Solución de problemas: problemas al unir la puerta de enlace a Active Directory - AWS Storage Gateway
Confirme que la puerta de enlace puede llegar al controlador de dominio mediante la ejecución de una prueba de pingCompruebe las opciones de DHCP configuradas para la VPC de su instancia de Amazon Gateway EC2 Confirme que la puerta de enlace puede resolver el dominio ejecutando una consulta de búsquedaCompruebe la configuración y los roles del controlador de dominioCompruebe que la puerta de enlace esté unida al controlador de dominio más cercanoConfirmar que Active Directory crea nuevos objetos de equipo en la unidad organizativa (UO) predeterminadaComprobar los registros de eventos del controlador de dominio

Amazon FSx File Gateway ya no está disponible para nuevos clientes. Los clientes actuales de FSx File Gateway pueden seguir utilizando el servicio con normalidad. Para obtener información sobre funciones similares a las de FSx File Gateway, visite esta entrada de blog.

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Solución de problemas: problemas al unir la puerta de enlace a Active Directory

Utilice la siguiente información sobre solución de problemas para determinar qué hacer si recibe mensajes de error como NETWORK_ERROR, TIMEOUT o ACCESS_DENIED al tratar de unir la puerta de enlace de archivo con un dominio de Microsoft Active Directory.

Para resolver estos errores, realice las siguientes comprobaciones y configuraciones.

Confirme que la puerta de enlace puede llegar al controlador de dominio mediante la ejecución de una prueba de ping

Para ejecutar una prueba de nping:

  1. Conéctese a la consola local de la puerta de enlace mediante el software de administración de hipervisores (VMwareHyper-V o KVM) para las puertas de enlace locales, o mediante ssh para las puertas de enlace de Amazon. EC2

  2. Introduzca el número correspondiente para seleccionar Consola de puerta de enlace y, a continuación, introduzca h para ver todos los comandos disponibles. Para probar la conectividad entre la máquina virtual de Storage Gateway y el dominio, ejecute el siguiente comando:

    nping -d corp.domain.com -p 389 -c 1 -t tcp

    nota

    Reemplace corp.domain.com por el nombre de DNS de su dominio de Active Directory y reemplace 389 por el puerto LDAP de su entorno.

    Compruebe que ha abierto los puertos necesarios en su firewall.

A continuación, se ofrece un ejemplo de una prueba de nping satisfactoria en la que la puerta de enlace pudo llegar al controlador de dominio:

nping -d corp.domain.com -p 389 -c 1 -t tcp

Starting Nping 0.6.40 ( http://nmap.org/nping ) at 2022-06-30 16:24 UTC
SENT (0.0553s) TCP 10.10.10.21:9783 > 10.10.10.10:389 S ttl=64 id=730 iplen=40  seq=2597195024 win=1480 
RCVD (0.0556s) TCP 10.10.10.10:389 > 10.10.10.21:9783 SA ttl=128 id=22332 iplen=44  seq=4170716243 win=8192 <mss 8961>

Max rtt: 0.310ms | Min rtt: 0.310ms | Avg rtt: 0.310ms
Raw packets sent: 1 (40B) | Rcvd: 1 (44B) | Lost: 0 (0.00%)
Nping done: 1 IP address pinged in 1.09 seconds<br>

El siguiente es un ejemplo de una prueba de nping en la que no hay conectividad con el destino corp.domain.com ni respuesta desde este:

nping -d corp.domain.com -p 389 -c 1 -t tcp

Starting Nping 0.6.40 ( http://nmap.org/nping ) at 2022-06-30 16:26 UTC
SENT (0.0421s) TCP 10.10.10.21:47196 > 10.10.10.10:389  S ttl=64 id=30318 iplen=40 seq=1762671338 win=1480

Max rtt: N/A | Min rtt: N/A | Avg rtt: N/A
Raw packets sent: 1 (40B) | Rcvd: 0 (0B) | Lost: 1 (100.00%)
Nping done: 1 IP address pinged in 1.07 seconds

Compruebe las opciones de DHCP configuradas para la VPC de su instancia de Amazon Gateway EC2

Si la puerta de enlace de archivos se ejecuta en una EC2 instancia de Amazon, debe asegurarse de que el conjunto de opciones de DHCP esté correctamente configurado y conectado a la Amazon Virtual Private Cloud (VPC) que contiene la instancia de puerta de enlace. Para obtener más información, consulte Conjuntos de opciones de DHCP en la VPC de Amazon.

Confirme que la puerta de enlace puede resolver el dominio ejecutando una consulta de búsqueda

Si la puerta de enlace no puede resolver el dominio, la puerta de enlace no puede unirse al dominio.

Para ejecutar una consulta de búsqueda:

  1. Conéctese a la consola local de la puerta de enlace mediante el software de administración de hipervisores (VMwareHyper-V o KVM) para las puertas de enlace locales, o mediante ssh para las puertas de enlace de Amazon. EC2

  2. Introduzca el número correspondiente para seleccionar Consola de puerta de enlace y, a continuación, introduzca h para ver todos los comandos disponibles. Para probar si la puerta de enlace puede resolver el dominio, ejecute el siguiente comando:

    dig -d corp.domain.com

    nota

    Reemplace corp.domain.com por el nombre de DNS del dominio de Active Directory.

A continuación se muestra un ejemplo de una respuesta correcta:

; <<>> DiG 9.11.4-P2-RedHat-9.11.4-26.P2.amzn2.5.2 <<>> corp.domain.com
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 24817
;; flags: qr aa rd ra; QUERY: 1, ANSWER: 2, AUTHORITY: 0, ADDITIONAL: 1

;; OPT PSEUDOSECTION:
; EDNS: version: 0, flags:; udp: 4000
;; QUESTION SECTION:
;corp.domain.com.        IN    A

;; ANSWER SECTION:
corp.domain.com.    600    IN    A    10.10.10.10
corp.domain.com.    600    IN    A    10.10.20.10
            
;; Query time: 0 msec
;; SERVER: 10.10.20.228#53(10.10.20.228)
;; WHEN: Thu Jun 30 16:36:32 UTC 2022
;; MSG SIZE  rcvd: 78

Compruebe la configuración y los roles del controlador de dominio

Compruebe que el controlador de dominio no esté configurado como de solo lectura y que tenga funciones suficientes para que se unan los equipos. Para probarlo, intente unir otros servidores de la misma subred de la VPC que la máquina virtual de puerta de enlace al dominio.

Compruebe que la puerta de enlace esté unida al controlador de dominio más cercano

Como práctica recomendada, le recomendamos unir la puerta de enlace a un controlador de dominio que esté geográficamente cerca del dispositivo de puerta de enlace. Si el dispositivo de puerta de enlace no puede comunicarse con el controlador de dominio en 20 segundos debido a la latencia de la red, es posible que se agote el tiempo de espera del proceso de unión al dominio. Por ejemplo, es posible que se agote el tiempo de espera del proceso si el dispositivo de puerta de enlace se encuentra en EE. UU. Este (Virginia del Norte) Región de AWS y el controlador de dominio se encuentra en Asia Pacífico (Singapur Región de AWS).

nota

Para aumentar el valor de tiempo de espera predeterminado de 20 segundos, puede ejecutar el comando join-domain en AWS Command Line Interface (AWS CLI) e incluir la --timeout-in-seconds opción de aumentar el tiempo. También puedes usar la llamada a la JoinDomain API e incluir el TimeoutInSeconds parámetro para aumentar el tiempo. El valor del tiempo de espera máximo es de 3600 segundos.

Si recibes errores al ejecutar AWS CLI comandos, asegúrate de usar la AWS CLI versión más reciente.

Confirmar que Active Directory crea nuevos objetos de equipo en la unidad organizativa (UO) predeterminada

Asegúrese de que Microsoft Active Directory no tiene ningún objeto de política de grupo que cree nuevos objetos de equipo en cualquier ubicación que no sea la UO predeterminada. Para poder unir la puerta de enlace al dominio de Active Directory, debe existir un nuevo objeto de equipo en la UO predeterminada. Algunos entornos de Active Directory están personalizados para que tengan objetos diferentes OUs para los recién creados. Para garantizar que haya un nuevo objeto de equipo para la máquina virtual de puerta de enlace en la OU predeterminada, intente crear el objeto de equipo manualmente en el controlador de dominio antes de unir la puerta de enlace al dominio. También puede ejecutar el comando join-domain mediante la AWS CLI. A continuación, especifique la opción para --organizational-unit.

nota

El proceso de creación del objeto de equipo se denomina pre-ensayo.

Comprobar los registros de eventos del controlador de dominio

Si no puede unir la puerta de enlace al dominio después de realizar todas las demás comprobaciones y configuraciones descritas en las secciones anteriores, le recomendamos que examine los registros de eventos del controlador de dominio. Compruebe si hay algún error en el visor de eventos del controlador de dominio. Compruebe que las consultas de la puerta de enlace hayan llegado al controlador de dominio.