您无法访问您的文件系统 - Amazon FSx for Windows File Server
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 中国的 Amazon Web Services 服务入门 (PDF)

您无法访问您的文件系统

导致无法访问您的文件系统的潜在原因有很多,每种原因都有自己的解决方案,如下所示。

文件系统弹性网络接口已修改或删除

您不得修改或删除文件系统的弹性网络接口。修改或删除该网络接口可能会导致永久丢失您的 VPC 和文件系统之间的连接。创建新的文件系统,不要修改或删除 Amazon FSx 弹性网络接口。有关更多信息,请参阅 使用 Amazon VPC 进行文件系统访问控制

连接到文件系统弹性网络接口的弹性 IP 地址已删除

Amazon FSx 不支持从公共互联网访问文件系统。Amazon FSx 会自动分离任何连接到文件系统的弹性网络接口的弹性 IP 地址,该地址是可从互联网访问的公有 IP 地址。有关更多信息,请参阅 访问您的数据

文件系统安全组缺少所需的入站或出站规则。

查看 Amazon VPC 安全组 中指定的入站规则,并确保文件系统的关联安全组具有相应的入站规则。

计算实例的安全组缺少所需的出站规则

查看 Amazon VPC 安全组 中指定的出站规则,并确保计算实例的关联安全组具有相应的出站规则。

计算实例未加入 Active Directory

您的计算实例可能无法正确加入以下两种类型的 Active Directory:

  • 您的文件系统连接的 Amazon Managed Microsoft AD 目录。

  • 与 Amazon Managed Microsoft AD 目录建立了单向林信任关系的 Microsoft Active Directory 目录。

确保您的计算实例已加入两种类型的目录之一。一种类型是您的文件系统连接的 Amazon Managed Microsoft AD 目录。其他类型为与 Amazon Managed Microsoft AD 目录建立了单向林信任关系的 Microsoft Active Directory 目录。有关更多信息,请参阅 将 Amazon FSx 与 Amazon Directory Service for Microsoft Active Directory 结合使用

文件共享不存在

您尝试访问的 Microsoft Windows 文件共享不存在。

如果您使用的是现有文件共享,请务必正确指定文件系统 DNS 名称和共享名称。要管理您的文件共享,请参阅创建、更新、删除文件共享

Active Directory 用户缺少所需权限

您访问文件共享的 Active Directory 用户缺少必要的访问权限。

确保文件共享的访问权限和共享文件夹的 Windows 访问控制列表(ACL)允许需要访问的 Active Directory 用户进行访问。

移除了允许完全控制 NTFS ACL 权限

如果您移除 SYSTEM 用户对您共享的文件夹的允许完全控制 NTFS ACL 权限,则该共享可能无法访问,并且从那时起进行的任何文件系统备份都可能无法使用。

您将需要重新创建受影响的文件共享。有关更多信息,请参阅 创建、更新、删除文件共享。重新创建文件夹或共享后,您可以映射和使用计算实例中的 Windows 文件共享。

无法使用本地客户端访问文件系统

您通过 Amazon Direct Connect 或 VPN 在本地使用您的 Amazon FSx 文件系统,而本地客户端使用的是非私有 IP 地址范围。

Amazon FSx 仅支持使用非私有 IP 地址的本地客户端访问 2020 年 12 月 17 日之后创建的文件系统。

如果您需要使用非私有 IP 地址范围访问 2020 年 12 月 17 日之前创建的 FSx for Windows File Server 文件系统,则可以通过恢复文件系统的备份来创建新的文件系统。有关更多信息,请参阅 使用备份保护您的数据。

新文件系统未在 DNS 中注册

对于加入自行管理的 Active Directory 的文件系统,Amazon FSx 在创建文件系统时并未注册文件系统 DNS,因为客户网络不使用 Microsoft DNS。

如果您的网络使用第三方 DNS 服务而不是 Microsoft DNS,则 Amazon FSx 不会在 DNS 中注册文件系统。您必须为 Amazon FSx 文件系统手动设置 DNS A 条目。对于单可用区 1 文件系统,您需要添加一个 DNS A 条目;对于单可用区 2 和多可用区文件系统,则需要添加两个 DNS A 条目。按照以下过程获取文件系统 IP 地址或在手动添加 DNS A 条目时要使用的地址。

  1. https://console.aws.amazon.com/fsx/ 中,选择要获取 IP 地址的文件系统,以显示文件系统详细信息页面。

  2. 网络与安全选项卡中,执行以下任一操作:

    • 对于单可用区 1 文件系统:

      • 子网面板中,选择网络接口下显示的弹性网络接口,打开 Amazon EC2 中的网络接口页面。

      • 要使用的单可用区 1 文件系统的 IP 地址显示在主要私有 IPv4 IP 列中。

    • 对于单可用区 2 或多可用区文件系统:

      • 首选子网面板中,选择网络接口下显示的弹性网络接口,打开 Amazon EC2 中的网络接口页面。

      • 要使用的首选子网的 IP 地址显示在辅助私有 IPv4 IP 列中。

      • 在 Amazon FSx 的备用子网面板中,选择网络接口下显示的弹性网络接口,打开 Amazon EC2 控制台中的网络接口页面。

      • 要使用的备用子网的 IP 地址显示在辅助私有 IPv4 IP 列中。

无法使用 DNS 别名访问文件系统

如果使用 DNS 别名无法访问文件系统,请按照以下过程对问题进行排查。

  1. 执行以下任一步骤,验证别名是否与文件系统关联:

    1. 使用 Amazon FSx 控制台 – 选择您要访问的文件系统。在文件系统详细信息页面上,DNS 别名显示在网络与安全选项卡上。

    2. 使用 CLI 或 API – 使用 describe-file-system-aliases CLI 命令或 DescribeFileSystemAliases API 操作检索当前与文件系统关联的别名。

  2. 如果未列出 DNS 别名,则必须将其与文件系统关联。有关更多信息,请参阅 管理现有文件系统上的 DNS 别名

  3. 如果 DNS 别名与文件系统关联,请确认您也配置了以下必填项:

    • 已创建与 Amazon FSx 文件系统的 Active Directory 计算机对象上的 DNS 别名相对应的服务主体名称(SPN)。

      有关更多信息,请参阅 为 Kerberos 配置服务主体名称 (SPN)

    • 为 DNS 别名创建了 DNS CNAME 记录,将其解析为 Amazon FSx 文件系统的默认 DNS 名称。

      有关更多信息,请参阅 更新或创建 DNS CNAME 记录

  4. 如果您创建了有效的 SPN 和 DNS CNAME 记录,请验证客户端的 DNS 是否具有可解析为正确文件系统的 DNS CNAME 记录。

    1. 运行 nslookup 以确认该记录存在且可解析为文件系统的默认 DNS 名称。

    2. 如果 DNS CNAME 解析到另一个文件系统,请等待客户端的 DNS 缓存刷新,然后再次检查 CNAME 记录。您可以使用以下命令刷新客户端的 DNS 缓存,加快该过程。

      ipconfig /flushdns
  5. 如果 DNS CNAME 记录解析为 Amazon FSx 文件系统的默认 DNS,但客户端仍然无法访问该文件系统,请参阅您无法访问您的文件系统 了解其他问题排查步骤。

无法使用 IP 地址访问文件系统

如果您无法使用 IP 地址访问文件系统,请尝试改用 DNS 名称或关联的 DNS 别名。

您可以通过选择 Windows File Server网络与安全,在 Amazon FSx 控制台上找到文件系统的 DNS 名称和任何关联的 DNS 别名。或者,您也可以在 CreateFileSystemDescribeFileSystems API 操作的响应中找到它们。有关使用 DNS 别名的更多信息,请参阅管理 DNS 别名

  • 对于加入 Amazon 托管的 Microsoft Active Directory 的单可用区文件系统,DNS 名称如下所示。

    fs-0123456789abcdef0.ad-domain.com
  • 加入自行管理的 Active Directory 的所有多可用区文件系统以及单可用区文件系统的 DNS 名称如下所示。

    amznfsxaa11bb22.ad-domain.com