对加入自我管理活动目录的文件系统进行故障排除 - Amazon FSx for Windows File Server
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅中国的 Amazon Web Services 服务入门

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

对加入自我管理活动目录的文件系统进行故障排除

Amazon FSX 无法访问自我管理的 AD DNS 服务器或域控制器。创建文件系统失败。

创建加入到自我管理的活动目录的文件系统失败,并显示以下错误消息:

Amazon FSx can't reach the DNS servers provided or the domain controllers for
your self-managed directory in Microsoft Active Directory. File system creation failed. Amazon FSx is
unable to communicate with your Microsoft Active Directory domain controllers.
This is because Amazon FSx can't reach the DNS servers provided or domain controllers
for your domain. To fix this problem, delete your file system and create a new
one with valid DNS servers and networking configuration that allows traffic from
the file system to the domain controller.

使用以下步骤来解决问题并解决问题。

  1. 验证您是否遵循了在创建 Amazon FSX 文件系统的子网和自我管理的 Active Directory 之间建立网络连接和路由的先决条件。有关更多信息,请参阅 使用自我管理的微软 AD 的先决条件

    使用亚马逊 FSX 活动目录验证工具来测试和验证这些网络设置。

    注意

    如果您已定义多个 Active Directory 站点,请确保在 Active Directory 站点中与 Amazon FSx 文件系统关联的 VPC 内定义了子网,并且 VPC 中的子网与您其他站点中的子网之间不存在 IP 冲突。可以使用 Active Directory 站点和服务 MMC 管理单元查看和更改这些设置。

  2. 验证您是否配置了与 Amazon FSX 文件系统关联的 VPC 安全组以及任何 VPC 网络 ACL,以允许所有端口上的出站网络流量。

    注意

    如果要实现最小权限,则只能允许出站流量到与 Active Directory 域控制器通信所需的特定端口。有关更多信息,请参阅 。Microsoft Active Directory 文档

  3. 验证 Microsoft Windows 文件服务器或网络管理属性的值不包含非拉丁 1 字符。例如,文件系统创建失败,如果您使用Domänen-Admins作为文件系统管理员组的名称。

  4. 验证 Active Directory 域的 DNS 服务器和域控制器是否处于活动状态,并且能够响应所提供的域的请求。

  5. 请确保活动目录域的功能级别是 Windows 服务器 2008 R2 或更高版本。

  6. 确保 Active Directory 域控制器上的防火墙规则允许来自 Amazon FSX 文件系统的流量。有关更多信息,请参阅 。Microsoft Active Directory 文档

由于服务帐户凭据无效,无法连接到 Microsoft AD 域控制器

创建加入到自我管理的活动目录的文件系统失败,并显示以下错误消息:

Amazon FSx is unable to establish a connection with your Microsoft 
Active Directory domain controllers because the service account credentials provided are 
invalid. To fix this problem, delete your file system and create a new one using a valid service 
account.

使用以下步骤来解决问题并解决问题。

  1. 验证您是否仅输入用户名作为服务账户用户名之外的压缩算法(例如ServiceAcct,在自行管理的 Active Directory 配置中。

    重要

    请勿包含域前缀 (corp.com\ServiceAcct) 或域后缀 (ServiceAcct@corp.com)输入服务帐户用户名时。

    输入服务帐户用户名时不要使用可分辨名称 (DN) (CN= 服务帐户,OU = 示例,DC= 公司,DC=com)。

  2. 验证您提供的服务帐户是否存在于您的活动目录域中。

  3. 请确保您将所需的权限委派给您提供的服务帐户。服务帐户必须能够在要加入文件系统的域中的 OU 中创建和删除计算机对象。服务帐户还需要具有执行以下操作的权限:

    • 重置密码

    • 限制帐户读取和写入数据

    • 已验证写入 DNS 主机名的能力

    • 已验证的写入服务主体名称的能力

    有关创建具有正确权限的服务帐户的更多信息,请参阅 向您的亚马逊 FSX 服务账户委派权限

由于服务帐户权限不足,Amazon FSX 无法连接到微软 AD 域控制器

创建加入到自我管理的活动目录的文件系统失败,并显示以下错误消息:

Amazon FSx is unable to establish a connection with your
Microsoft Active Directory domain controllers. This is because the service account provided does not 
have permission to join the file system to the domain with the specified organizational unit. 
To fix this problem, delete your file system and create a new one using a service account with 
permission to join the file system to the domain with the specified organizational unit.

使用以下过程来解决问题并解决问题。

  • 请确保您将所需的权限委派给您提供的服务帐户。服务帐户必须能够在要加入文件系统的域中的 OU 中创建和删除计算机对象。服务帐户还需要具有执行以下操作的权限:

    • 重置密码

    • 限制帐户读取和写入数据

    • 已验证写入 DNS 主机名的能力

    • 已验证的写入服务主体名称的能力

    有关创建具有正确权限的服务帐户的更多信息,请参阅 向您的亚马逊 FSX 服务账户委派权限

Amazon FSX 无法连接到 Microsoft AD 域控制器,因为提供的服务帐户无法将任何更多的计算机加入到域

创建加入到自我管理的活动目录的文件系统失败,并显示以下错误消息:

Amazon FSx can't establish a connection with your Microsoft Active Directory
domain controllers. This is because the service account provided has reached the
maximum number of computers that it can join to the domain. To fix this problem,
delete your file system and create a new one, supplying a service account that
is able to join new computers to the domain.

要解决此问题,请验证您提供的服务帐户是否已达到它可以加入到域的最大计算机数。如果已达到最大限制,请创建具有正确权限的新服务帐户。使用新服务帐户并创建新的文件系统。有关更多信息,请参阅 向您的亚马逊 FSX 服务账户委派权限

Amazon FSX 无法连接到 Microsoft AD 域控制器,因为指定的组织单位不存在或无法访问

创建加入到自我管理的活动目录的文件系统失败,并显示以下错误消息:

Amazon FSx can't establish a connection with your Microsoft Active Directory domain controller(s). 
This is because the organizational unit you specified either doesn't exist or isn't accessible 
to the service account provided. To fix this problem, delete your file system and create a new one specifying an 
organizational unit to which the service account can join the file system.

使用以下步骤来解决问题并解决问题。

  1. 验证您提供的 OU 是否位于活动目录域中。

  2. 请确保您已将所需的权限委派给您提供的服务帐户。服务帐户必须能够在要加入文件系统的域中的 OU 中创建和删除计算机对象。服务帐户还需要至少具有执行以下操作的权限:

    • 重置密码

    • 限制帐户读取和写入数据

    • 已验证写入 DNS 主机名的能力

    • 已验证的写入服务主体名称的能力

    • 委派控制权来创建和删除计算机对象

    • 经验证的读取和写入账户限制的能力

    有关创建具有正确权限的服务帐户的更多信息,请参阅 向您的亚马逊 FSX 服务账户委派权限

Amazon FSX 无法应用 Microsoft AD 配置,因为文件系统管理员组不存在或服务帐户无法访问

创建加入到自我管理的活动目录的文件系统失败,并显示以下错误消息:

Amazon FSx is unable to apply your Microsoft Active Directory configuration. This is because the file system 
administrators group you provided either doesn't exist or isn't accessible to the service account you 
provided. To fix this problem, delete your file system and create a new one specifying a file 
system administrators group in the domain that is accessible to the service account 
provided.

使用以下步骤来解决问题并解决问题。

  1. 确保您仅提供组的名称作为管理员组参数的字符串。

    重要

    请勿包含域前缀 (corp.com\FSxAdmins) 或域后缀 (FSxAdmins@corp.com)提供组名称参数时。

    请勿使用该组的可分辨名称 (DN)。可分辨名称的示例是 CN=FSxdmins, OU=例, DC=corp, DC=com。

  2. 确保提供的管理员组与要将文件系统加入到的管理员组位于同一 Active Directory 域中。

  3. 如果您未提供管理员组参数,Amazon FSX 会尝试使用Builtin Domain Admins组中的 Active Directory 域中。如果此组的名称已更改,或者如果您使用不同的组进行域管理,则需要为该组提供该名称。

亚马逊 FSX 无法应用您的微软活动目录配置。

创建加入到自我管理的活动目录的文件系统失败,并显示以下错误消息:

Amazon FSx is unable to apply your Microsoft Active 
Directory configuration. To fix this problem, delete your file system and create a new one 
meeting the pre-requisites described in the Amazon FSx user guide.

创建文件系统时,Amazon FSX 能够访问您的活动目录域的 DNS 服务器和域控制器,并成功将文件系统加入到您的活动目录域。但是,在完成文件系统创建过程中,Amazon FSX 会失去与您的域的连接或成员资格。使用以下步骤来解决问题并解决问题。

  1. 确保您的 Amazon FSX 文件系统和活动目录之间继续存在网络连接。并且,通过使用路由规则、VPC 安全组规则、VPC 网络 ACL 和域控制器防火墙规则,确保它们之间继续允许网络流量。

  2. 确保 Amazon FSX 为您的 Active Directory 域中的文件系统创建的计算机对象仍处于活动状态,并且未被删除或以其他方式操作。

创建文件系统失败。提供的服务帐户没有权限将文件系统加入到具有指定组织单位 (OU) 的域

创建加入到自我管理的活动目录的文件系统失败,并显示以下错误消息:

File system creation failed. Amazon FSx is unable to establish a connection with your Microsoft Active Directory domain controller(s). 
This is because the service account provided does not have permission to join the file system to the domain with the specified 
organizational unit (OU). To fix this problem, delete your file system and create a new one using a service account with permission 
to create computer objects and reset passwords within the specified organizational unit.

请确保您已将所需的权限委派给您提供的服务帐户。使用以下步骤来解决问题并解决问题。

服务帐户至少需要具有以下权限:

  • 委派控制权来创建和删除要将文件系统加入到的 OU 中的计算机对象

  • 在要加入文件系统的 OU 中具有以下权限:

    • 重置密码的功能

    • 能够限制账户读取和写入数据

    • 已验证写入 DNS 主机名的能力

    • 已验证的写入服务主体名称的能力

    有关创建具有正确权限的服务帐户的更多信息,请参阅 向您的亚马逊 FSX 服务账户委派权限

亚马逊 FSX 无法在指定的微软活动目录中创建文件系统。

创建加入到自我管理的活动目录的文件系统失败,并显示以下错误消息:

File system creation failed. Amazon FSx is unable to create a file system within the specified
Microsoft Active Directory. To fix this problem, please delete your file system and create a new one
meeting the pre-requisites described in the Amazon FSx user guide.

亚马逊 FSX 不支持 Unicode 字符。验证所有创建参数都没有 Unicode 字符,例如重音符号。这包括在自动填充默认值的情况下可以留空的参数。确保活动目录中的相应默认值也不包含 Unicode 字符。

如果您在使用 Amazon FSX 时遇到此处未列出的问题,请在Amazon FSx 论坛或联系Amazon Web Services Support