Lo strumento di diagnostica di Active Directory (AD) è uno script PowerShell di utilità che ti aiuta a risolvere i problemi di configurazione di AD con il tuo dominio on-premise e le istanze Cloud SQL per SQL Server in Google Cloud.
Lo strumento esegue vari controlli per rilevare problemi come porte chiuse, ricerche FQDN e problemi DNS. Viene eseguito su una VM Windows on-premise che è uno dei controller di dominio per il tuo dominio on-premise.
Questa pagina descrive come utilizzare lo strumento di diagnostica di Active Directory per Cloud SQL e spiega i controlli eseguiti dallo strumento.
Prerequisiti
Prima di procedere all'utilizzo dello strumento di diagnostica annunci, assicurati di aver configurato i seguenti componenti:
- Un dominio on-premise abilitato per AD.
- Un dominio Managed AD nella console Google Cloud .
- Un'istanza Cloud SQL per SQL Server unita al dominio Managed AD.
Come utilizzare lo strumento Diagnosi annunci
Per utilizzare lo strumento Diagnosi annunci, segui questi passaggi:
- Accedi a uno qualsiasi dei controller di dominio on-premise o a una VM unita al dominio on-premise.
- Scarica lo
diagnose_ad.ps1script sulla VM. - Avvia PowerShell come amministratore.
Esegui lo script
diagnose_ad.ps1nella finestra di PowerShell utilizzando il seguente comando:powershell -command "& { . C:\\<var>SCRIPT_PATH</var>\\diagnose_ad.ps1; Run-Tool }"Inserisci le seguenti informazioni quando richiesto:
- Nome di dominio on-premise, ad esempio
my-onprem-domain.com - Nome di dominio AD gestito, ad esempio
my-ad-domain.com - Elenco dei FQDN di SQL Server Active Directory e degli indirizzi IP privati. Questo elenco è disponibile nella console Google Cloud nella pagina Panoramica dell'istanza.
- Nome di dominio on-premise, ad esempio
Lo strumento esegue quindi una serie di controlli, come descritto in Controlli eseguiti dallo strumento di diagnostica AD.
Controlli eseguiti dallo strumento di diagnostica AD
| Controllo | Descrizione | Note e consigli |
|---|---|---|
| Controller di dominio disponibili | Esegue il ping dell'indirizzo IP di ogni domain controller nel dominio on-premise per assicurarsi che siano raggiungibili. | I controlli rimanenti vengono eseguiti sugli indirizzi IP raggiungibili. In caso di esito negativo di questo controllo, assicurati che la connettività di rete ai rimanenti domain controller on-premise sia attiva. Per saperne di più, consulta Creazione dell'infrastruttura di rete. |
| Porte | Verifica che tutte le porte TCP e UDP richieste per AD siano aperte su tutti i controller di dominio on-premise. | Questo controllo restituisce uno stato di avviso per l'intervallo di porte RPC (49152-65535) perché non dispone di un elenco coerente di porte aperte. Ti consigliamo di verificare che esista una regola firewall impostata per consentire questo intervallo. Per saperne di più, consulta Apertura delle porte del firewall |
| Server DNS | Verifica la presenza di una configurazione di AD integra e tollerante agli errori. | Questo controllo restituisce un avviso se lo script non viene eseguito su un controller di dominio on-premise. Ti consigliamo di eseguire il deployment di una configurazione AD tollerante agli errori impostando server DNS primari e secondari. |
| FQDN (dominio AD gestito) | Esegue un nslookup per il nome di dominio Managed AD che fornisci. | Questo controllo verifica se il dominio Managed AD è raggiungibile dal controller di dominio on-premise. In caso di errore, prova a stabilire la connettività di rete tra la tua rete on-premise e la tua rete Virtual Private Cloud (VPC) di Google Cloud. Per saperne di più, consulta Stabilire la connettività di rete. |
| FQDN (SQL Server) | Esegue un nslookup per i nomi di dominio completi (FQDN) di SQL Server che fornisci. | Questo controllo verifica se la tua istanza è raggiungibile dal controller di dominio on-premise. In caso di errore, prova a stabilire la connettività di rete tra la tua rete on-premise e la tua rete Virtual Private Cloud (VPC) di Google Cloud. Per saperne di più, consulta Stabilire la connettività di rete. |
| Replica del data center | Cerca eventuali errori di replica di AD tra i controller di dominio on-premise. | Se lo script viene eseguito su una VM unita a un dominio on-premise, lo stato sarà Failed se Powershell non viene eseguito come utente del dominio Active Directory. In caso di esito negativo di questo controllo, segui i passaggi descritti in Testare l'installazione. |
| Forwarding DNS | Cerca la configurazione dell'inoltro DNS condizionale sui controller di dominio on-premise, che è necessaria per instradare le richieste dai controller di dominio on-premise ai controller di dominio Managed AD. | Questo controllo può non riuscire se lo script non viene eseguito su un controller di dominio on-premise. Ti consigliamo di configurare i server di forwarding condizionale DNS. |
| Configurazione dell'attendibilità | Verifica che il trust AD sia configurato tra il dominio on-premise e il dominio Managed AD. | Questo controllo verifica che il trust AD sia configurato tra il dominio AD on-premise e quello gestito. Ti consigliamo di creare una relazione di trust tra il tuo dominio on-premise e il tuo dominio Managed Microsoft AD. Per saperne di più, vedi Configurazione dell'attendibilità |
| Criterio di sicurezza locale |
Verifica che la configurazione del criterio di sicurezza locale
Network access: Named pipes that can be accessed anonymously sia stata impostata.
Questo controllo è necessario per creare una relazione di trust AD.
|
È previsto che questo controllo non venga superato se lo script non viene eseguito su un controller di dominio on-premise. Questo controllo richiede l'esecuzione di PowerShell come amministratore per verificare le impostazioni dei criteri di sicurezza locali. In caso di errore, ti consigliamo di verificare il criterio di sicurezza locale per il tuo dominio on-premise. |
| Routing del suffisso del nome | Verifica se il routing del suffisso del nome al dominio Managed AD è abilitato sul domain controller on-premise. Questo controllo è necessario per indirizzare le richieste da una foresta on-premise alla foresta Managed AD. | Questo controllo richiede l'esecuzione di PowerShell come amministratore per verificare le impostazioni di routing del suffisso del nome. In caso di errore, ti consigliamo di aggiornare il routing del suffisso del nome per l'attendibilità on-premise. |
| Ticket Kerberos per il dominio on-premise | Verifica che l'autenticazione Kerberos sia abilitata nel dominio on-premise. Cerca un ticket Kerberos esistente per il dominio on-premise. Se non viene trovato, tenta di generare un nuovo ticket. | Questo controllo tenta di trovare un ticket Kerberos esistente per il controller di dominio on-premise. Se non riesce, tenta di generare un nuovo ticket come forma di convalida. Gli errori in altri controlli possono causare un errore in questo controllo. Se risolvi gli errori per gli altri controlli, dovrebbe essere risolto anche l'errore per questo controllo. |
| Ticket Kerberos per SQL Server |
Verifica che l'autenticazione Kerberos sia abilitata
sul dominio on-premise. Cerca un ticket Kerberos esistente per ogni nome entità servizio (SPN) SQL
Server che fornisci. L'SPN per SQL Server è
MSSQLSvc/{SQL Server FQDN}:1433. Se il recupero di un ticket per l'SPN non va a buon fine,
Cloud SQL controlla se
è impostato il valore del registro di Windows per consentire l'IP nei nomi host. Se è impostato, prova a ottenere un ticket con SPN
MSSQLSvc/{SQL Server IP}:1433.Per saperne di più, consulta la documentazione di Microsoft. |
Questo controllo tenta di trovare un ticket Kerberos esistente per SQL Server. Se non riesce, tenta di generare un nuovo ticket come forma di convalida. Gli errori in altri controlli possono causare un errore in questo controllo. La risoluzione degli errori per gli altri controlli dovrebbe risolvere un errore per questo controllo. |
Passaggi successivi
- Per condividere il tuo feedback, puoi utilizzare GitHub Issues.