您无法将存储虚拟机(SVM)加入 Active Directory - FSx for ONTAP
SVM NetBIOS 名称与主域相同SVM 加入另一个 Active DirectorySVM NetBIOS 名称已被使用Amazon FSx 无法访问 Amazon Secrets Manager 中的 Active Directory 服务账户凭证FSx 无法访问 Active Directory 域控制器端口配置或服务账户权限不足 无效服务账户凭证由于服务账户凭证不足,Amazon FSx 无法连接到 Active Directory 域控制器无法访问 Active Directory DNS 服务器或域控制器无效的 Active Directory 域名服务账户无法访问 Active Directory 管理员组指定的 OU 无效
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 中国的 Amazon Web Services 服务入门 (PDF)

您无法将存储虚拟机(SVM)加入 Active Directory

如果您无法将 SVM 加入 Active Directory(AD),请先查看 如何将 SVM 加入 Microsoft Active Directory。以下部分列出了会阻碍 SVM 加入 Active Directory 的常见问题,包括针对每种情况生成的错误消息。

SVM NetBIOS 名称与主域的 NetBIOS 名称相同。

将 SVM 加入自行管理的 Active Directory 时失败,并显示以下错误消息:

Amazon FSx is unable to establish a connection with your Active Directory. This is because the server name you specified is the NetBIOS name of the home domain. To fix this problem, choose a NetBIOS name for your SVM that is different from the NetBIOS name of the home domain. Then reattempt to join your SVM to your Active Directory.

要解决此问题,请按照 使用 Amazon Web Services 管理控制台、Amazon CLI 和 API 将 SVM 加入 Active Directory 中所述的过程重新尝试将 SVM 加入 Active Directory。确保为 SVM 使用与 Active Directory 主域的 NetBIOS 名称不同的 NetBIOS 名称。

SVM 已加入另一个 Active Directory

将 SVM 加入 Active Directory 时失败,并显示以下错误消息:

Amazon FSx is unable to establish a connection to your Active Directory. This is because the SVM is already joined to a domain. To join this SVM to a different domain, you can use the ONTAP CLI or REST API to unjoin this SVM from Active Directory. Then reattempt to join your SVM to a different Active Directory.

要解决该问题,请执行以下操作:

  1. 使用 NetApp ONTAP CLI 从当前 Active Directory 中取消 SVM 的加入。有关更多信息,请参阅 使用 NetApp ONTAP CLI 将 SVM 从 Active Directory 取消加入

  2. 按照 使用 Amazon Web Services 管理控制台、Amazon CLI 和 API 将 SVM 加入 Active Directory 中所述的过程,重新尝试将 SVM 加入新 Active Directory。

Amazon FSx 无法连接到 Active Directory 域控制器,因为 SVM 的 NetBIOS 名称已在使用中

创建加入自行管理的 Active Directory 的 SVM 失败,并显示以下错误消息:

Amazon FSx is unable to establish a connection with your Active Directory. This is because the NetBIOS(computer)name you specified is already in-use in your Active Directory. To fix this problem, pick a NetBIOS name for your SVM that is not in use in your Active Directory., specifying a NetBIOS(computer)Then reattempt to join your SVM to your Active Directory.

要解决此问题,请按照 使用 Amazon Web Services 管理控制台、Amazon CLI 和 API 将 SVM 加入 Active Directory 中所述的过程重新尝试将 SVM 加入 AD。确保为 SVM 使用的 NetBIOS 名称是唯一的,并且尚未在 Active Directory 中使用。

Amazon FSx 无法访问 Amazon Secrets Manager 中的 Active Directory 服务账户凭证

以下各节描述常见问题及其解决方法。

将 SVM 加入自行管理的 Active Directory 时失败,并显示以下错误消息:

You can't provide both username/password and a domain join service account secret to connect to your Active Directory. Provide only one set of credentials.

要解决此问题

  1. 选择是提供存储在 Secrets Manager 密钥中的凭证,还是提供以纯文本形式存储的凭证。

  2. 加入 Active Directory 时,仅提供其中一个参数,不能同时提供两个参数。

将 SVM 加入自行管理的 Active Directory 时失败,并显示以下错误消息:

The domain join service account secret ARN format you entered isn't valid. Use the format: arn:partition:secretsmanager:region:account-id:secret:secret-name-6chars

要解决此问题

  1. 审核 使用 Amazon Secrets Manager 存储 Active Directory 凭证

  2. 验证您输入的 ARN 格式是否正确。正确的格式示例为 arn:aws:secretsmanager:us-east-1:123456789012:secret:MyDatabaseSecret-Ab3d5f

将 SVM 加入自行管理的 Active Directory 时失败,并显示以下错误消息:

Amazon FSx can't access the domain join service account secret [ARN]. Add a resource permission to the secret that grants the FSx service principal (fsx.amazonaws.com) permission to access it.

要解决此问题

  1. 审核 使用 Amazon Secrets Manager 存储 Active Directory 凭证

  2. 验证您提供的 Secrets Manager 密钥是否具备允许 Amazon FSx 使用该密钥的正确策略。

将 SVM 加入自行管理的 Active Directory 时失败,并显示以下错误消息:

You don't have permission to access the domain join service account secret [ARN]. A resource permission needs to be added to the secret to grant you access.

要解决此问题

  • Secrets Manager 密钥所有者或管理员需要向您的账户授予使用该密钥的访问权限。有关更多信息,请参阅基于身份的策略

将 SVM 加入自行管理的 Active Directory 时失败,并显示以下错误消息:

The domain join service account secret format or content isn't valid. Make sure the secret includes both CUSTOMER_MANAGED_ACTIVE_DIRECTORY_USERNAME and CUSTOMER_MANAGED_ACTIVE_DIRECTORY_PASSWORD fields with non-empty values.

要解决此问题

  1. 审核 使用 Amazon Secrets Manager 存储 Active Directory 凭证

  2. 验证您提供的 Secrets Manager 密钥是否同时包含两个必填字段。

Amazon FSx 无法与 Active Directory 域控制器通信

将 SVM 加入自行管理的 Active Directory 时失败,并显示以下错误消息:

Amazon FSx is unable to communicate with your Active Directory. To fix this problem, ensure that network traffic is allowed between Amazon FSx and your domain controllers. Then reattempt to join your SVM to your Active Directory.

要解决此问题,请执行以下操作:

  1. 查看 网络配置要求 中所述的要求,进行必要的更改,以启用 Amazon FSx 与 AD 之间的网络通信。

  2. 当 Amazon FSx 能够与 AD 通信后,请按照 使用 Amazon Web Services 管理控制台、Amazon CLI 和 API 将 SVM 加入 Active Directory 中所述的过程重新尝试将 SVM 加入 AD。

由于未满足端口要求或服务账户权限,Amazon FSx 无法连接到 Active Directory

将 SVM 加入自行管理的 Active Directory 时失败,并显示以下错误消息:

Amazon FSx is unable to establish a connection with your Active Directory. This is due to either the port requirements for your Active Directory not being met, or the service account provided not having permissions to join the storage virtual machine to the domain with the specified organization unit. To fix this problem, update your storage virtual machine's Active Directory configuration after resolving any permissions issues with ports and service accounts, as recommended in the Amazon FSx user guide.

要解决此问题,请执行以下操作:

  1. 查看 网络配置要求 中描述的要求,进行必要的更改,以满足网络要求并确保在所需端口上启用通信

  2. 查看 Active Directory 服务账户要求 中所述的服务账户要求。确保服务账户拥有所需的委托权限,有权将 SVM 加入使用指定组织单元的 Active Directory 域。

  3. 更改端口权限或服务账户后,请按照 使用 Amazon Web Services 管理控制台、Amazon CLI 和 API 将 SVM 加入 Active Directory 中所述的过程进行操作,重新尝试将 SVM 加入 AD。

由于服务账户凭证无效,Amazon FSx 无法连接到 Active Directory 域控制器

将 SVM 加入自行管理的 Active Directory 时失败,并显示以下错误消息:

Amazon FSx is unable to establish a connection with your Active Directory domain controller(s) because the service account credentials provided are invalid. To fix this problem, update your storage virtual machine's Active Directory configuration with a valid service account.

要解决此问题,请按照 使用 Amazon Web Services 管理控制台、Amazon CLI 和 API 更新现有的 SVM 活动目录配置 中所述的过程更新 SVM 的服务账户凭证。在输入服务账户用户名时,请确保仅包含用户名(例如,ServiceAcct),不要包含任何域前缀(例如,corp.com\ServiceAcct)或域后缀(例如,ServiceAcct@corp.com)。在输入服务账户用户名(例如,CN=ServiceAcct,OU=example,DC=corp,DC=com)时,请勿使用可分辨名称(DN)。

由于服务账户凭证不足,Amazon FSx 无法连接到 Active Directory 域控制器

将 SVM 加入自行管理的 Active Directory 时失败,并显示以下错误消息:

Amazon FSx is unable to establish a connection with your Active Directory domain controller(s). This is due to either unmet port requirements for the Active Directory, or the service account provided does not have permission to join the storage virtual machine to the domain with the specified organizational unit.

要解决此问题,请确保您已向提供的服务账户委托所需的权限。服务账户必须能在文件系统加入的域的 OU 中创建和删除计算机对象。服务账户还必须至少有权执行以下操作:

  • 重置密码

  • 限制账户读取和写入数据

  • 验证写入 DNS 主机名的能力

  • 验证写入服务主体名称的能力

  • 能够创建和删除计算机对象

  • 验证读取和写入账户限制的能力

有关如何创建具有正确权限的服务账户的更多信息,请参阅 Active Directory 服务账户要求向 Amazon FSx 服务账户委托权限

Amazon FSx 无法与 Active Directory DNS 服务器或域控制器通信

将 SVM 加入自行管理的 Active Directory 时失败,并显示以下错误消息:

Amazon FSx is unable to communicate with your Active Directory. This is because Amazon FSx can't reach the DNS servers provided or domain controllers for your domain. To fix this problem, update your storage virtual machine's Active Directory configuration with valid DNS servers and a networking configuration that allows traffic to flow from the storage virtual machine to the domain controller.

要解决此问题,请执行以下过程:

  1. 如果 Active Directory 中只有部分域控制器可以访问(例如,由于地理限制或防火墙),您可以添加首选域控制器。使用此选项,Amazon FSx 会尝试联系首选域控制器。使用 vserver cifs domain preferred-dc add NetApp ONTAP CLI 命令添加首选域控制器,如下所示:

    1. 要访问 ONTAP CLI,请运行以下命令,在适用于 NetApp ONTAP 的 Amazon FSx 文件系统或 SVM 的管理端口上建立 SSH 会话。将 management_endpoint_ip 替换为文件系统管理端口的 IP 地址。

      [~]$ ssh fsxadmin@management_endpoint_ip

      有关更多信息,请参阅 使用 ONTAP CLI 管理文件系统

    2. 输入以下命令,其中:

      • -vserver vserver_name 指定存储虚拟机(SVM)的名称。

      • -domain domain_name 指定所规定的域控制器所属域的完全限定 Active Directory 名称(FQDN)。

      • -preferred-dc IP_address,…​ 按优先顺序,以逗号分隔列表的形式指定首选域控制器的一个或多个 IP 地址。

      FsxId123456789::> vserver cifs domain preferred-dc add -vserver vserver_name -domain domain_name -preferred-dc IP_address, …​+

      以下命令将域控制器 172.17.102.25 和 172.17.102.24 添加到首选域控制器的列表,借此 SVM vs1 上的 SMB 服务器可以管理 cifs.lab.example.com 域的外部访问。

      FsxId123456789::> vserver cifs domain preferred-dc add -vserver vs1 -domain cifs.lab.example.com -preferred-dc 172.17.102.25,172.17.102.24

  2. 检查看看域控制器是否可以通过 DNS 解析。使用 vserver services access-check dns forward-lookup NetApp ONTAP CLI 命令,根据指定的 DNS 服务器上查找结果或虚拟服务器的 DNS 配置,返回主机名的 IP 地址。

    1. 要访问 ONTAP CLI,请运行以下命令,在适用于 NetApp ONTAP 的 Amazon FSx 文件系统或 SVM 的管理端口上建立 SSH 会话。将 management_endpoint_ip 替换为文件系统管理端口的 IP 地址。

      [~]$ ssh fsxadmin@management_endpoint_ip

      有关更多信息,请参阅 使用 ONTAP CLI 管理文件系统

    2. 使用以下命令进入 ONTAP CLI 高级模式。

      FsxId123456789::> set adv

    3. 输入以下命令,其中:

      • -vserver vserver_name 指定存储虚拟机(SVM)的名称。

      • -hostname host_name 指定要在 DNS 服务器上查找的主机名。

      • -node node_name​ 指定要执行命令的节点的名称。

      • -lookup-type 指定要在 DNS 服务器上查找的 IP 地址的类型,默认为 all

      FsxId123456789::> vserver services access-check dns forward-lookup \
-vserver vserver_name -node node_name \
-domains domain_name -name-servers dns_server_ip_address \
-hostname host_name

  3. 查看将 SVM 加入 AD 时需要提供的信息

  4. 查看将 SVM 加入 AD 时的联网要求

  5. 按照 网络配置要求 中所述的过程,使用 Active Directory DNS 服务器的正确 IP 地址更新 SVM 的 Active Directory 配置。

由于 Active Directory 域名无效,Amazon FSx 无法与 Active Directory 通信。

将 SVM 加入自行管理的 Active Directory 时失败,并显示以下错误消息:

Amazon FSx has detected the provided FQDN is invalid. To fix this problem, update your storage virtual machine's Active Directory configuration with an FQDN that adheres to configuration requirements.

要解决此问题,请执行以下过程:

  1. 查看 将 SVM 加入 Active Directory 时所需的信息 中所述的本地 Active Directory 域名要求,确保您尝试加入的 Active Directory 域名符合该要求。

  2. 按照 使用 Amazon Web Services 管理控制台、Amazon CLI 和 API 将 SVM 加入 Active Directory 中所述的过程,重新尝试将 SVM 加入 Active Directory。请务必为 Active Directory 域的 FQDN 使用正确的格式。

服务账户无法访问 SVM Active Directory 配置中指定的管理员组

将 SVM 加入自行管理的 Active Directory 时失败,并显示以下错误消息:

Amazon FSx is unable to apply your Active Directory configuration. This is because the administrators group you provided either doesn't exist or isn't accessible to the service account you provided. To fix this problem, ensure that your networking configuration allows traffic from the SVM to your Active Directory’s domain controller(s) and DNS servers. Then update your SVM’s Active Directory configuration, providing your Active Directory’s DNS servers and, specifying an administrators group in the domain that is accessible to the service account provided.

要解决此问题,请执行以下操作:

  1. 查看有关提供域组的信息,对 SVM 执行管理操作。确保您使用的是 Active Directory 域管理员组的正确名称。

  2. 按照 使用 Amazon Web Services 管理控制台、Amazon CLI 和 API 将 SVM 加入 Active Directory 中所述的过程,重新尝试将 SVM 加入 AD。

Amazon FSx 无法连接到 Active Directory 域控制器,因为指定的组织单元不存在或无法访问

将 SVM 加入自行管理的 Active Directory 时失败,并显示以下错误消息:

Amazon FSx is unable to establish a connection with your Active Directory. This is because the organizational unit you specified either doesn't exist or isn't accessible to the service account provided. To fix this problem, update your storage virtual machine's Active Directory configuration, specifying an organizational unit to which the service account has permissions to join.

要解决此问题,请执行以下操作:

  1. 查看将 SVM 加入 AD 的先决条件

  2. 查看将 SVM 加入 AD 时需要提供的信息

  3. 按照此过程,使用正确的组织单位重新尝试将 SVM 加入 Active Directory。