对已加入自管 Active Directory 的文件系统进行故障 - Amazon FSx for Windows File Server
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅中国的 Amazon Web Services 服务入门

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

对已加入自管 Active Directory 的文件系统进行故障

Amazon FSx 无法访问自我管理的 AD DNS 服务器或域控制器。创建文件系统失败。

创建加入自管 Active Directory 的文件系统失败,并显示以下错误消息:

Amazon FSx can't reach the DNS servers provided or the domain controllers for
your self-managed directory in Microsoft Active Directory. File system creation failed. Amazon FSx is
unable to communicate with your Microsoft Active Directory domain controllers.
This is because Amazon FSx can't reach the DNS servers provided or domain controllers
for your domain. To fix this problem, delete your file system and create a new
one with valid DNS servers and networking configuration that allows traffic from
the file system to the domain controller.

使用以下步骤对问题进行故障排除和解决。

  1. 验证您是否遵守了在创建 Amazon FSx 文件系统的子网与自我管理的 Active Directory 之间建立网络连接和路由的先决条件。有关更多信息,请参阅 使用自行管理的 Microsoft AD 的先决条件

    使用亚马逊 FSx 活动目录验证工具以测试和验证这些网络设置。

    注意

    如果您已定义多个 Active Directory 站点,请确保在 Active Directory 站点中您 Amazon FSx 文件系统关联的 VPC 内定义了子网,并且 VPC 中的子网与您其他站点中的子网之间不存在 IP 冲突。您可以使用 Active Directory 站点和服务 MMC 管理单元查看和更改这些设置。

  2. 验证您配置了与 Amazon FSx 文件系统关联的 VPC 安全组以及任何 VPC 网络 ACL,以允许所有端口上的出站网络流量。

    注意

    如果您想实现最小的权限,则只能允许出站流量到达与 Active Directory 域控制器进行通信所需的特定端口。有关更多信息,请参阅 。Microsoft Active Directory 文档.

  3. 验证 Microsoft Windows 文件服务器或网络管理属性的值不包含非 -1 字符。例如,如果使用文件系统创建失败Domänen-Admins作为文件系统管理员组的名称。

  4. 验证 Active Directory 域的 DNS 服务器和域控制器是否处于活动状态,并能够响应对所提供域的请求。

  5. 确保活动目录域的功能级别为 Windows Server 2008 R2 或更高版本。

  6. 确保 Active Directory 域的域控制器上的防火墙规则允许来自 Amazon FSx 文件系统的流量。有关更多信息,请参阅 。Microsoft Active Directory 文档.

由于服务帐户凭据无效,无法连接到 Microsoft AD 域控制器

创建加入自管 Active Directory 的文件系统失败,并显示以下错误消息:

Amazon FSx is unable to establish a connection with your Microsoft 
Active Directory domain controllers because the service account credentials provided are 
invalid. To fix this problem, delete your file system and create a new one using a valid service 
account.

使用以下步骤对问题进行故障排除和解决。

  1. 验证您只输入用户名作为输入服务账户用户名之外的压缩算法(例如ServiceAcct,在自主管理的 Active Directory 配置中。

    重要

    不要包含域前缀 (corp.com\ServiceAcct) 或域后缀 (ServiceAcct@corp.com) 输入服务帐户用户名时。

    输入服务帐户用户名 (CN=) 时请勿使用判别名 (DN)ServiceAcct,OU = 示例,DC=Corp)。

  2. 验证您提供的服务帐户存在于 Active Directory 域中。

  3. 确保您向提供的服务帐户委派了所需的权限。服务帐户必须能够在您加入文件系统的域中的 OU 中创建和删除计算机对象。至少,服务帐户还需要具有执行以下操作的权限:

    • 重置密码

    • 限制帐户读取和写入数据

    • 已验证写入 DNS 主机名的能力

    • 已验证写入服务主体名称的能力

    有关创建具有正确权限的服务帐号的更多信息,请参阅 将权限委派给您的 Amazon FSx 服务账户 .

由于服务帐户权限不足,亚马逊 FSx 无法连接到 Microsoft AD 域控制器

创建加入自管 Active Directory 的文件系统失败,并显示以下错误消息:

Amazon FSx is unable to establish a connection with your
Microsoft Active Directory domain controllers. This is because the service account provided does not 
have permission to join the file system to the domain with the specified organizational unit. 
To fix this problem, delete your file system and create a new one using a service account with 
permission to join the file system to the domain with the specified organizational unit.

使用以下过程对问题进行故障排除和解决。

  • 确保您向提供的服务帐户委派了所需的权限。服务帐户必须能够在您加入文件系统的域中的 OU 中创建和删除计算机对象。至少,服务帐户还需要具有执行以下操作的权限:

    • 重置密码

    • 限制帐户读取和写入数据

    • 已验证写入 DNS 主机名的能力

    • 已验证写入服务主体名称的能力

    有关创建具有正确权限的服务帐号的更多信息,请参阅 将权限委派给您的 Amazon FSx 服务账户 .

Amazon FSx 无法连接到 Microsoft AD 域控制器,因为提供的服务帐户无法将任何计算机加入域

创建加入自管 Active Directory 的文件系统失败,并显示以下错误消息:

Amazon FSx can't establish a connection with your Microsoft Active Directory
domain controllers. This is because the service account provided has reached the
maximum number of computers that it can join to the domain. To fix this problem,
delete your file system and create a new one, supplying a service account that
is able to join new computers to the domain.

要解决此问题,请验证您提供的服务帐户是否已达到可加入域的最大计算机数量。如果已达到最大限制,请创建具有正确权限的新服务帐户。使用新的服务帐户并创建新的文件系统。有关更多信息,请参阅 将权限委派给您的 Amazon FSx 服务账户

Amazon FSx 无法连接到 Microsoft AD 域控制器,因为指定的组织单位不存在或无法访问

创建加入自管 Active Directory 的文件系统失败,并显示以下错误消息:

Amazon FSx can't establish a connection with your Microsoft Active Directory domain controller(s). 
This is because the organizational unit you specified either doesn't exist or isn't accessible 
to the service account provided. To fix this problem, delete your file system and create a new one specifying an 
organizational unit to which the service account can join the file system.

使用以下步骤对问题进行故障排除和解决。

  1. 验证您提供的 OU 是否位于 Active Directory 域中。

  2. 确保您已将所需的权限委派给您提供的服务帐户。服务帐户必须能够在您加入文件系统的域中的 OU 中创建和删除计算机对象。服务帐户至少还需要拥有执行以下操作的权限:

    • 重置密码

    • 限制帐户读取和写入数据

    • 已验证写入 DNS 主机名的能力

    • 已验证写入服务主体名称的能力

    • 授权创建和删除计算机对象的控制权

    • 已验证读写账户限制的能力

    有关创建具有正确权限的服务帐号的更多信息,请参阅 将权限委派给您的 Amazon FSx 服务账户 .

Amazon FSx 无法应用 Microsoft AD 配置,因为文件系统管理员组不存在或服务帐户无法访问

创建加入自管 Active Directory 的文件系统失败,并显示以下错误消息:

Amazon FSx is unable to apply your Microsoft Active Directory configuration. This is because the file system 
administrators group you provided either doesn't exist or isn't accessible to the service account you 
provided. To fix this problem, delete your file system and create a new one specifying a file 
system administrators group in the domain that is accessible to the service account 
provided.

使用以下步骤对问题进行故障排除和解决。

  1. 确保只提供组的名称作为管理员组参数的字符串。

    重要

    不要包含域前缀 (corp.com\FSxAdmins) 或域后缀 (FSxAdmins@corp.com) 提供组名参数时。

    请勿为组使用可分辨名称 (DN)。可分辨名称的一个例子是 CN=FSxAdmins,OU=example,DC=com。

  2. 确保提供的管理员组与要加入文件系统的域位于同一 Active Directory 域中。

  3. 如果您没有提供管理员组参数,Amazon FSx 会尝试使用Builtin Domain Admins在 Active Directory 域中的组。如果此组的名称已更改,或者如果您使用其他组进行域管理,则需要为该组提供该名称。

亚马逊 FSx 无法应用你的微软活动目录配置。

创建加入自管 Active Directory 的文件系统失败,并显示以下错误消息:

Amazon FSx is unable to apply your Microsoft Active 
Directory configuration. To fix this problem, delete your file system and create a new one 
meeting the pre-requisites described in the Amazon FSx user guide.

创建文件系统时,Amazon FSx 能够访问 Active Directory 域的 DNS 服务器和域控制器,并成功将文件系统加入到 Active Directory 域。但是,在完成文件系统创建过程中,Amazon FSx 会丢失与您域的连接或成员资格。使用以下步骤对问题进行故障排除和解决。

  1. 确保您的 Amazon FSx 文件系统和 Active Directory 之间继续存在网络连接。此外,通过使用路由规则、VPC 安全组规则、VPC 网络 ACL 和域控制器防火墙规则,确保它们之间继续允许网络流量。

  2. 确保 Amazon FSx 为 Active Directory 域中的文件系统创建的计算机对象仍处于活动状态,并且未被删除或以其他方式操纵。

创建文件系统失败。提供的服务帐户没有权限将文件系统加入到具有指定组织单位 (OU) 的域

创建加入自管 Active Directory 的文件系统失败,并显示以下错误消息:

File system creation failed. Amazon FSx is unable to establish a connection with your Microsoft Active Directory domain controller(s). 
This is because the service account provided does not have permission to join the file system to the domain with the specified 
organizational unit (OU). To fix this problem, delete your file system and create a new one using a service account with permission 
to create computer objects and reset passwords within the specified organizational unit.

确保您已将所需的权限委派给您提供的服务帐户。使用以下步骤对问题进行故障排除和解决。

服务帐户至少需要具有以下权限:

  • 授权控制权,以便在要加入文件系统的 OU 中创建和删除计算机对象

  • 在您要加入文件系统的 OU 中具有以下权限:

    • 能够重置密码

    • 能够限制帐户读取和写入数据

    • 已验证写入 DNS 主机名的能力

    • 已验证写入服务主体名称的能力

    有关创建具有正确权限的服务帐号的更多信息,请参阅 将权限委派给您的 Amazon FSx 服务账户 .

亚马逊 FSx 无法在指定的 Microsoft Active Directory 中创建文件系统。

创建加入自管 Active Directory 的文件系统失败,并显示以下错误消息:

File system creation failed. Amazon FSx is unable to create a file system within the specified
Microsoft Active Directory. To fix this problem, please delete your file system and create a new one
meeting the pre-requisites described in the Amazon FSx user guide.

亚马逊 FSx 不支持 Unicode 字符。验证所有创建参数都没有 Unicode 字符,例如重音符号。这包括可以留空的参数,其中自动填写默认值。确保 Active Directory 中的相应默认值也不包含 Unicode 字符。

如果您在使用 Amazon FSx 时遇到未列出的问题,请在Amazon FSx 论坛或联系Amazon Web Services Support.