Cette page fournit des conseils et des approches pour dépanner et résoudre les problèmes courants liés au service géré pour Microsoft Active Directory.
Impossible de créer un domaine Microsoft AD géré
Si vous ne parvenez pas à créer un domaine Microsoft AD géré, la vérification des configurations suivantes peut vous aider.
API requises
Microsoft AD géré nécessite que vous activiez un groupe d'API avant de procéder à la création de domaine.
Pour vérifier que les API requises sont activées, procédez comme suit :
Console
- Accédez à la page API et services de la console Google Cloud.
Accéder à "API et services" Sur la page Tableau de bord, vérifiez que les API suivantes sont répertoriées :
- API du service géré pour Microsoft Active Directory
- API Compute Engine
- API Cloud DNS
gcloud
Exécutez la commande de gcloud CLI suivante :
gcloud services list --available
La commande renvoie la liste des API activées. Vérifiez que les API suivantes sont répertoriées :
- API du service géré pour Microsoft Active Directory
- API Compute Engine
- API Cloud DNS
Si l'une de ces API est manquante, procédez comme suit pour l'activer :
Console
- Accédez à la page Bibliothèque d'API de la console Google Cloud.
Accéder à la bibliothèque d'API - Sur la page Bibliothèque d'API, saisissez le nom de l'API manquante dans le champ de recherche.
- Sur la page d'informations de l'API, cliquez sur Activer.
gcloud
Exécutez la commande de gcloud CLI suivante :
gcloud services enable API_NAME
Remplacez API_NAME
par le nom de l'API manquante.
Répétez ce processus jusqu'à ce que toutes les API requises soient activées.
Billing
Microsoft AD géré nécessite que vous activiez la facturation avant de pouvoir créer un domaine.
Pour vérifier que la facturation est activée, procédez comme suit :
Console
- Accédez à la page Facturation dans la console Google Cloud.
Accéder à Facturation - Vérifiez qu'un compte de facturation est configuré pour votre organisation.
- Cliquez sur l'onglet Mes projets, puis vérifiez que le projet dans lequel vous essayez de créer un domaine Microsoft AD géré est répertorié.
gcloud
Exécutez la commande de gcloud CLI suivante :
gcloud billing projects describe PROJECT_ID
Si aucun compte de facturation valide n'est lié au projet, vous devez activer la facturation.
Plage d'adresses IP
Si vous recevez une erreur IP range overlap
lorsque vous essayez de créer un domaine, cela signifie que la plage d'adresses IP réservées que vous avez fournie dans la demande de création de domaine chevauche la plage d'adresses IP du réseau autorisé. Pour résoudre ce problème, vous devez choisir une autre plage d'adresses IP ou un autre réseau autorisé. Pour en savoir plus, consultez la section Sélectionner des plages d'adresses IP.
Autorisations
Si vous recevez une erreur Permission denied
lorsque vous essayez de créer un domaine, vous devez vérifier que l'identité appelante est autorisée à appeler l'API Microsoft AD gérée. En savoir plus sur les rôles et les autorisations Microsoft AD gérés.
Règle d'administration
La création du domaine peut échouer en raison d'une configuration de règle d'administration. Par exemple, vous pouvez configurer une règle d'administration pour n'autoriser l'accès qu'à des services spécifiques, tels que GKE ou Compute Engine. En savoir plus sur les contraintes liées aux règles d'administration
Demandez à votre administrateur, qui dispose du rôle IAM Administrateur des règles d'administration (roles/orgpolicy.policyAdmin
) dans l'organisation, de mettre à jour les règles d'administration requises.
Règle d'administration Resource Location Restriction
Cette contrainte de liste définit l'ensemble des emplacements où les ressources Google Cloud basées sur l'emplacement peuvent être créées. Le refus de l'emplacement global
peut influer sur Microsoft AD géré.
Pour afficher et mettre à jour la règle d'organisation Resource Location Restriction
:
Console
- Accédez à la page Règles d'administration dans la console Google Cloud.
Accéder à la page "Règles d'administration" - Sur la page Règles d'organisation, dans la colonne Nom, sélectionnez la règle Restriction d'emplacement des ressources pour ouvrir le panneau Récapitulatif des règles.
- Dans le panneau Récapitulatif des règles, vérifiez que l'emplacement
global
est autorisé. - Si vous devez apporter une modification, sélectionnez Modifier, mettez à jour la règle puis cliquez sur Enregistrer.
Découvrez comment restreindre les emplacements des ressources.
gcloud
Pour afficher les détails de la règle d'administration
Resource Location Restriction
, exécutez la commande gcloud CLI suivante. En savoir plus sur la commandegcloud resource-manager org-policies describe
.gcloud resource-manager org-policies describe constraints/gcp.resourceLocations \ --organization=ORGANIZATION_ID
Si la commande
describe
indique queglobal
n'est pas autorisé, exécutez la commande suivante pour l'autoriser. En savoir plus sur la commandegcloud resource-manager org-policies allow
.gcloud resource-manager org-policies allow constraints/gcp.resourceLocations global \ --organization=ORGANIZATION_ID
Découvrez comment restreindre les emplacements des ressources.
Règle d'administration Restrict VPC peering usage
Cette contrainte de liste définit l'ensemble des réseaux VPC autorisés à être appairés avec les réseaux VPC appartenant à une ressource donnée. Lorsque vous spécifiez un réseau autorisé pour un domaine Microsoft AD géré, un appairage VPC est créé entre le réseau autorisé et le réseau isolé contenant les contrôleurs de domaine AD. Si la règle d'administration du projet refuse les appairages, Microsoft AD géré ne peut créer aucun appairage vers le réseau autorisé, la création de domaine échoue. Vous recevez une erreur comme celle-ci :
GCE_PRECONDITION_FAILED: Constraint constraints /compute.restrictVpcPeering violated for project PROJECT_ID. Peering the network projects/PROJECT_ID/global/networks/VPC_NETWORK_NAME is not allowed.
Pour afficher et mettre à jour la règle d'administration Restrict VPC peering usage
:
Console
- Accédez à la page Règles d'administration dans la console Google Cloud.
Accéder à la page "Règles d'administration" - Sur la page Règles d'administration, dans la colonne Nom, sélectionnez la règle Limiter l'utilisation de l'appairage VPC pour ouvrir le panneau Récapitulatif des règles.
- Dans le panneau Récapitulatif des règles, vérifiez que le projet autorise les appairages.
- Si vous devez apporter une modification, sélectionnez Modifier, mettez à jour la règle puis cliquez sur Enregistrer.
gcloud
Pour afficher les détails de la règle d'administration
Restrict VPC peering usage
, exécutez la commande gcloud CLI suivante. En savoir plus sur la commandegcloud resource-manager org-policies describe
.gcloud resource-manager org-policies describe constraints/compute.restrictVpcPeering \ --organization=ORGANIZATION_ID
Si la commande
describe
indique que les appairages ne sont pas autorisés, exécutez la commande suivante pour les autoriser. En savoir plus sur la commandegcloud resource-manager org-policies allow
.gcloud resource-manager org-policies allow constraints/compute.restrictVpcPeering under:projects/PROJECT_ID \ --organization=ORGANIZATION_ID
Remplacez les éléments suivants :
PROJECT_ID
: nom du projet contenant la ressource Microsoft AD gérée.ORGANIZATION_ID
: ID de l'organisation qui héberge le projet.
Impossible d'associer automatiquement une VM Windows à un domaine
Voici quelques problèmes liés aux codes d'erreur que vous pouvez rencontrer lorsque vous essayez d'associer automatiquement une VM Windows ou des nœuds GKE Windows Server à un domaine:
Code d'erreur | Description | Solution potentielle |
---|---|---|
CONFLICT (409) |
Indique que le compte de l'instance de VM existe déjà dans le domaine Microsoft AD géré. | Supprimez manuellement le compte de Microsoft AD géré à l'aide des outils RSAT, puis réessayez. Pour en savoir plus sur la gestion des objets AD dans Microsoft AD géré, consultez Gérer des objets Active Directory. |
BAD_REQUEST (412) |
Indique que la requête d'association de domaine contient des informations non valides, telles qu'un nom de domaine ou une structure de hiérarchie d'unité organisationnelle (UO) incorrects. | Vérifiez les informations, modifiez-les si nécessaire, puis réessayez. |
INTERNAL (500) |
Indique qu'une erreur interne inconnue s'est produite au niveau du serveur. | Contactez l'assistance Google Cloud pour résoudre ce problème. |
FORBIDDEN (403) |
Indique que le compte de service spécifié ne dispose pas des droits nécessaires. | Vérifiez si vous disposez des privilèges requis sur le compte de service, puis réessayez. |
UNAUTHORIZED (401) |
Indique que la VM ne dispose pas d'une autorisation valide pour rejoindre le domaine. | Vérifiez si vous disposez du niveau d'niveau d'accès sur la VM, puis réessayez. |
Impossible d'associer manuellement une VM à un domaine
Si vous ne parvenez pas à associer manuellement une machine à partir d'un environnement sur site à votre domaine Microsoft AD géré, vérifiez les conditions suivantes:
La machine que vous essayez de rejoindre est détectable dans Microsoft AD géré. Pour vérifier cette connectivité, effectuez une résolution DNS de l'environnement sur site vers le domaine Microsoft AD géré à l'aide de la commande
nslookup
.Le réseau sur site sur lequel se trouve la machine doit être associé au réseau VPC de votre domaine Microsoft AD géré. Pour en savoir plus sur le dépannage d'une connexion d'appairage de réseaux VPC, consultez la section Dépannage.
Impossible d'utiliser le VPC partagé comme réseau autorisé
Pour accéder à un domaine Microsoft AD géré à partir d'un réseau VPC partagé, le domaine doit être créé dans le même projet qui héberge le réseau VPC partagé.
Impossible d'accéder au domaine Microsoft AD géré
Si votre domaine Microsoft AD géré semble indisponible, vous pouvez obtenir plus d'informations sur son état en procédant comme suit :
Console
Accédez à la page Service géré pour Microsoft Active Directory dans la console Google Cloud.
Accéder à Service géré pour Microsoft Active Directory
Sur la page Service géré pour Microsoft Active Directory, dans la colonne État, vous pouvez afficher les états de vos domaines.
gcloud
Exécutez la commande de gcloud CLI suivante :
gcloud active-directory domains list
Cette commande renvoie les états de vos domaines.
Si l'état de votre domaine est DOWN
, cela indique que votre compte a peut-être été suspendu. Contactez l'assistance Google Cloud pour résoudre ce problème.
Si l'état de votre domaine est PERFORMING_MAINTENANCE
, Microsoft AD géré doit toujours être disponible pour utilisation, mais peut ne pas autoriser des opérations telles que l'extension du schéma, l'ajout ou la suppression de régions. Cet état est rare et se produit uniquement lorsque le système d'exploitation est corrigé.
Impossible de créer une approbation
Si vous suivez les étapes de création d'une approbation, mais que vous ne pouvez pas terminer le processus, la vérification des configurations suivantes peut vous aider.
Le domaine sur site est accessible
Pour vérifier que le domaine sur site est accessible à partir du domaine Microsoft AD géré, vous pouvez utiliser ping
ou Test-NetConnection
. Exécutez ces commandes à partir d'une VM hébergée sur Google Cloud et sur un réseau autorisé. Vérifiez que la VM peut atteindre un contrôleur de domaine sur site. En savoir plus sur Test-NetConnection
.
Adresse IP
Pour vérifier que l'adresse IP qui a été fournie lors de l'installation de l'approbation est capable de résoudre le domaine sur site, exécutez la commande suivante :
nslookup ON_PREMISES_DOMAIN_NAME CONDITIONAL_FORWARDER_ADDRESS
Remplacez les éléments suivants :
ON_PREMISES_DOMAIN_NAME
: nom de votre domaine sur site.CONDITIONAL_FORWARDER_ADDRESS
: adresse IP de votre redirecteur conditionnel DNS.
S'il existe plusieurs adresses de redirecteur conditionnel, vous pouvez tester l'une d'entre elles.
Apprenez-en plus sur nslookup
.
Relation d'approbation sur site
Pour vérifier que la relation d'approbation sur site est établie, vous devez vérifier que les informations suivantes correspondent.
- Le type et la direction de l'approbation sur le domaine Microsoft AD géré complètent l'approbation créée sur le domaine sur site.
- Le secret d'approbation fourni lors de la création de l'approbation sur le domaine Microsoft AD géré correspond à celui saisi sur le domaine sur site.
La direction d'approbation sur site complète la direction d'approbation configurée sur Microsoft AD géré. Autrement dit, si le domaine sur site attend une approbation entrante, la direction d'approbation pour le domaine Microsoft AD géré est sortante. En savoir plus sur les directions de confiance
Dysfonctionnement de l'approbation
Si vous avez précédemment créé une approbation, mais qu'elle ne fonctionne plus, vous devez vérifier les mêmes configurations que pour le dépannage de la création d'une approbation.
En outre, si une approbation n'est pas utilisée pendant 60 jours ou plus, le mot de passe d'approbation expire. Pour actualiser le mot de passe, modifiez le mot de passe de l'approbation sur le domaine sur site, puis mettez à jour le mot de passe sur le domaine Microsoft AD géré.
Échec de l'authentification Active Directory (comptes hébergés par Microsoft AD géré)
En cas d'échec de l'authentification Active Directory lors de l'utilisation de comptes hébergés gérés par Microsoft AD géré, la vérification des configurations suivantes peut être utile.
Présence de VM sur un réseau autorisé
Pour vérifier que la VM utilisée pour accéder au domaine se trouve sur un réseau autorisé, procédez comme suit.
Accédez à la page Service géré pour Microsoft Active Directory dans la console Google Cloud.
Accéder à Service géré pour Microsoft Active DirectorySélectionnez le nom de votre domaine.
Sur la page Domaine, sous Réseaux, vérifiez que le réseau autorisé est répertorié.*
Nom d'utilisateur et mot de passe corrects
Vérifiez que le nom d'utilisateur et le mot de passe fournis pour vous connecter sont corrects.
Règles de pare-feu
Une règle de pare-feu deny
pour la sortie vers la plage d'adresses IP des contrôleurs de domaine peut entraîner l'échec de l'authentification.
Pour vérifier vos règles de pare-feu, procédez comme suit :
Console
Accédez à la page Règles de pare-feu de la console Google Cloud.
Accéder aux règles de pare-feuSur cette page, vérifiez l'absence de
deny
pour la sortie configurée pour la plage d'adresses IP des contrôleurs de domaine.
gcloud
Exécutez la commande de gcloud CLI suivante :
gcloud compute firewall-rules list
Cette commande renvoie une liste des règles de pare-feu configurées. Vérifiez l'absence de
deny
pour la sortie configurée pour la plage d'adresses IP des contrôleurs de domaine.
En savoir plus sur les règles de pare-feu.
Adresse IP
L'authentification peut échouer si l'adresse IP ne se trouve pas dans la plage CIDR réservée.
Pour vérifier l'adresse IP, exécutez la commande suivante.
nslookup DOMAIN_NAME
Si nslookup
échoue ou renvoie une adresse IP qui ne se trouve pas dans la plage CIDR, vous devez vérifier que la zone DNS existe.
Pour valider l'existence de la zone DNS, procédez comme suit :
Console
Accédez à la page Cloud DNS dans la console Google Cloud.
Accéder à Cloud DNSSur la page Cloud DNS, dans l'onglet Zones, vérifiez la colonne Utilisé par pour le réseau autorisé.
gcloud
Exécutez la commande de gcloud CLI suivante :
gcloud dns managed-zones list --filter=FQDN
Remplacez
FQDN
par le nom de domaine complet de votre domaine Microsoft AD géré.
Si aucune des zones répertoriées n'est utilisée par le réseau autorisé, vous devez supprimer et rajouter le réseau autorisé.
Appairage de réseaux
L'authentification peut échouer si l'appairage du réseau VPC n'est pas correctement configuré.
Pour vérifier que l'appairage est configuré, procédez comme suit :
Console
Accédez à la page Appairage de réseaux VPC dans la console Google Cloud.
Accéder à la page "Appairage de réseaux VPC"Sur la page Appairage de réseaux VPC, dans la colonne Nom, recherchez un appairage appelé
peering-VPC_NETWORK_NAME
.
gcloud
Exécutez la commande de gcloud CLI suivante :
gcloud compute networks peerings list --network=VPC_NETWORK_NAME
Cette commande renvoie une liste d'appairages. Dans la liste, recherchez celui nommé
peering-VPC_NETWORK_NAME
.
Si peering-VPC_NETWORK_NAME
ne figure pas dans la liste, vous devez supprimer et rajouter le réseau autorisé.
Échec de l'authentification Active Directory (via l'approbation)
En cas d'échec de l'authentification Active Directory lors de l'utilisation de comptes hébergés sur site gérés via une approbation, vous devez vérifier les mêmes configurations que pour le dépannage de la création d'une approbation.
En outre, vérifiez que le compte se trouve dans le groupe délégué Cloud Service Computer Remote Desktop Users
. En savoir plus sur les groupes délégués
Impossible d'accéder au domaine à partir d'une VM de gestion
Si vous ne parvenez pas à accéder au domaine Microsoft AD géré à partir de la VM utilisée pour gérer les objets AD, vous devez vérifier les mêmes configurations que pour le dépannage de l'authentification Active Directory pour les comptes hébergés par Microsoft AD géré.
Erreur Org policy
lors de la création, de la mise à jour ou de la suppression
Si vous rencontrez une erreur org policy
lors de la création, de la mise à jour ou de la suppression de ressources, vous devrez peut-être modifier une règle d'administration. En savoir plus sur les contraintes liées aux règles d'administration.
Demandez à votre administrateur, qui dispose du rôle IAM Administrateur des règles d'administration (roles/orgpolicy.policyAdmin
) dans l'organisation, de mettre à jour les règles d'administration requises.
Règle d'administration Define allowed APIs and services
Cette contrainte de liste définit l'ensemble des services et des API pouvant être activés sur une ressource donnée. Ses descendants dans la hiérarchie de la ressource héritent également de la contrainte. Si cette contrainte n'autorise pas les API requises pour Microsoft AD géré, vous recevez une erreur lorsque vous essayez de créer, mettre à jour ou supprimer des ressources.
Pour afficher et mettre à jour la règle d'organisation Define allowed APIs and services
:
Console
- Accédez à la page Règles d'administration dans la console Google Cloud.
Accéder à la page "Règles d'administration" - Sur la page Règles d'administration, dans la colonne Nom, sélectionnez la règle Définir les API et services autorisés pour ouvrir le panneau Récapitulatif des règles.
- Dans le panneau Récapitulatif des règles, vérifiez que les API suivantes ne sont pas refusées :
dns.googleapis.com
compute.googleapis.com
- Si vous devez apporter une modification, sélectionnez Modifier, mettez à jour la règle puis cliquez sur Enregistrer.
gcloud
Exécutez la commande gcloud CLI suivante. En savoir plus sur la commande
gcloud resource-manager org-policies describe
gcloud resource-manager org-policies describe constraints/serviceuser.services \ --organization=ORGANIZATION_ID
Si la commande
describe
indique quedns.googleapis.com
oucompute.googleapis.com
n'est pas autorisé, exécutez la commande suivante pour l'autoriser. En savoir plus sur la commandegcloud resource-manager org-policies allow
.gcloud resource-manager org-policies allow constraints/serviceuser.services API_NAME \ --organization=ORGANIZATION_ID
Règle d'administration Restrict VPC peering usage
Cette contrainte de liste définit l'ensemble des réseaux VPC autorisés à être appairés avec les réseaux VPC appartenant à une ressource donnée. Si les appairages sont refusés, vous recevez une erreur lorsque vous essayez de créer, mettre à jour ou supprimer des ressources. Découvrez comment afficher et mettre à jour la règle d'administration Restrict VPC peering usage
.
Impossible de résoudre les ressources sur site à partir de Google Cloud
Si vous ne parvenez pas à résoudre les ressources sur site à partir de Google Cloud, vous devrez peut-être modifier votre configuration DNS. Découvrez comment configurer le transfert DNS pour résoudre les requêtes d'objets Microsoft AD non gérés dans les réseaux VPC.
Échecs de recherche DNS intermittents
Si vous rencontrez des échecs de recherche DNS intermittents lors de l'utilisation d'un schéma hautement disponible pour Cloud Interconnect ou plusieurs VPN, vous devez vérifier les configurations suivantes :
- Il existe une route pour 35.199.192.0/19.
- Le réseau sur site autorise le trafic à partir de 35.199.192.0/19 pour toutes les connexions Cloud Interconnect ou tunnels VPN.
Expiration du mot de passe du compte administrateur délégué
Si le mot de passe du compte administrateur délégué est arrivé à expiration, vous pouvez le réinitialiser. Assurez-vous de disposer des autorisations requises pour réinitialiser le mot de passe du compte administrateur délégué. Si vous le souhaitez, vous pouvez également désactiver l'expiration du mot de passe pour le compte.
Impossible d'afficher les journaux d'audit du service Microsoft AD géré
Si vous ne parvenez pas à afficher les journaux d'audit du service Microsoft AD géré dans la visionneuse de journaux ou l'explorateur de journaux, vous devez vérifier les configurations suivantes.
- La journalisation est activée pour le domaine.
- Vous disposez du rôle IAM
roles/logging.viewer
sur le projet où se trouve le domaine.