Risoluzione dei problemi: problemi di connessione del gateway ad Active Directory - AWS Storage Gateway
Verifica che il gateway possa raggiungere il controller di dominio eseguendo un test npingVerifica le opzioni DHCP impostate per il VPC della tua istanza Amazon gateway EC2 Verifica che il gateway sia in grado di risolvere il dominio eseguendo una query digControlla le impostazioni e i ruoli del controller di dominioVerifica che il gateway sia aggiunto al controller di dominio più vicinoVerifica che Active Directory crei nuovi oggetti informatici nell'unità organizzativa (OU) predefinitaControlla i registri degli eventi del controller di dominio

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Risoluzione dei problemi: problemi di connessione del gateway ad Active Directory

Utilizza le seguenti informazioni per la risoluzione dei problemi per determinare cosa fare se ricevi messaggi di errore come NETWORK_ERRORTIMEOUT, o ACCESS_DENIED quando tenti di aggiungere il tuo File Gateway a un dominio Microsoft Active Directory.

Per risolvere questi errori, esegui i controlli e le configurazioni seguenti.

Verifica che il gateway possa raggiungere il controller di dominio eseguendo un test nping

Per eseguire un test nping:

  1. Connect alla console locale del gateway utilizzando il software di gestione dell'hypervisor (VMwareHyper-V o KVM) per i gateway locali o utilizzando ssh per i gateway Amazon. EC2

  2. Inserisci il numero corrispondente per selezionare Gateway Console, quindi inserisci per elencare tutti i comandi disponibili. h Per testare la connettività tra la macchina virtuale Storage Gateway e il dominio, eseguire il comando seguente:

    nping -d corp.domain.com -p 389 -c 1 -t tcp

    Nota

    corp.domain.comSostituiscilo con il nome DNS del dominio Active Directory e sostituiscilo 389 con la porta LDAP per il tuo ambiente.

    Verifica di aver aperto le porte richieste all'interno del firewall.

Di seguito è riportato un esempio di test nping riuscito in cui il gateway è riuscito a raggiungere il controller di dominio:

nping -d corp.domain.com -p 389 -c 1 -t tcp

Starting Nping 0.6.40 ( http://nmap.org/nping ) at 2022-06-30 16:24 UTC
SENT (0.0553s) TCP 10.10.10.21:9783 > 10.10.10.10:389 S ttl=64 id=730 iplen=40  seq=2597195024 win=1480 
RCVD (0.0556s) TCP 10.10.10.10:389 > 10.10.10.21:9783 SA ttl=128 id=22332 iplen=44  seq=4170716243 win=8192 <mss 8961>

Max rtt: 0.310ms | Min rtt: 0.310ms | Avg rtt: 0.310ms
Raw packets sent: 1 (40B) | Rcvd: 1 (44B) | Lost: 0 (0.00%)
Nping done: 1 IP address pinged in 1.09 seconds<br>

Di seguito è riportato un esempio di test nping in cui non c'è connettività o risposta dalla corp.domain.com destinazione:

nping -d corp.domain.com -p 389 -c 1 -t tcp

Starting Nping 0.6.40 ( http://nmap.org/nping ) at 2022-06-30 16:26 UTC
SENT (0.0421s) TCP 10.10.10.21:47196 > 10.10.10.10:389  S ttl=64 id=30318 iplen=40 seq=1762671338 win=1480

Max rtt: N/A | Min rtt: N/A | Avg rtt: N/A
Raw packets sent: 1 (40B) | Rcvd: 0 (0B) | Lost: 1 (100.00%)
Nping done: 1 IP address pinged in 1.07 seconds

Verifica le opzioni DHCP impostate per il VPC della tua istanza Amazon gateway EC2

Se File Gateway è in esecuzione su un' EC2 istanza Amazon, devi assicurarti che un set di opzioni DHCP sia configurato e collegato correttamente all'Amazon Virtual Private Cloud (VPC) che contiene l'istanza del gateway. Per ulteriori informazioni, consulta Set di opzioni DHCP in Amazon VPC.

Verifica che il gateway sia in grado di risolvere il dominio eseguendo una query dig

Se il dominio non è risolvibile dal gateway, il gateway non può entrare a far parte del dominio.

Per eseguire una dig query:

  1. Connect alla console locale del gateway utilizzando il software di gestione dell'hypervisor (VMwareHyper-V o KVM) per i gateway locali o utilizzando ssh per i gateway Amazon. EC2

  2. Inserisci il numero corrispondente per selezionare Gateway Console, quindi inserisci per elencare tutti i comandi disponibili. h Per verificare se il gateway è in grado di risolvere il dominio, esegui il comando seguente:

    dig -d corp.domain.com

    Nota

    corp.domain.comSostituiscilo con il nome DNS del dominio Active Directory.

Di seguito è riportato un esempio di risposta riuscita:

; <<>> DiG 9.11.4-P2-RedHat-9.11.4-26.P2.amzn2.5.2 <<>> corp.domain.com
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 24817
;; flags: qr aa rd ra; QUERY: 1, ANSWER: 2, AUTHORITY: 0, ADDITIONAL: 1

;; OPT PSEUDOSECTION:
; EDNS: version: 0, flags:; udp: 4000
;; QUESTION SECTION:
;corp.domain.com.        IN    A

;; ANSWER SECTION:
corp.domain.com.    600    IN    A    10.10.10.10
corp.domain.com.    600    IN    A    10.10.20.10
            
;; Query time: 0 msec
;; SERVER: 10.10.20.228#53(10.10.20.228)
;; WHEN: Thu Jun 30 16:36:32 UTC 2022
;; MSG SIZE  rcvd: 78

Controlla le impostazioni e i ruoli del controller di dominio

Verifica che il controller di dominio non sia impostato in modalità di sola lettura e che disponga di ruoli sufficienti per consentire l'accesso ai computer. Per verificarlo, prova a collegare altri server dalla stessa sottorete VPC della macchina virtuale gateway al dominio.

Verifica che il gateway sia aggiunto al controller di dominio più vicino

Come procedura ottimale, si consiglia di collegare il gateway a un controller di dominio geograficamente vicino all'appliance gateway. Se l'appliance gateway non è in grado di comunicare con il controller di dominio entro 20 secondi a causa della latenza di rete, il processo di aggiunta al dominio può scadere. Ad esempio, il processo potrebbe scadere se l'appliance gateway si trova negli Stati Uniti orientali (Virginia settentrionale) Regione AWS e il controller di dominio si trova nell'Asia Pacifico (Singapore). Regione AWS

Nota

Per aumentare il valore di timeout predefinito di 20 secondi, è possibile eseguire il comando join-domain in AWS Command Line Interface (AWS CLI) e includere l'--timeout-in-secondsopzione per aumentare il tempo. Puoi anche utilizzare la chiamata JoinDomain API e includere il TimeoutInSeconds parametro per aumentare il tempo. Il valore di timeout massimo è 3.600 secondi.

Se ricevi errori durante l'esecuzione dei AWS CLI comandi, assicurati di utilizzare la versione più recente. AWS CLI

Verifica che Active Directory crei nuovi oggetti informatici nell'unità organizzativa (OU) predefinita

Accertarsi che Microsoft Active Directory non disponga di oggetti di criteri di gruppo che creino nuovi oggetti computer in posizioni diverse dall'unità organizzativa predefinita. Prima di poter aggiungere il gateway al dominio Active Directory, è necessario che nell'unità organizzativa predefinita esista un nuovo oggetto computer. Alcuni ambienti Active Directory sono personalizzati in modo da avere oggetti diversi OUs per quelli appena creati. Per garantire che nell'unità organizzativa predefinita esista un nuovo oggetto computer per la macchina virtuale gateway, provate a creare l'oggetto computer manualmente sul controller di dominio prima di aggiungere il gateway al dominio. È inoltre possibile eseguire il comando join-domain utilizzando. AWS CLI Quindi, specifica l'opzione per. --organizational-unit

Nota

Il processo di creazione dell'oggetto informatico è denominato preallestimento.

Controlla i registri degli eventi del controller di dominio

Se non riesci ad aggiungere il gateway al dominio dopo aver provato tutti gli altri controlli e configurazioni descritti nelle sezioni precedenti, ti consigliamo di esaminare i registri degli eventi del controller di dominio. Verifica la presenza di eventuali errori nel visualizzatore eventi del controller di dominio. Verifica che le query del gateway abbiano raggiunto il controller di dominio.