对加入自管理活动目录的文件系统进行故障排除 - Amazon FSx for Windows File Server
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅中国的 Amazon Web Services 服务入门

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

对加入自管理活动目录的文件系统进行故障排除

Amazon FSx 无法访问自主管理的 AD DNS 服务器或域控制器。创建文件系统失败。

创建加入自我管理的 Active Directory 的文件系统失败,并显示以下错误消息:

Amazon FSx can't reach the DNS servers provided or the domain controllers for
your self-managed directory in Microsoft Active Directory. File system creation failed. Amazon FSx is
unable to communicate with your Microsoft Active Directory domain controllers.
This is because Amazon FSx can't reach the DNS servers provided or domain controllers
for your domain. To fix this problem, delete your file system and create a new
one with valid DNS servers and networking configuration that allows traffic from
the file system to the domain controller.

请使用以下步骤对问题进行故障排除。

  1. 确认您遵循了在创建 Amazon FSx 文件系统的子网和您自行管理的 Active Directory 之间建立网络连接和路由的先决条件。有关更多信息,请参阅使用自行管理的 Microsoft AD 的先决条件

    使用 Amazon FSx Active Directory 验证工具测试和验证这些网络设置。

    注意

    如果您定义了多个 Active Directory 站点,请确保 VPC 中与您的 Amazon FSx 文件系统关联的子网在 Active Directory 站点中定义,并且您的 VPC 中的子网与其他站点中的子网之间不存在 IP 冲突。您可以使用 Active Directory 站点和服务 MMC 管理单元查看和更改这些设置。

  2. 确认您已将与 Amazon FSx 文件系统关联的 VPC 安全组以及任何 VPC 网络 ACL 配置为允许所有端口上的出站网络流量。

    注意

    如果要实现最低权限,则只能允许出站流量流向与 Active Directory 域控制器通信所需的特定端口。有关更多信息,请参阅微软的 Active Directory 文档

  3. 确认 Microsoft Windows 文件服务器或网络管理属性的值不包含非 Latin-1 字符。例如,如果您使用文件系统管理员组的名称Domänen-Admins,则文件系统创建将失败。

  4. 验证您的 Active Directory 域的 DNS 服务器和域控制器是否处于活动状态并且能够响应对所提供域的请求。

  5. 确保 Active Directory 域的功能级别为 Windows Server 2008 R2 或更高版本。

  6. 确保您的 Active Directory 域控制器上的防火墙规则允许来自您的 Amazon FSx 文件系统的流量。有关更多信息,请参阅微软的 Active Directory 文档

由于服务帐户凭据无效,无法连接到 Microsoft AD 域控制器

创建加入自我管理的 Active Directory 的文件系统失败,并显示以下错误消息:

Amazon FSx is unable to establish a connection with your Microsoft 
Active Directory domain controllers because the service account credentials provided are 
invalid. To fix this problem, delete your file system and create a new one using a valid service 
account.

请使用以下步骤对问题进行故障排除。

  1. 确认您仅输入用户名作为服务帐户用户名的输入,例如ServiceAcct在自我管理的 Active Directory 配置中。

    重要

    输入服务帐户用户名时,请勿包含域前缀 (corp.com\ServiceAcctServiceAcct@corp.com) 或域后缀 ()。

    在输入服务帐户用户名(CN=ServiceAcct、OU=Example、dc=Corp、dc=com)时,请勿使用可分辨名 (DN)。

  2. 验证您提供的服务帐户是否存在于您的 Active Directory 域中。

  3. 确保将所需权限委托给您提供的服务帐号。服务帐户必须能够在您加入文件系统的域中的 OU 中创建和删除计算机对象。服务帐号还需要至少具有执行以下操作的权限:

    • 重置密码

    • 限制账户读取和写入数据

    • 已验证写入 DNS 主机名的能力

    • 已验证写入服务主体名称的能力

    有关创建具有正确权限的服务帐号的更多信息,请参阅 将权限委派给您的 Amazon FSx 服务账户

由于服务账户权限不足,亚马逊 FSx 无法连接到 Microsoft AD 域控制器

创建加入自我管理的 Active Directory 的文件系统失败,并显示以下错误消息:

Amazon FSx is unable to establish a connection with your
Microsoft Active Directory domain controllers. This is because the service account provided does not 
have permission to join the file system to the domain with the specified organizational unit. 
To fix this problem, delete your file system and create a new one using a service account with 
permission to join the file system to the domain with the specified organizational unit.

请使用以下过程对问题进行故障排除。

  • 确保将所需权限委托给您提供的服务帐号。服务帐户必须能够在您加入文件系统的域中的 OU 中创建和删除计算机对象。服务帐号还需要至少具有执行以下操作的权限:

    • 重置密码

    • 限制账户读取和写入数据

    • 已验证写入 DNS 主机名的能力

    • 已验证写入服务主体名称的能力

    有关创建具有正确权限的服务帐号的更多信息,请参阅 将权限委派给您的 Amazon FSx 服务账户

Amazon FSx 无法连接到 Microsoft AD 域控制器,因为提供的服务账户无法再将任何计算机加入该域

创建加入自我管理的 Active Directory 的文件系统失败,并显示以下错误消息:

Amazon FSx can't establish a connection with your Microsoft Active Directory
domain controllers. This is because the service account provided has reached the
maximum number of computers that it can join to the domain. To fix this problem,
delete your file system and create a new one, supplying a service account that
is able to join new computers to the domain.

要解决此问题,请验证您提供的服务帐户是否已达到其可以加入该域的最大计算机数量。如果已达到最大限制,请创建一个具有正确权限的新服务帐号。使用新的服务帐户并创建新的文件系统。有关更多信息,请参阅 将权限委派给您的 Amazon FSx 服务账户

Amazon FSx 无法连接到 Microsoft AD 域控制器,因为指定的组织单位不存在或不可访问

创建加入自我管理的 Active Directory 的文件系统失败,并显示以下错误消息:

Amazon FSx can't establish a connection with your Microsoft Active Directory domain controller(s). 
This is because the organizational unit you specified either doesn't exist or isn't accessible 
to the service account provided. To fix this problem, delete your file system and create a new one specifying an 
organizational unit to which the service account can join the file system.

请使用以下步骤对问题进行故障排除。

  1. 验证您提供的 OU 是否在您的 Active Directory 域中。

  2. 确保您已将所需权限委托给您提供的服务帐号。服务帐户必须能够在您加入文件系统的域中的 OU 中创建和删除计算机对象。服务帐号还需要至少具有权限才能执行以下操作:

    • 重置密码

    • 限制账户读取和写入数据

    • 已验证写入 DNS 主机名的能力

    • 已验证写入服务主体名称的能力

    • 获得创建和删除计算机对象的委托控制权

    • 已验证读取和写入 “账户限制” 的能力

    有关创建具有正确权限的服务帐号的更多信息,请参阅 将权限委派给您的 Amazon FSx 服务账户

Amazon FSx 无法应用 Microsoft AD 配置,因为文件系统管理员组不存在或者服务账户无法访问

创建加入自我管理的 Active Directory 的文件系统失败,并显示以下错误消息:

Amazon FSx is unable to apply your Microsoft Active Directory configuration. This is because the file system 
administrators group you provided either doesn't exist or isn't accessible to the service account you 
provided. To fix this problem, delete your file system and create a new one specifying a file 
system administrators group in the domain that is accessible to the service account 
provided.

请使用以下步骤对问题进行故障排除。

  1. 确保您仅提供群组名称作为管理员群组参数的字符串。

    重要

    在提供组名参数时,请勿包含域前缀 (corp.com\FSxAdminsFSxAdmins@corp.com) 或域后缀 ()。

    请勿使用该组的可分辨名称 (DN)。可分辨名称的一个示例是 CN=FSxAdmins、ou=Example、dc=Corp、dc=com。

  2. 确保提供的管理员组与您要加入文件系统的管理员组位于同一 Active Directory 域中。

  3. 如果您没有提供管理员组参数,Amazon FSx 会尝试在您的 Active Directory 域中使用该Builtin Domain Admins群组。如果此组的名称已更改,或者您使用其他组进行域管理,则需要为该组提供该名称。

亚马逊 FSx 无法应用你的微软 Active Directory 配置。

创建加入自我管理的 Active Directory 的文件系统失败,并显示以下错误消息:

Amazon FSx is unable to apply your Microsoft Active 
Directory configuration. To fix this problem, delete your file system and create a new one 
meeting the pre-requisites described in the Amazon FSx user guide.

创建文件系统时,Amazon FSx 能够访问您的 Active Directory 域的 DNS 服务器和域控制器,并将文件系统成功加入您的 Active Directory 域。但是,在完成文件系统创建时,Amazon FSx 失去了与您的域的连接或您的域成员资格。请使用以下步骤对问题进行故障排除。

  1. 确保您的 Amazon FSx 文件系统与 Active Directory 之间继续存在网络连接。并且,使用路由规则、VPC 安全组规则、VPC 网络 ACL 和域控制器防火墙规则,确保它们之间继续允许网络流量。

  2. 确保 Amazon FSx 为您的 Active Directory 域中的文件系统创建的计算机对象仍处于活动状态,并且未被删除或以其他方式操纵。

创建文件系统失败。提供的服务帐户无权将文件系统加入指定组织单位 (OU) 的域

创建加入自我管理的 Active Directory 的文件系统失败,并显示以下错误消息:

File system creation failed. Amazon FSx is unable to establish a connection with your Microsoft Active Directory domain controller(s). 
This is because the service account provided does not have permission to join the file system to the domain with the specified 
organizational unit (OU). To fix this problem, delete your file system and create a new one using a service account with permission 
to create computer objects and reset passwords within the specified organizational unit.

确保您已将所需权限委托给您提供的服务帐号。请使用以下步骤对问题进行故障排除。

服务帐号至少需要具有以下权限:

  • 获得委托控制权,在您要加入文件系统的 OU 中创建和删除计算机对象

  • 在您要加入文件系统的 OU 中拥有以下权限:

    • 能够重置密码

    • 能够限制账户读取和写入数据

    • 已验证写入 DNS 主机名的能力

    • 已验证写入服务主体名称的能力

    有关创建具有正确权限的服务帐号的更多信息,请参阅 将权限委派给您的 Amazon FSx 服务账户

亚马逊 FSx 无法在指定的微软 Active Directory 中创建文件系统。

创建加入自我管理的 Active Directory 的文件系统失败,并显示以下错误消息:

File system creation failed. Amazon FSx is unable to create a file system within the specified
Microsoft Active Directory. To fix this problem, please delete your file system and create a new one
meeting the pre-requisites described in the Amazon FSx user guide.

亚马逊 FSx 不支持 Unicode 字符。验证所有创建参数均不包含 Unicode 字符,例如重音符号。这包括可以留空的参数,其中自动填入默认值。确保 Active Directory 中相应的默认值也不包含 Unicode 字符。

如果您在使用 Amazon FSx 时遇到此处未列出的问题,请在亚马逊 FS x 论坛提问或联系Amazon Web Services Suppor t。