本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
您无法将存储虚拟机(SVM)加入 Active Directory
如果您无法将 SVM 加入 Active Directory(AD),请先查看 将 SVM 加入 Microsoft Active Directory。以下部分列出了会阻碍 SVM 加入 Active Directory 的常见问题,包括针对每种情况生成的错误消息。
主题
- SVM NetBIOS 名称与主域的 NetBIOS 名称相同。
- SVM 已加入另一个 Active Directory
- Amazon FSx 无法连接到 Active Directory 域控制器,因为 SVM 的 NetBIOS 名称已在使用中
- Amazon FSx 无法与 Active Directory 域控制器通信
- 由于未满足端口要求或服务账户权限,Amazon FSx 无法连接到 Active Directory
- 由于服务账户凭证无效,Amazon FSx 无法连接到 Active Directory 域控制器
- 由于服务账户凭证不足,Amazon FSx 无法连接到 Active Directory 域控制器
- Amazon FSx 无法与 Active Directory DNS 服务器或域控制器通信
- 由于 Active Directory 域名无效,Amazon FSx 无法与 Active Directory 通信。
- 服务账户无法访问 SVM Active Directory 配置中指定的管理员组
- Amazon FSx 无法连接到 Active Directory 域控制器,因为指定的组织单位不存在或无法访问
SVM NetBIOS 名称与主域的 NetBIOS 名称相同。
将 SVM 加入自行管理的 Active Directory 时失败,并显示以下错误消息:
Amazon FSx is unable to establish a connection with your Active Directory. This is because the server name you specified is the NetBIOS name of the home domain. To fix this problem, choose a NetBIOS name for your SVM that is different from the NetBIOS name of the home domain. Then reattempt to join your SVM to your Active Directory.
要解决此问题,请按照 使用 Amazon Web Services Management Console、 Amazon CLI 和 API 将 SVM 加入活动目录 中所述的过程重新尝试将 SVM 加入 AD。确保为 SVM 使用与 Active Directory 主域的 NetBIOS 名称不同的 NetBIOS 名称。
SVM 已加入另一个 Active Directory
将 SVM 加入 Active Directory 时失败,并显示以下错误消息:
Amazon FSx is unable to establish a connection to your Active Directory. This is because the SVM is already joined to a domain. To join this SVM to a different domain, you can use the ONTAP CLI or REST API to unjoin this SVM from Active Directory. Then reattempt to join your SVM to a different Active Directory.
要解决该问题,请执行以下操作:
使用 NetApp ONTAP CLI 将 SVM 从其当前 Active Directory 中取消加入。有关更多信息,请参阅 使用 ONTAP CLI 从您的 SVM 取消加入活动目录 NetApp 。
按照 使用 Amazon Web Services Management Console、 Amazon CLI 和 API 将 SVM 加入活动目录 中所述的过程,重新尝试将 SVM 加入新 AD。
Amazon FSx 无法连接到 Active Directory 域控制器,因为 SVM 的 NetBIOS 名称已在使用中
创建加入自行管理 AD 的 SVM 时失败,并显示以下错误消息:
Amazon FSx is unable to establish a connection with your Active Directory. This is because the NetBIOS (computer) name you specified is already in-use in your Active Directory. To fix this problem, pick a NetBIOS name for your SVM that is not in use in your Active Directory., specifying a NetBIOS (computer) Then reattempt to join your SVM to your Active Directory.
要解决此问题,请按照 使用 Amazon Web Services Management Console、 Amazon CLI 和 API 将 SVM 加入活动目录 中所述的过程重新尝试将 SVM 加入 AD。确保为 SVM 使用的 NetBIOS 名称是唯一的,并且尚未在 Active Directory 中使用。
Amazon FSx 无法与 Active Directory 域控制器通信
将 SVM 加入自行管理的 AD 时失败,并显示以下错误消息:
Amazon FSx is unable to communicate with your Active Directory. To fix this problem, ensure that network traffic is allowed between Amazon FSx and your domain controllers. Then reattempt to join your SVM to your Active Directory.
要解决此问题,请执行以下操作:
查看 网络配置要求 中所述的要求,进行必要的更改,以启用 Amazon FSx 与 AD 之间的网络通信。
当 Amazon FSx 能够与 AD 通信后,请按照 使用 Amazon Web Services Management Console、 Amazon CLI 和 API 将 SVM 加入活动目录 中所述的过程重新尝试将 SVM 加入 AD。
由于未满足端口要求或服务账户权限,Amazon FSx 无法连接到 Active Directory
将 SVM 加入自行管理的 AD 时失败,并显示以下错误消息:
Amazon FSx is unable to establish a connection with your Active Directory. This is due to either the port requirements for your Active Directory not being met, or the service account provided not having permissions to join the storage virtual machine to the domain with the specified organization unit. To fix this problem, update your storage virtual machine's Active Directory configuration after resolving any permissions issues with ports and service accounts, as recommended in the Amazon FSx user guide.
要解决此问题,请执行以下操作:
查看 网络配置要求 中描述的要求,进行必要的更改,以满足网络要求并确保在所需端口上启用通信
查看 Active Directory 服务账户要求 中所述的服务账户要求。确保服务账户拥有所需的委托权限,有权将 SVM 加入使用指定组织单位的 AD 域。
更改端口权限或服务账户后,请按照 使用 Amazon Web Services Management Console、 Amazon CLI 和 API 将 SVM 加入活动目录 中所述的过程进行操作,重新尝试将 SVM 加入 AD。
由于服务账户凭证无效,Amazon FSx 无法连接到 Active Directory 域控制器
将 SVM 加入自行管理的 Active Directory 时失败,并显示以下错误消息:
Amazon FSx is unable to establish a connection with your Active Directory domain controller(s) because the service account credentials provided are invalid. To fix this problem, update your storage virtual machine's Active Directory configuration with a valid service account.
要解决此问题,请按照 使用 Amazon Web Services Management Console、 Amazon CLI和 API 更新现有 SVM Active Directory 配置 中所述的过程更新 SVM 的服务账户凭证。在输入服务账户用户名时,请确保仅包含用户名(例如,ServiceAcct),不要包含任何域前缀(例如,corp.com\ServiceAcct)或域后缀(例如,ServiceAcct@corp.com)。在输入服务账户用户名(例如,CN=ServiceAcct,OU=example,DC=corp,DC=com)时,请勿使用可分辨名称(DN)。
由于服务账户凭证不足,Amazon FSx 无法连接到 Active Directory 域控制器
将 SVM 加入自行管理的 Active Directory 时失败,并显示以下错误消息:
Amazon FSx is unable to establish a connection with your Active Directory domain controller(s). This is due to either the port requirements for the Active Directory have not been met, or the service account provided does not have permission to join the storage virtual machine to the domain with the specified organizational unit.
要解决此问题,请确保您已向提供的服务账户委托所需的权限。服务账户必须能在文件系统加入的域的 OU 中创建和删除计算机对象。服务账户还必须至少有权执行以下操作:
重置密码
限制账户读取和写入数据
验证写入 DNS 主机名的能力
验证写入服务主体名称的能力
能够创建和删除计算机对象
验证读取和写入账户限制的能力
有关如何创建具有正确权限的服务账户的更多信息,请参阅 Active Directory 服务账户要求和向 Amazon FSx 服务账户委托权限。
Amazon FSx 无法与 Active Directory DNS 服务器或域控制器通信
将 SVM 加入自行管理的 Active Directory 时失败,并显示以下错误消息:
Amazon FSx is unable to communicate with your Active Directory. This is because Amazon FSx can't reach the DNS servers provided or domain controllers for your domain. To fix this problem, update your storage virtual machine's Active Directory configuration with valid DNS servers and a networking configuration that allows traffic to flow from the storage virtual machine to the domain controller.
要解决此问题,请执行以下过程:
如果 Active Directory 中只有部分域控制器可以访问(例如,由于地理限制或防火墙),您可以添加首选域控制器。使用此选项,Amazon FSx 会尝试联系首选域控制器。使用
vserver cifs domain preferred-dc addNetApp ONTAP CLI 命令添加首选域控制器,如下所示: 要访问 NetApp ONTAP CLI,请运行以下命令在 NetApp 适用于 ONTAP 的 Amazon FSx 文件系统的管理端口上建立 SSH 会话。将
management_endpoint_ip[~]$ssh fsxadmin@management_endpoint_ip有关更多信息,请参阅 使用 ONTAP CLI 管理文件系统。
输入以下命令,其中:
-vserver vserver_name指定存储虚拟机(SVM)的名称。-domain domain_name指定所规定的域控制器所属域的完全限定 Active Directory 名称(FQDN)。-preferred-dc IP_address,…按优先顺序,以逗号分隔列表的形式指定首选域控制器的一个或多个 IP 地址。
FsxId123456789::>vserver cifs domain preferred-dc add -vserver vserver_name -domain domain_name -preferred-dc IP_address, …+以下命令将域控制器 172.17.102.25 和 172.17.102.24 添加到首选域控制器的列表,借此 SVM vs1 上的 SMB 服务器可以管理 cifs.lab.example.com 域的外部访问。
FsxId123456789::>vserver cifs domain preferred-dc add -vserver vs1 -domain cifs.lab.example.com -preferred-dc 172.17.102.25,172.17.102.24
检查看看域控制器是否可以通过 DNS 解析。使用
vserver services access-check dns forward-lookupNetApp ONTAP CLI 命令根据指定的 DNS 服务器上的查询结果或虚拟服务器的 DNS 配置返回主机名的 IP 地址。 要访问 NetApp ONTAP CLI,请运行以下命令在 NetApp 适用于 ONTAP 的 Amazon FSx 文件系统的管理端口上建立 SSH 会话。将
management_endpoint_ip[~]$ssh fsxadmin@management_endpoint_ip有关更多信息,请参阅 使用 ONTAP CLI 管理文件系统。
使用以下命令进入 ONTAP CLI 高级模式。
FsxId123456789::>set adv输入以下命令,其中:
-vserver vserver_name指定存储虚拟机(SVM)的名称。-hostname host_name指定要在 DNS 服务器上查找的主机名。-node node_name指定要执行命令的节点的名称。-lookup-type指定要在 DNS 服务器上查找的 IP 地址的类型,默认为all。
FsxId123456789::>vserver services access-check dns forward-lookup \ -vservervserver_name-nodenode_name\ -domainsdomain_name-name-serversdns_server_ip_address\ -hostnamehost_name
查看将 SVM 加入 AD 时需要提供的信息。
查看将 SVM 加入 AD 时的联网要求。
按照 网络配置要求 中所述的过程,使用 AD DNS 服务器的正确 IP 地址更新 SVM 的 AD 配置。
由于 Active Directory 域名无效,Amazon FSx 无法与 Active Directory 通信。
将 SVM 加入自行管理的 Active Directory 时失败,并显示以下错误消息:
Amazon FSx has detected the provided FQDN is invalid. To fix this problem, update your storage virtual machine's Active Directory configuration with an FQDN that adheres to configuration requirements.
要解决此问题,请执行以下过程:
查看 将 SVM 加入 Active Directory 时所需的信息 中所述的本地 Active Directory 域名要求,确保您尝试加入的 Active Directory 域名符合该要求。
按照 使用 Amazon Web Services Management Console、 Amazon CLI 和 API 将 SVM 加入活动目录 中所述的过程,重新尝试将 SVM 加入 AD。请务必为 AD 域的 FQDN 使用正确的格式。
服务账户无法访问 SVM Active Directory 配置中指定的管理员组
将 SVM 加入自行管理的 Active Directory 时失败,并显示以下错误消息:
Amazon FSx is unable to apply your Active Directory configuration. This is because the administrators group you provided either doesn't exist or isn't accessible to the service account you provided. To fix this problem, ensure that your networking configuration allows traffic from the SVM to your Active Directory’s domain controller(s) and DNS servers. Then update your SVM’s Active Directory configuration, providing your Active Directory’s DNS servers and, specifying an administrators group in the domain that is accessible to the service account provided.
要解决此问题,请执行以下操作:
查看有关提供域组的信息,对 SVM 执行管理操作。确保您使用的是 AD 域管理员组的正确名称。
按照 使用 Amazon Web Services Management Console、 Amazon CLI 和 API 将 SVM 加入活动目录 中所述的过程,重新尝试将 SVM 加入 AD。
Amazon FSx 无法连接到 Active Directory 域控制器,因为指定的组织单位不存在或无法访问
将 SVM 加入自行管理的 Active Directory 时失败,并显示以下错误消息:
Amazon FSx is unable to establish a connection with your Active Directory. This is because the organizational unit you specified either doesn't exist or isn't accessible to the service account provided. To fix this problem, update your storage virtual machine's Active Directory configuration, specifying an organizational unit to which the service account has permissions to join.
要解决此问题,请执行以下操作: