本頁面提供疑難排解和解決 Managed Service for Microsoft Active Directory 常見問題的訣竅和方法。
無法建立 Managed Microsoft AD 網域
如果無法建立 Managed Microsoft AD 網域,請驗證下列設定。
必要 API
受管理的 Microsoft AD 會要求您先啟用一組 API,才能建立網域。
如要確認已啟用必要的 API,請完成下列步驟:
主控台
- 前往Google Cloud 控制台的「API 和服務」頁面。
前往「API 和服務」頁面 在「資訊主頁」頁面上,確認系統已列出下列 API:
- Microsoft Active Directory API 適用的代管服務
- Compute Engine API
- Cloud DNS API
gcloud
執行下列 gcloud CLI 指令:
gcloud services list --available
這個指令會傳回已啟用的 API 清單。確認下列 API 已列出:
- Microsoft Active Directory API 適用的代管服務
- Compute Engine API
- Cloud DNS API
如果缺少任何這些 API,請完成下列步驟來啟用這些 API:
主控台
- 前往Google Cloud 控制台的「API 程式庫」頁面。
前往「API 程式庫」 - 在「API Library」頁面的搜尋欄位中,輸入缺少的 API 名稱。
- 在 API 資訊頁面中,按一下「啟用」。
gcloud
執行下列 gcloud CLI 指令:
gcloud services enable API_NAME
將 API_NAME 替換為缺少的 API 名稱。
重複執行這個程序,直到所有必要的 API 都已啟用為止。
帳單
您必須先啟用帳單功能,才能建立 Managed Microsoft AD 網域。
如要確認已啟用帳單功能,請完成下列步驟:
主控台
gcloud
執行下列 gcloud CLI 指令:
gcloud billing projects describe PROJECT_ID
如果您沒有看到與專案連結的有效帳單帳戶,請啟用計費功能。
IP 位址範圍
如果您在嘗試建立網域時收到 IP range overlap 錯誤,表示您在網域建立要求中提供的保留 IP 位址範圍,與授權網路的 IP 位址範圍重疊。如要解決這個問題,請選擇其他 IP 位址範圍或其他授權網路。詳情請參閱「選取 IP 位址範圍」。
權限
如果您在嘗試建立網域時收到 Permission denied 錯誤,請確認呼叫身分是否允許呼叫 Managed Microsoft AD API。進一步瞭解受管理的 Microsoft AD 角色和權限。
組織政策
機構政策設定可能會導致網域建立作業失敗。舉例來說,您可以設定機構政策,只允許存取特定服務 (例如 GKE 或 Compute Engine)。進一步瞭解機構政策限制。
請具備組織政策管理員 (roles/orgpolicy.policyAdmin) IAM 角色的管理員更新必要的組織政策。
Resource Location Restriction 機構政策
這項清單限制定義了可在其中建立位置式Google Cloud 資源的位置組合。拒絕 global 位置資訊可能會影響 Managed Microsoft AD。
如要查看及更新 Resource Location Restriction 組織政策,請按照下列步驟操作:
主控台
- 前往 Google Cloud 主控台的「Organization policies」(機構政策) 頁面。
前往「機構政策」 - 在「機構政策」頁面的「名稱」欄中,選取「Resource Location Restriction」政策,即可開啟「Policy summary」面板。
- 在「Policy summary」面板中,確認系統是否允許
global位置。 - 如需變更,請選取「編輯」,更新政策,然後按一下「儲存」。
瞭解如何限制資源位置。
gcloud
如要查看
Resource Location Restriction組織政策的詳細資料,請執行下列 gcloud CLI 指令。瞭解gcloud resource-manager org-policies describe指令。gcloud resource-manager org-policies describe constraints/gcp.resourceLocations \ --organization=ORGANIZATION_ID如果
describe指令顯示global不允許,請執行下列指令允許。瞭解gcloud resource-manager org-policies allow指令。gcloud resource-manager org-policies allow constraints/gcp.resourceLocations global \ --organization=ORGANIZATION_ID
瞭解如何限制資源位置。
Restrict VPC peering usage 機構政策
這項清單限制定義了一組虛擬私有雲網路組合,可與屬於特定資源的虛擬私有雲網路對等互連。為 Managed Microsoft AD 網域指定授權網路時,系統會在授權網路與包含 AD 網域控制站的隔離網路之間建立虛擬私有雲對等互連。如果專案的機構政策拒絕對等互連,Managed Microsoft AD 就無法建立任何對等互連至授權網路,因此無法建立網域。您會收到類似下列的錯誤訊息:
GCE_PRECONDITION_FAILED: Constraint constraints /compute.restrictVpcPeering violated for project PROJECT_ID. Peering the network projects/PROJECT_ID/global/networks/VPC_NETWORK_NAME is not allowed.
如要查看及更新 Restrict VPC peering usage 組織政策,請按照下列步驟操作:
主控台
- 前往 Google Cloud 主控台的「Organization policies」(機構政策) 頁面。
前往「機構政策」 - 在「Organization policies」頁面的「Name」欄中,選取「Restrict VPC peering usage」政策,即可開啟「Policy summary」面板。
- 在「政策摘要」面板中,確認專案允許 peering。
- 如需變更,請選取「編輯」,更新政策,然後按一下「儲存」。
gcloud
如要查看
Restrict VPC peering usage組織政策的詳細資料,請執行下列 gcloud CLI 指令。瞭解gcloud resource-manager org-policies describe指令。gcloud resource-manager org-policies describe constraints/compute.restrictVpcPeering \ --organization=ORGANIZATION_ID如果
describe指令顯示不允許 peering,請執行下列指令允許 peering。瞭解gcloud resource-manager org-policies allow指令。gcloud resource-manager org-policies allow constraints/compute.restrictVpcPeering under:projects/PROJECT_ID \ --organization=ORGANIZATION_ID更改下列內容:
PROJECT_ID:包含 Managed Microsoft AD 資源的專案名稱。ORGANIZATION_ID:代管該專案的機構 ID。
無法自動將 Windows VM 加入網域
以下是嘗試自動將 Windows VM 或 GKE Windows Server 節點加入網域時,可能會遇到的錯誤代碼問題:
| 錯誤代碼 | 說明 | 可能的解決方案 |
|---|---|---|
CONFLICT (409) |
表示 VM 執行個體帳戶已在受管理的 Microsoft AD 網域中存在。 | 請使用 RSAT 工具,從受管理的 Microsoft AD 中手動移除帳戶,然後再試一次。如要進一步瞭解如何在受管理的 Microsoft AD 中管理 AD 物件,請參閱「管理 Active Directory 物件」。 |
BAD_REQUEST (412) |
表示網域加入要求包含無效的資訊,例如不正確的網域名稱和機構單位 (OU) 階層結構。 | 請查看資訊,視需要更新詳細資料,然後再試一次。 |
INTERNAL (500) |
表示伺服器發生不明的內部錯誤。 | 如要解決這個問題,請與支援團隊 Google Cloud 聯絡。 |
FORBIDDEN (403) |
表示指定的服務帳戶沒有必要權限。 | 請檢查您是否具備服務帳戶的必要權限,然後再試一次。 |
UNAUTHORIZED (401) |
表示 VM 缺少加入網域的有效授權。 | 請檢查您是否具備虛擬機器的必要存取權範圍,然後再試一次。 |
無法手動將 VM 加入網域
如果無法從內部環境手動加入機器至 Managed Microsoft AD 網域,請確認是否符合下列要求:
您嘗試加入的機器可透過受管理的 Microsoft AD 偵測到。如要驗證這項連線,請使用
nslookup指令,從內部部署環境執行 DNS 查詢,連線至 Managed Microsoft AD 網域。裝置所在的內部部署網路必須與 Managed Microsoft AD 網域的虛擬私人雲端網路對等。如要瞭解如何排解 VPC 網路對等互連連線問題,請參閱疑難排解。
無法將共用虛擬私有雲用作授權網路
如要從共用虛擬私有雲網路存取 Managed Microsoft AD 網域,必須在代管共用虛擬私有雲網路的專案中建立網域。
無法存取 Managed Microsoft AD 網域
如果 Managed Microsoft AD 網域似乎無法使用,您可以完成下列步驟,進一步瞭解其狀態:
主控台
前往 Google Cloud 控制台的 Managed Service for Microsoft Active Directory 頁面。
前往 Managed Service for Microsoft Active Directory
您可以在「Managed Service for Microsoft Active Directory」頁面的「狀態」欄中,查看網域的狀態。
gcloud
執行下列 gcloud CLI 指令:
gcloud active-directory domains list
這個指令會傳回網域的狀態。
如果您的網域狀態為 DOWN,表示您的帳戶可能已遭到停權。如要解決這個問題,請與支援團隊聯絡 Google Cloud 。
如果您的網域狀態為 PERFORMING_MAINTENANCE,Managed Microsoft AD 仍可供使用,但可能無法執行擴充結構定義、新增或移除區域等作業。這個狀態很少發生,只有在作業系統修補時才會發生。
無法建立信任
如果您按照建立信任關係的步驟操作,但無法完成程序,請確認下列設定是否正確。
可連線至內部部署網域
如要確認 Managed Microsoft AD 網域是否可從內部網域存取,您可以使用 ping 或 Test-NetConnection。請在 Google Cloud 上代管的 VM 和已授權網路中執行這些指令。確認 VM 可以連線至內部網域控制器。進一步瞭解 Test-NetConnection。
IP 位址
如要確認在信任設定期間提供的 IP 位址是否能解析內部網域,請執行下列指令:
nslookup ON_PREMISES_DOMAIN_NAME CONDITIONAL_FORWARDER_ADDRESS
更改下列內容:
ON_PREMISES_DOMAIN_NAME:內部部署網域的名稱。CONDITIONAL_FORWARDER_ADDRESS:DNS 條件式轉寄站的 IP 位址。
如果有多個條件轉送器地址,您可以針對其中任何一個進行測試。
進一步瞭解 nslookup。
內部部署信任關係
如要確認已建立內部信任關係,請檢查下列資訊是否相符。
- Managed Microsoft AD 網域的信任類型和方向,可補足在內部部署網域上建立的信任關係。
- 在 Managed Microsoft AD 網域上建立信任關係時提供的信任密鑰,必須與在內部部署網域中輸入的密鑰相符。
本機信任方向可補足 Managed Microsoft AD 上設定的信任方向。也就是說,如果內部部署的網域需要傳入信任關係,則 Managed Microsoft AD 網域的信任方向為傳出。進一步瞭解信任指引。
信任機制無法運作
如果先前建立的信任關係不再運作,請確認設定是否與建立信任關係時的疑難排解相同。
此外,如果信任關係已超過 60 天未使用,信任密碼就會到期。如要重新整理密碼,請變更內部部署網域的信任關係密碼,然後更新受管理 Microsoft AD 網域的密碼。
Active Directory 驗證失敗 (Managed Microsoft AD 代管帳戶)
如果使用受管理的 Microsoft AD 代管帳戶時,Active Directory 驗證似乎失敗,請確認下列設定。
VM 位於已授權網路
如要確認用於存取網域的 VM 位於授權網路中,請完成下列步驟。
前往 Google Cloud 控制台的 Managed Service for Microsoft Active Directory 頁面。
前往 Managed Service for Microsoft Active Directory選取您的網域名稱。
在「網域」頁面的「網路」下方,確認系統是否已列出授權網路。
使用者名稱和密碼正確
確認登入時提供的使用者名稱和密碼是否正確。
防火牆規則
針對網域控制器 IP 位址範圍的輸出 deny 防火牆規則可能會導致驗證失敗。
如要檢查防火牆規則,請完成下列步驟:
主控台
gcloud
執行下列 gcloud CLI 指令:
gcloud compute firewall-rules list
這項指令會傳回已設定的防火牆規則清單。請確認網域控制器的 IP 位址範圍沒有設定出口
deny。
進一步瞭解防火牆規則。
IP 位址
如果 IP 位址不在保留的 CIDR 範圍內,驗證可能會失敗。
如要檢查 IP 位址,請執行下列指令。
nslookup DOMAIN_NAME
如果 nslookup 失敗或傳回的 IP 位址不在 CIDR 範圍內,請確認 DNS 區是否存在。
如要驗證 DNS 區是否存在,請完成下列步驟:
主控台
前往 Google Cloud 控制台的「Cloud DNS」頁面。
前往 Cloud DNS在「Cloud DNS」頁面的「區域」分頁中,檢查授權網路的「使用中」欄。
gcloud
執行下列 gcloud CLI 指令:
gcloud dns managed-zones list --filter=FQDN
將
FQDN替換為 Managed Microsoft AD 網域的完整網域名稱。
如果授權網路未使用任何已列出的區域,請移除並重新加入授權網路。
網路對等互連
如果未正確設定 VPC 網路對等互連,驗證作業可能會失敗。
如要確認已設定對等連線,請完成下列步驟:
主控台
前往Google Cloud 控制台的「VPC 網路對等互連」頁面。
前往「VPC 網路對等互連」在「VPC network peering」(虛擬私有雲網路對等互連) 頁面的「Name」(名稱) 欄中,找出名為
peering-VPC_NETWORK_NAME的對等互連。
gcloud
執行下列 gcloud CLI 指令:
gcloud compute networks peerings list --network=VPC_NETWORK_NAME
這個指令會傳回對等項目清單。在清單中找出名為
peering-VPC_NETWORK_NAME的項目。
如果清單中沒有 peering-VPC_NETWORK_NAME,請移除並重新加入授權網路。
Active Directory 驗證失敗 (透過信任)
如果透過信任關係使用受管理的內部部署代管帳戶時,Active Directory 驗證似乎失敗,請確認設定與疑難排解建立信任關係時相同。
此外,請確認帳戶是否屬於 Cloud Service Computer Remote Desktop Users 委派群組。進一步瞭解委派群組
無法從可管理的 VM 存取網域
如果您無法從用於管理 AD 物件的 VM 存取 Managed Microsoft AD 網域,請確認設定與為 Managed Microsoft AD 代管帳戶疑難排解 Active Directory 驗證時相同。
建立、更新或刪除時發生 Org policy 錯誤
如果在建立、更新或刪除資源時遇到 org policy 錯誤,您可能需要變更機構政策。瞭解機構政策限制。
請具備機構政策管理員 (roles/orgpolicy.policyAdmin) IAM 角色的管理員更新必要的機構政策。
Define allowed APIs and services 機構政策
這項清單限制會定義可在特定資源上啟用的一組服務和 API。資源階層中的子項也會繼承限制。如果這個限制不允許 Managed Microsoft AD 所需的 API,您在嘗試建立、更新或刪除資源時,就會收到錯誤訊息。
如要查看及更新 Define allowed APIs and services 組織政策,請按照下列步驟操作:
主控台
- 前往 Google Cloud 主控台的「Organization policies」(機構政策) 頁面。
前往「機構政策」 - 在「機構政策」頁面的「名稱」欄中,選取「定義允許的 API 和服務」政策,即可開啟「政策摘要」面板。
- 在「Policy summary」面板中,確認系統並未拒絕下列 API:
dns.googleapis.comcompute.googleapis.com
- 如需變更,請選取「編輯」,更新政策,然後按一下「儲存」。
gcloud
執行下列 gcloud CLI 指令。瞭解
gcloud resource-manager org-policies describe指令。gcloud resource-manager org-policies describe constraints/serviceuser.services \ --organization=ORGANIZATION_ID如果
describe指令顯示dns.googleapis.com或compute.googleapis.com不允許,請執行下列指令允許。瞭解gcloud resource-manager org-policies allow指令。gcloud resource-manager org-policies allow constraints/serviceuser.services API_NAME \ --organization=ORGANIZATION_ID
Restrict VPC peering usage 機構政策
這項清單限制定義了一組虛擬私有雲網路組合,可與屬於特定資源的虛擬私有雲網路對等互連。如果對等連線遭到拒絕,您在嘗試建立、更新或刪除資源時,會收到錯誤訊息。瞭解如何查看及更新Restrict VPC peering usage機構政策。
無法從 Google Cloud解析內部資源
如果您無法從 Google Cloud解析內部部署資源,可能需要變更 DNS 設定。瞭解如何設定 DNS 轉送,以便在虛擬私有雲網路中解決非代管 Microsoft AD 物件的查詢。
間歇性 DNS 查詢失敗
如果您在使用 Cloud Interconnect 或多個 VPN 的高可用性配置時,發生間歇性 DNS 查詢失敗的情況,請確認下列設定:
- 已存在 35.199.192.0/19 的路徑。
- 內部部署網路會允許所有 Cloud Interconnect 連線或 VPN 通道的 35.199.192.0/19 流量。
委派的管理員帳戶密碼到期
如果委派管理員帳戶的密碼已過期,您可以重設密碼。請確認您具備必要權限,才能重設委派管理員帳戶的密碼。如有需要,您也可以為帳戶停用密碼到期功能。
無法查看 Managed Microsoft AD 稽核記錄
如果您無法在「記錄檔檢視器」或「記錄檔探索工具」中查看任何 Managed Microsoft AD 稽核記錄,請確認下列設定。
- 啟用網域記錄功能。
- 您在網域所在的專案中具備
roles/logging.viewerIAM 角色。