本文属于机器翻译版本。若本译文内容与英语原文存在差异，则一律以英文原文为准。

# 您无法访问您的文件系统
<a name="unable-to-access"></a>

导致无法访问您的文件系统的潜在原因有很多，每种原因都有自己的解决方案，如下所示。

**Topics**
+ [文件系统弹性网络接口已修改或删除](#eni-deleted)
+ [连接到文件系统弹性网络接口的弹性 IP 地址已删除](#eni-epi-removed)
+ [文件系统安全组缺少所需的入站或出站规则。](#sg-lacks-inbound-rules)
+ [计算实例的安全组缺少所需的出站规则](#compute-instance-lacks-inbound-rules)
+ [计算实例未加入 Active Directory](#fs-not-joined-to-ad)
+ [文件共享不存在](#file-share-doesnt-exist)
+ [Active Directory 用户缺少所需权限](#ad-user-lacks-permission)
+ [移除了允许完全控制 NTFS ACL 权限](#removed-allow-full-control)
+ [无法使用本地客户端访问文件系统](#non-private-ips-onprem)
+ [新文件系统未在 DNS 中注册](#fs-dns-not-registered)
+ [无法使用 DNS 别名访问文件系统](#cant-connect-using-dns-alias)
+ [无法使用 IP 地址访问文件系统](#cant-connect-using-ip-address)

## 文件系统弹性网络接口已修改或删除
<a name="eni-deleted"></a>

您不得修改或删除文件系统的弹性网络接口。修改或删除该网络接口可能会导致永久丢失您的 VPC 和文件系统之间的连接。创建新的文件系统，不要修改或删除 Amazon e FSx lastic network interface。有关更多信息，请参阅 [使用 Amazon VPC 进行文件系统访问控制](limit-access-security-groups.md)。

## 连接到文件系统弹性网络接口的弹性 IP 地址已删除
<a name="eni-epi-removed"></a>

Amazon FSx 不支持从公共互联网访问文件系统。Amazon FSx 会自动分离附加到文件系统弹性网络接口的任何弹性 IP 地址，即可从互联网访问的公有 IP 地址。有关更多信息，请参阅 [访问您的数据](supported-fsx-clients.md)。

## 文件系统安全组缺少所需的入站或出站规则。
<a name="sg-lacks-inbound-rules"></a>

查看 [Amazon VPC 安全组](limit-access-security-groups.md#fsx-vpc-security-groups) 中指定的入站规则，并确保文件系统的关联安全组具有相应的入站规则。

## 计算实例的安全组缺少所需的出站规则
<a name="compute-instance-lacks-inbound-rules"></a>

查看 [Amazon VPC 安全组](limit-access-security-groups.md#fsx-vpc-security-groups) 中指定的出站规则，并确保计算实例的关联安全组具有相应的出站规则。

## 计算实例未加入 Active Directory
<a name="fs-not-joined-to-ad"></a>

您的计算实例可能无法正确加入以下两种类型的 Active Directory：
+ 您的文件系统所连接的 Amazon Managed Microsoft AD 目录。
+ 与 Amazon Managed Microsoft AD 目录建立了单向林信任关系的 Microsoft Active Directory 目录。

确保您的计算实例已加入两种类型的目录之一。一种类型是您的文件系统所连接的 Amazon Managed Microsoft AD 目录。另一种类型是 Microsoft Active Directory 目录，该目录与该 Amazon Managed Microsoft AD 目录建立了单向林信任关系。有关更多信息，请参阅 [将 Amazon FSx 与 Amazon Directory Service for Microsoft Active Directory 结合使用](fsx-aws-managed-ad.md)。

## 文件共享不存在
<a name="file-share-doesnt-exist"></a>

您尝试访问的 Microsoft Windows 文件共享不存在。

如果您使用的是现有文件共享，请务必正确指定文件系统 DNS 名称和共享名称。要管理您的文件共享，请参阅[创建、更新、删除文件共享](managing-file-shares.md)。

## Active Directory 用户缺少所需权限
<a name="ad-user-lacks-permission"></a>

您访问文件共享的 Active Directory 用户缺少必要的访问权限。

确保文件共享的访问权限和共享文件夹的 Windows 访问控制列表 (ACLs) 允许需要访问该文件夹的 Active Directory 用户进行访问。

## 移除了允许完全控制 NTFS ACL 权限
<a name="removed-allow-full-control"></a>

如果您移除 SYSTEM 用户对您共享的文件夹的**允许完全控制** NTFS ACL 权限，则该共享可能无法访问，并且从那时起进行的任何文件系统备份都可能无法使用。

您将需要重新创建受影响的文件共享。有关更多信息，请参阅 [创建、更新、删除文件共享](managing-file-shares.md)。重新创建文件夹或共享后，您可以映射和使用计算实例中的 Windows 文件共享。

## 无法使用本地客户端访问文件系统
<a name="non-private-ips-onprem"></a>

您使用 Amazon Direct Connect 或 VPN 在本地使用您的 Amazon FSx 文件系统，而本地客户端使用的是非私有 IP 地址范围。

Amazon FSx 仅支持使用非私有 IP 地址的本地客户端访问 2020 年 12 月 17 日之后创建的文件系统。

如果您需要使用非私有 IP 地址范围访问 2020 年 12 月 17 日之前创建的 Windows File Server 文件系统，则可以通过恢复文件系统的备份来创建新的文件系统。 FSx 有关更多信息，请参阅 [使用备份保护您的数据。](using-backups.md)。

## 新文件系统未在 DNS 中注册
<a name="fs-dns-not-registered"></a>

对于加入自我管理的活动目录的文件系统，亚马逊在创建文件系统 DNS 时并 FSx 未对其进行注册，因为客户网络不使用 Microsoft DNS。

如果您的网络使用第三方 DNS 服务而不是 Microsoft DNS，则亚马逊 FSx 不会在 DNS 中注册文件系统。您必须为您的 Amazon FSx 文件系统手动设置 DNS A 条目。对于单可用区 1 文件系统，您需要添加一个 DNS A 条目；对于单可用区 2 和多可用区文件系统，则需要添加两个 DNS A 条目。按照以下过程获取文件系统 IP 地址或在手动添加 DNS A 条目时要使用的地址。

1. 在中 [https://console.aws.amazon.com/fsx/](https://console.amazonaws.cn/fsx/)，选择要获取 IP 地址的文件系统以显示文件系统详细信息页面。

1. 在**网络与安全**选项卡中，执行以下任一操作：
   + 对于单可用区 1 文件系统：
     + 在**子网**面板中，选择**网络接口**下显示的弹性网络接口，打开 Amazon EC2 中的**网络接口**页面。
     + 要使用的单可用区 1 文件系统的 IP 地址显示在**主私 IPv4 有 IP** 列中。
   + 对于单可用区 2 或多可用区文件系统：
     + 在**首选子网**面板中，选择**网络接口**下显示的弹性网络接口，打开 Amazon EC2 中的**网络接口**页面。
     + 要使用的首选子网的 IP 地址显示在 “**辅助私 IPv4 有 IP**” 列中。
     + 在 Amazon FSx **备用子网**面板中，选择网络接口下显示的弹性**网络接**口，打开 Amazon EC2 控制台中的**网络接口**页面。
     + 备用子网要使用的 IP 地址显示在 “**辅助私 IPv4 有 IP**” 列中。

## 无法使用 DNS 别名访问文件系统
<a name="cant-connect-using-dns-alias"></a>

如果使用 DNS 别名无法访问文件系统，请按照以下过程对问题进行排查。

1. 执行以下任一步骤，验证别名是否与文件系统关联：

   1. **使用 Amazon FSx 控制台**-选择您要访问的文件系统。在**文件系统详细信息**页面上，**DNS 别名**显示在**网络与安全**选项卡上。

   1. **使用 CLI 或 API**-使用 [https://awscli.amazonaws.com/v2/documentation/api/latest/reference/fsx/describe-file-system-aliases.html](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/fsx/describe-file-system-aliases.html)CLI 命令或 [DescribeFileSystemAliases](https://docs.amazonaws.cn/fsx/latest/APIReference/API_DescribeFileSystemAliases.html)API 操作检索当前与文件系统关联的别名。

1. 如果未列出 DNS 别名，则必须将其与文件系统关联。有关更多信息，请参阅 [管理现有文件系统上的 DNS 别名](manage-aliases-existing-fs.md)。

1. 如果 DNS 别名与文件系统关联，请确认您也配置了以下必填项：
   + 已创建与您的亚马逊 FSx 文件系统的 Active Directory 计算机对象上的 DNS 别名相对应的服务主体名称 (SPNs)。

     有关更多信息，请参阅 [为 Kerberos 配置服务主体名称 (SPNs)](step2-configure-spn-kerberos.md)。
   + 为 DNS 别名创建了 DNS 别名记录，该记录可解析为亚马逊 FSx 文件系统的默认 DNS 名称。

     有关更多信息，请参阅 [更新或创建 DNS CNAME 记录](step4-configure-dns-cname.md)。

1. 如果您创建了有效的 DNS 别名记录 SPNs 和 DNS 别名记录，请验证客户机的 DNS CNAME 记录是否可以解析到正确的文件系统。

   1. 运行 `nslookup` 以确认该记录存在且可解析为文件系统的默认 DNS 名称。

   1. 如果 DNS CNAME 解析到另一个文件系统，请等待客户端的 DNS 缓存刷新，然后再次检查 CNAME 记录。您可以使用以下命令刷新客户端的 DNS 缓存，加快该过程。

      ```
      ipconfig /flushdns
      ```

1. 如果 DNS CNAME 记录解析为 Amazon FSx 文件系统的默认 DNS，但客户端仍然无法访问文件系统，[您无法访问您的文件系统](#unable-to-access)请参阅了解其他故障排除步骤。

## 无法使用 IP 地址访问文件系统
<a name="cant-connect-using-ip-address"></a>

如果您无法使用 IP 地址访问文件系统，请尝试改用 DNS 名称或关联的 DNS 别名。

通过选择 **Windows 文件服务器、网络和安全，您可以在[亚马逊 FSx 控制台](https://console.amazonaws.cn/fsx)上找到文件****系统的 DNS 名称和**任何关联的 DNS 别名。或者，您可以在 [CreateFileSystem](https://docs.amazonaws.cn/fsx/latest/APIReference/API_CreateFileSystem.html) 或 [DescribeFileSystems](https://docs.amazonaws.cn/fsx/latest/APIReference/API_DescribeFileSystems.html) API 操作的响应中找到它们。有关使用 DNS 别名的更多信息，请参阅[管理 DNS 别名](managing-dns-aliases.md)。
+ 对于加入 Amazon 托管 Microsoft 活动目录的单可用区文件系统，DNS 名称如下所示。

  ```
  fs-0123456789abcdef0.{{ad-domain}}.com
  ```
+ 加入自行管理的 Active Directory 的所有多可用区文件系统以及单可用区文件系统的 DNS 名称如下所示。

  ```
  amznfsxaa11bb22.{{ad-domain}}.com
  ```