Sie können eine virtuelle Speichermaschine (SVM) nicht mit Active Directory verbinden - FSx für ONTAP
Der NetBIOS-Name der SVM entspricht der Home-DomainDie SVM ist mit einem anderen Active Directory verbundenDer NetBIOS-Name der SVM wurde bereits verwendetAmazon FSx kann nicht auf Ihre Active-Directory-Kontoanmeldedaten zugreifen AWS Secrets ManagerFSx kann Active Directory-Domänencontroller nicht erreichenUnzureichende Portkonfiguration oder unzureichende DienstkontoberechtigungenUngültige Anmeldeinformationen für das ServicekontoAmazon FSx kann aufgrund unzureichender Anmeldeinformationen für das Servicekonto keine Verbindung zu Ihren Active Directory-Domänencontrollern herstellenActive Directory-DNS-Server oder Domänencontroller können nicht erreicht werdenUngültiger Active Directory-DomänennameDas Dienstkonto kann nicht auf die Active Directory-Administratorgruppe zugreifenDie angegebene Organisationseinheit ist ungültig

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Sie können eine virtuelle Speichermaschine (SVM) nicht mit Active Directory verbinden

Wenn Sie eine SVM nicht zu einem Active Directory (AD) hinzufügen können, überprüfen Sie dies zunächst. So funktioniert SVMs der Beitritt zu Microsoft Active Directory In den folgenden Abschnitten sind häufig auftretende Probleme aufgeführt, die den Beitritt einer SVM zu Ihrem Active Directory verhindern, einschließlich der für jeden Fall generierten Fehlermeldungen.

Der NetBIOS-Name der SVM ist derselbe wie der NetBIOS-Name für die Home-Domäne.

Der Beitritt einer SVM zu Ihrem selbstverwalteten Active Directory schlägt fehl und es wird folgende Fehlermeldung angezeigt:

Amazon FSx kann keine Verbindung mit Ihrem Active Directory herstellen. Dies liegt daran, dass der von Ihnen angegebene Servername der NetBIOS-Name der Heimdomäne ist. Um dieses Problem zu beheben, wählen Sie einen NetBIOS-Namen für Ihre SVM, der sich vom NetBIOS-Namen der Home-Domäne unterscheidet. Versuchen Sie dann erneut, Ihre SVM Ihrem Active Directory hinzuzufügen.

Um dieses Problem zu lösen, gehen Sie wie unter So versuchen Sie erneutMit SVMs der API und dem AWS-Managementkonsole Active Directory beitreten AWS CLI, Ihre SVM Ihrem Active Directory hinzuzufügen, beschrieben vor. Stellen Sie sicher, dass Sie für Ihre SVM einen anderen NetBIOS-Namen als den NetBIOS-Namen der Active Directory-Heimatdomäne verwenden.

Die SVM ist bereits mit einem anderen Active Directory verbunden

Der Beitritt einer SVM zu einem Active Directory schlägt fehl und es wird folgende Fehlermeldung angezeigt:

Amazon FSx kann keine Verbindung zu Ihrem Active Directory herstellen. Das liegt daran, dass die SVM bereits mit einer Domäne verbunden ist. Um diese SVM einer anderen Domäne hinzuzufügen, können Sie die ONTAP CLI oder die REST-API verwenden, um diese SVM vom Active Directory zu trennen. Versuchen Sie dann erneut, Ihre SVM einem anderen Active Directory hinzuzufügen.

Beheben Sie das Problem wie folgt:

  1. Verwenden Sie die NetApp ONTAP CLI, um die SVM von ihrem aktuellen Active Directory zu trennen. Weitere Informationen finden Sie unter Mit der ONTAP CLI die Verbindung zu einem Active Directory mit Ihrer SVM aufheben NetApp .

  2. Gehen Sie wie unter beschrieben vorMit SVMs der API und dem AWS-Managementkonsole Active Directory beitreten AWS CLI, um erneut zu versuchen, Ihre SVM dem neuen Active Directory hinzuzufügen.

Amazon FSx kann keine Verbindung zu Ihren Active Directory-Domänencontrollern herstellen, da der NetBIOS-Name der SVM bereits verwendet wird

Das Erstellen einer SVM, die mit Ihrem selbstverwalteten Active Directory verknüpft ist, schlägt fehl und es wird folgende Fehlermeldung angezeigt:

Amazon FSx kann keine Verbindung mit Ihrem Active Directory herstellen. Dies liegt daran, dass der von Ihnen angegebene NetBIOS-Name (Computername) bereits in Ihrem Active Directory verwendet wird. Um dieses Problem zu beheben, wählen Sie einen NetBIOS-Namen für Ihre SVM, der nicht in Ihrem Active Directory verwendet wird. Geben Sie ein NetBIOS (Computer) an. Versuchen Sie dann erneut, Ihre SVM Ihrem Active Directory hinzuzufügen.

Um dieses Problem zu beheben, gehen Sie wie unter So versuchen Sie erneut, Ihre SVM Mit SVMs der API und dem AWS-Managementkonsole Active Directory beitreten AWS CLI mit Ihrem AD zu verbinden, beschrieben vor. Stellen Sie sicher, dass Sie einen NetBIOS-Namen für Ihre SVM verwenden, der eindeutig ist und nicht bereits in Ihrem Active Directory verwendet wird.

Amazon FSx kann nicht auf Ihre Active-Directory-Kontoanmeldedaten zugreifen AWS Secrets Manager

In den folgenden Abschnitten werden häufig auftretende Probleme und deren Lösung beschrieben.

Der Beitritt einer SVM zu Ihrem selbstverwalteten Active Directory schlägt fehl und es wird folgende Fehlermeldung angezeigt:

You can't provide both username/password and a domain join service account secret to connect to your Active Directory. Provide only one set of credentials.

Um dieses Problem zu lösen

  1. Wählen Sie aus, ob Sie Anmeldeinformationen angeben möchten, die in einem Secrets Manager Manager-Geheimnis oder im Klartext gespeichert sind.

  2. Wenn Sie einem Active Directory beitreten, geben Sie nur einen dieser Parameter an und nicht beide.

Der Beitritt einer SVM zu Ihrem selbstverwalteten Active Directory schlägt fehl und es wird folgende Fehlermeldung angezeigt:

The domain join service account secret ARN format you entered isn't valid. Use the format: arn:partition:secretsmanager:region:account-id:secret:secret-name-6chars

Um dieses Problem zu lösen

  1. Sehen Sie sich Speichern von Active Directory-Anmeldeinformationen mit AWS Secrets Manager an.

  2. Stellen Sie sicher, dass das eingegebene ARN-Format korrekt ist. Ein Beispiel für ein korrektes Format istarn:aws:secretsmanager:us-east-1:123456789012:secret:MyDatabaseSecret-Ab3d5f.

Der Beitritt einer SVM zu Ihrem selbstverwalteten Active Directory schlägt fehl und es wird folgende Fehlermeldung angezeigt:

Amazon FSx can't access the domain join service account secret [ARN]. Add a resource permission to the secret that grants the FSx service principal (fsx.amazonaws.com) permission to access it.

Um dieses Problem zu lösen

  1. Sehen Sie sich Speichern von Active Directory-Anmeldeinformationen mit AWS Secrets Manager an.

  2. Stellen Sie sicher, dass das Secrets Manager-Geheimnis, das Sie angeben, über die richtigen Richtlinien verfügt, die es Amazon ermöglichen, das Geheimnis FSx zu verwenden.

Der Beitritt einer SVM zu Ihrem selbstverwalteten Active Directory schlägt fehl und die folgende Fehlermeldung wird angezeigt:

You don't have permission to access the domain join service account secret [ARN]. A resource permission needs to be added to the secret to grant you access.

Um dieses Problem zu lösen

  • Der Secrets Manager Manager-Inhaber oder Administrator muss Ihrem Konto Zugriff gewähren, um dieses Geheimnis verwenden zu können. Weitere Informationen finden Sie unter Identitätsbasierte Richtlinien.

Der Beitritt einer SVM zu Ihrem selbstverwalteten Active Directory schlägt fehl und es wird folgende Fehlermeldung angezeigt:

The domain join service account secret format or content isn't valid. Make sure the secret includes both CUSTOMER_MANAGED_ACTIVE_DIRECTORY_USERNAME and CUSTOMER_MANAGED_ACTIVE_DIRECTORY_PASSWORD fields with non-empty values.

Um dieses Problem zu lösen

  1. Sehen Sie sich Speichern von Active Directory-Anmeldeinformationen mit AWS Secrets Manager an.

  2. Stellen Sie sicher, dass das Secrets Manager-Geheimnis, das Sie angeben, beide erforderlichen Felder enthält.

Amazon FSx kann nicht mit Ihren Active Directory-Domain-Controllern kommunizieren

Der Beitritt einer SVM zu Ihrem selbstverwalteten Active Directory schlägt fehl und es wird folgende Fehlermeldung angezeigt:

Amazon FSx kann nicht mit Ihrem Active Directory kommunizieren. Um dieses Problem zu beheben, stellen Sie sicher, dass Netzwerkverkehr zwischen Amazon FSx und Ihren Domain-Controllern zulässig ist. Versuchen Sie dann erneut, Ihre SVM Ihrem Active Directory hinzuzufügen.

Führen Sie folgende Schritte aus, um dieses Problem zu lösen:

  1. Lesen Sie die unter beschriebenen Anforderungen und nehmen Sie die erforderlichen Änderungen vorAnforderungen an die Netzwerkkonfiguration, um die Netzwerkkommunikation zwischen Amazon FSx und Ihrem AD zu aktivieren.

  2. Sobald Amazon FSx mit Ihrem AD kommunizieren kann, folgen Sie dem unter beschriebenen Verfahren Mit SVMs der API und dem AWS-Managementkonsole Active Directory beitreten AWS CLI und versuchen Sie erneut, Ihre SVM mit Ihrem AD zu verbinden.

Amazon FSx kann aufgrund nicht erfüllter Portanforderungen oder Dienstkontoberechtigungen keine Verbindung zu Ihrem Active Directory herstellen

Der Beitritt einer SVM zu Ihrem selbstverwalteten Active Directory schlägt fehl und es wird folgende Fehlermeldung angezeigt:

Amazon FSx kann keine Verbindung mit Ihrem Active Directory herstellen. Dies liegt entweder daran, dass die Portanforderungen für Ihr Active Directory nicht erfüllt sind oder dass das angegebene Dienstkonto nicht über die erforderlichen Berechtigungen verfügt, um die virtuelle Speichermaschine mit der Domäne mit der angegebenen Organisationseinheit zu verbinden. Um dieses Problem zu beheben, aktualisieren Sie die Active Directory-Konfiguration Ihrer virtuellen Speichermaschine, nachdem Sie alle Berechtigungsprobleme mit Ports und Dienstkonten behoben haben, wie im FSx Amazon-Benutzerhandbuch empfohlen.

Führen Sie folgende Schritte aus, um dieses Problem zu lösen:

  1. Überprüfen Sie die unter beschriebenen Anforderungen und nehmen Sie die erforderlichen Änderungen vorAnforderungen an die Netzwerkkonfiguration, um die Netzwerkanforderungen zu erfüllen, und stellen Sie sicher, dass die Kommunikation an den erforderlichen Ports aktiviert ist

  2. Überprüfen Sie die unter beschriebenen Anforderungen für das DienstkontoAnforderungen an das Active Directory-Dienstkonto. Stellen Sie sicher, dass das Dienstkonto über die delegierten Berechtigungen verfügt, die erforderlich sind, um Ihre SVM mithilfe der angegebenen Organisationseinheit der Active Directory-Domäne hinzuzufügen.

  3. Nachdem Sie die Portberechtigungen oder das Dienstkonto geändert haben, folgen Sie dem unter beschriebenen Verfahren Mit SVMs der API und dem AWS-Managementkonsole Active Directory beitreten AWS CLI und versuchen Sie erneut, Ihre SVM mit Ihrem AD zu verbinden.

Amazon FSx kann keine Verbindung zu Ihren Active Directory-Domänencontrollern herstellen, da die Anmeldeinformationen für das Dienstkonto nicht gültig sind

Der Beitritt einer SVM zu Ihrem selbstverwalteten Active Directory schlägt fehl und die folgende Fehlermeldung wird angezeigt:

Amazon FSx kann keine Verbindung mit Ihren Active Directory-Domänencontrollern herstellen, da die angegebenen Anmeldeinformationen für das Servicekonto ungültig sind. Um dieses Problem zu beheben, aktualisieren Sie die Active Directory-Konfiguration Ihrer virtuellen Speichermaschine mit einem gültigen Servicekonto.

Um dieses Problem zu lösen, verwenden Sie das unter Aktualisieren der Anmeldedaten Aktualisierung vorhandener SVM-Active-Directory-Konfigurationen mithilfe der AWS-Managementkonsole API AWS CLI, und für das SVM-Dienstkonto beschriebene Verfahren. Achten Sie bei der Eingabe des Benutzernamens für das Dienstkonto darauf, nur den Benutzernamen (zum BeispielServiceAcct) und kein Domänenpräfix (zum Beispielcorp.com\ServiceAcct) oder Domänensuffix (zum Beispiel) anzugeben. ServiceAcct@corp.com Verwenden Sie bei der Eingabe des Benutzernamens für das Dienstkonto nicht den definierten Namen (DN) (z. B.CN=ServiceAcct,OU=example,DC=corp,DC=com).

Amazon FSx kann aufgrund unzureichender Anmeldeinformationen für das Servicekonto keine Verbindung zu Ihren Active Directory-Domänencontrollern herstellen

Der Beitritt einer SVM zu Ihrem selbstverwalteten Active Directory schlägt fehl und die folgende Fehlermeldung wird angezeigt:

Amazon FSx kann keine Verbindung mit Ihren Active Directory-Domain-Controllern herstellen. Dies liegt entweder daran, dass die Portanforderungen für das Active Directory nicht erfüllt wurden, oder das angegebene Dienstkonto nicht berechtigt ist, die virtuelle Speichermaschine mit der Domäne mit der angegebenen Organisationseinheit zu verbinden.

Um dieses Problem zu beheben, stellen Sie sicher, dass Sie die erforderlichen Berechtigungen an das von Ihnen angegebene Dienstkonto delegiert haben. Das Dienstkonto muss in der Lage sein, Computerobjekte in der Organisationseinheit in der Domäne zu erstellen und zu löschen, zu der Sie das Dateisystem hinzufügen. Das Dienstkonto muss außerdem mindestens über die folgenden Berechtigungen verfügen:

  • Zurücksetzen von Passwörtern

  • Beschränken Sie das Lesen und Schreiben von Daten durch Konten

  • Bestätigte Fähigkeit, in den DNS-Hostnamen zu schreiben

  • Überprüfte Fähigkeit zum Schreiben in den Prinzipalnamen des Service

  • Fähigkeit, Computerobjekte zu erstellen und zu löschen

  • Bestätigte Fähigkeit, Kontoeinschränkungen zu lesen und zu schreiben

Weitere Informationen zum Erstellen eines Dienstkontos mit den richtigen Berechtigungen finden Sie unter Anforderungen an das Active Directory-Dienstkonto undDelegieren von Berechtigungen an Ihr FSx Amazon-Servicekonto.

Amazon FSx kann nicht mit Ihren Active Directory-DNS-Servern oder Domain-Controllern kommunizieren

Der Beitritt einer SVM zu Ihrem selbstverwalteten Active Directory schlägt fehl und es wird folgende Fehlermeldung angezeigt:

Amazon FSx kann nicht mit Ihrem Active Directory kommunizieren. Dies liegt daran, FSx dass Amazon die bereitgestellten DNS-Server oder Domain-Controller für Ihre Domain nicht erreichen kann. Um dieses Problem zu beheben, aktualisieren Sie die Active Directory-Konfiguration Ihrer virtuellen Speichermaschine mit gültigen DNS-Servern und einer Netzwerkkonfiguration, die den Datenfluss von der virtuellen Speichermaschine zum Domänencontroller ermöglicht.

Gehen Sie wie folgt vor, um dieses Problem zu beheben:

  1. Wenn nur einige der Domänencontroller in Ihrem Active Directory erreichbar sind, z. B. aufgrund geografischer Einschränkungen oder Firewalls, können Sie bevorzugte Domänencontroller hinzufügen. Mit dieser Option FSx versucht Amazon, die bevorzugten Domain-Controller zu kontaktieren. Fügen Sie bevorzugte Domain-Controller mit dem Befehl vserver cifs domain preferred-dc add NetApp ONTAP CLI wie folgt hinzu:

    1. Um auf die ONTAP CLI zuzugreifen, richten Sie eine SSH-Sitzung auf dem Management-Port des Amazon FSx for NetApp ONTAP-Dateisystems oder der SVM ein, indem Sie den folgenden Befehl ausführen. management_endpoint_ipErsetzen Sie es durch die IP-Adresse des Management-Ports des Dateisystems.

      [~]$ ssh fsxadmin@management_endpoint_ip

      Weitere Informationen finden Sie unter Verwaltung von Dateisystemen mit der ONTAP CLI.

    2. Geben Sie den folgenden Befehl ein, wobei:

      • -vserver vserver_namegibt den Namen der virtuellen Speichermaschine (SVM) an.

      • -domain domain_namegibt den vollqualifizierten Active Directory-Namen (FQDN) der Domäne an, zu der die angegebenen Domänencontroller gehören.

      • -preferred-dc IP_address,…​gibt eine oder mehrere IP-Adressen der bevorzugten Domänencontroller als kommagetrennte Liste in der Reihenfolge ihrer Priorität an.

      FsxId123456789::> vserver cifs domain preferred-dc add -vserver vserver_name -domain domain_name -preferred-dc IP_address, …​+

      Mit dem folgenden Befehl werden die Domänencontroller 172.17.102.25 und 172.17.102.24 zur Liste der bevorzugten Domänencontroller hinzugefügt, die der SMB-Server auf SVM vs1 verwendet, um den externen Zugriff auf die Domäne cifs.lab.example.com zu verwalten.

      FsxId123456789::> vserver cifs domain preferred-dc add -vserver vs1 -domain cifs.lab.example.com -preferred-dc 172.17.102.25,172.17.102.24

  2. Prüfen Sie, ob Ihr Domänencontroller mit DNS aufgelöst werden kann. Verwenden Sie den Befehl vserver services access-check dns forward-lookup NetApp ONTAP CLI, um die IP-Adresse eines Hostnamens auf der Grundlage der Suche auf dem angegebenen DNS-Server oder der DNS-Konfiguration des vservers zurückzugeben.

    1. Um auf die ONTAP CLI zuzugreifen, richten Sie eine SSH-Sitzung auf dem Management-Port des Amazon FSx for NetApp ONTAP-Dateisystems oder der SVM ein, indem Sie den folgenden Befehl ausführen. management_endpoint_ipErsetzen Sie es durch die IP-Adresse des Management-Ports des Dateisystems.

      [~]$ ssh fsxadmin@management_endpoint_ip

      Weitere Informationen finden Sie unter Verwaltung von Dateisystemen mit der ONTAP CLI.

    2. Rufen Sie mit dem folgenden Befehl den erweiterten ONTAP CLI Modus auf.

      FsxId123456789::> set adv

    3. Geben Sie den folgenden Befehl ein, wobei:

      • -vserver vserver_namegibt den Namen der virtuellen Speichermaschine (SVM) an.

      • -hostname host_namegibt den Hostnamen an, nach dem auf dem DNS-Server gesucht werden soll.

      • -node node_name​gibt den Namen des Knotens an, auf dem der Befehl ausgeführt wird.

      • -lookup-typegibt den Typ der IP-Adresse an, nach der auf dem DNS-Server gesucht werden soll. Die Standardeinstellung istall.

      FsxId123456789::> vserver services access-check dns forward-lookup \
-vserver vserver_name -node node_name \
-domains domain_name -name-servers dns_server_ip_address \
-hostname host_name

  3. Prüfen Sie die Informationen, die Sie benötigen, wenn Sie eine SVM einem AD hinzufügen.

  4. Informieren Sie sich über die Netzwerkanforderungen beim Beitritt einer SVM zu einem AD.

  5. Gehen Sie wie unter beschrieben vorAnforderungen an die Netzwerkkonfiguration, um die Active Directory-Konfiguration Ihrer SVM mit den richtigen IP-Adressen für Ihre Active Directory-DNS-Server zu aktualisieren.

Amazon FSx kann aufgrund eines ungültigen Active Directory-Domainnamens nicht mit Ihrem Active Directory kommunizieren.

Der Beitritt einer SVM zu Ihrem selbstverwalteten Active Directory schlägt fehl und es wird folgende Fehlermeldung angezeigt:

Amazon FSx hat festgestellt, dass der angegebene FQDN ungültig ist. Um dieses Problem zu beheben, aktualisieren Sie die Active Directory-Konfiguration Ihrer virtuellen Speichermaschine mit einem FQDN, der den Konfigurationsanforderungen entspricht.

Gehen Sie wie folgt vor, um dieses Problem zu beheben:

  1. Lesen Sie die Anforderungen für lokale Active Directory-Domänennamen, die unter Informationen, die für den Beitritt einer SVM zu einem Active Directory benötigt werden Stellen Sie sicher, dass das Active Directory, dem Sie beitreten möchten, diese Anforderung erfüllt, beschrieben.

  2. Gehen Sie wie unter beschrieben vor, Mit SVMs der API und dem AWS-Managementkonsole Active Directory beitreten AWS CLI und versuchen Sie erneut, Ihre SVM einem Active Directory hinzuzufügen. Achten Sie darauf, das richtige Format für den FQDN der Active Directory-Domäne zu verwenden.

Das Dienstkonto kann nicht auf die Administratorgruppe zugreifen, die in der Active Directory-Konfiguration der SVM angegeben ist

Der Beitritt einer SVM zu Ihrem selbstverwalteten Active Directory schlägt fehl und es wird folgende Fehlermeldung angezeigt:

Amazon FSx kann Ihre Active Directory-Konfiguration nicht anwenden. Dies liegt daran, dass die von Ihnen angegebene Administratorgruppe entweder nicht existiert oder für das von Ihnen angegebene Servicekonto nicht zugänglich ist. Um dieses Problem zu beheben, stellen Sie sicher, dass Ihre Netzwerkkonfiguration den Verkehr von der SVM zu den Domänencontrollern und DNS-Servern Ihres Active Directorys zulässt. Aktualisieren Sie anschließend die Active Directory-Konfiguration Ihrer SVM, indem Sie die DNS-Server Ihres Active Directorys angeben und eine Administratorgruppe in der Domäne angeben, auf die das angegebene Dienstkonto zugreifen kann.

Führen Sie folgende Schritte aus, um dieses Problem zu lösen:

  1. Lesen Sie die Informationen zur Bereitstellung einer Domänengruppe für administrative Aktionen auf Ihrer SVM. Stellen Sie sicher, dass Sie den richtigen Namen der Active Directory-Domänenadministratorgruppe verwenden.

  2. Gehen Sie wie unter beschrieben vor Mit SVMs der API und dem AWS-Managementkonsole Active Directory beitreten AWS CLI und versuchen Sie erneut, Ihre SVM einem AD hinzuzufügen.

Amazon FSx kann keine Verbindung zu den Active Directory-Domänencontrollern herstellen, da die angegebene Organisationseinheit nicht existiert oder nicht zugänglich ist

Der Beitritt einer SVM zu Ihrem selbstverwalteten Active Directory schlägt fehl und die folgende Fehlermeldung wird angezeigt:

Amazon FSx kann keine Verbindung mit Ihrem Active Directory herstellen. Dies liegt daran, dass die von Ihnen angegebene Organisationseinheit entweder nicht existiert oder für das angegebene Servicekonto nicht zugänglich ist. Um dieses Problem zu beheben, aktualisieren Sie die Active Directory-Konfiguration Ihrer virtuellen Speichermaschine und geben Sie eine Organisationseinheit an, zu der das Dienstkonto über die erforderlichen Berechtigungen verfügt.

Führen Sie folgende Schritte aus, um dieses Problem zu lösen:

  1. Informieren Sie sich über die Voraussetzungen für den Beitritt einer SVM zu einem AD.

  2. Lesen Sie die Informationen, die Sie benötigen, um eine SVM einem AD hinzuzufügen.

  3. Versuchen Sie erneut, die SVM mit dem Active Directory zu verbinden, indem Sie dieses Verfahren mit der richtigen Organisationseinheit verwenden.