständig qualifizierten Domainnamen Ihrer verwalteten Microsoft AD-Domain.
Wenn keine der aufgelisteten Zonen vom autorisierten Netzwerk verwendet wird, sollten Sie das autorisierte Netzwerk entfernen und noch einmal hinzufügen.
Netzwerk-Peering
Die Authentifizierung kann fehlschlagen, wenn das VPC-Netzwerk-Peering nicht ordnungsgemäß konfiguriert ist.
Führen Sie die folgenden Schritte aus, um zu überprüfen, ob Peering eingerichtet ist:
Console
Rufen Sie in der Google Cloud Console die Seite VPC-Netzwerk-Peering auf.
Zum VPC-Netzwerk-PeeringSuchen Sie auf der Seite VPC-Netzwerk-Peering in der Spalte Name nach einem Peering mit dem Namen
peering-VPC_NETWORK_NAME
.
gcloud
Führen Sie den folgenden gcloud CLI-Befehl aus:
gcloud compute networks peerings list --network=VPC_NETWORK_NAME
Dieser Befehl gibt eine Liste von Peerings zurück. Suchen Sie in der Liste nach einem mit dem Namen
peering-VPC_NETWORK_NAME
.
Wenn peering-VPC_NETWORK_NAME
nicht in der Liste enthalten ist, sollten Sie das autorisierte Netzwerk entfernen und noch einmal hinzufügen.
Die Active Directory-Authentifizierung schlägt fehl (über Vertrauensstellung).
Wenn sich herausstellt, dass die Active Directory-Authentifizierung fehlschlägt, wenn verwaltete lokal gehostete Konten über eine Vertrauensstellung verwendet werden, sollten Sie dieselben Konfigurationen überprüfen wie bei der Fehlerbehebung beim Erstellen einer Vertrauensstellung.
Prüfen Sie außerdem, ob sich das Konto in der delegierten Gruppe Cloud Service Computer Remote Desktop Users
befindet. Weitere Informationen zu delegierten Gruppen
Zugriff von einer verwaltbaren VM auf die Domain nicht möglich
Wenn Sie von der VM, die zum Verwalten von AD-Objekten verwendet wird, nicht auf die Managed Microsoft AD-Domain zugreifen können, sollten Sie dieselben Konfigurationen überprüfen wie bei der Fehlerbehebung bei der Active Directory-Authentifizierung für Managed Microsoft AD-gehostete Konten.
Org policy
Fehler beim Erstellen, Aktualisieren oder Löschen
Wenn beim Erstellen, Aktualisieren oder Löschen von Ressourcen ein org policy
-Fehler auftritt, müssen Sie möglicherweise eine Organisationsrichtlinie ändern. Informationen zu Einschränkungen für Organisationsrichtlinien
Bitten Sie Ihren Administrator, der die IAM-Rolle „Administrator für Organisationsrichtlinien“ (roles/orgpolicy.policyAdmin
) für die Organisation hat, die erforderlichen Organisationsrichtlinien zu aktualisieren.
Define allowed APIs and services
Unternehmensrichtlinien
Diese Listeneinschränkung definiert die Dienste und APIs, die für eine bestimmte Ressource aktiviert werden können. Die Nachfolger in der Ressourcenhierarchie übernehmen ebenfalls die Einschränkung. Wenn diese Einschränkung die für Managed Microsoft AD erforderlichen APIs nicht zulässt, wird beim Erstellen, Aktualisieren oder Löschen von Ressourcen eine Fehlermeldung angezeigt.
So zeigen Sie die Organisationsrichtlinie Define allowed APIs and services
an und aktualisieren sie:
Console
- Rufen Sie in der Google Cloud Console die Seite Organisationsrichtlinien auf.
Zu den Organisationsrichtlinien - Auf der Organisationsrichtlinien Seite, in der Name Spalte, wählen Sie die Definieren Sie zulässige APIs und Dienste Politik zum Öffnen der Zusammenfassung der Richtlinien Panel.
- Stellen Sie im Bereich Richtlinienzusammenfassung sicher, dass die folgenden APIs nicht verweigert werden:
dns.googleapis.com
compute.googleapis.com
- Wenn Sie eine Änderung vornehmen müssen, wählen Sie Bearbeiten, aktualisieren Sie die Richtlinie und klicken Sie dann auf Speichern.
gcloud
Führen Sie den folgenden gcloud CLI-Befehl aus. Weitere Informationen zum Befehl
gcloud resource-manager org-policies describe
gcloud resource-manager org-policies describe constraints/serviceuser.services \ --organization=ORGANIZATION_ID
Wenn der Befehl
describe
anzeigt, dassdns.googleapis.com
odercompute.googleapis.com
nicht zulässig ist, führen Sie den folgenden Befehl aus, um dies zuzulassen. Erfahren Sie mehr über den Befehlgcloud resource-manager org-policies allow
.gcloud resource-manager org-policies allow constraints/serviceuser.services API_NAME \ --organization=ORGANIZATION_ID
Restrict VPC peering usage
Unternehmensrichtlinien
Diese Listeneinschränkung definiert den Satz von VPC-Netzwerken, die mit den zu einer bestimmten Ressource gehörenden VPC-Netzwerken verglichen werden dürfen. Wenn Peerings verweigert werden, wird eine Fehlermeldung angezeigt, wenn Sie versuchen, Ressourcen zu erstellen, zu aktualisieren oder zu löschen. Erfahren Sie , wie Sie die Organisationsrichtlinie Restrict VPC peering usage
anzeigen und aktualisieren.
Lokale Ressourcen aus Google Cloud können nicht aufgelöst werden
Wenn Sie lokale Ressourcen nicht aus Google Cloud auflösen können, müssen Sie möglicherweise Ihre DNS-Konfiguration ändern. Weitere Informationen zum Konfigurieren der DNS-Weiterleitung, um Abfragen für nicht verwaltete Microsoft AD-Objekte in VPC-Netzwerken aufzulösen
Intermittierende DNS-Suchfehler
Wenn bei Verwendung eines hochverfügbaren Schemas für Cloud Interconnect oder mehrerer VPNs zeitweise DNS-Suchfehler auftreten, sollten Sie die folgenden Konfigurationen überprüfen:
- Eine Route für 35.199.192.0/19 existiert.
- Das lokale Netzwerk ermöglicht Datenverkehr ab dem 35.199.192.0/19 für alle Cloud Interconnect-Verbindungen oder VPN-Tunnel.
Das Passwort des delegierten Administratorkontos läuft ab
Wenn das Passwort für das delegierte Administratorkonto abgelaufen ist, können Sie das Passwort zurücksetzen. Sie benötigen die erforderlichen Berechtigungen, um das Passwort für das delegierte Administratorkonto zurückzusetzen. Sie können das Ablaufdatum des Passworts für das Konto auch deaktivieren.
Managed Microsoft AD-Audit-Logs können nicht angezeigt werden
Wenn Sie keine Managed Microsoft AD-Audit-Logs in der Loganzeige oder dem Log-Explorer ansehen können, sollten Sie die folgenden Konfigurationen überprüfen.
- Logging ist für die Domain aktiviert.
- Sie haben die IAM-Rolle
roles/logging.viewer
für das Projekt, in dem sich die Domain befindet.