La herramienta de diagnóstico de Active Directory (AD) es una utilidad de PowerShell que te ayuda a solucionar problemas de configuración de AD con tu dominio local y tus instancias de Cloud SQL para SQL Server en Google Cloud.
La herramienta realiza varias comprobaciones para detectar problemas, como puertos cerrados, búsquedas de FQDN y problemas de DNS. Se ejecuta en una máquina virtual Windows local que es uno de los controladores de dominio de tu dominio local.
En esta página se describe cómo usar la herramienta de diagnóstico de Active Directory para Cloud SQL y se explican las comprobaciones que realiza la herramienta.
Requisitos previos
Asegúrate de que tienes configurados los siguientes componentes antes de usar la herramienta de diagnóstico de anuncios:
- Un dominio local con Active Directory habilitado.
- Un dominio de AD gestionado en la consola de Google Cloud .
- Una instancia de Cloud SQL para SQL Server unida al dominio de Managed AD.
Cómo usar la herramienta Diagnóstico de anuncios
Para usar la herramienta de diagnóstico de anuncios, sigue estos pasos:
- Inicia sesión en cualquiera de los controladores de dominio locales o en una máquina virtual unida al dominio local.
- Descarga la
diagnose_ad.ps1secuencia de comandos en la VM. - Inicia PowerShell como administrador.
Ejecuta la secuencia de comandos
diagnose_ad.ps1en la ventana de PowerShell con el siguiente comando:powershell -command "& { . C:\\<var>SCRIPT_PATH</var>\\diagnose_ad.ps1; Run-Tool }"Introduce la siguiente información cuando se te pida:
- Nombre de dominio local, como
my-onprem-domain.com - Nombre de dominio de AD gestionado, como
my-ad-domain.com - Lista de nombres de dominio completos (FQDNs) de Active Directory de SQL Server y direcciones IP privadas. Esta lista está disponible en la consola, en la página Descripción general de la instancia. Google Cloud
- Nombre de dominio local, como
A continuación, la herramienta realiza una serie de comprobaciones, tal como se describe en Comprobaciones realizadas por la herramienta de diagnóstico de anuncios.
Comprobaciones que realiza la herramienta de diagnóstico de anuncios
| Verificación | Descripción | Notas y recomendaciones |
|---|---|---|
| Controladores de dominio disponibles | Envía un ping a la dirección IP de cada controlador de dominio del dominio local para asegurarse de que se puede acceder a ellos. | Las comprobaciones restantes se realizan en las direcciones IP a las que se ha podido acceder. Si se produce un error en esta comprobación, asegúrate de que haya conectividad de red con los controladores de dominio locales restantes. Para obtener más información, consulta Crear la infraestructura de red. |
| Puertos | Verifica que todos los puertos TCP y UDP necesarios para AD estén abiertos en todos los controladores de dominio locales. | Esta comprobación devuelve un estado de advertencia para el intervalo de puertos RPC (49152-65535) porque no tiene una lista coherente de puertos abiertos. Te recomendamos que verifiques que hay una regla de cortafuegos definida para permitir este intervalo. Para obtener más información, consulta los siguientes artículos: Abrir puertos del cortafuegos |
| Servidor DNS | Comprueba si la configuración de AD es correcta y tolerante a fallos. | Esta comprobación devuelve una advertencia si la secuencia de comandos no se ejecuta en un controlador de dominio local. Te recomendamos que implementes una configuración de AD tolerante a fallos definiendo servidores DNS primarios y secundarios. |
| FQDN (dominio de AD gestionado) | Realiza una búsqueda nslookup del nombre de dominio de Managed AD que proporciones. | Esta comprobación valida si se puede acceder al dominio de AD gestionado desde el controlador de dominio local. En caso de fallo, intenta establecer la conectividad de red entre tu red on-premise y tu nube privada virtual (VPC) de Google Cloud. Para obtener más información, consulta Establecer la conectividad de red. |
| FQDN (SQL Server) | Realiza una búsqueda nslookup de los FQDNs de SQL Server que proporciones. | Esta comprobación valida si se puede acceder a tu instancia desde el controlador de dominio local. En caso de fallo, intenta establecer la conectividad de red entre tu red on-premise y tu nube privada virtual (VPC) de Google Cloud. Para obtener más información, consulta Establecer la conectividad de red. |
| Replicación de centros de datos | Busca errores de replicación de AD entre los controladores de dominio locales. | Si la secuencia de comandos se ejecuta en una máquina virtual unida a un dominio local, se producirá un error si Powershell no se ejecuta como usuario del dominio de Active Directory. Si esta comprobación falla, sigue los pasos que se indican en Probar la instalación. |
| Reenvío de DNS | Busca la configuración de reenvío de DNS condicional en los controladores de dominio locales, que es necesaria para enrutar las solicitudes de los controladores de dominio locales a los controladores de dominio de Managed AD. | Esta comprobación puede fallar si la secuencia de comandos no se ejecuta en un controlador de dominio local. Te recomendamos que configures reenviadores condicionales de DNS. |
| Configuración de la confianza | Verifica que la confianza de AD esté configurada entre el dominio local y el dominio de AD gestionado. | Esta comprobación verifica que la confianza de AD se haya configurado entre el dominio de AD local y el dominio de AD gestionado. Te recomendamos que crees una relación de confianza entre tu dominio local y tu dominio de Microsoft AD gestionado. Para obtener más información, consulta los siguientes artículos: Configurar la confianza |
| Política de seguridad local |
Comprueba que se haya definido la configuración de la política de seguridad local
Network access: Named pipes that can be accessed anonymously.
Esta comprobación es necesaria para crear una relación de confianza de AD.
|
Es normal que esta comprobación falle si la secuencia de comandos no se ejecuta en un controlador de dominio local. Para realizar esta comprobación, debes ejecutar PowerShell como administrador para comprobar la configuración de la política de seguridad local. Si se produce un error, te recomendamos que verifiques la política de seguridad local de tu dominio local. |
| Enrutamiento por sufijo de nombre | Comprueba si el enrutamiento de sufijos de nombres al dominio de AD gestionado está habilitado en el controlador de dominio local. Necesitas esta comprobación para enrutar las solicitudes de un bosque local al bosque de AD gestionado. | Para realizar esta comprobación, debes ejecutar PowerShell como administrador para comprobar los ajustes de enrutamiento del sufijo de nombre. En caso de fallo, te recomendamos que actualices el enrutamiento del sufijo de nombre para la confianza local. |
| Ticket de Kerberos para el dominio local | Valida que la autenticación de Kerberos esté habilitada en el dominio local. Busca un ticket de Kerberos del dominio local. Si no se encuentra, intenta generar un nuevo ticket. | Esta comprobación intenta encontrar un ticket de Kerberos del controlador de dominio local. Si falla, intenta generar un nuevo ticket como forma de validación. Los errores en otras comprobaciones pueden provocar un error en esta comprobación. Si resuelves los errores de las otras comprobaciones, también se resolverá el error de esta comprobación. |
| Ticket de Kerberos para SQL Server |
Valida que la autenticación de Kerberos esté habilitada en el dominio local. Busca un ticket de Kerberos para cada nombre principal de servicio (SPN) de SQL Server que proporciones. El SPN de SQL Server es MSSQLSvc/{SQL Server FQDN}:1433. Si no se puede obtener un ticket para el SPN, Cloud SQL comprueba si se ha definido el valor del registro de Windows para permitir IPs en nombres de host. Si se ha definido, intenta obtener un ticket con SPN
MSSQLSvc/{SQL Server IP}:1433.Para obtener más información, consulta la documentación de Microsoft. |
Esta comprobación intenta encontrar un ticket de Kerberos de SQL Server. Si falla, intenta generar un nuevo ticket como forma de validación. Los errores en otras comprobaciones pueden provocar un error en esta comprobación. Si resuelves los errores de las otras comprobaciones, también se resolverá el error de esta comprobación. |
Siguientes pasos
- Para compartir tus comentarios, puedes usar GitHub Issues.