Active Directory(AD) 진단 도구는 Google Cloud의 온프레미스 도메인 및 SQL 서버용 Cloud SQL 인스턴스에서 AD 설정 문제를 해결하는 데 도움이 되는 유틸리티 PowerShell 스크립트입니다.
이 도구는 닫힌 포트, FQDN 조회, DNS 문제와 같은 다양한 문제의 검사를 수행하며, 온프레미스 도메인의 도메인 컨트롤러 중 하나인 온프레미스 Windows VM에서 실행됩니다.
이 페이지에서는 Cloud SQL용 Active Directory 진단 도구를 사용하는 방법과 이 도구가 수행하는 검사에 대해 설명합니다.
기본 요건
AD 진단 도구를 사용하려면 먼저 다음 구성요소가 설정되어 있어야 합니다.
- AD가 사용 설정된 온프레미스 도메인
- Google Cloud 콘솔의 관리형 AD 도메인
- 관리형 AD 도메인에 조인된 SQL Server용 Cloud SQL 인스턴스
AD 진단 도구 사용 방법
AD 진단 도구를 사용하려면 다음 단계를 수행하세요.
- 온프레미스 도메인 컨트롤러 중 하나 또는 온프레미스 도메인에 가입된 VM에 로그인합니다.
- VM에
diagnose_ad.ps1
스크립트를 다운로드합니다. - 관리자 권한으로 PowerShell을 실행합니다.
다음 명령어를 사용하여 Powershell 창에서
diagnose_ad.ps1
스크립트를 실행하세요.powershell -command "& { . C:\\<var>SCRIPT_PATH</var>\\diagnose_ad.ps1; Run-Tool }"
메시지가 표시되면 다음 정보를 입력합니다.
- 온프레미스 도메인 이름(예:
my-onprem-domain.com
) - 관리형 AD 도메인 이름(예:
my-ad-domain.com
) - SQL Server Active Directory FQDN 및 비공개 IP 주소 목록. 이 목록은 Google Cloud 콘솔의 인스턴스 개요 페이지에서 얻을 수 있습니다.
- 온프레미스 도메인 이름(예:
그러면 AD 진단 도구는 AD 진단 도구에서 수행하는 검사에 설명된 대로 여러 검사를 수행합니다.
AD 진단 도구로 수행하는 검사
확인 | 설명 | 메모 및 권장사항 |
---|---|---|
사용 가능한 도메인 컨트롤러 | 온프레미스 도메인의 각 도메인 컨트롤러의 IP 주소에 핑을 보내 도달할 수 있는지 확인합니다. | 나머지 검사는 연결 가능한 IP 주소에서 진행됩니다. 이 검사가 실패할 경우 나머지 온프레미스 도메인 컨트롤러에 대한 네트워크 연결을 확인하세요. 자세한 내용은 네트워크 인프라 만들기를 참조하세요. |
포트 | 모든 온프레미스 도메인 컨트롤러에서 AD에 필요한 모든 TCP 및 UDP 포트가 열려 있는지 확인합니다. | 이 검사는 열린 포트 목록에 일관성이 없으면 RPC 포트 범위(49152-65535)에 대한 경고 상태를 반환합니다. 이 범위를 허용하는 방화벽 규칙이 설정되어 있는지 확인하는 것이 좋습니다. 자세한 내용은 방화벽 포트 열기를 참조하세요. |
DNS 서버 | AD와 정상 상태의 내결함성이 있는지 검사합니다. | 이 검사는 스크립트가 온프레미스 도메인 컨트롤러에서 실행되지 않으면 경고를 반환합니다. 기본 및 보조 DNS 서버를 설정하여 내결함성 AD 설정을 배포하는 것이 좋습니다. |
FQDN(관리형 AD 도메인) | 제공한 관리형 AD 도메인 이름에 대해 nslookup을 실행합니다. | 이 검사는 관리형 AD 도메인에 온프레미스 도메인 컨트롤러에서 연결할 수 있는지 확인합니다. 장애가 발생하면 온프레미스 네트워크와 Google Cloud Virtual Private Cloud(VPC) 간에 네트워크 연결을 설정해 보세요. 자세한 내용은 네트워크 연결 설정을 참조하세요. |
FQDN(SQL Server) | 제공된 SQL Server FQDN에 대해 nslookup을 실행합니다. | 이 검사는 온프레미스 도메인 컨트롤러에서 인스턴스에 연결할 수 있는지 확인합니다. 장애가 발생하면 온프레미스 네트워크와 Google Cloud Virtual Private Cloud(VPC) 간에 네트워크 연결을 설정해 보세요. 자세한 내용은 네트워크 연결 설정을 참조하세요. |
DC 복제 | 온프레미스 도메인 컨트롤러 간에 AD 복제 실패가 있는지 확인합니다. | 스크립트가 온프레미스 도메인에 조인된 VM에서 실행되는 경우 Powershell이 Active Directory 도메인 사용자로 실행되지 않으면 실패 상태가 예상됩니다. 이 검사가 실패하면 설치 테스트에 설명된 단계를 따르세요. |
DNS 전달 | 온프레미스 도메인 컨트롤러에서 온프레미스 도메인 컨트롤러의 요청을 관리형 AD 도메인 컨트롤러로 라우팅하는 데 필요한 조건부 DNS 전달 설정을 찾습니다. | 스크립트가 온프레미스 도메인 컨트롤러에서 실행되지 않으면 이 검사가 실패할 수 있습니다. DNS 조건부 전달자를 구성하는 것이 좋습니다. |
트러스트 설정 | 온프레미스 도메인과 관리형 AD 도메인 간에 AD 트러스트가 설정되어 있는지 확인합니다. | 이 검사는 온프레미스와 관리형 AD 도메인 간에 AD 트러스트가 설정되어 있는지 확인합니다. 온프레미스 도메인과 관리형 Microsoft AD 도메인 간에 트러스트를 만드는 것이 좋습니다. 자세한 내용은 트러스트 설정을 참조하세요. |
로컬 보안 정책 |
로컬 보안 정책 구성 Network access: Named pipes that can be accessed anonymously 가 설정되었는지 검사합니다.
AD 트러스트를 만들려면 이 검사가 필요합니다.
|
스크립트가 온프레미스 도메인 컨트롤러에서 실행되지 않으면 이 검사가 실패합니다. 이 검사를 위해서는 Powershell을 관리자 권한으로 실행하여 로컬 보안 정책 설정을 확인해야 합니다. 장애가 발생할 경우 온프레미스 도메인의 로컬 보안 정책을 확인하는 것이 좋습니다. |
이름 접미사 라우팅 | 온프레미스 도메인 컨트롤러에서 관리형 AD 도메인으로 이름 서픽스 라우팅이 사용 설정되었는지 검사합니다. 온프레미스 포리스트에서 관리형 AD 포리스트로 요청을 라우팅하려면 이 검사가 필요합니다. | 이 검사를 위해서는 Powershell을 관리자 권한으로 실행하여 이름 서픽스 라우팅 설정을 확인해야 합니다. 장애가 발생할 경우 온프레미스 트러스트를 위한 이름 서픽스 라우팅을 새로고침하는 것이 좋습니다. |
온프레미스 도메인의 Kerberos 티켓 | 온프레미스 도메인에서 Kerberos 인증이 사용 설정되어 있는지 확인합니다. 이 검사에서는 온프레미스 도메인에 대해 기존 Kerberos 티켓을 찾습니다. 찾을 수 없는 경우 새 티켓을 생성하려고 시도합니다. | 이 검사는 온프레미스 DC의 기존 Kerberos 티켓을 찾으려고 시도합니다. 이 작업이 실패하면 검증의 한 형태로 새 티켓을 생성하려고 시도합니다. 다른 검사에서 오류가 발생하면 이 검사에서 오류가 발생할 수 있습니다. 다른 검사의 실패를 해결하면 이 검사의 실패도 해결됩니다. |
SQL Server용 Kerberos 티켓 |
온프레미스 도메인에서 Kerberos 인증이 사용 설정되어 있는지 확인합니다. 제공한 SQL Server 서비스 기본 이름(SPN)마다 기존 Kerberos 티켓을 찾습니다. SQL Server의 SPN은 MSSQLSvc/{SQL Server FQDN}:1433 입니다. SPN 티켓을 가져오는 데 실패하면 Cloud SQL은 호스트 이름에서 IP를 허용하는 Windows 레지스트리 값이 설정되어 있는지 확인합니다. 설정된 경우 SPN MSSQLSvc/{SQL Server IP}:1433 로 티켓을 가져옵니다.자세한 내용은 Microsoft 문서를 참조하세요. |
이 검사는 SQL Server에 대한 기존 Kerberos 티켓을 찾습니다. 이 작업이 실패하면 검증의 한 형태로 새 티켓을 생성하려고 시도합니다. 다른 검사에서 오류가 발생하면 이 검사에서 오류가 발생할 수 있습니다. 다른 검사의 실패를 해결하면 이 검사의 실패도 해결됩니다. |
다음 단계
- 의견을 공유하려면 GitHub 문제를 사용하세요.