このページでは、Managed Service for Microsoft Active Directory に関する一般的な問題をトラブルシューティングして解決するヒントと方法について説明します。
マネージド Microsoft AD ドメインを作成できません
マネージド Microsoft AD ドメインを作成できない場合は、次の構成を確認すると役立つ場合があります。
必要な API
マネージド Microsoft AD では、ドメインを作成する前に、API のグループを有効にする必要があります。
必要な API が有効になっていることを確認するには、次の手順を実行します。
コンソール
- Google Cloud コンソールの [API とサービス] ページに移動します。
[API とサービスに移動] [ダッシュボード] ページで、次の API がリストされていることを確認します。
- Microsoft Active Directory API のマネージド サービス
- Compute Engine API
- Cloud DNS API
gcloud
次の gcloud CLI コマンドを実行します。
gcloud services list --available
このコマンドは、有効な API のリストを返します。次の API が表示されていることを確認します。
- Microsoft Active Directory API のマネージド サービス
- Compute Engine API
- Cloud DNS API
これらの API のいずれかがリストされていない場合は、以下の手順を実行してそれらを有効にします。
コンソール
- Google Cloud コンソールで [API ライブラリ] ページに移動します。
[API ライブラリに移動] - [API ライブラリ] ページの検索フィールドに、不足している API の名前を入力します。
- API の情報ページで、[有効にする] をクリックします。
gcloud
次の gcloud CLI コマンドを実行します。
gcloud services enable API_NAME
API_NAME
は、不足している API の名前に置き換えます。
必要な API がすべて有効になるまで、このプロセスを繰り返します。
課金
マネージド Microsoft AD では、ドメインを作成する前に課金を有効にする必要があります。
課金が有効になっていることを確認するには、次の手順に従います。
コンソール
- Google Cloud コンソールの [お支払い] ページに移動します。
[お支払い] に移動 - 組織の請求先アカウントが設定されていることを確認します。
- [マイ プロジェクト] タブをクリックし、マネージド Microsoft AD ドメインを作成しようとしているプロジェクトがリストされていることを確認します。
gcloud
次の gcloud CLI コマンドを実行します。
gcloud billing projects describe PROJECT_ID
プロジェクトにリンクされた有効な請求先アカウントが表示されない場合は、課金を有効にする必要があります。
IP アドレス範囲
ドメインの作成時に IP range overlap
エラーが発生した場合、ドメイン作成リクエストで指定した予約済み IP アドレス範囲が承認済みネットワークの IP アドレス範囲と重複しています。この問題を解決するには、別の IP アドレス範囲または承認済みネットワークを選択する必要があります。詳細については、IP アドレス範囲を選択するをご覧ください。
権限
ドメインを作成しようとしたときに Permission denied
エラーを受け取った場合は、呼び出し元の ID が マネージド Microsoft AD API を呼び出すことが許可されていることを確認する必要があります。詳しくは、マネージド Microsoft AD の役割と権限の詳細をご覧ください。
組織ポリシー
組織のポリシーの構成が原因で、ドメインの作成に失敗することがあります。たとえば、GKE や Compute Engine などの特定のサービスへのアクセスのみを許可するように組織のポリシーを構成できます。詳しくは、組織のポリシーの制約をご確認ください。
組織ポリシー管理者(roles/orgpolicy.policyAdmin
)の IAM ロールを持つ組織の管理者に、必要な組織のポリシーを更新するよう依頼してください。
Resource Location Restriction
組織ポリシー
このリスト型制約は、ロケーション ベースの Google Cloud リソースを作成できる一連のロケーションを定義します。global
のロケーションを拒否すると、マネージド Microsoft AD に影響を与える可能性があります。
Resource Location Restriction
組織ポリシーを表示および更新するには:
コンソール
- Google Cloud Console の [組織のポリシー] ページに移動します。
[組織のポリシー] に移動 - [組織のポリシー] ページの [名前] 列で、[リソース ロケーションの制限] ポリシーを選択して、[ポリシーの概要] パネルを開きます。
- [ポリシーの概要] パネルで、
global
のロケーションが許可されていることを確認します。 - 変更する必要がある場合は、[編集] を選択してポリシーを更新し、[保存] をクリックします。
リソース ロケーションの制限について学習する。
gcloud
Resource Location Restriction
組織のポリシーの詳細を表示するには、次の gcloud CLI コマンドを実行します。gcloud resource-manager org-policies describe
コマンドについて学習します。gcloud resource-manager org-policies describe constraints/gcp.resourceLocations \ --organization=ORGANIZATION_ID
describe
コマンドでglobal
が許可されていないことが表示された場合は、次のコマンドを実行して許可してください。gcloud resource-manager org-policies allow
コマンドについて学習します。gcloud resource-manager org-policies allow constraints/gcp.resourceLocations global \ --organization=ORGANIZATION_ID
リソース ロケーションの制限について学習する。
Restrict VPC peering usage
組織ポリシー
このリスト型制約は、特定のリソースに属する VPC ネットワークとピアリングできる一連の VPC ネットワークを定義します。マネージド Microsoft AD ドメインに承認済みネットワークを指定すると、承認済みネットワークと AD ドメイン コントローラを含む分離されたネットワークの間に VPC ピアリングが作成されます。プロジェクトの組織ポリシーがピアリングを拒否すると、マネージド Microsoft AD は承認済みネットワークへのピアリングを作成できないため、ドメインの作成は失敗します。次のようなエラーが表示されます。
GCE_PRECONDITION_FAILED: Constraint constraints /compute.restrictVpcPeering violated for project PROJECT_ID. Peering the network projects/PROJECT_ID/global/networks/VPC_NETWORK_NAME is not allowed.
Restrict VPC peering usage
組織ポリシーを表示および更新するには:
コンソール
- Google Cloud Console の [組織のポリシー] ページに移動します。
[組織のポリシー] に移動 - [組織のポリシー] ページの、[名前] 列で、VPC ピアリングの使用制限ポリシーを選択して、[ポリシーの概要] パネルを開きます。
- [ポリシーの概要] パネルで、プロジェクトがピアリングを許可していることを確認します。
- 変更する必要がある場合は、[編集] を選択してポリシーを更新し、[保存] をクリックします。
gcloud
Restrict VPC peering usage
組織のポリシーの詳細を表示するには、次の gcloud CLI コマンドを実行します。gcloud resource-manager org-policies describe
コマンドについて学習します。gcloud resource-manager org-policies describe constraints/compute.restrictVpcPeering \ --organization=ORGANIZATION_ID
describe
コマンドでピアリングが許可されていないことが表示された場合は、次のコマンドを実行してピアリングを許可します。gcloud resource-manager org-policies allow
コマンドについて学習します。gcloud resource-manager org-policies allow constraints/compute.restrictVpcPeering under:projects/PROJECT_ID \ --organization=ORGANIZATION_ID
以下を置き換えます。
PROJECT_ID
: マネージド Microsoft AD リソースを含むプロジェクトの名前。ORGANIZATION_ID
: そのプロジェクトをホストする組織の ID。
Windows VM をドメインに自動的に参加させられない
Windows VM または GKE Windows Server ノードを自動的にドメインに参加させようとしたときに発生する可能性のあるエラーコードエの問題を次に示します。
エラーコード | 説明 | ソリューションの候補 |
---|---|---|
CONFLICT (409) |
VM インスタンス アカウントがマネージド Microsoft AD ドメインにすでに存在することを示します。 | RSAT ツールを使用してマネージド Microsoft AD からアカウントを手動で削除し、もう一度お試しください。マネージド Microsoft AD で AD オブジェクトを管理する方法については、Active Directory オブジェクトを管理するをご覧ください。 |
BAD_REQUEST (412) |
ドメイン参加リクエストに無効な情報(ドメイン名の誤りや組織部門(OU)の階層構造の誤りなど)が含まれていることを示します。 | 情報を確認して、必要に応じて詳細を更新してから、もう一度お試しください。 |
INTERNAL (500) |
サーバーで不明な内部エラーが発生したことを示します。 | この問題を解決するには、Google Cloud サポートまでお問い合わせください。 |
FORBIDDEN (403) |
指定されたサービス アカウントに必要な権限がないことを示します。 | サービス アカウントに必要な権限があるかどうかを確認し、もう一度お試しください。 |
UNAUTHORIZED (401) |
VM にドメインに参加するための有効な認可がないことを示します。 | VM に必要なアクセス スコープがあることを確認してから、もう一度お試しください。 |
VM を手動でドメインに参加させられない
オンプレミス環境からマネージド Microsoft AD ドメインにマシンを手動で参加させられない場合は、次の要件を確認してください。
参加させようとしているマシンは、Managed Microsoft AD から検出できます。この接続を確認するには、
nslookup
コマンドを使用して、オンプレミス環境からマネージド Managed Microsoft AD ドメインへの DNS ルックアップを実行します。マシンが存在するオンプレミス ネットワークは、マネージド Microsoft AD ドメインの VPC ネットワークとピアリングされている必要があります。VPC ネットワーク ピアリング接続のトラブルシューティングについては、トラブルシューティングをご覧ください。
承認済みネットワークとして共有 VPC を使用できません
共有 VPC ネットワークからマネージド Microsoft AD ドメインにアクセスするには、共有 VPC ネットワークをホストするプロジェクトと同じプロジェクトにドメインを作成する必要があります。
マネージド Microsoft AD ドメインにアクセスできません
マネージド Microsoft AD ドメインが利用できない場合は、次の手順を実行して、そのステータスに関する詳細情報を取得できます。
コンソール
Google Cloud コンソールの [Microsoft Active Directory のマネージド サービス] ページに移動します。
[Microsoft Active Directory 用のマネージド サービスの概要]
[Microsoft Active Directory のマネージド サービス] ページの [ステータス] 列で、ドメインのステータスを確認できます。
gcloud
次の gcloud CLI コマンドを実行します。
gcloud active-directory domains list
このコマンドは、ドメインのステータスを返します。
ドメインのステータスが DOWN
の場合は、アカウントが停止されている可能性があることを示しています。この問題を解決するには、Google Cloud サポートまでお問い合わせください。
ドメインのステータスが PERFORMING_MAINTENANCE
の場合、マネージド Microsoft AD は引き続き使用できますが、スキーマの拡張、リージョンの追加または削除などのオペレーションが許可されない場合があります。このステータスはまれなケースで、OS にパッチが適用されている場合にのみ発生します。
信頼を作成できません
信頼を作成する手順を実行してもプロセスを完了できない場合、次の構成を確認すると役立つ場合があります。
オンプレミス ドメインに到達可能です
マネージド Microsoft AD ドメインからオンプレミス ドメインに到達可能であることを確認するには、ping
または Test-NetConnection
を使用します。Google Cloud と承認済みネットワークでホストされている VM からこれらのコマンドを実行します。VM がオンプレミス ドメイン コントローラにアクセスできることを確認します。詳しくは、Test-NetConnection
をご覧ください。
IP アドレス
信頼の設定中に指定された IP アドレスがオンプレミス ドメインを解決できるかどうかを確認するには、次のコマンドを実行します。
nslookup ON_PREMISES_DOMAIN_NAME CONDITIONAL_FORWARDER_ADDRESS
以下を置き換えます。
ON_PREMISES_DOMAIN_NAME
: オンプレミス ドメインの名前。CONDITIONAL_FORWARDER_ADDRESS
: DNS 条件付きフォワーダーの IP アドレス。
複数の条件付き転送元アドレスがある場合は、それらのいずれかに対してテストできます。
詳細については、nslookup
についてをご覧ください。
オンプレミスの信頼関係
オンプレミスの信頼関係が確立されていることを確認するには、次の情報が一致していることを確認する必要があります。
- マネージド Microsoft AD ドメインの信頼の種類と方向は、オンプレミス ドメインで作成された信頼を補完します。
- マネージド Microsoft AD ドメインで信頼を作成するときに指定した信頼シークレットが、オンプレミス ドメインで入力した信頼シークレットに一致します。
オンプレミスの信頼の方向は、マネージド Microsoft AD で構成された信頼の方向を補完するものです。つまり、オンプレミス ドメインが受信信頼を想定している場合は、マネージド Microsoft AD ドメインの信頼方向は送信になります。詳しくは、信頼の方向をご覧ください。
信頼が機能しなくなりました
以前に信頼を作成したが機能しなくなった場合は、信頼の作成に関するトラブルシューティングと同じ構成を確認する必要があります。
さらに、信頼が 60 日以上使用されなかった場合、信頼パスワードは期限切れになります。パスワードを更新するには、オンプレミス ドメインの信頼のパスワードを変更してから、マネージド Microsoft AD ドメインのパスワードを更新します。
Active Directory 認証に失敗しました(マネージド Microsoft AD がホストするアカウント)
マネージド Microsoft AD がホストするアカウントを使用しているときに Active Directory 認証が失敗した場合は、次の構成を確認すると役立つ場合があります。
VM が承認済みネットワーク上にあります
ドメインへのアクセスに使用する VM が承認済みネットワーク上にあることを確認するには、次の手順を実行します。
Google Cloud コンソールの [Microsoft Active Directory のマネージド サービス] ページに移動します。
[Microsoft Active Directory 用のマネージド サービスの概要]ドメイン名を選択します。
[ドメイン] ページの [ネットワーク] で、承認済みネットワークがリストされていることを確認します。
正しいユーザー名とパスワードです
ログイン用のユーザー名とパスワードが正しいことを確認します。
ファイアウォール ルール
ドメイン コントローラーの IP アドレス範囲への下りの deny
ファイアウォール ルールにより、認証が失敗する可能性があります。
ファイアウォール ルールを確認するには、次の手順を実行します。
コンソール
Google Cloud コンソールの [ファイアウォール ルール] ページに移動します。
[ファイアウォール ルール] に移動このページで、ドメイン コントローラの IP アドレス範囲に構成された下りの
deny
がないことを確認します。
gcloud
次の gcloud CLI コマンドを実行します。
gcloud compute firewall-rules list
このコマンドは、構成されたファイアウォール ルールのリストを返します。ドメイン コントローラの IP アドレス範囲に構成された下りの
deny
がないことを確認します。
ファイアウォール ルールの詳細を確認する。
IP アドレス
IP アドレスが予約済みの CIDR 範囲にない場合、認証が失敗する可能性があります。
IP アドレスをチェックするには、次のコマンドを実行します。
nslookup DOMAIN_NAME
nslookup
が失敗する、または CIDR 範囲外の IP アドレスを返す場合は、DNS ゾーンが存在することを確認する必要があります。
DNS ゾーンが存在することを確認するには、次の手順を実行します。
コンソール
Google Cloud コンソールで [Cloud DNS] ページに移動します。
[Cloud DNS] に移動[Cloud DNS] ページの [ゾーン] タブで、承認済みネットワークの [使用中]列を確認します。
gcloud
次の gcloud CLI コマンドを実行します。
gcloud dns managed-zones list --filter=FQDN
FQDN
を、Managed Microsoft AD ドメインの完全修飾ドメイン名に置き換えます。
リストされたゾーンがいずれも承認済みネットワークで使用されていない場合は、承認済みネットワークを削除してから再度追加する必要があります。
ネットワーク ピアリング
VPC ネットワーク ピアリングが適切に構成されていない場合は、認証が失敗する可能性があります。
ピアリングが設定されていることを確認するには、以下の手順を実行します。
コンソール
Google Cloud コンソールの [VPC ネットワーク ピアリング] ページに移動します。
[VPC ネットワーク ピアリング] に移動[VPC ネットワーク ピアリング] ページの [名前]列で、
peering-VPC_NETWORK_NAME
というピアリングを探します。
gcloud
次の gcloud CLI コマンドを実行します。
gcloud compute networks peerings list --network=VPC_NETWORK_NAME
このコマンドは、ピアリングの一覧を返します。このリストから
peering-VPC_NETWORK_NAME
を探します。
peering-VPC_NETWORK_NAME
がリストにない場合は、承認済みネットワークを削除して再度追加する必要があります。
信頼を介した Active Directory 認証に失敗しました
信頼を介して管理されたオンプレミスのホストされたアカウントを使用しているときに Active Directory 認証が失敗した場合は、信頼の作成に関するトラブルシューティングと同じ構成を確認する必要があります。
さらに、アカウントが Cloud Service Computer Remote Desktop Users
委任グループにあることを確認します。詳しくは、委任されたグループをご覧ください。
管理性のある VM からドメインにアクセスできません
AD オブジェクトの管理に使用する VM からマネージド Microsoft AD ドメインにアクセスできない場合は、マネージド Microsoft AD がホストするアカウントの Active Directory 認証のトラブルシューティングと同じ構成を確認する必要があります。
作成、更新、削除時の Org policy
エラー
リソースを作成、更新、または削除するときに org policy
エラーが発生した場合は、組織のポリシーを変更する必要があります。組織のポリシーの制約について学習する。
組織ポリシー管理者(roles/orgpolicy.policyAdmin
)の IAM ロールを持つ組織の管理者に、必要な組織のポリシーを更新するよう依頼してください。
Define allowed APIs and services
組織ポリシー
このリスト型制約は、特定のリソースで有効にできる一連のサービスと API を定義します。リソース階層の子孫もこの制約を継承します。この制約により、マネージド Microsoft AD に必要な API が許可されない場合、リソースを作成、更新、または削除しようとすると、エラーが発生します。
Define allowed APIs and services
組織ポリシーを表示および更新するには:
コンソール
- Google Cloud Console の [組織のポリシー] ページに移動します。
[組織のポリシー] に移動 - [組織のポリシー] ページの、[名前] 列で、許可された API とサービスの定義ポリシーを選択して、[ポリシーの概要] パネルを開きます。
- [ポリシーの概要] パネルで、次の API が拒否されていないことを確認します:
dns.googleapis.com
compute.googleapis.com
- 変更する必要がある場合は、[編集] を選択してポリシーを更新し、[保存] をクリックします。
gcloud
次の gcloud CLI コマンドを実行します。
gcloud resource-manager org-policies describe
コマンドについて学習します。gcloud resource-manager org-policies describe constraints/serviceuser.services \ --organization=ORGANIZATION_ID
describe
コマンドでdns.googleapis.com
またはcompute.googleapis.com
が許可されていないことが表示された場合は、次のコマンドを実行して許可してください。gcloud resource-manager org-policies allow
コマンドについて学習します。gcloud resource-manager org-policies allow constraints/serviceuser.services API_NAME \ --organization=ORGANIZATION_ID
Restrict VPC peering usage
組織ポリシー
このリスト型制約は、特定のリソースに属する VPC ネットワークとピアリングできる一連の VPC ネットワークを定義します。ピアリングが拒否された場合、リソースを作成、更新、または削除しようとすると、エラーが発生します。Restrict VPC peering usage
組織のポリシーを表示して更新する方法をご覧ください。
Google Cloud からオンプレミス リソースを解決できません
Google Cloud からオンプレミス リソースを解決できない場合は、DNS 構成の変更が必要になることがあります。詳しくは、VPC ネットワーク内の非マネージド Microsoft AD オブジェクトのクエリを解決するように DNS 転送を構成する方法をご覧ください。
断続的な DNS ルックアップ エラー
Cloud Interconnect または複数の VPN に高可用性スキームを使用しているときに、断続的な DNS ルックアップエラーが発生する場合は、次の構成を確認する必要があります。
- 35.199.192.0/19 へのルートが存在する
- オンプレミス ネットワークでは、すべての Cloud Interconnect 接続または VPN トンネルで 35.199.192.0/19 からのトラフィックが許可されます。
委任された管理者アカウントのパスワードの有効期限が切れています
委任された管理者アカウントのパスワードが期限切れになった場合は、パスワードを再設定できます。委任された管理者アカウントのパスワードを再設定するために必要な権限があることを確認します。必要に応じて、アカウントのパスワードの有効期限を無効にすることもできます。
マネージド Microsoft AD の監査ログを表示できない
ログビューアまたはログ エクスプローラでマネージド Microsoft AD の監査ログを表示できない場合は、次の構成を確認する必要があります。
- ドメインでロギングが有効になっている。
- ドメインが配置されているプロジェクトに対する
roles/logging.viewer
IAM ロールを付与されている。