Solución de problemas: problemas al unir la puerta de enlace a Active Directory - AWS Storage Gateway
Confirme que la puerta de enlace puede llegar al controlador de dominio mediante la ejecución de una prueba de pingCompruebe las opciones de DHCP configuradas para la VPC de su instancia de Amazon Gateway EC2 Confirme que la puerta de enlace puede resolver el dominio ejecutando una consulta de búsquedaCompruebe la configuración y las funciones del controlador de dominioComprueba que la puerta de enlace esté unida al controlador de dominio más cercanoConfirme que Active Directory cree nuevos objetos informáticos en la unidad organizativa (OU) predeterminadaComprueba los registros de eventos de tu controlador de dominio

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Solución de problemas: problemas al unir la puerta de enlace a Active Directory

Utilice la siguiente información de solución de problemas para determinar qué hacer si recibe mensajes de error comoNETWORK_ERROR, por ejemploTIMEOUT, o ACCESS_DENIED cuando intenta unir su File Gateway a un dominio de Microsoft Active Directory.

Para resolver estos errores, lleve a cabo las siguientes comprobaciones y configuraciones.

Confirme que la puerta de enlace puede llegar al controlador de dominio mediante la ejecución de una prueba de ping

Para ejecutar una prueba de nping:

  1. Conéctese a la consola local de la puerta de enlace mediante el software de administración de hipervisores (VMwareHyper-V o KVM) para las puertas de enlace locales, o mediante ssh para las puertas de enlace de Amazon. EC2

  2. Introduzca el número correspondiente para seleccionar Gateway Console y, a continuación, introdúzcalo para ver todos los comandos disponibles. h Para probar la conectividad entre la máquina virtual Storage Gateway y el dominio, ejecute el siguiente comando:

    nping -d corp.domain.com -p 389 -c 1 -t tcp

    nota

    corp.domain.comSustitúyalo por el nombre DNS de su dominio de Active Directory y 389 sustitúyalo por el puerto LDAP de su entorno.

    Compruebe que ha abierto los puertos necesarios en su firewall.

El siguiente es un ejemplo de una prueba de ping exitosa en la que la puerta de enlace pudo llegar al controlador de dominio:

nping -d corp.domain.com -p 389 -c 1 -t tcp

Starting Nping 0.6.40 ( http://nmap.org/nping ) at 2022-06-30 16:24 UTC
SENT (0.0553s) TCP 10.10.10.21:9783 > 10.10.10.10:389 S ttl=64 id=730 iplen=40  seq=2597195024 win=1480 
RCVD (0.0556s) TCP 10.10.10.10:389 > 10.10.10.21:9783 SA ttl=128 id=22332 iplen=44  seq=4170716243 win=8192 <mss 8961>

Max rtt: 0.310ms | Min rtt: 0.310ms | Avg rtt: 0.310ms
Raw packets sent: 1 (40B) | Rcvd: 1 (44B) | Lost: 0 (0.00%)
Nping done: 1 IP address pinged in 1.09 seconds<br>

El siguiente es un ejemplo de una prueba de nping en la que no hay conectividad ni respuesta desde el corp.domain.com destino:

nping -d corp.domain.com -p 389 -c 1 -t tcp

Starting Nping 0.6.40 ( http://nmap.org/nping ) at 2022-06-30 16:26 UTC
SENT (0.0421s) TCP 10.10.10.21:47196 > 10.10.10.10:389  S ttl=64 id=30318 iplen=40 seq=1762671338 win=1480

Max rtt: N/A | Min rtt: N/A | Avg rtt: N/A
Raw packets sent: 1 (40B) | Rcvd: 0 (0B) | Lost: 1 (100.00%)
Nping done: 1 IP address pinged in 1.07 seconds

Compruebe las opciones de DHCP configuradas para la VPC de su instancia de Amazon Gateway EC2

Si la puerta de enlace de archivos se ejecuta en una EC2 instancia de Amazon, debe asegurarse de que el conjunto de opciones de DHCP esté correctamente configurado y conectado a la Amazon Virtual Private Cloud (VPC) que contiene la instancia de puerta de enlace. Para obtener más información, consulte Conjuntos de opciones de DHCP en Amazon VPC.

Confirme que la puerta de enlace puede resolver el dominio ejecutando una consulta de búsqueda

Si la puerta de enlace no puede resolver el dominio, la puerta de enlace no puede unirse al dominio.

Para ejecutar una consulta de excavación:

  1. Conéctese a la consola local de la puerta de enlace mediante el software de administración de hipervisores (VMwareHyper-V o KVM) para las puertas de enlace locales, o mediante ssh para las puertas de enlace de Amazon. EC2

  2. Introduzca el número correspondiente para seleccionar Gateway Console y, a continuación, introdúzcalo para ver todos los comandos disponibles. h Para comprobar si la puerta de enlace puede resolver el dominio, ejecute el siguiente comando:

    dig -d corp.domain.com

    nota

    corp.domain.comSustitúyalo por el nombre DNS del dominio de Active Directory.

A continuación, se muestra un ejemplo de una respuesta correcta:

; <<>> DiG 9.11.4-P2-RedHat-9.11.4-26.P2.amzn2.5.2 <<>> corp.domain.com
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 24817
;; flags: qr aa rd ra; QUERY: 1, ANSWER: 2, AUTHORITY: 0, ADDITIONAL: 1

;; OPT PSEUDOSECTION:
; EDNS: version: 0, flags:; udp: 4000
;; QUESTION SECTION:
;corp.domain.com.        IN    A

;; ANSWER SECTION:
corp.domain.com.    600    IN    A    10.10.10.10
corp.domain.com.    600    IN    A    10.10.20.10
            
;; Query time: 0 msec
;; SERVER: 10.10.20.228#53(10.10.20.228)
;; WHEN: Thu Jun 30 16:36:32 UTC 2022
;; MSG SIZE  rcvd: 78

Compruebe la configuración y las funciones del controlador de dominio

Compruebe que el controlador de dominio no esté configurado como de solo lectura y que tenga funciones suficientes para que se unan los ordenadores. Para probarlo, intenta unir otros servidores de la misma subred de VPC que la máquina virtual de puerta de enlace al dominio.

Comprueba que la puerta de enlace esté unida al controlador de dominio más cercano

Como práctica recomendada, le recomendamos unir la puerta de enlace a un controlador de dominio que esté geográficamente cerca del dispositivo de puerta de enlace. Si el dispositivo de puerta de enlace no puede comunicarse con el controlador de dominio en 20 segundos debido a la latencia de la red, es posible que se agote el tiempo de espera del proceso de unión al dominio. Por ejemplo, es posible que se agote el tiempo de espera del proceso si el dispositivo de puerta de enlace se encuentra en EE. UU. Este (Virginia del Norte) Región de AWS y el controlador de dominio se encuentra en Asia Pacífico (Singapur Región de AWS).

nota

Para aumentar el valor de tiempo de espera predeterminado de 20 segundos, puede ejecutar el comando join-domain en AWS Command Line Interface (AWS CLI) e incluir la --timeout-in-seconds opción de aumentar el tiempo. También puedes usar la llamada a la JoinDomain API e incluir el TimeoutInSeconds parámetro para aumentar el tiempo. El valor máximo de tiempo de espera es de 3600 segundos.

Si recibes errores al ejecutar AWS CLI comandos, asegúrate de usar la versión más reciente AWS CLI .

Confirme que Active Directory cree nuevos objetos informáticos en la unidad organizativa (OU) predeterminada

Asegúrese de que Microsoft Active Directory no tenga ningún objeto de política de grupo que cree nuevos objetos de equipo en cualquier ubicación que no sea la unidad organizativa predeterminada. Para poder unir la puerta de enlace al dominio de Active Directory, debe existir un nuevo objeto informático en la unidad organizativa predeterminada. Algunos entornos de Active Directory están personalizados para que tengan objetos diferentes OUs para los recién creados. Para garantizar que haya un nuevo objeto de equipo para la máquina virtual de puerta de enlace en la OU predeterminada, intente crear el objeto de equipo manualmente en el controlador de dominio antes de unir la puerta de enlace al dominio. También puede ejecutar el comando join-domain mediante. AWS CLI A continuación, especifique la opción para. --organizational-unit

nota

El proceso de creación del objeto informático se denomina puesta en escena previa.

Comprueba los registros de eventos de tu controlador de dominio

Si no puedes unirte a la puerta de enlace al dominio después de probar todas las demás comprobaciones y configuraciones descritas en las secciones anteriores, te recomendamos que examines los registros de eventos del controlador de dominio. Comprueba si hay algún error en el visor de eventos del controlador de dominio. Compruebe que las consultas de la puerta de enlace hayan llegado al controlador de dominio.