문제 해결: 게이트웨이를 Active Directory에 조인하는 문제 - AWS Storage Gateway
nping 테스트를 실행하여 게이트웨이가 도메인 컨트롤러에 도달할 수 있는지 확인Amazon EC2 게이트웨이 인스턴스의 VPC에 대해 설정된 DHCP 옵션 확인dig 쿼리를 실행하여 게이트웨이가 도메인을 확인할 수 있는지 확인도메인 컨트롤러 설정 및 역할 확인게이트웨이가 가장 가까운 도메인 컨트롤러에 조인되었는지 확인Active Directory가 기본 조직 단위(OU)에 새 컴퓨터 객체를 생성하는지 확인도메인 컨트롤러 이벤트 로그 확인

기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.

문제 해결: 게이트웨이를 Active Directory에 조인하는 문제

다음 문제 해결 정보를 사용하여 File Gateway를 Microsoft Active Directory 도메인에 조인하려고 할 ACCESS_DENIEDTIMEOUT, 또는 NETWORK_ERROR와 같은 오류 메시지가 수신되는 경우 수행할 작업을 결정합니다.

이러한 오류를 해결하려면 다음 확인 및 구성을 수행합니다.

nping 테스트를 실행하여 게이트웨이가 도메인 컨트롤러에 도달할 수 있는지 확인

nping 테스트를 실행하려면:

  1. 온프레미스 게이트웨이용 하이퍼바이저 관리 소프트웨어(VMware, Hyper-V 또는 KVM) 또는 Amazon EC2 게이트웨이용 ssh를 사용하여 게이트웨이 로컬 콘솔에 연결합니다.

  2. 해당 숫자를 입력하여 게이트웨이 콘솔을 선택한 다음 h를 입력하여 사용 가능한 모든 명령을 나열합니다. Storage Gateway 가상 머신과 도메인 간의 연결을 테스트하려면 다음 명령을 실행합니다.

    nping -d corp.domain.com -p 389 -c 1 -t tcp

    참고

    corp.domain.com를 Active Directory 도메인 DNS 이름으로 바꾸고를 환경의 LDAP 포트389로 바꿉니다.

    방화벽 내에서 필요한 포트를 열었는지 확인합니다.

다음은 게이트웨이가 도메인 컨트롤러에 도달할 수 있었던 성공적인 nping 테스트의 예입니다.

nping -d corp.domain.com -p 389 -c 1 -t tcp

Starting Nping 0.6.40 ( http://nmap.org/nping ) at 2022-06-30 16:24 UTC
SENT (0.0553s) TCP 10.10.10.21:9783 > 10.10.10.10:389 S ttl=64 id=730 iplen=40  seq=2597195024 win=1480 
RCVD (0.0556s) TCP 10.10.10.10:389 > 10.10.10.21:9783 SA ttl=128 id=22332 iplen=44  seq=4170716243 win=8192 <mss 8961>

Max rtt: 0.310ms | Min rtt: 0.310ms | Avg rtt: 0.310ms
Raw packets sent: 1 (40B) | Rcvd: 1 (44B) | Lost: 0 (0.00%)
Nping done: 1 IP address pinged in 1.09 seconds<br>

다음은 corp.domain.com 대상과의 연결 또는 응답이 없는 nping 테스트의 예입니다.

nping -d corp.domain.com -p 389 -c 1 -t tcp

Starting Nping 0.6.40 ( http://nmap.org/nping ) at 2022-06-30 16:26 UTC
SENT (0.0421s) TCP 10.10.10.21:47196 > 10.10.10.10:389  S ttl=64 id=30318 iplen=40 seq=1762671338 win=1480

Max rtt: N/A | Min rtt: N/A | Avg rtt: N/A
Raw packets sent: 1 (40B) | Rcvd: 0 (0B) | Lost: 1 (100.00%)
Nping done: 1 IP address pinged in 1.07 seconds

Amazon EC2 게이트웨이 인스턴스의 VPC에 대해 설정된 DHCP 옵션 확인

File Gateway가 Amazon EC2 인스턴스에서 실행 중인 경우 DHCP 옵션 세트가 올바르게 구성되고 게이트웨이 인스턴스가 포함된 Amazon Virtual Private Cloud(VPC)에 연결되어 있는지 확인해야 합니다. 자세한 내용은 Amazon VPC의 DHCP 옵션 세트를 참조하세요.

dig 쿼리를 실행하여 게이트웨이가 도메인을 확인할 수 있는지 확인

게이트웨이에서 도메인을 확인할 수 없는 경우 게이트웨이는 도메인에 조인할 수 없습니다.

dig 쿼리를 실행하려면:

  1. 온프레미스 게이트웨이용 하이퍼바이저 관리 소프트웨어(VMware, Hyper-V 또는 KVM) 또는 Amazon EC2 게이트웨이용 ssh를 사용하여 게이트웨이 로컬 콘솔에 연결합니다.

  2. 해당 숫자를 입력하여 게이트웨이 콘솔을 선택한 다음 h를 입력하여 사용 가능한 모든 명령을 나열합니다. 게이트웨이가 도메인을 확인할 수 있는지 테스트하려면 다음 명령을 실행합니다.

    dig -d corp.domain.com

    참고

    corp.domain.com를 Active Directory 도메인 DNS 이름으로 바꿉니다.

다음은 성공적인 응답의 예입니다.

; <<>> DiG 9.11.4-P2-RedHat-9.11.4-26.P2.amzn2.5.2 <<>> corp.domain.com
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 24817
;; flags: qr aa rd ra; QUERY: 1, ANSWER: 2, AUTHORITY: 0, ADDITIONAL: 1

;; OPT PSEUDOSECTION:
; EDNS: version: 0, flags:; udp: 4000
;; QUESTION SECTION:
;corp.domain.com.        IN    A

;; ANSWER SECTION:
corp.domain.com.    600    IN    A    10.10.10.10
corp.domain.com.    600    IN    A    10.10.20.10
            
;; Query time: 0 msec
;; SERVER: 10.10.20.228#53(10.10.20.228)
;; WHEN: Thu Jun 30 16:36:32 UTC 2022
;; MSG SIZE  rcvd: 78

도메인 컨트롤러 설정 및 역할 확인

도메인 컨트롤러가 읽기 전용으로 설정되어 있지 않고 도메인 컨트롤러에 컴퓨터가 조인할 수 있는 충분한 역할이 있는지 확인합니다. 이를 테스트하려면 게이트웨이 VM과 동일한 VPC 서브넷의 다른 서버를 도메인에 조인해 보십시오.

게이트웨이가 가장 가까운 도메인 컨트롤러에 조인되었는지 확인

게이트웨이 어플라이언스와 지리적으로 가까운 도메인 컨트롤러에 게이트웨이를 조인하는 것이 좋습니다. 게이트웨이 어플라이언스가 네트워크 지연 시간으로 인해 20초 이내에 도메인 컨트롤러와 통신할 수 없는 경우 도메인 조인 프로세스가 시간 초과될 수 있습니다. 예를 들어 게이트웨이 어플라이언스가 미국 동부(버지니아 북부)에 AWS 리전 있고 도메인 컨트롤러가 아시아 태평양(싱가포르)에 있는 경우 프로세스가 시간 초과될 수 있습니다 AWS 리전.

참고

기본 제한 시간 값을 20초로 늘리려면 AWS Command Line Interface (AWS CLI)에서 join-domain 명령을 실행하고 시간을 늘리는 --timeout-in-seconds 옵션을 포함할 수 있습니다. JoinDomain API 호출을 사용하고 TimeoutInSeconds 파라미터를 포함하여 시간을 늘릴 수도 있습니다. 최대 제한 시간 값은 3,600초입니다.

AWS CLI 명령을 실행할 때 오류가 발생하면 최신 AWS CLI 버전을 사용하고 있는지 확인합니다.

Active Directory가 기본 조직 단위(OU)에 새 컴퓨터 객체를 생성하는지 확인

Microsoft Active Directory에 기본 OU 이외의 위치에 새 컴퓨터 객체를 생성하는 그룹 정책 객체가 없는지 확인합니다. 게이트웨이를 Active Directory 도메인에 조인하려면 먼저 새 컴퓨터 객체가 기본 OU에 있어야 합니다. 일부 Active Directory 환경은 새로 생성된 객체에 대해 서로 다른 OUs를 갖도록 사용자 지정됩니다. 게이트웨이 VM의 새 컴퓨터 객체가 기본 OU에 있는지 확인하려면 게이트웨이를 도메인에 조인하기 전에 도메인 컨트롤러에서 수동으로 컴퓨터 객체를 생성해 보십시오. 를 사용하여 join-domain 명령을 실행할 수도 있습니다 AWS CLI. 그런 다음에 대한 옵션을 지정합니다--organizational-unit.

참고

컴퓨터 객체를 생성하는 프로세스를 사전 스테이징이라고 합니다.

도메인 컨트롤러 이벤트 로그 확인

이전 단원에서 설명한 다른 모든 검사 및 구성을 시도한 후 게이트웨이를 도메인에 조인할 수 없는 경우 도메인 컨트롤러 이벤트 로그를 검사하는 것이 좋습니다. 도메인 컨트롤러의 이벤트 뷰어에 오류가 있는지 확인합니다. 게이트웨이 쿼리가 도메인 컨트롤러에 도달했는지 확인합니다.