文件系统加入自管理ActiveDirectory的故障排除 - Amazon FSx for Windows File Server
AWS 文档中描述的 AWS 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅中国的 AWS 服务入门

如果我们为英文版本指南提供翻译,那么如果存在任何冲突,将以英文版本指南为准。在提供翻译时使用机器翻译。

文件系统加入自管理ActiveDirectory的故障排除

错误消息

Amazon FSx 无法访问提供的DNS服务器或中的自我管理目录的域控制器 Microsoft Active Directory. 文件系统创建失败。 Amazon FSx 无法与MicrosoftActiveDirectory域控制器通信。这是因为 Amazon FSx 无法访问提供的DNS服务器或域控制器。要解决此问题,请删除您的文件系统,然后创建一个具有有效DNS服务器和网络配置的新服务器,以允许从文件系统到域控制器的流量。

Resolution

使用以下工具可排除故障并解决问题。

  1. 验证您是否遵循在创建网络连通性的子网之间建立网络连通性和路由的前提条件 Amazon FSx 文件系统和您的自我管理ActiveDirectory。有关更多信息,请参阅使用自我管理的前提条件 Microsoft AD

    注意

    如果定义了多个ActiveDirectory站点,请确保VPC中的子网与您的 Amazon FSx 文件系统在ActiveDirectory站点中定义,并且VPC中的子网和其他站点中的子网之间不存在IP冲突。您可以使用ActiveDirectory站点和服务MMC嵌入式管理单元查看和更改这些设置。

  2. 验证您已配置了与关联的VPC安全组 Amazon FSx 文件系统以及任何VPC网络ACL,以允许所有端口上的出站网络流量。

    注意

    如果要实施最小权限,您可以只允许出站流量到与ActiveDirectory域控制器通信所需的特定端口。有关更多信息,请参见 MicrosoftActiveDirectory文档.

  3. 验证AD域的DNS服务器和域控制器是否处于活动状态,是否能够响应对提供的域的请求。

  4. 确保您的AD域的功能级别为WindowsServer2008R2或更高版本。

  5. 确保AD域的域控制器上的防火墙规则允许来自 Amazon FSx 文件系统。有关更多信息,请参见 MicrosoftActiveDirectory文档.

错误消息

Amazon FSx 无法与MicrosoftActiveDirectory域控制器建立连接,因为提供的服务帐户凭证无效。要解决此问题,请删除您的文件系统并使用有效的服务帐户创建新文件系统。

Resolution

使用以下工具可排除故障并解决问题。

  1. 验证您是否仅输入用户名, 服务帐户用户名,例如 ServiceAcct,在自动管理的ActiveDirectory配置中。

    重要

    请勿包含域前缀(corp.com\ServiceAcct)或域后缀(ServiceAcct@corp.com)时,输入服务帐户用户名。

    在输入服务帐户用户名时,请勿使用可分辨名称(DN)(CN=ServiceAcct,OU=example,DC=corp,DC=com)。

  2. 验证AD域中是否存在您提供的服务帐户。

  3. 请确保您将所需的权限委派给您提供的服务帐户。服务帐户必须能够在您要加入文件系统的域中创建和删除OU中的计算机对象。服务帐户至少还需要具有执行以下操作的权限:

    • 重置密码

    • 限制账户读写数据

    • 验证写入DNS主机名的能力

    • 已验证写入服务主体名称的能力

    有关创建具有正确权限的服务帐户的更多信息,请参阅 将特权授予您的 Amazon FSx 服务帐户 .

错误消息

Amazon FSx 无法与MicrosoftActiveDirectory域控制器建立连接。这是因为所提供的服务帐户无权使用指定的组织单元将文件系统加入域。要解决此问题,请删除文件系统,并使用具有将文件系统加入指定组织单元域权限的服务帐户创建新的文件系统。

Resolution

使用以下步骤对问题进行故障排除和解决。

  • 请确保您将所需的权限委派给您提供的服务帐户。服务帐户必须能够在您要加入文件系统的域中创建和删除OU中的计算机对象。服务帐户至少还需要具有执行以下操作的权限:

    • 重置密码

    • 限制账户读写数据

    • 验证写入DNS主机名的能力

    • 已验证写入服务主体名称的能力

    有关创建具有正确权限的服务帐户的更多信息,请参阅 将特权授予您的 Amazon FSx 服务帐户 .

错误消息

Amazon FSx 无法与MicrosoftActiveDirectory域控制器建立连接。这是因为所提供的服务帐户已达到其可以加入域的最大计算机数量。要解决此问题,请删除您的文件系统并创建新的文件系统,从而提供一个能够将新计算机加入域的服务帐户。

Resolution

使用以下步骤对问题进行故障排除和解决。

  • 确保您提供的服务帐户未达到可加入域的最大计算机数量。如果已达到最大限制,请创建新具有正确权限的服务帐户。有关更多信息,请参阅 将特权授予您的 Amazon FSx 服务帐户

错误消息

Amazon FSx 无法与MicrosoftActiveDirectory域控制器建立连接。这是因为您指定的组织单位不存在或无法访问提供的服务帐户。要解决此问题,请删除文件系统,并创建一个新的文件系统,指定服务帐户可以加入文件系统的组织单位。

Resolution

使用以下步骤对问题进行故障排除和解决。

  1. 验证您提供的OU是否在ActiveDirectory域内。

  2. 请确保您将所需的权限委派给您提供的服务帐户。服务帐户必须能够在您要加入文件系统的域中创建和删除OU中的计算机对象。服务帐户至少还需要具有执行以下操作的权限:

    • 重置密码

    • 限制账户读写数据

    • 验证写入DNS主机名的能力

    • 已验证写入服务主体名称的能力

    有关创建具有正确权限的服务帐户的更多信息,请参阅 将特权授予您的 Amazon FSx 服务帐户 .

错误消息

Amazon FSx 无法应用您的MicrosoftActiveDirectory配置。这是因为您提供的文件系统管理员组不存在或无法访问您提供的服务帐户。要解决此问题,请删除文件系统,并在域中创建一个指定文件系统管理员组的新系统,该组可由提供的服务帐户访问。

Resolution

使用以下步骤对问题进行故障排除和解决。

  1. 确保只提供组名称作为管理员组参数的字符串。

    重要

    请勿包含域前缀(corp.com\FSxAdmins)或域后缀(FSxAdmins@corp.com)提供组名称参数。

    请勿使用组的可分辨名称(DN)。可分辨名称的一个示例是CN=FSxAdmins,OU=example,DC=corp,DC=com。

  2. 确保提供的管理员组与您尝试加入文件系统的管理员组位于相同的ActiveDirectory域中。

  3. 如果您没有提供管理员组参数, Amazon FSx 尝试使用 Builtin Domain Admins 分组。如果此组的名称已更改,或者您正在使用其他组进行域管理,则需要为组提供该名称。

错误消息

Amazon FSx 无法应用您的MicrosoftActiveDirectory配置。要解决此问题,请删除文件系统,然后创建新的满足 Amazon FSx 用户指南。

Resolution

在创建文件系统时, Amazon FSx 能够访问您的AD域DNS服务器和域控制器,并成功将文件系统加入AD域。但是,在完成文件系统创建时, Amazon FSx 失去与域的连接或成员资格。使用以下工具可排除故障并解决问题。

  1. 确保您的 Amazon FSx 文件系统和您的ActiveDirectory。并且,通过使用路由规则、VPC安全组规则、VPC网络ACL和域控制器防火墙规则,确保他们之间继续允许网络流量。

  2. 确保由创建的计算机对象 Amazon FSx 您的AD域中的文件系统仍然处于活动状态,并且没有被删除或以其他方式操作。

错误消息

文件系统创建失败。AmazonFSx无法与您的MicrosoftActiveDirectory域控制器建立连接。这是因为所提供的服务帐户无权使用指定的组织单位(OU)将文件系统加入域。要解决此问题,请删除您的文件系统,并使用具有在指定组织单位内创建计算机对象和重置密码权限的服务帐户创建新的文件系统。

Resolution

请确保您将所需的权限委派给您提供的服务帐户。使用以下工具可排除故障并解决问题。

服务帐户至少需要具有以下权限:

  • 被委派控制,以创建和删除您要将文件系统加入的OU中的计算机对象

  • 在OU中拥有您即将加入文件系统的以下权限:

    • 能够重置密码

    • 能够限制账户读取和写入数据

    • 验证写入DNS主机名的能力

    • 已验证写入服务主体名称的能力

    有关创建具有正确权限的服务帐户的更多信息,请参阅 将特权授予您的 Amazon FSx 服务帐户 .

如果您在使用时遇到了此处未列出的问题 Amazon FSx,请在 Amazon FSx 论坛 或联系 AWS支持.