Fehlerbehebung für Managed Microsoft AD

Auf dieser Seite finden Sie Tipps und Vorgehensweisen zum Beheben häufiger Probleme mit Managed Service for Microsoft Active Directory.

Es kann keine Managed Microsoft AD-Domain erstellt werden

Wenn Sie keine Managed Microsoft AD-Domain erstellen können, kann die Überprüfung der folgenden Konfigurationen hilfreich sein.

Erforderliche APIs

Für Managed Microsoft AD müssen Sie eine Gruppe von APIs aktivieren, bevor Sie eine Domain erstellen können.

Führen Sie die folgenden Schritte aus, um zu überprüfen, ob die erforderlichen APIs aktiviert sind:

Console

  1. Rufen Sie in der Google Cloud Console die Seite APIs & Dienste auf.
    Zu „APIs und Dienste“
  2. Überprüfen Sie auf der Seite Dashboard, ob die folgenden APIs aufgelistet sind:

    • Managed Service for Microsoft Active Directory API
    • Compute Engine API
    • Cloud DNS API

gcloud

  1. Führen Sie den folgenden gcloud CLI-Befehl aus:

    gcloud services list --available
    
  2. Der Befehl gibt die Liste der aktivierten APIs zurück. Stellen Sie sicher, dass die folgenden APIs aufgelistet sind:

    • Managed Service for Microsoft Active Directory API
    • Compute Engine API
    • Cloud DNS API

Wenn eine dieser APIs fehlt, führen Sie die folgenden Schritte aus, um sie zu aktivieren:

Console

  1. Rufen Sie in der Google Cloud Console die Seite API-Bibliothek auf.
    Zur API-Bibliothek
  2. Geben Sie auf der Seite API-Bibliothek im Suchfeld den Namen der fehlenden API ein.
  3. Klicken Sie auf der API-Informationsseite auf Aktivieren.

gcloud

Führen Sie den folgenden gcloud CLI-Befehl aus:

  gcloud services enable API_NAME
  

Ersetzen Sie API_NAME durch den Namen der fehlenden API.

Wiederholen Sie diesen Vorgang, bis alle erforderlichen APIs aktiviert sind.

Abrechnung

Für Managed Microsoft AD müssen Sie die Abrechnung aktivieren, bevor Sie eine Domain erstellen können.

Führen Sie die folgenden Schritte aus, um zu überprüfen, ob die Abrechnung aktiviert ist:

Console

  1. Rufen Sie in der Google Cloud Console die Seite Abrechnung auf.
    Zur Abrechnung
  2. Stellen Sie sicher, dass für Ihre Organisation ein Abrechnungskonto eingerichtet ist.
  3. Klicken Sie auf den Tab Meine Projekte und prüfen Sie, ob das Projekt aufgelistet ist, in dem Sie eine Managed Microsoft AD-Domain erstellen möchten.

gcloud

Führen Sie den folgenden gcloud CLI-Befehl aus:

  gcloud billing projects describe PROJECT_ID
  

Wenn Sie kein gültiges Abrechnungskonto sehen, das mit dem Projekt verknüpft ist, sollten Sie die Abrechnung aktivieren.

IP-Adressbereich

Wenn beim Versuch, eine Domain zu erstellen, ein IP range overlap -Fehler angezeigt wird, bedeutet dies, dass sich der reservierte IP-Adressbereich, den Sie in der Anforderung zur Domänenerstellung angegeben haben, mit dem IP-Adressbereich des autorisierten Netzwerks überschneidet. Um dieses Problem zu beheben, sollten Sie einen anderen IP-Adressbereich oder ein anderes autorisiertes Netzwerk auswählen. Weitere Informationen finden Sie unter IP-Adressbereiche auswählen.

Berechtigungen

Wenn beim Versuch, eine Domain zu erstellen, eine Permission denied -Fehlermeldung angezeigt wird, sollten Sie überprüfen, ob die aufrufende Identität die Managed Microsoft AD-API aufrufen darf. Weitere Informationen zu Managed Microsoft AD-Rollen und -Berechtigungen.

Unternehmensrichtlinien

Die Domainerstellung kann aufgrund einer Organisationsrichtlinienkonfiguration fehlschlagen. Sie können beispielsweise eine Organisationsrichtlinie so konfigurieren, dass nur der Zugriff auf bestimmte Dienste wie GKE oder Compute Engine zugelassen wird. Weitere Informationen zu Einschränkungen für Organisationsrichtlinien

Bitten Sie Ihren Administrator, der die IAM-Rolle „Administrator für Organisationsrichtlinien“ (roles/orgpolicy.policyAdmin) für die Organisation hat, die erforderlichen Organisationsrichtlinien zu aktualisieren.

Resource Location Restriction Unternehmensrichtlinien

Diese Listeneinschränkung definiert die Gruppe von Standorten, an denen standortbasierte Google Cloud-Ressourcen erstellt werden können. Das Verweigern des Speicherorts global kann sich auf Managed Microsoft AD auswirken.

So zeigen Sie die Organisationsrichtlinie Resource Location Restriction an und aktualisieren sie:

Console

  1. Rufen Sie in der Google Cloud Console die Seite Organisationsrichtlinien auf.
    Zu den Organisationsrichtlinien
  2. Wählen Sie auf der Seite Organisationsrichtlinien in der Spalte Name die Richtlinie Einschränkung des Ressourcenstandorts aus, um die Zusammenfassung der Richtlinien zu öffnen. Panel.
  3. Überprüfen Sie im Bereich Richtlinienzusammenfassung, ob der Speicherort global zulässig ist.
  4. Wenn Sie eine Änderung vornehmen müssen, wählen Sie Bearbeiten, aktualisieren Sie die Richtlinie und klicken Sie dann auf Speichern.

Erfahren Sie mehr über Einschränken der Ressourcenpositionen.

gcloud

  1. Führen Sie den folgenden gcloud CLI-Befehl aus, um die Details für die Organisationsrichtlinie Resource Location Restriction aufzurufen. Erfahren Sie mehr über den Befehl gcloud resource-manager org-policies describe.

    gcloud resource-manager org-policies describe constraints/gcp.resourceLocations \
        --organization=ORGANIZATION_ID
    
  2. Wenn der Befehl describe anzeigt, dass global nicht zulässig ist, führen Sie den folgenden Befehl aus, um dies zuzulassen. Erfahren Sie mehr über den Befehl gcloud resource-manager org-policies allow.

    gcloud resource-manager org-policies allow constraints/gcp.resourceLocations global \
        --organization=ORGANIZATION_ID
    

Erfahren Sie mehr über Einschränken der Ressourcenpositionen.

Restrict VPC peering usage Unternehmensrichtlinien

Diese Listeneinschränkung definiert den Satz von VPC-Netzwerken, die mit den zu einer bestimmten Ressource gehörenden VPC-Netzwerken verglichen werden dürfen. Wenn Sie ein autorisiertes Netzwerk für eine Managed Microsoft AD-Domain angeben, wird ein VPC-Peering zwischen dem autorisierten Netzwerk und dem isolierten Netzwerk mit den AD-Domänencontrollern erstellt. Wenn die Organisationsrichtlinie für das Projekt Peerings verweigert, kann Managed Microsoft AD keine Peerings für das autorisierte Netzwerk erstellen, sodass die Domänenerstellung fehlschlägt. Sie erhalten folgende Fehlermeldung:

GCE_PRECONDITION_FAILED: Constraint constraints /compute.restrictVpcPeering
violated for project PROJECT_ID. Peering the network projects/PROJECT_ID/global/networks/VPC_NETWORK_NAME
is not allowed.

So zeigen Sie die Organisationsrichtlinie Restrict VPC peering usage an und aktualisieren sie:

Console

  1. Rufen Sie in der Google Cloud Console die Seite Organisationsrichtlinien auf.
    Zu den Organisationsrichtlinien
  2. Auf der Organisationsrichtlinien Seite, in der Name Spalte, wählen Sie die Beschränken Sie die Verwendung von VPC-Peering Politik zum Öffnen der Zusammenfassung der Richtlinien Panel.
  3. Überprüfen Sie im Bereich Richtlinienzusammenfassung, ob das Projekt Peerings zulässt.
  4. Wenn Sie eine Änderung vornehmen müssen, wählen Sie Bearbeiten, aktualisieren Sie die Richtlinie und klicken Sie dann auf Speichern.

gcloud

  1. Führen Sie den folgenden gcloud CLI-Befehl aus, um die Details für die Organisationsrichtlinie Restrict VPC peering usage aufzurufen. Weitere Informationen zum Befehl gcloud resource-manager org-policies describe

    gcloud resource-manager org-policies describe constraints/compute.restrictVpcPeering \
        --organization=ORGANIZATION_ID
    
  2. Wenn der Befehl describe anzeigt, dass Peerings nicht zulässig sind, führen Sie den folgenden Befehl aus, um dies zuzulassen. Erfahren Sie mehr über den Befehl gcloud resource-manager org-policies allow.

    gcloud resource-manager org-policies allow constraints/compute.restrictVpcPeering under:projects/PROJECT_ID \
        --organization=ORGANIZATION_ID
    

    Ersetzen Sie Folgendes:

    • PROJECT_ID: der Name des Projekts, das die verwaltete Microsoft AD-Ressource enthält.
    • ORGANIZATION_ID: die ID der Organisation, die das Projekt hostet.

Windows-VM kann nicht automatisch mit einer Domain verbunden werden

Im Folgenden finden Sie einige Probleme mit Fehlercodes, die auftreten können, wenn Sie versuchen, eine Windows-VM oder GKE-Windows-Serverknoten automatisch einer Domain beitreten zu lassen:

Fehlercode Beschreibung Mögliche Lösung
CONFLICT (409) Gibt an, dass das Konto der VM-Instanz bereits in der verwalteten Microsoft AD-Domain vorhanden ist. Entfernen Sie das Konto manuell mithilfe von RSAT-Tools aus Managed Microsoft AD und versuchen Sie es noch einmal. Weitere Informationen zum Verwalten von AD-Objekten in Managed Microsoft AD finden Sie unter Active Directory-Objekte verwalten.
BAD_REQUEST (412) Gibt an, dass die Domainbeitrittsanfrage ungültige Informationen enthält, z. B. einen falschen Domainnamen und eine falsche OU-Hierarchie (Organizational Unit). Prüfen Sie die Informationen, aktualisieren Sie die Details bei Bedarf und versuchen Sie es noch einmal.
INTERNAL (500) Gibt an, dass auf dem Server ein unbekannter interner Fehler aufgetreten ist. Wenden Sie sich an den Google Cloud-Support, um dieses Problem zu beheben.
FORBIDDEN (403) Das angegebene Dienstkonto hat nicht die erforderlichen Berechtigungen. Prüfen Sie, ob Sie die erforderlichen Berechtigungen für das Dienstkonto haben, und versuchen Sie es noch einmal.
UNAUTHORIZED (401) Gibt an, dass die VM keine gültige Autorisierung zum Beitritt zur Domain hat. Prüfen Sie, ob Sie den erforderlichen Zugriffsbereich auf die VM haben, und versuchen Sie es noch einmal.

VM kann nicht manuell einer Domain beitreten

Wenn Sie einen Computer nicht manuell aus einer lokalen Umgebung mit Ihrer Managed Microsoft AD-Domain verknüpfen können, prüfen Sie die folgenden Anforderungen:

  • Der Computer, dem Sie beitreten möchten, ist in Managed Microsoft AD sichtbar. Führen Sie zum Überprüfen dieser Verbindung eine DNS-Suche von der lokalen Umgebung zur Managed Microsoft AD-Domain mit dem Befehl nslookup aus.

  • Das lokale Netzwerk, in dem sich der Computer befindet, muss mit dem VPC-Netzwerk Ihrer verwalteten Microsoft AD-Domain verbunden sein. Informationen zur Fehlerbehebung bei einer VPC-Netzwerk-Peering-Verbindung finden Sie unter Fehlerbehebung.

Freigegebene VPC kann nicht als autorisiertes Netzwerk verwendet werden

Um von einem freigegebene VPC-Netzwerk aus auf eine Managed Microsoft AD-Domain zugreifen zu können, muss die Domain in demselben Projekt erstellt werden, in dem sich das freigegebene VPC-Netzwerk befindet.

Zugriff auf Managed Microsoft AD-Domain nicht möglich

Wenn Ihre Managed Microsoft AD-Domain nicht verfügbar zu sein scheint, können Sie weitere Informationen zum Status abrufen, indem Sie die folgenden Schritte ausführen:

Console

Rufen Sie in der Google Cloud Console die Seite Managed Service für Microsoft Active Directory auf.
Wechseln Sie zu „Managed Service for Microsoft Active Directory“

Auf der Seite Managed Service für Microsoft Active Directory in der Spalte Status können Sie die Status Ihrer Domains anzeigen.

gcloud

Führen Sie den folgenden gcloud CLI-Befehl aus:

gcloud active-directory domains list

Dieser Befehl gibt den Status für Ihre Domains zurück.

Wenn Ihr Domain-Status DOWN ist, bedeutet dies, dass Ihr Konto möglicherweise gesperrt wurde. Wenden Sie sich an den Google Cloud-Support, um dieses Problem zu beheben.

Wenn Ihr Domainstatus PERFORMING_MAINTENANCE lautet, sollte Managed Microsoft AD weiterhin zur Verwendung verfügbar sein, das Erweitern des Schemas, das Hinzufügen oder Entfernen von Regionen ist jedoch möglicherweise nicht möglich. Dieser Status ist selten und tritt nur auf, wenn das Betriebssystem gepatcht ist.

Vertrauensstellung kann nicht geschaffen werden

Wenn Sie die Schritte zum Erstellen einer Vertrauensstellung ausführen, den Vorgang jedoch nicht abschließen können, kann die Überprüfung der folgenden Konfigurationen hilfreich sein.

Die lokale Domain ist erreichbar

Um zu überprüfen, ob die lokale Domain über die Managed Microsoft AD-Domain erreichbar ist, können Sie ping oder Test-NetConnection verwenden. Führen Sie diese Befehle von einer VM aus, die in Google Cloud und in einem autorisierten Netzwerk gehostet wird. Stellen Sie sicher, dass die VM einen lokalen Domänencontroller erreichen kann. Weitere Informationen über Test-NetConnection

IP-Adresse

Führen Sie den folgenden Befehl aus, um zu überprüfen, ob die IP-Adresse, die während des Vertrauens-Setups angegeben wurde, die lokale Domain auflösen kann:

nslookup ON_PREMISES_DOMAIN_NAME CONDITIONAL_FORWARDER_ADDRESS

Ersetzen Sie Folgendes:

  • ON_PREMISES_DOMAIN_NAME: der Name Ihrer lokalen Domain.
  • CONDITIONAL_FORWARDER_ADDRESS: die IP-Adresse Ihres bedingten DNS-Weiterleitungsservers.

Wenn mehrere bedingte Weiterleitungsadressen vorhanden sind, können Sie diese testen.

Mehr über nslookup erfahren.

Lokale Vertrauensbeziehung

Um zu überprüfen, ob die lokale Vertrauensbeziehung hergestellt wurde, sollten Sie überprüfen, ob die folgenden Informationen übereinstimmen.

  • Art und Richtung der Vertrauensstellung in der Managed Microsoft AD-Domain ergänzen die in der lokalen Domain erstellte Vertrauensstellung.
  • Das beim Erstellen der Vertrauensstellung in der Managed Microsoft AD-Domain angegebene Vertrauensgeheimnis stimmt mit dem in der lokalen Domain eingegebenen überein.

Die lokale Vertrauensrichtung ergänzt die in Managed Microsoft AD konfigurierte Vertrauensrichtung. Das heißt, wenn die lokale Domain eine eingehende Vertrauensstellung erwartet, ist die Vertrauensrichtung für die Managed Microsoft AD-Domain ausgehend. Weitere Informationen zu Vertrauensanweisungen

Vertrauensstellung funktioniert nicht mehr

Wenn Sie zuvor eine Vertrauensstellung erstellt haben, diese jedoch nicht mehr funktioniert, sollten Sie dieselben Konfigurationen überprüfen wie bei der Fehlerbehebung beim Erstellen einer Vertrauensstellung.

Wenn eine Vertrauensstellung 60 Tage oder länger nicht verwendet wird, läuft das Vertrauensstellungskennwort ab. Um das Kennwort zu aktualisieren, ändern Sie das Kennwort für die Vertrauensstellung in der lokalen Domain und aktualisieren Sie dann das Kennwort in der Managed Microsoft AD-Domain.

Die Active Directory-Authentifizierung schlägt fehl (von Microsoft AD gehostete Konten verwaltet).

Wenn sich herausstellt, dass die Active Directory-Authentifizierung bei Verwendung von von Microsoft AD gehosteten verwalteten Konten fehlschlägt, kann die Überprüfung der folgenden Konfigurationen hilfreich sein.

VM befindet sich in einem autorisierten Netzwerk

Führen Sie die folgenden Schritte aus, um zu überprüfen, ob sich die für den Zugriff auf die Domain verwendete VM in einem autorisierten Netzwerk befindet.

  1. Rufen Sie in der Google Cloud Console die Seite Managed Service für Microsoft Active Directory auf.
    Wechseln Sie zu „Managed Service for Microsoft Active Directory“

  2. Wählen Sie den Namen Ihrer Domain aus.

  3. Überprüfen Sie auf der Seite Domain unter Netzwerke, ob das autorisierte Netzwerk aufgeführt ist.

Benutzername und Passwort sind korrekt

Stellen Sie sicher, dass der Nutzername und das Kennwort für die Anmeldung korrekt sind.

Firewallregeln

Eine deny-Firewallregel für den Austritt in den IP-Adressbereich der Domaincontroller kann dazu führen, dass die Authentifizierung fehlschlägt.

Führen Sie die folgenden Schritte aus, um Ihre Firewall-Regeln zu überprüfen:

Console

  1. Rufen Sie in der Google Cloud Console die Seite Firewallregeln auf.
    Zu Firewallregeln

  2. Überprüfen Sie auf dieser Seite, ob für den IP-Adressbereich der Domänencontroller kein deny für den Ausgang konfiguriert ist.

gcloud

  1. Führen Sie den folgenden gcloud CLI-Befehl aus:

    gcloud compute firewall-rules list
    
  2. Dieser Befehl gibt eine Liste der konfigurierten Firewall-Regeln zurück. Stellen Sie sicher, dass für den IP-Adressbereich der Domänencontroller kein deny für den Ausgang konfiguriert ist.

Weitere Informationen zu Firewallregeln

IP-Adresse

Die Authentifizierung kann fehlschlagen, wenn die IP-Adresse nicht im reservierten CIDR-Bereich liegt.

Führen Sie den folgenden Befehl aus, um die IP-Adresse zu überprüfen.

nslookup DOMAIN_NAME

Wenn nslookup fehlschlägt oder eine IP-Adresse zurückgibt, die nicht im CIDR-Bereich liegt, sollten Sie überprüfen, ob die DNS-Zone vorhanden ist.

Führen Sie die folgenden Schritte aus, um zu überprüfen, ob die DNS-Zone vorhanden ist:

Console

  1. Rufen Sie in der Google Cloud Console die Seite Cloud DNS auf.
    Cloud DNS aufrufen

  2. Aktivieren Sie auf der Seite Cloud DNS auf dem Tab Zones die Spalte In Verwendung von für das autorisierte Netzwerk.

gcloud

  1. Führen Sie den folgenden gcloud CLI-Befehl aus:

    gcloud dns managed-zones list --filter=FQDN
    

    Ersetzen Sie FQDN durch den vollständig qualifizierten Domainnamen Ihrer verwalteten Microsoft AD-Domain.

Wenn keine der aufgelisteten Zonen vom autorisierten Netzwerk verwendet wird, sollten Sie das autorisierte Netzwerk entfernen und noch einmal hinzufügen.

Netzwerk-Peering

Die Authentifizierung kann fehlschlagen, wenn das VPC-Netzwerk-Peering nicht ordnungsgemäß konfiguriert ist.

Führen Sie die folgenden Schritte aus, um zu überprüfen, ob Peering eingerichtet ist:

Console

  1. Rufen Sie in der Google Cloud Console die Seite VPC-Netzwerk-Peering auf.
    Zum VPC-Netzwerk-Peering

  2. Suchen Sie auf der Seite VPC-Netzwerk-Peering in der Spalte Name nach einem Peering mit dem Namen peering-VPC_NETWORK_NAME.

gcloud

  1. Führen Sie den folgenden gcloud CLI-Befehl aus:

    gcloud compute networks peerings list --network=VPC_NETWORK_NAME
    
  2. Dieser Befehl gibt eine Liste von Peerings zurück. Suchen Sie in der Liste nach einem mit dem Namen peering-VPC_NETWORK_NAME.

Wenn peering-VPC_NETWORK_NAME nicht in der Liste enthalten ist, sollten Sie das autorisierte Netzwerk entfernen und noch einmal hinzufügen.

Die Active Directory-Authentifizierung schlägt fehl (über Vertrauensstellung).

Wenn sich herausstellt, dass die Active Directory-Authentifizierung fehlschlägt, wenn verwaltete lokal gehostete Konten über eine Vertrauensstellung verwendet werden, sollten Sie dieselben Konfigurationen überprüfen wie bei der Fehlerbehebung beim Erstellen einer Vertrauensstellung.

Prüfen Sie außerdem, ob sich das Konto in der delegierten Gruppe Cloud Service Computer Remote Desktop Users befindet. Weitere Informationen zu delegierten Gruppen

Zugriff von einer verwaltbaren VM auf die Domain nicht möglich

Wenn Sie von der VM, die zum Verwalten von AD-Objekten verwendet wird, nicht auf die Managed Microsoft AD-Domain zugreifen können, sollten Sie dieselben Konfigurationen überprüfen wie bei der Fehlerbehebung bei der Active Directory-Authentifizierung für Managed Microsoft AD-gehostete Konten.

Org policy Fehler beim Erstellen, Aktualisieren oder Löschen

Wenn beim Erstellen, Aktualisieren oder Löschen von Ressourcen ein org policy -Fehler auftritt, müssen Sie möglicherweise eine Organisationsrichtlinie ändern. Informationen zu Einschränkungen für Organisationsrichtlinien

Bitten Sie Ihren Administrator, der die IAM-Rolle „Administrator für Organisationsrichtlinien“ (roles/orgpolicy.policyAdmin) für die Organisation hat, die erforderlichen Organisationsrichtlinien zu aktualisieren.

Define allowed APIs and services Unternehmensrichtlinien

Diese Listeneinschränkung definiert die Dienste und APIs, die für eine bestimmte Ressource aktiviert werden können. Die Nachfolger in der Ressourcenhierarchie übernehmen ebenfalls die Einschränkung. Wenn diese Einschränkung die für Managed Microsoft AD erforderlichen APIs nicht zulässt, wird beim Erstellen, Aktualisieren oder Löschen von Ressourcen eine Fehlermeldung angezeigt.

So zeigen Sie die Organisationsrichtlinie Define allowed APIs and services an und aktualisieren sie:

Console

  1. Rufen Sie in der Google Cloud Console die Seite Organisationsrichtlinien auf.
    Zu den Organisationsrichtlinien
  2. Auf der Organisationsrichtlinien Seite, in der Name Spalte, wählen Sie die Definieren Sie zulässige APIs und Dienste Politik zum Öffnen der Zusammenfassung der Richtlinien Panel.
  3. Stellen Sie im Bereich Richtlinienzusammenfassung sicher, dass die folgenden APIs nicht verweigert werden:
    • dns.googleapis.com
    • compute.googleapis.com
  4. Wenn Sie eine Änderung vornehmen müssen, wählen Sie Bearbeiten, aktualisieren Sie die Richtlinie und klicken Sie dann auf Speichern.

gcloud

  1. Führen Sie den folgenden gcloud CLI-Befehl aus. Weitere Informationen zum Befehl gcloud resource-manager org-policies describe

    gcloud resource-manager org-policies describe constraints/serviceuser.services \
        --organization=ORGANIZATION_ID
    
  2. Wenn der Befehl describe anzeigt, dass dns.googleapis.com oder compute.googleapis.com nicht zulässig ist, führen Sie den folgenden Befehl aus, um dies zuzulassen. Erfahren Sie mehr über den Befehl gcloud resource-manager org-policies allow.

    gcloud resource-manager org-policies allow constraints/serviceuser.services API_NAME \
        --organization=ORGANIZATION_ID
    

Restrict VPC peering usage Unternehmensrichtlinien

Diese Listeneinschränkung definiert den Satz von VPC-Netzwerken, die mit den zu einer bestimmten Ressource gehörenden VPC-Netzwerken verglichen werden dürfen. Wenn Peerings verweigert werden, wird eine Fehlermeldung angezeigt, wenn Sie versuchen, Ressourcen zu erstellen, zu aktualisieren oder zu löschen. Erfahren Sie , wie Sie die Organisationsrichtlinie Restrict VPC peering usage anzeigen und aktualisieren.

Lokale Ressourcen aus Google Cloud können nicht aufgelöst werden

Wenn Sie lokale Ressourcen nicht aus Google Cloud auflösen können, müssen Sie möglicherweise Ihre DNS-Konfiguration ändern. Weitere Informationen zum Konfigurieren der DNS-Weiterleitung, um Abfragen für nicht verwaltete Microsoft AD-Objekte in VPC-Netzwerken aufzulösen

Intermittierende DNS-Suchfehler

Wenn bei Verwendung eines hochverfügbaren Schemas für Cloud Interconnect oder mehrerer VPNs zeitweise DNS-Suchfehler auftreten, sollten Sie die folgenden Konfigurationen überprüfen:

  • Eine Route für 35.199.192.0/19 existiert.
  • Das lokale Netzwerk ermöglicht Datenverkehr ab dem 35.199.192.0/19 für alle Cloud Interconnect-Verbindungen oder VPN-Tunnel.

Das Passwort des delegierten Administratorkontos läuft ab

Wenn das Passwort für das delegierte Administratorkonto abgelaufen ist, können Sie das Passwort zurücksetzen. Sie benötigen die erforderlichen Berechtigungen, um das Passwort für das delegierte Administratorkonto zurückzusetzen. Sie können das Ablaufdatum des Passworts für das Konto auch deaktivieren.

Managed Microsoft AD-Audit-Logs können nicht angezeigt werden

Wenn Sie keine Managed Microsoft AD-Audit-Logs in der Loganzeige oder dem Log-Explorer ansehen können, sollten Sie die folgenden Konfigurationen überprüfen.