Strumento di diagnostica Active Directory per Cloud SQL

Lo strumento di diagnostica di Active Directory (AD) è uno script PowerShell di utilità che consente di risolvere i problemi di configurazione di AD con il dominio on-premise e le istanze Cloud SQL per SQL Server in Google Cloud.

Lo strumento esegue vari controlli per rilevare problemi, ad esempio porte chiuse, ricerche FQDN e problemi DNS. Viene eseguito su una VM Windows on-premise che è uno dei controller di dominio per il tuo dominio on-premise.

Questa pagina descrive come utilizzare lo strumento di diagnostica Active Directory per Cloud SQL e spiega i controlli eseguiti dallo strumento.

Prerequisiti

Prima di procedere con l'utilizzo dello strumento di diagnosi degli annunci, assicurati di aver configurato i seguenti componenti:

  • Un dominio on-premise con AD abilitato.
  • Un dominio AD gestito nella console Google Cloud.
  • Un'istanza Cloud SQL per SQL Server unita al dominio AD gestito.

Come utilizzare lo strumento di diagnosi degli annunci

Per utilizzare lo strumento di diagnosi degli annunci, svolgi i seguenti passaggi:

  1. Accedi a uno dei controller di dominio on-premise o a una VM collegata al dominio on-premise.
  2. Scarica lo script diagnose_ad.ps1 sulla VM.
  3. Avvia PowerShell come amministratore.
  4. Esegui lo script diagnose_ad.ps1 nella finestra di PowerShell utilizzando il seguente comando:

    powershell -command "& { . C:\\<var>SCRIPT_PATH</var>\\diagnose_ad.ps1; Run-Tool }"
    
  5. Inserisci le seguenti informazioni quando richiesto:

    • Nome di dominio on-premise, ad esempio my-onprem-domain.com
    • Nome di dominio AD gestito, ad esempio my-ad-domain.com
    • Elenco di FQDN Active Directory di SQL Server e indirizzi IP privati. Questo elenco è disponibile nella console Google Cloud nella pagina Panoramica dell'istanza.

Lo strumento esegue quindi una serie di controlli, come descritto in Controlli eseguiti dallo strumento di diagnosi degli annunci.

Controlli eseguiti dallo strumento di diagnosi AD

ControlloDescrizione Note e consigli
Controller di dominio disponibili Invia un ping all'indirizzo IP di ogni controller di dominio nel dominio on-premise per assicurarti che siano raggiungibili. I controlli rimanenti vengono eseguiti sugli indirizzi IP raggiungibili. In caso di esito negativo di questo controllo, assicurati la connettività di rete ai restanti domain controller on-premise. Per scoprire di più, consulta la sezione Creazione dell'infrastruttura di rete.
Porte Verifica che tutte le porte TCP e UDP richieste per AD siano aperte su tutti i controller di dominio on-premise. Questo controllo restituisce uno stato di avviso per l'intervallo di porte RPC (49152-65535) perché non dispone di un elenco coerente di porte aperte. Ti consigliamo di verificare che sia impostata una regola firewall per consentire questo intervallo. Per saperne di più, consulta Aprire le porte del firewall
Server DNS Controlla la presenza di una configurazione AD sana e tollerante agli errori. Questo controllo restituisce un avviso se lo script non viene eseguito su un controller di dominio on-premise. Ti consigliamo di eseguire il deployment della configurazione AD tollerante ai guasti impostando i server DNS principali e secondari.
FQDN (dominio AD gestito) Esegue un nslookup per il nome di dominio AD gestito che fornisci. Questo controllo verifica se il dominio AD gestito è raggiungibile dal controller del dominio on-premise. In caso di errore, prova a stabilire la connettività di rete tra la tua rete on-premise e la tua rete VPC (Virtual Private Cloud) di Google Cloud. Per saperne di più, consulta Stabilire la connettività di rete.
FQDN (SQL Server) Esegue un nslookup per i FQDN di SQL Server che fornisci. Questo controllo verifica se l'istanza è raggiungibile dal controller di dominio on-premise. In caso di errore, prova a stabilire la connettività di rete tra la tua rete on-premise e la tua rete VPC (Virtual Private Cloud) di Google Cloud. Per scoprire di più, consulta Stabilire la connettività di rete.
Replica del data center Cerca eventuali errori di replica AD tra i controller di dominio on-premise. Se lo script viene eseguito su una VM associata a un dominio on-premise, attendi uno stato di errore se Powershell non viene eseguito come utente di dominio Active Directory. In caso di esito negativo di questo controllo, segui i passaggi descritti in Testare l'installazione.
Forwarding DNS Cerca la configurazione dell'inoltro DNS condizionale sui controller del dominio on-premise, che è necessaria per inoltrare le richieste dai controller del dominio on-premise ai controller del dominio AD gestiti. Questo controllo può non riuscire se lo script non viene eseguito su un controller di dominio on-premise. Ti consigliamo di configurare i server di forwarding condizionale DNS.
Configurazione dell'attendibilità Verifica che il trust AD sia configurato tra il dominio on-premise e il dominio AD gestito. Questo controllo verifica che il trust AD sia configurato tra il dominio AD on-premise e il dominio AD gestito. Ti consigliamo di creare un'associazione tra il tuo dominio on-premise e il tuo dominio Microsoft AD gestito. Per scoprire di più, consulta Configurare la relazione di attendibilità
Criterio di sicurezza locale Verifica che la configurazione del criterio di sicurezza locale Network access: Named pipes that can be accessed anonymously sia stata impostata. Questo controllo è necessario per creare un'attendibilità AD. Questo controllo dovrebbe non riuscire se lo script non viene eseguito su un controller di dominio on-premise. Questo controllo richiede di eseguire PowerShell come amministratore per controllare le impostazioni dei criteri di sicurezza locali. In caso di errore, ti consigliamo di verificare il criterio di sicurezza locale per il tuo dominio on-premise.
Routing dei suffissi dei nomi Controlla se il routing dei suffissi dei nomi al dominio AD gestito è abilitato sul controller del dominio on-premise. Questo controllo è necessario per inoltrare le richieste da una foresta on-premise alla foresta AD gestita. Per eseguire questo controllo, devi eseguire PowerShell come amministratore per controllare le impostazioni di routing del suffisso del nome. In caso di errore, ti consigliamo di aggiornare il routing del suffisso del nome per la attendibilità on-premise.
Richiesta di Kerberos per il dominio on-premise Verifica che l'autenticazione Kerberos sia attivata nel dominio on-premise. Cerca un ticket Kerberos esistente per il dominio on-premise. In caso contrario, tenta di generare un nuovo ticket. Questo controllo tenta di trovare un ticket Kerberos esistente per il DC on-premise. Se non riesce, tenta di generare un nuovo ticket come forma di convalida. Errori in altri controlli possono causare un errore in questo controllo. Se risolvi gli errori per gli altri controlli, dovrebbe essere risolto anche l'errore per questo controllo.
Richiesta Kerberos per SQL Server Verifica che l'autenticazione Kerberos sia abilitata sul dominio on-premise. Cerca un ticket Kerberos esistente per ogni nome entità servizio (SPN) del server SQL fornito. L'SPN per SQL Server è MSSQLSvc/{SQL Server FQDN}:1433. Se non riesci a ottenere un ticket per l'SPN, Cloud SQL controlla se il valore del registro di Windows per l'autorizzazione dell'IP negli hostname è impostato. Se è impostato, prova a richiedere un ticket con SPN MSSQLSvc/{SQL Server IP}:1433.
Per scoprire di più, consulta la documentazione di Microsoft.
Questo controllo tenta di trovare un ticket Kerberos esistente per SQL Server. Se non riesce, tenta di generare un nuovo ticket come forma di convalida. Errori in altri controlli possono causare un errore in questo controllo. La risoluzione degli errori per gli altri controlli dovrebbe risolvere un errore per questo controllo.

Passaggi successivi

  • Per condividere il tuo feedback, puoi utilizzare GitHub Issues.