文件系统加入自管理活动目录的疑难解答 - Amazon FSx for Windows File Server
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅中国的 Amazon Web Services 服务入门

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

文件系统加入自管理活动目录的疑难解答

亚马逊 FSx 无法访问自我管理的 AD DNS 服务器或域控制器。文件系统创建失败。

创建加入自管理 Active Directory 的文件系统失败,并显示以下错误消息:

Amazon FSx can't reach the DNS servers provided or the domain controllers for
your self-managed directory in Microsoft Active Directory. File system creation failed. Amazon FSx is
unable to communicate with your Microsoft Active Directory domain controllers.
This is because Amazon FSx can't reach the DNS servers provided or domain controllers
for your domain. To fix this problem, delete your file system and create a new
one with valid DNS servers and networking configuration that allows traffic from
the file system to the domain controller.

使用以下步骤对问题进行故障和解决问题。

  1. 验证您是否符合在要创建 Amazon FSx 文件系统的子网与自我管理的 Active Directory 之间建立网络连接和路由的先决条件。有关更多信息,请参阅 使用自行管理的 Microsoft AD 的先决条件

    使用亚马逊 FSx 活动目录验证工具来测试和验证这些网络设置。

    注意

    如果您已定义 Amazon FSx 文件系统,并且 VPC 内定义了子网,并且 VPC 内定义了子网,并且 VPC 内定义了子网,并且 VPC 内定义了子网,并且 VPC 中的子网与您其他站点中的子网之间不存在 IP 冲突。您可以使用 Active Directory 站点和服务 MMC 管理单元查看和更改这些设置。

  2. 确认您已将与 Amazon FSx 文件系统关联的 VPC 安全组以及任何 VPC 网络 ACL 配置为允许所有端口上的出站网络流量。

    注意

    如果要实现最低权限,则可以只允许出站流量流向与 Active Directory 域控制器通信所需的特定端口。有关更多信息,请参阅 。Microsoft Ac.

  3. 确认 Microsoft Windows 文件服务器或网络管理属性的值不包含非拉丁字符。例如,如果您使用Domänen-Admins作为文件系统管理员组的名称。

  4. 验证您的 Active Directory 域的 DNS 服务器和域控制器是否处于活动状态,并且能够响应针对所提供域的请求。

  5. 确保你的 Active Directory 域的功能级别为 Windows Server 2008 R2 或更高版本。

  6. 请确保 Active Directory 域的域控制器上的防火墙规则允许来自您的 Amazon FSx 文件系统的流量。有关更多信息,请参阅 。Microsoft Ac.

由于服务帐户凭据无效,无法连接到 Microsoft AD 域控制器

创建加入自管理 Active Directory 的文件系统失败,并显示以下错误消息:

Amazon FSx is unable to establish a connection with your Microsoft 
Active Directory domain controllers because the service account credentials provided are 
invalid. To fix this problem, delete your file system and create a new one using a valid service 
account.

使用以下步骤对问题进行故障和解决问题。

  1. 确认您只输入了用户名作为服务账户用户名之外的压缩算法(例如ServiceAcct,在自行管理的 Active Directory 配置中

    重要

    请勿包含域名前缀 (corp.com\ServiceAcct) 或域后缀 (ServiceAcct@corp.com) 输入服务帐号用户名时。

    输入服务帐户用户名时请勿使用唯一判别名 (DN) (CN=ServiceAcct,OU=xample,

  2. 验证您提供的服务帐户是否存在于 Active Directory 域中。

  3. 确保已将所需权限委派给您提供的服务帐号。服务帐户必须能够在您要加入文件系统的域中的 OU 中创建和删除计算机对象。服务帐号至少还需要具有执行以下操作的权限:

    • 重置密码

    • 限制账户读取和写入数据

    • 验证了写入 DNS 主机名的能力

    • 已验证写入服务主体名称的能力

    有关创建具有正确权限的服务帐号的更多信息,请参阅 将权限委派给您的 Amazon FSx 服务账户 .

由于服务账户权限不足,亚马逊 FSx 无法连接到 Microsoft AD 域控制器

创建加入自管理 Active Directory 的文件系统失败,并显示以下错误消息:

Amazon FSx is unable to establish a connection with your
Microsoft Active Directory domain controllers. This is because the service account provided does not 
have permission to join the file system to the domain with the specified organizational unit. 
To fix this problem, delete your file system and create a new one using a service account with 
permission to join the file system to the domain with the specified organizational unit.

使用以下过程排查并解决该问题。

  • 确保已将所需权限委派给您提供的服务帐号。服务帐户必须能够在您要加入文件系统的域中的 OU 中创建和删除计算机对象。服务帐号至少还需要具有执行以下操作的权限:

    • 重置密码

    • 限制账户读取和写入数据

    • 验证了写入 DNS 主机名的能力

    • 已验证写入服务主体名称的能力

    有关创建具有正确权限的服务帐号的更多信息,请参阅 将权限委派给您的 Amazon FSx 服务账户 .

Amazon FSx 无法连接到 Microsoft AD 域控制器,因为提供的服务帐户无法再将任何计算机加入该域

创建加入自管理 Active Directory 的文件系统失败,并显示以下错误消息:

Amazon FSx can't establish a connection with your Microsoft Active Directory
domain controllers. This is because the service account provided has reached the
maximum number of computers that it can join to the domain. To fix this problem,
delete your file system and create a new one, supplying a service account that
is able to join new computers to the domain.

要解决此问题,请验证您提供的服务帐户是否已达到它可以加入域的最大计算机数。如果已达到最大限制,请创建一个具有正确权限的新服务帐号。使用新的服务帐户并创建新的文件系统。有关更多信息,请参阅 将权限委派给您的 Amazon FSx 服务账户

Amazon FSx 无法连接到 Microsoft AD 域控制器,因为指定的组织单位不存在或无法访问

创建加入自管理 Active Directory 的文件系统失败,并显示以下错误消息:

Amazon FSx can't establish a connection with your Microsoft Active Directory domain controller(s). 
This is because the organizational unit you specified either doesn't exist or isn't accessible 
to the service account provided. To fix this problem, delete your file system and create a new one specifying an 
organizational unit to which the service account can join the file system.

使用以下步骤对问题进行故障和解决问题。

  1. 验证您提供的 OU 是否在活动目录域中。

  2. 确保您已将所需的权限委派给您提供的服务帐号。服务帐户必须能够在您要加入文件系统的域中的 OU 中创建和删除计算机对象。服务帐号还需要至少具有执行以下操作的权限:

    • 重置密码

    • 限制账户读取和写入数据

    • 验证了写入 DNS 主机名的能力

    • 已验证写入服务主体名称的能力

    • 被委派控制权以创建和删除计算机对象

    • 经过验证的读写能力账户限制

    有关创建具有正确权限的服务帐号的更多信息,请参阅 将权限委派给您的 Amazon FSx 服务账户 .

Amazon FSx 无法应用 Microsoft AD 配置,因为文件系统管理员组不存在或服务帐户无法访问

创建加入自管理 Active Directory 的文件系统失败,并显示以下错误消息:

Amazon FSx is unable to apply your Microsoft Active Directory configuration. This is because the file system 
administrators group you provided either doesn't exist or isn't accessible to the service account you 
provided. To fix this problem, delete your file system and create a new one specifying a file 
system administrators group in the domain that is accessible to the service account 
provided.

使用以下步骤对问题进行故障和解决问题。

  1. 确保您仅提供组的名称作为管理员组参数的字符串。

    重要

    请勿包含域名前缀 (corp.com\FSxAdmins) 或域后缀 (FSxAdmins@corp.com) 提供组名参数时。

    请不要使用组的可分辨名称 (DN)。唯一判别名的一个例子是 CN=FSxAdmins,OU=xample,

  2. 确保提供的管理员组与要加入文件系统的管理员组位于同一 Active Directory 域中。

  3. 如果您没有提供管理员组参数,Amazon FSx 会尝试使用Builtin Domain Admins在您的Active Directory 域中 如果此组的名称已更改,或者您正在使用其他组进行域管理,则需要为该组提供该名称。

亚马逊 FSx 无法应用你的微软活动目录配置。

创建加入自管理 Active Directory 的文件系统失败,并显示以下错误消息:

Amazon FSx is unable to apply your Microsoft Active 
Directory configuration. To fix this problem, delete your file system and create a new one 
meeting the pre-requisites described in the Amazon FSx user guide.

在创建文件系统时,Amazon FSx 能够访问您的 Active Directory 域的 DNS 服务器和域控制器,并将文件系统成功加入到您的 Active Directory 域。但是,在完成文件系统创建过程中,Amazon FSx 失去了与您的域的连接或成员资格。使用以下步骤对问题进行故障和解决问题。

  1. 确保您的 Amazon FSx 文件系统和 Active Directory 之间继续保持网络连接。并且,通过使用路由规则、VPC 安全组规则、VPC 网络 ACL 和域控制器防火墙规则,确保它们之间继续允许网络流量。

  2. 确保 Amazon FSx 为您在 Active Directory 域中的文件系统创建的计算机对象仍处于活动状态,并且未被删除或以其他方式被操纵。

文件系统创建失败。提供的服务帐户无权将文件系统加入到具有指定组织单位 (OU) 的域

创建加入自管理 Active Directory 的文件系统失败,并显示以下错误消息:

File system creation failed. Amazon FSx is unable to establish a connection with your Microsoft Active Directory domain controller(s). 
This is because the service account provided does not have permission to join the file system to the domain with the specified 
organizational unit (OU). To fix this problem, delete your file system and create a new one using a service account with permission 
to create computer objects and reset passwords within the specified organizational unit.

确保您已将所需的权限委派给您提供的服务帐号。使用以下步骤对问题进行故障和解决问题。

服务帐号至少需要具有以下权限:

  • 被委派控制权以在要加入文件系统的 OU 中创建和删除计算机对象

  • 在要加入文件系统的 OU 中具有以下权限:

    • 能够重置密码

    • 能够限制账户读取和写入数据

    • 验证了写入 DNS 主机名的能力

    • 已验证写入服务主体名称的能力

    有关创建具有正确权限的服务帐号的更多信息,请参阅 将权限委派给您的 Amazon FSx 服务账户 .

亚马逊 FSx 无法在指定的 Microsoft Active Directory 中创建文件系统。

创建加入自管理 Active Directory 的文件系统失败,并显示以下错误消息:

File system creation failed. Amazon FSx is unable to create a file system within the specified
Microsoft Active Directory. To fix this problem, please delete your file system and create a new one
meeting the pre-requisites described in the Amazon FSx user guide.

亚马逊 FSx 不支持 Unicode 字符。确认所有创建参数都不包含 Unicode 字符,例如重音符号。这包括在自动填充默认值的情况下可以留空的参数。确保活动目录中相应的默认值也不包含 Unicode 字符。

如果您在使用 Amazon FSx 时遇到未在此处列出的问题,请在Amazon FSx 论坛或联系Amazon Web Services SeSupport.