Résoudre les problèmes liés à Microsoft AD géré

Cette page fournit des conseils et des approches pour dépanner et résoudre les problèmes courants liés au service géré pour Microsoft Active Directory.

Impossible de créer un domaine Microsoft AD géré

Si vous ne parvenez pas à créer un domaine Microsoft AD géré, la vérification des configurations suivantes peut vous aider.

API requises

Microsoft AD géré nécessite que vous activiez un groupe d'API avant de procéder à la création de domaine.

Pour vérifier que les API requises sont activées, procédez comme suit :

Console

  1. Accédez à la page API et services de la console Google Cloud.
    Accéder à "API et services"
  2. Sur la page Tableau de bord, vérifiez que les API suivantes sont répertoriées :

    • API du service géré pour Microsoft Active Directory
    • API Compute Engine
    • API Cloud DNS

gcloud

  1. Exécutez la commande de gcloud CLI suivante :

    gcloud services list --available
    
  2. La commande renvoie la liste des API activées. Vérifiez que les API suivantes sont répertoriées :

    • API du service géré pour Microsoft Active Directory
    • API Compute Engine
    • API Cloud DNS

Si l'une de ces API est manquante, procédez comme suit pour l'activer :

Console

  1. Accédez à la page Bibliothèque d'API de la console Google Cloud.
    Accéder à la bibliothèque d'API
  2. Sur la page Bibliothèque d'API, saisissez le nom de l'API manquante dans le champ de recherche.
  3. Sur la page d'informations de l'API, cliquez sur Activer.

gcloud

Exécutez la commande de gcloud CLI suivante :

  gcloud services enable API_NAME
  

Remplacez API_NAME par le nom de l'API manquante.

Répétez ce processus jusqu'à ce que toutes les API requises soient activées.

Billing

Microsoft AD géré nécessite que vous activiez la facturation avant de pouvoir créer un domaine.

Pour vérifier que la facturation est activée, procédez comme suit :

Console

  1. Accédez à la page Facturation dans la console Google Cloud.
    Accéder à Facturation
  2. Vérifiez qu'un compte de facturation est configuré pour votre organisation.
  3. Cliquez sur l'onglet Mes projets, puis vérifiez que le projet dans lequel vous essayez de créer un domaine Microsoft AD géré est répertorié.

gcloud

Exécutez la commande de gcloud CLI suivante :

  gcloud billing projects describe PROJECT_ID
  

Si aucun compte de facturation valide n'est lié au projet, vous devez activer la facturation.

Plage d'adresses IP

Si vous recevez une erreur IP range overlap lorsque vous essayez de créer un domaine, cela signifie que la plage d'adresses IP réservées que vous avez fournie dans la demande de création de domaine chevauche la plage d'adresses IP du réseau autorisé. Pour résoudre ce problème, vous devez choisir une autre plage d'adresses IP ou un autre réseau autorisé. Pour en savoir plus, consultez la section Sélectionner des plages d'adresses IP.

Autorisations

Si vous recevez une erreur Permission denied lorsque vous essayez de créer un domaine, vous devez vérifier que l'identité appelante est autorisée à appeler l'API Microsoft AD gérée. En savoir plus sur les rôles et les autorisations Microsoft AD gérés.

Règle d'administration

La création du domaine peut échouer en raison d'une configuration de règle d'administration. Par exemple, vous pouvez configurer une règle d'administration pour n'autoriser l'accès qu'à des services spécifiques, tels que GKE ou Compute Engine. En savoir plus sur les contraintes liées aux règles d'administration

Demandez à votre administrateur, qui dispose du rôle IAM Administrateur des règles d'administration (roles/orgpolicy.policyAdmin) dans l'organisation, de mettre à jour les règles d'administration requises.

Règle d'administration Resource Location Restriction

Cette contrainte de liste définit l'ensemble des emplacements où les ressources Google Cloud basées sur l'emplacement peuvent être créées. Le refus de l'emplacement global peut influer sur Microsoft AD géré.

Pour afficher et mettre à jour la règle d'organisation Resource Location Restriction :

Console

  1. Accédez à la page Règles d'administration dans la console Google Cloud.
    Accéder à la page "Règles d'administration"
  2. Sur la page Règles d'organisation, dans la colonne Nom, sélectionnez la règle Restriction d'emplacement des ressources pour ouvrir le panneau Récapitulatif des règles.
  3. Dans le panneau Récapitulatif des règles, vérifiez que l'emplacement global est autorisé.
  4. Si vous devez apporter une modification, sélectionnez Modifier, mettez à jour la règle puis cliquez sur Enregistrer.

Découvrez comment restreindre les emplacements des ressources.

gcloud

  1. Pour afficher les détails de la règle d'administration Resource Location Restriction, exécutez la commande gcloud CLI suivante. En savoir plus sur la commande gcloud resource-manager org-policies describe.

    gcloud resource-manager org-policies describe constraints/gcp.resourceLocations \
        --organization=ORGANIZATION_ID
    
  2. Si la commande describe indique que global n'est pas autorisé, exécutez la commande suivante pour l'autoriser. En savoir plus sur la commande gcloud resource-manager org-policies allow.

    gcloud resource-manager org-policies allow constraints/gcp.resourceLocations global \
        --organization=ORGANIZATION_ID
    

Découvrez comment restreindre les emplacements des ressources.

Règle d'administration Restrict VPC peering usage

Cette contrainte de liste définit l'ensemble des réseaux VPC autorisés à être appairés avec les réseaux VPC appartenant à une ressource donnée. Lorsque vous spécifiez un réseau autorisé pour un domaine Microsoft AD géré, un appairage VPC est créé entre le réseau autorisé et le réseau isolé contenant les contrôleurs de domaine AD. Si la règle d'administration du projet refuse les appairages, Microsoft AD géré ne peut créer aucun appairage vers le réseau autorisé, la création de domaine échoue. Vous recevez une erreur comme celle-ci :

GCE_PRECONDITION_FAILED: Constraint constraints /compute.restrictVpcPeering
violated for project PROJECT_ID. Peering the network projects/PROJECT_ID/global/networks/VPC_NETWORK_NAME
is not allowed.

Pour afficher et mettre à jour la règle d'administration Restrict VPC peering usage :

Console

  1. Accédez à la page Règles d'administration dans la console Google Cloud.
    Accéder à la page "Règles d'administration"
  2. Sur la page Règles d'administration, dans la colonne Nom, sélectionnez la règle Limiter l'utilisation de l'appairage VPC pour ouvrir le panneau Récapitulatif des règles.
  3. Dans le panneau Récapitulatif des règles, vérifiez que le projet autorise les appairages.
  4. Si vous devez apporter une modification, sélectionnez Modifier, mettez à jour la règle puis cliquez sur Enregistrer.

gcloud

  1. Pour afficher les détails de la règle d'administration Restrict VPC peering usage, exécutez la commande gcloud CLI suivante. En savoir plus sur la commande gcloud resource-manager org-policies describe.

    gcloud resource-manager org-policies describe constraints/compute.restrictVpcPeering \
        --organization=ORGANIZATION_ID
    
  2. Si la commande describe indique que les appairages ne sont pas autorisés, exécutez la commande suivante pour les autoriser. En savoir plus sur la commande gcloud resource-manager org-policies allow.

    gcloud resource-manager org-policies allow constraints/compute.restrictVpcPeering under:projects/PROJECT_ID \
        --organization=ORGANIZATION_ID
    

    Remplacez les éléments suivants :

    • PROJECT_ID: nom du projet contenant la ressource Microsoft AD gérée.
    • ORGANIZATION_ID: ID de l'organisation qui héberge le projet.

Impossible d'associer automatiquement une VM Windows à un domaine

Voici quelques problèmes liés aux codes d'erreur que vous pouvez rencontrer lorsque vous essayez d'associer automatiquement une VM Windows ou des nœuds GKE Windows Server à un domaine:

Code d'erreur Description Solution potentielle
CONFLICT (409) Indique que le compte de l'instance de VM existe déjà dans le domaine Microsoft AD géré. Supprimez manuellement le compte de Microsoft AD géré à l'aide des outils RSAT, puis réessayez. Pour en savoir plus sur la gestion des objets AD dans Microsoft AD géré, consultez Gérer des objets Active Directory.
BAD_REQUEST (412) Indique que la requête d'association de domaine contient des informations non valides, telles qu'un nom de domaine ou une structure de hiérarchie d'unité organisationnelle (UO) incorrects. Vérifiez les informations, modifiez-les si nécessaire, puis réessayez.
INTERNAL (500) Indique qu'une erreur interne inconnue s'est produite au niveau du serveur. Contactez l'assistance Google Cloud pour résoudre ce problème.
FORBIDDEN (403) Indique que le compte de service spécifié ne dispose pas des droits nécessaires. Vérifiez si vous disposez des privilèges requis sur le compte de service, puis réessayez.
UNAUTHORIZED (401) Indique que la VM ne dispose pas d'une autorisation valide pour rejoindre le domaine. Vérifiez si vous disposez du niveau d'niveau d'accès sur la VM, puis réessayez.

Impossible d'associer manuellement une VM à un domaine

Si vous ne parvenez pas à associer manuellement une machine à partir d'un environnement sur site à votre domaine Microsoft AD géré, vérifiez les conditions suivantes:

  • La machine que vous essayez de rejoindre est détectable dans Microsoft AD géré. Pour vérifier cette connectivité, effectuez une résolution DNS de l'environnement sur site vers le domaine Microsoft AD géré à l'aide de la commande nslookup.

  • Le réseau sur site sur lequel se trouve la machine doit être associé au réseau VPC de votre domaine Microsoft AD géré. Pour en savoir plus sur le dépannage d'une connexion d'appairage de réseaux VPC, consultez la section Dépannage.

Impossible d'utiliser le VPC partagé comme réseau autorisé

Pour accéder à un domaine Microsoft AD géré à partir d'un réseau VPC partagé, le domaine doit être créé dans le même projet qui héberge le réseau VPC partagé.

Impossible d'accéder au domaine Microsoft AD géré

Si votre domaine Microsoft AD géré semble indisponible, vous pouvez obtenir plus d'informations sur son état en procédant comme suit :

Console

Accédez à la page Service géré pour Microsoft Active Directory dans la console Google Cloud.
Accéder à Service géré pour Microsoft Active Directory

Sur la page Service géré pour Microsoft Active Directory, dans la colonne État, vous pouvez afficher les états de vos domaines.

gcloud

Exécutez la commande de gcloud CLI suivante :

gcloud active-directory domains list

Cette commande renvoie les états de vos domaines.

Si l'état de votre domaine est DOWN, cela indique que votre compte a peut-être été suspendu. Contactez l'assistance Google Cloud pour résoudre ce problème.

Si l'état de votre domaine est PERFORMING_MAINTENANCE, Microsoft AD géré doit toujours être disponible pour utilisation, mais peut ne pas autoriser des opérations telles que l'extension du schéma, l'ajout ou la suppression de régions. Cet état est rare et se produit uniquement lorsque le système d'exploitation est corrigé.

Impossible de créer une approbation

Si vous suivez les étapes de création d'une approbation, mais que vous ne pouvez pas terminer le processus, la vérification des configurations suivantes peut vous aider.

Le domaine sur site est accessible

Pour vérifier que le domaine sur site est accessible à partir du domaine Microsoft AD géré, vous pouvez utiliser ping ou Test-NetConnection. Exécutez ces commandes à partir d'une VM hébergée sur Google Cloud et sur un réseau autorisé. Vérifiez que la VM peut atteindre un contrôleur de domaine sur site. En savoir plus sur Test-NetConnection.

Adresse IP

Pour vérifier que l'adresse IP qui a été fournie lors de l'installation de l'approbation est capable de résoudre le domaine sur site, exécutez la commande suivante :

nslookup ON_PREMISES_DOMAIN_NAME CONDITIONAL_FORWARDER_ADDRESS

Remplacez les éléments suivants :

  • ON_PREMISES_DOMAIN_NAME: nom de votre domaine sur site.
  • CONDITIONAL_FORWARDER_ADDRESS: adresse IP de votre redirecteur conditionnel DNS.

S'il existe plusieurs adresses de redirecteur conditionnel, vous pouvez tester l'une d'entre elles.

Apprenez-en plus sur nslookup.

Relation d'approbation sur site

Pour vérifier que la relation d'approbation sur site est établie, vous devez vérifier que les informations suivantes correspondent.

  • Le type et la direction de l'approbation sur le domaine Microsoft AD géré complètent l'approbation créée sur le domaine sur site.
  • Le secret d'approbation fourni lors de la création de l'approbation sur le domaine Microsoft AD géré correspond à celui saisi sur le domaine sur site.

La direction d'approbation sur site complète la direction d'approbation configurée sur Microsoft AD géré. Autrement dit, si le domaine sur site attend une approbation entrante, la direction d'approbation pour le domaine Microsoft AD géré est sortante. En savoir plus sur les directions de confiance

Dysfonctionnement de l'approbation

Si vous avez précédemment créé une approbation, mais qu'elle ne fonctionne plus, vous devez vérifier les mêmes configurations que pour le dépannage de la création d'une approbation.

En outre, si une approbation n'est pas utilisée pendant 60 jours ou plus, le mot de passe d'approbation expire. Pour actualiser le mot de passe, modifiez le mot de passe de l'approbation sur le domaine sur site, puis mettez à jour le mot de passe sur le domaine Microsoft AD géré.

Échec de l'authentification Active Directory (comptes hébergés par Microsoft AD géré)

En cas d'échec de l'authentification Active Directory lors de l'utilisation de comptes hébergés gérés par Microsoft AD géré, la vérification des configurations suivantes peut être utile.

Présence de VM sur un réseau autorisé

Pour vérifier que la VM utilisée pour accéder au domaine se trouve sur un réseau autorisé, procédez comme suit.

  1. Accédez à la page Service géré pour Microsoft Active Directory dans la console Google Cloud.
    Accéder à Service géré pour Microsoft Active Directory

  2. Sélectionnez le nom de votre domaine.

  3. Sur la page Domaine, sous Réseaux, vérifiez que le réseau autorisé est répertorié.*

Nom d'utilisateur et mot de passe corrects

Vérifiez que le nom d'utilisateur et le mot de passe fournis pour vous connecter sont corrects.

Règles de pare-feu

Une règle de pare-feu deny pour la sortie vers la plage d'adresses IP des contrôleurs de domaine peut entraîner l'échec de l'authentification.

Pour vérifier vos règles de pare-feu, procédez comme suit :

Console

  1. Accédez à la page Règles de pare-feu de la console Google Cloud.
    Accéder aux règles de pare-feu

  2. Sur cette page, vérifiez l'absence de deny pour la sortie configurée pour la plage d'adresses IP des contrôleurs de domaine.

gcloud

  1. Exécutez la commande de gcloud CLI suivante :

    gcloud compute firewall-rules list
    
  2. Cette commande renvoie une liste des règles de pare-feu configurées. Vérifiez l'absence de deny pour la sortie configurée pour la plage d'adresses IP des contrôleurs de domaine.

En savoir plus sur les règles de pare-feu.

Adresse IP

L'authentification peut échouer si l'adresse IP ne se trouve pas dans la plage CIDR réservée.

Pour vérifier l'adresse IP, exécutez la commande suivante.

nslookup DOMAIN_NAME

Si nslookup échoue ou renvoie une adresse IP qui ne se trouve pas dans la plage CIDR, vous devez vérifier que la zone DNS existe.

Pour valider l'existence de la zone DNS, procédez comme suit :

Console

  1. Accédez à la page Cloud DNS dans la console Google Cloud.
    Accéder à Cloud DNS

  2. Sur la page Cloud DNS, dans l'onglet Zones, vérifiez la colonne Utilisé par pour le réseau autorisé.

gcloud

  1. Exécutez la commande de gcloud CLI suivante :

    gcloud dns managed-zones list --filter=FQDN
    

    Remplacez FQDN par le nom de domaine complet de votre domaine Microsoft AD géré.

Si aucune des zones répertoriées n'est utilisée par le réseau autorisé, vous devez supprimer et rajouter le réseau autorisé.

Appairage de réseaux

L'authentification peut échouer si l'appairage du réseau VPC n'est pas correctement configuré.

Pour vérifier que l'appairage est configuré, procédez comme suit :

Console

  1. Accédez à la page Appairage de réseaux VPC dans la console Google Cloud.
    Accéder à la page "Appairage de réseaux VPC"

  2. Sur la page Appairage de réseaux VPC, dans la colonne Nom, recherchez un appairage appelé peering-VPC_NETWORK_NAME.

gcloud

  1. Exécutez la commande de gcloud CLI suivante :

    gcloud compute networks peerings list --network=VPC_NETWORK_NAME
    
  2. Cette commande renvoie une liste d'appairages. Dans la liste, recherchez celui nommé peering-VPC_NETWORK_NAME.

Si peering-VPC_NETWORK_NAME ne figure pas dans la liste, vous devez supprimer et rajouter le réseau autorisé.

Échec de l'authentification Active Directory (via l'approbation)

En cas d'échec de l'authentification Active Directory lors de l'utilisation de comptes hébergés sur site gérés via une approbation, vous devez vérifier les mêmes configurations que pour le dépannage de la création d'une approbation.

En outre, vérifiez que le compte se trouve dans le groupe délégué Cloud Service Computer Remote Desktop Users. En savoir plus sur les groupes délégués

Impossible d'accéder au domaine à partir d'une VM de gestion

Si vous ne parvenez pas à accéder au domaine Microsoft AD géré à partir de la VM utilisée pour gérer les objets AD, vous devez vérifier les mêmes configurations que pour le dépannage de l'authentification Active Directory pour les comptes hébergés par Microsoft AD géré.

Erreur Org policy lors de la création, de la mise à jour ou de la suppression

Si vous rencontrez une erreur org policy lors de la création, de la mise à jour ou de la suppression de ressources, vous devrez peut-être modifier une règle d'administration. En savoir plus sur les contraintes liées aux règles d'administration.

Demandez à votre administrateur, qui dispose du rôle IAM Administrateur des règles d'administration (roles/orgpolicy.policyAdmin) dans l'organisation, de mettre à jour les règles d'administration requises.

Règle d'administration Define allowed APIs and services

Cette contrainte de liste définit l'ensemble des services et des API pouvant être activés sur une ressource donnée. Ses descendants dans la hiérarchie de la ressource héritent également de la contrainte. Si cette contrainte n'autorise pas les API requises pour Microsoft AD géré, vous recevez une erreur lorsque vous essayez de créer, mettre à jour ou supprimer des ressources.

Pour afficher et mettre à jour la règle d'organisation Define allowed APIs and services :

Console

  1. Accédez à la page Règles d'administration dans la console Google Cloud.
    Accéder à la page "Règles d'administration"
  2. Sur la page Règles d'administration, dans la colonne Nom, sélectionnez la règle Définir les API et services autorisés pour ouvrir le panneau Récapitulatif des règles.
  3. Dans le panneau Récapitulatif des règles, vérifiez que les API suivantes ne sont pas refusées :
    • dns.googleapis.com
    • compute.googleapis.com
  4. Si vous devez apporter une modification, sélectionnez Modifier, mettez à jour la règle puis cliquez sur Enregistrer.

gcloud

  1. Exécutez la commande gcloud CLI suivante. En savoir plus sur la commande gcloud resource-manager org-policies describe

    gcloud resource-manager org-policies describe constraints/serviceuser.services \
        --organization=ORGANIZATION_ID
    
  2. Si la commande describe indique que dns.googleapis.com ou compute.googleapis.com n'est pas autorisé, exécutez la commande suivante pour l'autoriser. En savoir plus sur la commande gcloud resource-manager org-policies allow.

    gcloud resource-manager org-policies allow constraints/serviceuser.services API_NAME \
        --organization=ORGANIZATION_ID
    

Règle d'administration Restrict VPC peering usage

Cette contrainte de liste définit l'ensemble des réseaux VPC autorisés à être appairés avec les réseaux VPC appartenant à une ressource donnée. Si les appairages sont refusés, vous recevez une erreur lorsque vous essayez de créer, mettre à jour ou supprimer des ressources. Découvrez comment afficher et mettre à jour la règle d'administration Restrict VPC peering usage.

Impossible de résoudre les ressources sur site à partir de Google Cloud

Si vous ne parvenez pas à résoudre les ressources sur site à partir de Google Cloud, vous devrez peut-être modifier votre configuration DNS. Découvrez comment configurer le transfert DNS pour résoudre les requêtes d'objets Microsoft AD non gérés dans les réseaux VPC.

Échecs de recherche DNS intermittents

Si vous rencontrez des échecs de recherche DNS intermittents lors de l'utilisation d'un schéma hautement disponible pour Cloud Interconnect ou plusieurs VPN, vous devez vérifier les configurations suivantes :

  • Il existe une route pour 35.199.192.0/19.
  • Le réseau sur site autorise le trafic à partir de 35.199.192.0/19 pour toutes les connexions Cloud Interconnect ou tunnels VPN.

Expiration du mot de passe du compte administrateur délégué

Si le mot de passe du compte administrateur délégué est arrivé à expiration, vous pouvez le réinitialiser. Assurez-vous de disposer des autorisations requises pour réinitialiser le mot de passe du compte administrateur délégué. Si vous le souhaitez, vous pouvez également désactiver l'expiration du mot de passe pour le compte.

Impossible d'afficher les journaux d'audit du service Microsoft AD géré

Si vous ne parvenez pas à afficher les journaux d'audit du service Microsoft AD géré dans la visionneuse de journaux ou l'explorateur de journaux, vous devez vérifier les configurations suivantes.