Cloud SQL용 Active Directory 진단 도구

Active Directory(AD) 진단 도구는 Google Cloud의 온프레미스 도메인 및 SQL 서버용 Cloud SQL 인스턴스에서 AD 설정 문제를 해결하는 데 도움이 되는 유틸리티 PowerShell 스크립트입니다.

이 도구는 닫힌 포트, FQDN 조회, DNS 문제와 같은 다양한 문제의 검사를 수행하며, 온프레미스 도메인의 도메인 컨트롤러 중 하나인 온프레미스 Windows VM에서 실행됩니다.

이 페이지에서는 Cloud SQL용 Active Directory 진단 도구를 사용하는 방법과 이 도구가 수행하는 검사에 대해 설명합니다.

기본 요건

AD 진단 도구를 사용하려면 먼저 다음 구성요소가 설정되어 있어야 합니다.

  • AD가 사용 설정된 온프레미스 도메인
  • Google Cloud 콘솔의 관리형 AD 도메인
  • 관리형 AD 도메인에 조인된 SQL Server용 Cloud SQL 인스턴스

AD 진단 도구 사용 방법

AD 진단 도구를 사용하려면 다음 단계를 수행하세요.

  1. 온프레미스 도메인 컨트롤러 중 하나 또는 온프레미스 도메인에 가입된 VM에 로그인합니다.
  2. VM에 diagnose_ad.ps1 스크립트를 다운로드합니다.
  3. 관리자 권한으로 PowerShell을 실행합니다.
  4. 다음 명령어를 사용하여 Powershell 창에서 diagnose_ad.ps1 스크립트를 실행하세요.

    powershell -command "& { . C:\\<var>SCRIPT_PATH</var>\\diagnose_ad.ps1; Run-Tool }"
    
  5. 메시지가 표시되면 다음 정보를 입력합니다.

    • 온프레미스 도메인 이름(예: my-onprem-domain.com)
    • 관리형 AD 도메인 이름(예: my-ad-domain.com)
    • SQL Server Active Directory FQDN 및 비공개 IP 주소 목록. 이 목록은 Google Cloud 콘솔의 인스턴스 개요 페이지에서 얻을 수 있습니다.

그러면 AD 진단 도구는 AD 진단 도구에서 수행하는 검사에 설명된 대로 여러 검사를 수행합니다.

AD 진단 도구로 수행하는 검사

확인설명 메모 및 권장사항
사용 가능한 도메인 컨트롤러 온프레미스 도메인의 각 도메인 컨트롤러의 IP 주소에 핑을 보내 도달할 수 있는지 확인합니다. 나머지 검사는 연결 가능한 IP 주소에서 진행됩니다. 이 검사가 실패할 경우 나머지 온프레미스 도메인 컨트롤러에 대한 네트워크 연결을 확인하세요. 자세한 내용은 네트워크 인프라 만들기를 참조하세요.
포트 모든 온프레미스 도메인 컨트롤러에서 AD에 필요한 모든 TCP 및 UDP 포트가 열려 있는지 확인합니다. 이 검사는 열린 포트 목록에 일관성이 없으면 RPC 포트 범위(49152-65535)에 대한 경고 상태를 반환합니다. 이 범위를 허용하는 방화벽 규칙이 설정되어 있는지 확인하는 것이 좋습니다. 자세한 내용은 방화벽 포트 열기를 참조하세요.
DNS 서버 AD와 정상 상태의 내결함성이 있는지 검사합니다. 이 검사는 스크립트가 온프레미스 도메인 컨트롤러에서 실행되지 않으면 경고를 반환합니다. 기본 및 보조 DNS 서버를 설정하여 내결함성 AD 설정을 배포하는 것이 좋습니다.
FQDN(관리형 AD 도메인) 제공한 관리형 AD 도메인 이름에 대해 nslookup을 실행합니다. 이 검사는 관리형 AD 도메인에 온프레미스 도메인 컨트롤러에서 연결할 수 있는지 확인합니다. 장애가 발생하면 온프레미스 네트워크와 Google Cloud Virtual Private Cloud(VPC) 간에 네트워크 연결을 설정해 보세요. 자세한 내용은 네트워크 연결 설정을 참조하세요.
FQDN(SQL Server) 제공된 SQL Server FQDN에 대해 nslookup을 실행합니다. 이 검사는 온프레미스 도메인 컨트롤러에서 인스턴스에 연결할 수 있는지 확인합니다. 장애가 발생하면 온프레미스 네트워크와 Google Cloud Virtual Private Cloud(VPC) 간에 네트워크 연결을 설정해 보세요. 자세한 내용은 네트워크 연결 설정을 참조하세요.
DC 복제 온프레미스 도메인 컨트롤러 간에 AD 복제 실패가 있는지 확인합니다. 스크립트가 온프레미스 도메인에 조인된 VM에서 실행되는 경우 Powershell이 Active Directory 도메인 사용자로 실행되지 않으면 실패 상태가 예상됩니다. 이 검사가 실패하면 설치 테스트에 설명된 단계를 따르세요.
DNS 전달 온프레미스 도메인 컨트롤러에서 온프레미스 도메인 컨트롤러의 요청을 관리형 AD 도메인 컨트롤러로 라우팅하는 데 필요한 조건부 DNS 전달 설정을 찾습니다. 스크립트가 온프레미스 도메인 컨트롤러에서 실행되지 않으면 이 검사가 실패할 수 있습니다. DNS 조건부 전달자를 구성하는 것이 좋습니다.
트러스트 설정 온프레미스 도메인과 관리형 AD 도메인 간에 AD 트러스트가 설정되어 있는지 확인합니다. 이 검사는 온프레미스와 관리형 AD 도메인 간에 AD 트러스트가 설정되어 있는지 확인합니다. 온프레미스 도메인과 관리형 Microsoft AD 도메인 간에 트러스트를 만드는 것이 좋습니다. 자세한 내용은 트러스트 설정을 참조하세요.
로컬 보안 정책 로컬 보안 정책 구성 Network access: Named pipes that can be accessed anonymously가 설정되었는지 검사합니다. AD 트러스트를 만들려면 이 검사가 필요합니다. 스크립트가 온프레미스 도메인 컨트롤러에서 실행되지 않으면 이 검사가 실패합니다. 이 검사를 위해서는 Powershell을 관리자 권한으로 실행하여 로컬 보안 정책 설정을 확인해야 합니다. 장애가 발생할 경우 온프레미스 도메인의 로컬 보안 정책을 확인하는 것이 좋습니다.
이름 접미사 라우팅 온프레미스 도메인 컨트롤러에서 관리형 AD 도메인으로 이름 서픽스 라우팅이 사용 설정되었는지 검사합니다. 온프레미스 포리스트에서 관리형 AD 포리스트로 요청을 라우팅하려면 이 검사가 필요합니다. 이 검사를 위해서는 Powershell을 관리자 권한으로 실행하여 이름 서픽스 라우팅 설정을 확인해야 합니다. 장애가 발생할 경우 온프레미스 트러스트를 위한 이름 서픽스 라우팅을 새로고침하는 것이 좋습니다.
온프레미스 도메인의 Kerberos 티켓 온프레미스 도메인에서 Kerberos 인증이 사용 설정되어 있는지 확인합니다. 이 검사에서는 온프레미스 도메인에 대해 기존 Kerberos 티켓을 찾습니다. 찾을 수 없는 경우 새 티켓을 생성하려고 시도합니다. 이 검사는 온프레미스 DC의 기존 Kerberos 티켓을 찾으려고 시도합니다. 이 작업이 실패하면 검증의 한 형태로 새 티켓을 생성하려고 시도합니다. 다른 검사에서 오류가 발생하면 이 검사에서 오류가 발생할 수 있습니다. 다른 검사의 실패를 해결하면 이 검사의 실패도 해결됩니다.
SQL Server용 Kerberos 티켓 온프레미스 도메인에서 Kerberos 인증이 사용 설정되어 있는지 확인합니다. 제공한 SQL Server 서비스 기본 이름(SPN)마다 기존 Kerberos 티켓을 찾습니다. SQL Server의 SPN은 MSSQLSvc/{SQL Server FQDN}:1433입니다. SPN 티켓을 가져오는 데 실패하면 Cloud SQL은 호스트 이름에서 IP를 허용하는 Windows 레지스트리 값이 설정되어 있는지 확인합니다. 설정된 경우 SPN MSSQLSvc/{SQL Server IP}:1433로 티켓을 가져옵니다.
자세한 내용은 Microsoft 문서를 참조하세요.
이 검사는 SQL Server에 대한 기존 Kerberos 티켓을 찾습니다. 이 작업이 실패하면 검증의 한 형태로 새 티켓을 생성하려고 시도합니다. 다른 검사에서 오류가 발생하면 이 검사에서 오류가 발생할 수 있습니다. 다른 검사의 실패를 해결하면 이 검사의 실패도 해결됩니다.

다음 단계