Pemecahan masalah: masalah saat bergabung dengan gateway ke Active Directory - AWS Storage Gateway
Konfirmasikan bahwa gateway dapat mencapai pengontrol domain dengan menjalankan tes npingPeriksa opsi DHCP yang ditetapkan untuk VPC instance gateway Amazon EC2 AndaKonfirmasikan bahwa gateway dapat menyelesaikan domain dengan menjalankan kueri penggalianPeriksa pengaturan dan peran pengontrol domainPeriksa apakah gateway bergabung dengan pengontrol domain terdekatKonfirmasikan bahwa Active Directory membuat objek komputer baru di unit organisasi default (OU)Periksa log peristiwa pengontrol domain Anda

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Pemecahan masalah: masalah saat bergabung dengan gateway ke Active Directory

Gunakan informasi pemecahan masalah berikut untuk menentukan apa yang harus dilakukan jika Anda menerima pesan galat seperti NETWORK_ERRORTIMEOUT, atau ACCESS_DENIED saat mencoba menggabungkan Gateway File Anda ke domain Microsoft Active Directory.

Untuk mengatasi kesalahan ini, lakukan pemeriksaan dan konfigurasi berikut.

Konfirmasikan bahwa gateway dapat mencapai pengontrol domain dengan menjalankan tes nping

Untuk menjalankan tes nping:

  1. Connect ke konsol lokal gateway menggunakan perangkat lunak manajemen hypervisor (VMware, Hyper-V, atau KVM) untuk gateway lokal, atau menggunakan ssh untuk gateway Amazon. EC2

  2. Masukkan angka yang sesuai untuk memilih Gateway Console, lalu masukkan h untuk mencantumkan semua perintah yang tersedia. Untuk menguji konektivitas antara mesin virtual Storage Gateway dan domain, jalankan perintah berikut:

    nping -d corp.domain.com -p 389 -c 1 -t tcp

    catatan

    Ganti corp.domain.com dengan nama DNS domain Active Directory Anda dan ganti 389 dengan port LDAP untuk lingkungan Anda.

    Verifikasi bahwa Anda telah membuka port yang diperlukan dalam firewall Anda.

Berikut ini adalah contoh tes nping yang berhasil di mana gateway dapat mencapai pengontrol domain:

nping -d corp.domain.com -p 389 -c 1 -t tcp

Starting Nping 0.6.40 ( http://nmap.org/nping ) at 2022-06-30 16:24 UTC
SENT (0.0553s) TCP 10.10.10.21:9783 > 10.10.10.10:389 S ttl=64 id=730 iplen=40  seq=2597195024 win=1480 
RCVD (0.0556s) TCP 10.10.10.10:389 > 10.10.10.21:9783 SA ttl=128 id=22332 iplen=44  seq=4170716243 win=8192 <mss 8961>

Max rtt: 0.310ms | Min rtt: 0.310ms | Avg rtt: 0.310ms
Raw packets sent: 1 (40B) | Rcvd: 1 (44B) | Lost: 0 (0.00%)
Nping done: 1 IP address pinged in 1.09 seconds<br>

Berikut ini adalah contoh tes nping di mana tidak ada konektivitas atau respons dari corp.domain.com tujuan:

nping -d corp.domain.com -p 389 -c 1 -t tcp

Starting Nping 0.6.40 ( http://nmap.org/nping ) at 2022-06-30 16:26 UTC
SENT (0.0421s) TCP 10.10.10.21:47196 > 10.10.10.10:389  S ttl=64 id=30318 iplen=40 seq=1762671338 win=1480

Max rtt: N/A | Min rtt: N/A | Avg rtt: N/A
Raw packets sent: 1 (40B) | Rcvd: 0 (0B) | Lost: 1 (100.00%)
Nping done: 1 IP address pinged in 1.07 seconds

Periksa opsi DHCP yang ditetapkan untuk VPC instance gateway Amazon EC2 Anda

Jika File Gateway berjalan pada EC2 instance Amazon, maka Anda harus memastikan set opsi DHCP dikonfigurasi dengan benar dan dilampirkan ke Amazon Virtual Private Cloud (VPC) yang berisi instance gateway. Untuk informasi selengkapnya, lihat set opsi DHCP di Amazon VPC.

Konfirmasikan bahwa gateway dapat menyelesaikan domain dengan menjalankan kueri penggalian

Jika domain tidak dapat diselesaikan oleh gateway, maka gateway tidak dapat bergabung dengan domain.

Untuk menjalankan kueri penggalian:

  1. Connect ke konsol lokal gateway menggunakan perangkat lunak manajemen hypervisor (VMware, Hyper-V, atau KVM) untuk gateway lokal, atau menggunakan ssh untuk gateway Amazon. EC2

  2. Masukkan angka yang sesuai untuk memilih Gateway Console, lalu masukkan h untuk mencantumkan semua perintah yang tersedia. Untuk menguji apakah gateway dapat menyelesaikan domain, jalankan perintah berikut:

    dig -d corp.domain.com

    catatan

    Ganti corp.domain.com dengan nama DNS domain Active Directory Anda.

Berikut ini adalah contoh respons yang berhasil:

; <<>> DiG 9.11.4-P2-RedHat-9.11.4-26.P2.amzn2.5.2 <<>> corp.domain.com
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 24817
;; flags: qr aa rd ra; QUERY: 1, ANSWER: 2, AUTHORITY: 0, ADDITIONAL: 1

;; OPT PSEUDOSECTION:
; EDNS: version: 0, flags:; udp: 4000
;; QUESTION SECTION:
;corp.domain.com.        IN    A

;; ANSWER SECTION:
corp.domain.com.    600    IN    A    10.10.10.10
corp.domain.com.    600    IN    A    10.10.20.10
            
;; Query time: 0 msec
;; SERVER: 10.10.20.228#53(10.10.20.228)
;; WHEN: Thu Jun 30 16:36:32 UTC 2022
;; MSG SIZE  rcvd: 78

Periksa pengaturan dan peran pengontrol domain

Verifikasi bahwa pengontrol domain tidak disetel ke hanya-baca, dan bahwa pengontrol domain memiliki peran yang cukup bagi komputer untuk bergabung. Untuk menguji ini, coba gabungkan server lain dari subnet VPC yang sama dengan VM gateway ke domain.

Periksa apakah gateway bergabung dengan pengontrol domain terdekat

Sebagai praktik terbaik, kami sarankan untuk bergabung dengan gateway Anda ke pengontrol domain yang secara geografis dekat dengan alat gateway. Jika alat gateway tidak dapat berkomunikasi dengan pengontrol domain dalam waktu 20 detik karena latensi jaringan, maka proses penggabungan domain dapat habis. Misalnya, proses mungkin habis jika alat gateway berada di AS Timur (Virginia N.) Wilayah AWS dan pengontrol domain berada di Asia Pasifik (Singapura). Wilayah AWS

catatan

Untuk meningkatkan nilai batas waktu default 20 detik, Anda dapat menjalankan perintah join-domain di AWS Command Line Interface (AWS CLI) dan menyertakan --timeout-in-seconds opsi untuk menambah waktu. Anda juga dapat menggunakan panggilan JoinDomain API dan menyertakan TimeoutInSeconds parameter untuk menambah waktu. Nilai batas waktu maksimum adalah 3.600 detik.

Jika Anda menerima kesalahan saat menjalankan AWS CLI perintah, pastikan Anda menggunakan AWS CLI versi terbaru.

Konfirmasikan bahwa Active Directory membuat objek komputer baru di unit organisasi default (OU)

Pastikan Microsoft Active Directory tidak memiliki Objek Kebijakan Grup yang membuat objek komputer baru di lokasi apa pun selain OU default. Sebelum Anda dapat bergabung dengan gateway Anda ke domain Active Directory, objek komputer baru harus ada di OU default. Beberapa lingkungan Active Directory disesuaikan agar berbeda OUs untuk objek yang baru dibuat. Untuk menjamin bahwa objek komputer baru untuk VM gateway ada di OU default, coba buat objek komputer secara manual pada pengontrol domain Anda sebelum Anda bergabung dengan gateway ke domain. Anda juga dapat menjalankan perintah join-domain menggunakan file. AWS CLI Kemudian, tentukan opsi untuk--organizational-unit.

catatan

Proses pembuatan objek komputer disebut pra-pementasan.

Periksa log peristiwa pengontrol domain Anda

Jika Anda tidak dapat bergabung dengan gateway ke domain setelah mencoba semua pemeriksaan dan konfigurasi lain yang dijelaskan di bagian sebelumnya, sebaiknya periksa log peristiwa pengontrol domain Anda. Periksa kesalahan apa pun di penampil acara pengontrol domain. Verifikasi bahwa kueri gateway telah mencapai pengontrol domain.