Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.
Anda tidak dapat bergabung dengan mesin virtual penyimpanan (SVM) ke Active Directory
Jika Anda tidak dapat bergabung dengan SVM ke Active Directory (AD), tinjau Cara kerja bergabung SVMs ke Microsoft Active Directory terlebih dahulu. Masalah umum yang mencegah SVM bergabung ke Direktori Aktif Anda tercantum di bagian berikut, termasuk pesan kesalahan yang dihasilkan untuk setiap keadaan.
Topik
Nama SVM NetBIOS sama dengan nama NetBIOS untuk domain rumah.
Bergabung dengan SVM ke Active Directory yang dikelola sendiri gagal dengan pesan galat berikut:
Amazon FSx tidak dapat membuat koneksi dengan Active Directory Anda. Ini karena nama server yang Anda tentukan adalah nama NetBIOS dari domain rumah. Untuk memperbaiki masalah ini, pilih nama NetBIOS untuk SVM Anda yang berbeda dari nama NetBIOS dari domain rumah. Kemudian coba kembali untuk bergabung dengan SVM Anda ke Active Directory Anda.
Untuk mengatasi masalah ini, ikuti prosedur yang dijelaskan Bergabung SVMs ke Active Directory menggunakan Konsol Manajemen AWS, AWS CLI dan API untuk mencoba kembali menggabungkan SVM Anda ke Direktori Aktif Anda. Pastikan Anda menggunakan nama NetBIOS untuk SVM Anda yang berbeda dari nama NetBIOS dari domain home Active Directory.
SVM sudah bergabung dengan Active Directory lain
Bergabung dengan SVM ke Active Directory gagal dengan pesan galat berikut:
Amazon FSx tidak dapat membuat koneksi ke Direktori Aktif Anda. Ini karena SVM sudah bergabung ke domain. Untuk menggabungkan SVM ini ke domain lain, Anda dapat menggunakan ONTAP CLI atau REST API untuk memutuskan sambungan SVM ini dari Active Directory. Kemudian coba kembali untuk bergabung dengan SVM Anda ke Active Directory yang berbeda.
Untuk mengatasi masalah ini, lakukan hal berikut:
Gunakan CLI NetApp ONTAP untuk memutuskan sambungan SVM dari Active Directory saat ini. Untuk informasi selengkapnya, lihat Berhenti bergabung dengan Active Directory dari SVM Anda menggunakan ONTAP NetApp CLI.
Ikuti prosedur yang dijelaskan Bergabung SVMs ke Active Directory menggunakan Konsol Manajemen AWS, AWS CLI dan API untuk mencoba kembali menggabungkan SVM Anda ke Active Directory yang baru.
Amazon tidak FSx dapat terhubung ke pengontrol domain Direktori Aktif Anda karena nama NetBIOS SVM sudah digunakan
Membuat SVM yang bergabung dengan Active Directory yang dikelola sendiri gagal dengan pesan galat berikut:
Amazon FSx tidak dapat membuat koneksi dengan Active Directory Anda. Ini karena nama NetBIOS (komputer) yang Anda tentukan sudah digunakan di Active Directory Anda. Untuk memperbaiki masalah ini, pilih nama NetBIOS untuk SVM Anda yang tidak digunakan di Direktori Aktif Anda., tentukan NetBIOS (komputer) Kemudian coba kembali untuk bergabung dengan SVM Anda ke Direktori Aktif Anda.
Untuk mengatasi masalah ini, ikuti prosedur yang dijelaskan Bergabung SVMs ke Active Directory menggunakan Konsol Manajemen AWS, AWS CLI dan API untuk mencoba kembali bergabung dengan SVM Anda ke AD Anda. Pastikan Anda menggunakan nama NetBIOS untuk SVM Anda yang unik dan belum digunakan di Direktori Aktif Anda.
Amazon tidak FSx dapat mengakses kredensional akun layanan Direktori Aktif Anda di AWS Secrets Manager
Bagian berikut menjelaskan masalah umum dan cara mengatasinya.
Bergabung dengan SVM ke Active Directory yang dikelola sendiri gagal dengan pesan galat berikut:
You can't provide both username/password and a domain join service account secret to connect to your Active Directory. Provide only one set of credentials.
Untuk mengatasi masalah ini
-
Pilih apakah Anda ingin memberikan kredensil yang disimpan dalam rahasia Secrets Manager, atau dalam teks biasa.
-
Saat bergabung dengan Active Directory, hanya berikan salah satu parameter tersebut dan bukan keduanya.
Bergabung dengan SVM ke Active Directory yang dikelola sendiri gagal dengan pesan galat berikut:
The domain join service account secret ARN format you entered isn't valid. Use the format: arn:partition:secretsmanager:region:account-id:secret:secret-name-6chars
Untuk mengatasi masalah ini
-
UlasanMenyimpan kredensil Active Directory menggunakan AWS Secrets Manager.
-
Verifikasi bahwa format ARN yang Anda masukkan sudah benar. Contoh format yang benar adalah
arn:aws:secretsmanager:us-east-1:123456789012:secret:MyDatabaseSecret-Ab3d5f.
Bergabung dengan SVM ke Active Directory yang dikelola sendiri gagal dengan pesan galat berikut:
Amazon FSx can't access the domain join service account secret [ARN]. Add a resource permission to the secret that grants the FSx service principal (fsx.amazonaws.com) permission to access it.
Untuk mengatasi masalah ini
-
UlasanMenyimpan kredensil Active Directory menggunakan AWS Secrets Manager.
-
Verifikasi bahwa rahasia Secrets Manager yang Anda berikan memiliki kebijakan yang benar yang FSx memungkinkan Amazon menggunakan rahasia tersebut.
Bergabung dengan SVM ke Active Directory yang dikelola sendiri gagal dengan pesan galat berikut:
You don't have permission to access the domain join service account secret [ARN]. A resource permission needs to be added to the secret to grant you access.
Untuk mengatasi masalah ini
-
Pemilik rahasia Secrets Manager atau administrator perlu memberikan akses akun Anda untuk menggunakan rahasia ini. Untuk informasi selengkapnya, lihat Kebijakan berbasis identitas.
Bergabung dengan SVM ke Active Directory yang dikelola sendiri gagal dengan pesan galat berikut:
The domain join service account secret format or content isn't valid. Make sure the secret includes both CUSTOMER_MANAGED_ACTIVE_DIRECTORY_USERNAME and CUSTOMER_MANAGED_ACTIVE_DIRECTORY_PASSWORD fields with non-empty values.
Untuk mengatasi masalah ini
-
UlasanMenyimpan kredensil Active Directory menggunakan AWS Secrets Manager.
-
Verifikasi bahwa rahasia Secrets Manager yang Anda berikan memiliki kedua bidang yang diperlukan.
Amazon tidak FSx dapat berkomunikasi dengan pengontrol domain Direktori Aktif
Bergabung dengan SVM ke Active Directory yang dikelola sendiri gagal dengan pesan galat berikut:
Amazon FSx tidak dapat berkomunikasi dengan Active Directory Anda. Untuk memperbaiki masalah ini, pastikan lalu lintas jaringan diizinkan antara Amazon FSx dan pengontrol domain Anda. Kemudian coba kembali untuk bergabung dengan SVM Anda ke Active Directory Anda.
Untuk mengatasi masalah ini, lakukan solusi berikut:
Tinjau persyaratan yang dijelaskan dalamPersyaratan konfigurasi jaringan, dan buat perubahan yang diperlukan untuk mengaktifkan komunikasi jaringan antara Amazon FSx dan iklan Anda.
Setelah Amazon FSx dapat berkomunikasi dengan iklan Anda, ikuti prosedur yang dijelaskan Bergabung SVMs ke Active Directory menggunakan Konsol Manajemen AWS, AWS CLI dan API dan coba kembali menggabungkan SVM Anda ke AD Anda.
Amazon tidak FSx dapat terhubung ke Direktori Aktif Anda karena persyaratan port yang tidak terpenuhi atau izin akun layanan
Bergabung dengan SVM ke Active Directory yang dikelola sendiri gagal dengan pesan galat berikut:
Amazon FSx tidak dapat membuat koneksi dengan Active Directory Anda. Hal ini disebabkan oleh persyaratan port untuk Direktori Aktif Anda tidak terpenuhi, atau akun layanan yang diberikan tidak memiliki izin untuk bergabung dengan mesin virtual penyimpanan ke domain dengan unit organisasi yang ditentukan. Untuk memperbaiki masalah ini, perbarui konfigurasi Direktori Aktif mesin virtual penyimpanan Anda setelah menyelesaikan masalah izin apa pun dengan port dan akun layanan, seperti yang direkomendasikan dalam panduan FSx pengguna Amazon.
Untuk mengatasi masalah ini, lakukan solusi berikut:
Tinjau persyaratan yang dijelaskan dalamPersyaratan konfigurasi jaringan, dan buat perubahan yang diperlukan untuk memenuhi persyaratan jaringan dan memastikan komunikasi diaktifkan pada port yang diperlukan
Tinjau persyaratan akun layanan yang dijelaskan dalamPersyaratan akun layanan Direktori Aktif. Pastikan akun layanan memiliki izin yang didelegasikan yang diperlukan untuk menggabungkan SVM Anda ke domain Active Directory menggunakan unit organisasi yang ditentukan.
Setelah Anda membuat perubahan pada izin port atau akun layanan, ikuti prosedur yang dijelaskan Bergabung SVMs ke Active Directory menggunakan Konsol Manajemen AWS, AWS CLI dan API dan coba kembali bergabung dengan SVM Anda ke AD Anda.
Amazon tidak FSx dapat terhubung ke pengontrol domain Direktori Aktif karena kredensil akun layanan tidak valid
Bergabung dengan SVM ke Active Directory yang dikelola sendiri gagal dengan pesan galat berikut:
Amazon FSx tidak dapat membuat sambungan dengan pengontrol domain Direktori Aktif karena kredensyal akun layanan yang diberikan tidak valid. Untuk memperbaiki masalah ini, perbarui konfigurasi Active Directory mesin virtual penyimpanan Anda dengan akun layanan yang valid.
Untuk mengatasi masalah ini, gunakan prosedur yang dijelaskan Memperbarui konfigurasi SVM Active Directory yang ada menggunakan Konsol Manajemen AWS, AWS CLI, dan API untuk memperbarui kredensil akun layanan SVM. Saat memasukkan nama pengguna akun layanan, pastikan untuk hanya menyertakan nama pengguna (misalnya,ServiceAcct), dan jangan menyertakan awalan domain apa pun (misalnya,corp.com\ServiceAcct) atau akhiran domain (misalnya,ServiceAcct@corp.com). Jangan gunakan nama terhormat (DN) saat memasukkan nama pengguna akun layanan (misalnya,CN=ServiceAcct,OU=example,DC=corp,DC=com).
Amazon tidak FSx dapat terhubung ke pengontrol domain Direktori Aktif Anda karena kredensi akun layanan tidak mencukupi
Bergabung dengan SVM ke Active Directory yang dikelola sendiri gagal dengan pesan galat berikut:
Amazon FSx tidak dapat membuat koneksi dengan pengontrol domain Direktori Aktif Anda. Hal ini disebabkan oleh persyaratan port yang belum terpenuhi untuk Direktori Aktif, atau akun layanan yang disediakan tidak memiliki izin untuk bergabung dengan mesin virtual penyimpanan ke domain dengan unit organisasi yang ditentukan.
Untuk mengatasi masalah ini, pastikan Anda telah mendelegasikan izin yang diperlukan ke akun layanan yang Anda berikan. Akun layanan harus mampu membuat dan menghapus objek komputer di OU di domain yang Anda gabungkan dengan sistem file. Untuk memiliki izin, Akun layanan juga setidaknya perlu untuk melakukan hal berikut:
Atur ulang kata sandi
Batasi akun dari membaca dan menulis data
Kemampuan tervalidasi untuk menulis ke nama host DNS
Kemampuan tervalidasi untuk menulis ke nama utama layanan
Kemampuan untuk membuat dan menghapus objek komputer
Kemampuan tervalidasi untuk membaca dan menulis Pembatasan Akun
Untuk informasi selengkapnya tentang membuat akun layanan dengan izin yang benar, lihat Persyaratan akun layanan Direktori Aktif danMendelegasikan izin ke akun layanan Amazon FSx Anda.
Amazon tidak FSx dapat berkomunikasi dengan server DNS Active Directory atau pengontrol domain
Bergabung dengan SVM ke Active Directory yang dikelola sendiri gagal dengan pesan galat berikut:
Amazon FSx tidak dapat berkomunikasi dengan Active Directory Anda. Ini karena Amazon tidak FSx dapat menjangkau server DNS yang disediakan atau pengontrol domain untuk domain Anda. Untuk memperbaiki masalah ini, perbarui konfigurasi Active Directory mesin virtual penyimpanan Anda dengan server DNS yang valid dan konfigurasi jaringan yang memungkinkan lalu lintas mengalir dari mesin virtual penyimpanan ke pengontrol domain.
Untuk mengatasi masalah ini, gunakan prosedur berikut:
Jika hanya beberapa pengontrol domain di Active Directory yang dapat dijangkau, misalnya karena keterbatasan geografis atau firewall, Anda dapat menambahkan pengontrol domain pilihan. Dengan menggunakan opsi ini, Amazon FSx mencoba menghubungi pengontrol domain pilihan. Tambahkan pengontrol domain pilihan menggunakan perintah
vserver cifs domain preferred-dc addNetApp ONTAP CLI, sebagai berikut: Untuk mengakses ONTAP CLI, buat sesi SSH pada port manajemen Amazon FSx untuk sistem file NetApp ONTAP atau SVM dengan menjalankan perintah berikut. Ganti
management_endpoint_ip[~]$ssh fsxadmin@management_endpoint_ipUntuk informasi selengkapnya, lihat Mengelola sistem file dengan ONTAP CLI.
Masukkan perintah berikut, di mana:
-vserver vserver_namemenentukan nama mesin virtual penyimpanan (SVM).-domain domain_namemenentukan nama Active Directory (FQDN) yang sepenuhnya memenuhi syarat dari domain yang menjadi milik pengontrol domain tertentu.-preferred-dc IP_address,…menentukan satu atau lebih alamat IP dari pengontrol domain pilihan, sebagai daftar yang dibatasi koma, dalam urutan preferensi.
FsxId123456789::>vserver cifs domain preferred-dc add -vserver vserver_name -domain domain_name -preferred-dc IP_address, …+Perintah berikut menambahkan pengontrol domain 172.17.102.25 dan 172.17.102.24 ke daftar pengontrol domain pilihan yang digunakan server SMB di SVM vs1 untuk mengelola akses eksternal ke domain cifs.lab.example.com.
FsxId123456789::>vserver cifs domain preferred-dc add -vserver vs1 -domain cifs.lab.example.com -preferred-dc 172.17.102.25,172.17.102.24
Periksa untuk melihat apakah Pengontrol Domain Anda dapat diselesaikan dengan DNS. Gunakan perintah CLI
vserver services access-check dns forward-lookupNetApp ONTAP untuk mengembalikan alamat IP nama host berdasarkan pencarian di server DNS yang ditentukan atau konfigurasi DNS vserver. Untuk mengakses ONTAP CLI, buat sesi SSH pada port manajemen Amazon FSx untuk sistem file NetApp ONTAP atau SVM dengan menjalankan perintah berikut. Ganti
management_endpoint_ip[~]$ssh fsxadmin@management_endpoint_ipUntuk informasi selengkapnya, lihat Mengelola sistem file dengan ONTAP CLI.
Masukkan mode lanjutan CLI ONTAP menggunakan perintah berikut.
FsxId123456789::>set advMasukkan perintah berikut, di mana:
-vserver vserver_namemenentukan nama mesin virtual penyimpanan (SVM).-hostname host_namemenentukan nama host untuk mencari di server DNS.-node node_namemenentukan nama node di mana perintah dijalankan.-lookup-typemenentukan jenis alamat IP yang akan dicari di server DNS, defaultnya adalah.all
FsxId123456789::>vserver services access-check dns forward-lookup \ -vservervserver_name-nodenode_name\ -domainsdomain_name-name-serversdns_server_ip_address\ -hostnamehost_name
Tinjau informasi yang perlu Anda miliki saat bergabung dengan SVM ke AD.
Tinjau persyaratan jaringan saat bergabung dengan SVM ke AD.
Gunakan prosedur yang dijelaskan Persyaratan konfigurasi jaringan untuk memperbarui konfigurasi Active Directory SVM Anda menggunakan alamat IP yang benar untuk server DNS Active Directory Anda.
Amazon tidak FSx dapat berkomunikasi dengan Active Directory karena nama domain Active Directory tidak valid.
Bergabung dengan SVM ke Active Directory yang dikelola sendiri gagal dengan pesan galat berikut:
Amazon FSx telah mendeteksi FQDN yang disediakan tidak valid. Untuk memperbaiki masalah ini, perbarui konfigurasi Active Directory mesin virtual penyimpanan Anda dengan FQDN yang mematuhi persyaratan konfigurasi.
Untuk mengatasi masalah ini, gunakan prosedur berikut:
Tinjau persyaratan nama domain Active Directory lokal yang dijelaskan dalam Informasi yang dibutuhkan saat bergabung dengan SVM ke Active Directory Pastikan Direktori Aktif yang Anda coba gabungkan memenuhi persyaratan tersebut.
Gunakan prosedur yang dijelaskan dalam Bergabung SVMs ke Active Directory menggunakan Konsol Manajemen AWS, AWS CLI dan API dan coba kembali menggabungkan SVM Anda ke Active Directory. Pastikan untuk menggunakan format yang benar untuk FQDN domain Active Directory.
Akun layanan tidak dapat mengakses grup administrator yang ditentukan dalam konfigurasi SVM Active Directory
Bergabung dengan SVM ke Active Directory yang dikelola sendiri gagal dengan pesan galat berikut:
Amazon FSx tidak dapat menerapkan konfigurasi Direktori Aktif Anda. Ini karena grup administrator yang Anda berikan tidak ada atau tidak dapat diakses ke akun layanan yang Anda berikan. Untuk memperbaiki masalah ini, pastikan bahwa konfigurasi jaringan Anda memungkinkan lalu lintas dari SVM ke pengontrol domain Active Directory dan server DNS Anda. Kemudian perbarui konfigurasi Direktori Aktif SVM Anda, berikan server DNS Active Directory Anda dan, tentukan grup administrator di domain yang dapat diakses ke akun layanan yang disediakan.
Untuk mengatasi masalah ini, lakukan solusi berikut:
Tinjau informasi tentang penyediaan grup domain untuk melakukan tindakan administratif pada SVM Anda. Pastikan Anda menggunakan nama yang benar dari grup administrator domain Active Directory.
Gunakan prosedur yang dijelaskan dalam Bergabung SVMs ke Active Directory menggunakan Konsol Manajemen AWS, AWS CLI dan API dan coba kembali menggabungkan SVM Anda ke AD.
Amazon tidak FSx dapat terhubung ke pengontrol domain Direktori Aktif karena unit organisasi yang ditentukan tidak ada atau tidak dapat diakses
Bergabung dengan SVM ke Active Directory yang dikelola sendiri gagal dengan pesan galat berikut:
Amazon FSx tidak dapat membuat koneksi dengan Active Directory Anda. Ini karena unit organisasi yang Anda tentukan tidak ada atau tidak dapat diakses oleh akun layanan yang disediakan. Untuk memperbaiki masalah ini, perbarui konfigurasi Active Directory mesin virtual penyimpanan Anda, tentukan unit organisasi tempat akun layanan memiliki izin untuk bergabung.
Untuk mengatasi masalah ini, lakukan solusi berikut:
-
Tinjau informasi yang perlu Anda miliki saat bergabung dengan SVM ke AD.
-
Coba kembali menggabungkan SVM ke Active Directory menggunakan prosedur ini dengan unit organisasi yang benar.
