Fehlerbehebung: Probleme beim Verbinden des Gateways mit Active Directory - AWS Storage Gateway
Stellen Sie sicher, dass das Gateway den Domänencontroller erreichen kann, indem Sie einen NPING-Test ausführenÜberprüfen Sie die für die VPC Ihrer Amazon EC2 Gateway-Instance festgelegten DHCP-OptionenVergewissern Sie sich, dass das Gateway die Domain auflösen kann, indem Sie eine Dig-Abfrage ausführenÜberprüfen Sie die Einstellungen und Rollen des DomänencontrollersStellen Sie sicher, dass das Gateway mit dem nächstgelegenen Domänencontroller verbunden istVergewissern Sie sich, dass Active Directory neue Computerobjekte in der Standard-Organisationseinheit (OU) erstelltÜberprüfen Sie die Ereignisprotokolle Ihres Domänencontrollers

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Fehlerbehebung: Probleme beim Verbinden des Gateways mit Active Directory

Verwenden Sie die folgenden Informationen zur Problembehandlung, um zu ermitteln, was zu tun ist, wenn Sie Fehlermeldungen wieNETWORK_ERROR,TIMEOUT, oder erhalten, ACCESS_DENIED wenn Sie versuchen, Ihr File Gateway mit einer Microsoft Active Directory-Domäne zu verbinden.

Führen Sie die folgenden Prüfungen und Konfigurationen durch, um diese Fehler zu beheben.

Stellen Sie sicher, dass das Gateway den Domänencontroller erreichen kann, indem Sie einen NPING-Test ausführen

So führen Sie einen NPING-Test durch:

  1. Stellen Sie mit Ihrer Hypervisor-Verwaltungssoftware (VMwareHyper-V oder KVM) für lokale Gateways oder mit SSH für Amazon-Gateways eine Connect zur lokalen Gateway-Konsole her. EC2

  2. Geben Sie die entsprechende Zahl ein, um die Gateway-Konsole auszuwählen, und geben Sie dann die Eingabetaste ein, um alle verfügbaren Befehle aufzulisten. h Führen Sie den folgenden Befehl aus, um die Konnektivität zwischen der virtuellen Storage Gateway Gateway-Maschine und der Domäne zu testen:

    nping -d corp.domain.com -p 389 -c 1 -t tcp

    Anmerkung

    corp.domain.comErsetzen Sie es durch den DNS-Namen Ihrer Active Directory-Domäne und 389 ersetzen Sie es durch den LDAP-Port für Ihre Umgebung.

    Stellen Sie sicher, dass Sie die erforderlichen Ports innerhalb Ihrer Firewall geöffnet haben.

Im Folgenden finden Sie ein Beispiel für einen erfolgreichen NPING-Test, bei dem das Gateway den Domänencontroller erreichen konnte:

nping -d corp.domain.com -p 389 -c 1 -t tcp

Starting Nping 0.6.40 ( http://nmap.org/nping ) at 2022-06-30 16:24 UTC
SENT (0.0553s) TCP 10.10.10.21:9783 > 10.10.10.10:389 S ttl=64 id=730 iplen=40  seq=2597195024 win=1480 
RCVD (0.0556s) TCP 10.10.10.10:389 > 10.10.10.21:9783 SA ttl=128 id=22332 iplen=44  seq=4170716243 win=8192 <mss 8961>

Max rtt: 0.310ms | Min rtt: 0.310ms | Avg rtt: 0.310ms
Raw packets sent: 1 (40B) | Rcvd: 1 (44B) | Lost: 0 (0.00%)
Nping done: 1 IP address pinged in 1.09 seconds<br>

Im Folgenden finden Sie ein Beispiel für einen NPING-Test, bei dem keine Konnektivität zum Ziel besteht oder keine Antwort vom corp.domain.com Ziel erfolgt:

nping -d corp.domain.com -p 389 -c 1 -t tcp

Starting Nping 0.6.40 ( http://nmap.org/nping ) at 2022-06-30 16:26 UTC
SENT (0.0421s) TCP 10.10.10.21:47196 > 10.10.10.10:389  S ttl=64 id=30318 iplen=40 seq=1762671338 win=1480

Max rtt: N/A | Min rtt: N/A | Avg rtt: N/A
Raw packets sent: 1 (40B) | Rcvd: 0 (0B) | Lost: 1 (100.00%)
Nping done: 1 IP address pinged in 1.07 seconds

Überprüfen Sie die für die VPC Ihrer Amazon EC2 Gateway-Instance festgelegten DHCP-Optionen

Wenn das File Gateway auf einer EC2 Amazon-Instance läuft, müssen Sie sicherstellen, dass ein DHCP-Optionssatz ordnungsgemäß konfiguriert und an die Amazon Virtual Private Cloud (VPC) angehängt ist, die die Gateway-Instance enthält. Weitere Informationen finden Sie unter DHCP-Optionssätze in Amazon VPC.

Vergewissern Sie sich, dass das Gateway die Domain auflösen kann, indem Sie eine Dig-Abfrage ausführen

Wenn die Domäne vom Gateway nicht aufgelöst werden kann, kann das Gateway der Domäne nicht beitreten.

Um eine Dig-Abfrage auszuführen:

  1. Stellen Sie mit Ihrer Hypervisor-Verwaltungssoftware (VMwareHyper-V oder KVM) für lokale Gateways oder mit SSH für Amazon-Gateways eine Connect zur lokalen Gateway-Konsole her. EC2

  2. Geben Sie die entsprechende Zahl ein, um die Gateway-Konsole auszuwählen, und geben Sie dann die Eingabetaste ein, um alle verfügbaren Befehle aufzulisten. h Führen Sie den folgenden Befehl aus, um zu testen, ob das Gateway die Domäne auflösen kann:

    dig -d corp.domain.com

    Anmerkung

    corp.domain.comErsetzen Sie es durch den DNS-Namen Ihrer Active Directory-Domäne.

Im Folgenden finden Sie ein Beispiel für eine erfolgreiche Antwort:

; <<>> DiG 9.11.4-P2-RedHat-9.11.4-26.P2.amzn2.5.2 <<>> corp.domain.com
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 24817
;; flags: qr aa rd ra; QUERY: 1, ANSWER: 2, AUTHORITY: 0, ADDITIONAL: 1

;; OPT PSEUDOSECTION:
; EDNS: version: 0, flags:; udp: 4000
;; QUESTION SECTION:
;corp.domain.com.        IN    A

;; ANSWER SECTION:
corp.domain.com.    600    IN    A    10.10.10.10
corp.domain.com.    600    IN    A    10.10.20.10
            
;; Query time: 0 msec
;; SERVER: 10.10.20.228#53(10.10.20.228)
;; WHEN: Thu Jun 30 16:36:32 UTC 2022
;; MSG SIZE  rcvd: 78

Überprüfen Sie die Einstellungen und Rollen des Domänencontrollers

Vergewissern Sie sich, dass der Domänencontroller nicht schreibgeschützt ist und dass der Domänencontroller über genügend Rollen verfügt, sodass Computer diesem beitreten können. Um dies zu testen, versuchen Sie, andere Server aus demselben VPC-Subnetz wie die Gateway-VM mit der Domäne zu verbinden.

Stellen Sie sicher, dass das Gateway mit dem nächstgelegenen Domänencontroller verbunden ist

Als bewährte Methode empfehlen wir, Ihr Gateway mit einem Domänencontroller zu verbinden, der sich geografisch in der Nähe des Gatewaygeräts befindet. Wenn das Gatewaygerät aufgrund der Netzwerklatenz nicht innerhalb von 20 Sekunden mit dem Domänencontroller kommunizieren kann, kann es beim Domänenbeitritt zu einem Timeout kommen. Beispielsweise kann es bei dem Vorgang zu einem Timeout kommen, wenn sich die Gateway-Appliance im Osten der USA (Nord-Virginia) AWS-Region und der Domänencontroller im asiatisch-pazifischen Raum (Singapur) befindet AWS-Region.

Anmerkung

Um den standardmäßigen Timeoutwert von 20 Sekunden zu erhöhen, können Sie den Befehl join-domain in AWS Command Line Interface (AWS CLI) ausführen und die --timeout-in-seconds Option zur Verlängerung der Zeit hinzufügen. Sie können auch den JoinDomain API-Aufruf verwenden und den TimeoutInSeconds Parameter hinzufügen, um die Zeit zu verlängern. Der maximale Timeout-Wert beträgt 3.600 Sekunden.

Wenn Sie beim Ausführen von AWS CLI Befehlen Fehler erhalten, stellen Sie sicher, dass Sie die neueste AWS CLI Version verwenden.

Vergewissern Sie sich, dass Active Directory neue Computerobjekte in der Standard-Organisationseinheit (OU) erstellt

Stellen Sie sicher, dass Microsoft Active Directory über keine Gruppenrichtlinienobjekte verfügt, die neue Computerobjekte an einem anderen Ort als der Standardorganisationseinheit erstellen. Bevor Sie Ihr Gateway der Active Directory-Domäne hinzufügen können, muss in der Standard-OU ein neues Computerobjekt vorhanden sein. Einige Active Directory-Umgebungen sind so angepasst, dass sie OUs für neu erstellte Objekte unterschiedlich sind. Um sicherzustellen, dass ein neues Computerobjekt für die Gateway-VM in der Standard-OU vorhanden ist, versuchen Sie, das Computerobjekt manuell auf Ihrem Domänencontroller zu erstellen, bevor Sie das Gateway der Domäne hinzufügen. Sie können den Befehl join-domain auch mit dem ausführen. AWS CLI Geben Sie dann die Option für an. --organizational-unit

Anmerkung

Der Prozess der Erstellung des Computerobjekts wird als Pre-Staging bezeichnet.

Überprüfen Sie die Ereignisprotokolle Ihres Domänencontrollers

Wenn Sie das Gateway nicht mit der Domäne verbinden können, nachdem Sie alle anderen in den vorherigen Abschnitten beschriebenen Prüfungen und Konfigurationen ausprobiert haben, empfehlen wir, Ihre Domänencontroller-Ereignisprotokolle zu überprüfen. Suchen Sie in der Ereignisanzeige des Domänencontrollers nach Fehlern. Stellen Sie sicher, dass die Gatewayabfragen den Domänencontroller erreicht haben.