Solução de problemas: problemas ao associar o gateway ao Active Directory - AWS Storage Gateway
Confirmar se o gateway pode acessar o controlador de domínio executando um teste de npingVerifique as opções de DHCP definidas para a VPC da sua instância de gateway da Amazon EC2 Confirmar se o gateway pode resolver o domínio executando uma consulta digConferir as configurações e perfis do controlador de domínioConferir se o gateway está associado ao controlador de domínio mais próximoConfirmar se o Active Directory cria objetos de computador na unidade organizacional (UO) padrãoConferir os logs de eventos do seu controlador de domínio

O Amazon FSx File Gateway não está mais disponível para novos clientes. Os clientes existentes do FSx File Gateway podem continuar usando o serviço normalmente. Para recursos semelhantes ao FSx File Gateway, visite esta postagem do blog.

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Solução de problemas: problemas ao associar o gateway ao Active Directory

Use as informações de solução de problemas a seguir para saber o que fazer se você receber mensagens de erro, como NETWORK_ERROR, TIMEOUTou ACCESS_DENIED ao tentar associar o Gateway de Arquivos a um domínio do Microsoft Active Directory.

Para resolver esses erros, realize as verificações e configurações a seguir.

Confirmar se o gateway pode acessar o controlador de domínio executando um teste de nping

Para executar um teste de nping:

  1. Conecte-se ao console local do gateway usando seu software de gerenciamento de hipervisor (VMwareHyper-V ou KVM) para gateways locais ou usando ssh para gateways da Amazon. EC2

  2. Digite o número correspondente para selecionar Console do Gateway e, depois, insira h para listar todos os comandos disponíveis. Para testar a conectividade entre a máquina virtual do Storage Gateway e o domínio, execute o seguinte comando:

    nping -d corp.domain.com -p 389 -c 1 -t tcp

    nota

    Substitua corp.domain.com pelo nome DNS do seu domínio do Active Directory e substitua 389 pela porta LDAP do seu ambiente.

    Verifique se você abriu as portas necessárias no seu firewall.

Veja a seguir um exemplo de teste de nping bem-sucedido em que o gateway conseguiu acessar o controlador de domínio bem-sucedido:

nping -d corp.domain.com -p 389 -c 1 -t tcp

Starting Nping 0.6.40 ( http://nmap.org/nping ) at 2022-06-30 16:24 UTC
SENT (0.0553s) TCP 10.10.10.21:9783 > 10.10.10.10:389 S ttl=64 id=730 iplen=40  seq=2597195024 win=1480 
RCVD (0.0556s) TCP 10.10.10.10:389 > 10.10.10.21:9783 SA ttl=128 id=22332 iplen=44  seq=4170716243 win=8192 <mss 8961>

Max rtt: 0.310ms | Min rtt: 0.310ms | Avg rtt: 0.310ms
Raw packets sent: 1 (40B) | Rcvd: 1 (44B) | Lost: 0 (0.00%)
Nping done: 1 IP address pinged in 1.09 seconds<br>

Veja a seguir um exemplo de teste de nping em que não há conectividade ou resposta do destino corp.domain.com:

nping -d corp.domain.com -p 389 -c 1 -t tcp

Starting Nping 0.6.40 ( http://nmap.org/nping ) at 2022-06-30 16:26 UTC
SENT (0.0421s) TCP 10.10.10.21:47196 > 10.10.10.10:389  S ttl=64 id=30318 iplen=40 seq=1762671338 win=1480

Max rtt: N/A | Min rtt: N/A | Avg rtt: N/A
Raw packets sent: 1 (40B) | Rcvd: 0 (0B) | Lost: 1 (100.00%)
Nping done: 1 IP address pinged in 1.07 seconds

Verifique as opções de DHCP definidas para a VPC da sua instância de gateway da Amazon EC2

Se o File Gateway estiver sendo executado em uma EC2 instância da Amazon, você deverá se certificar de que um conjunto de opções de DHCP esteja devidamente configurado e anexado à Amazon Virtual Private Cloud (VPC) que contém a instância do gateway. Para acessar mais informações, consulte Conjuntos de opções DHCP na Amazon VPC.

Confirmar se o gateway pode resolver o domínio executando uma consulta dig

Se o domínio não puder ser resolvido pelo gateway, este não poderá ingressar no domínio.

Como executar uma consulta dig:

  1. Conecte-se ao console local do gateway usando seu software de gerenciamento de hipervisor (VMwareHyper-V ou KVM) para gateways locais ou usando ssh para gateways da Amazon. EC2

  2. Digite o número correspondente para selecionar Console do Gateway e, depois, insira h para listar todos os comandos disponíveis. Para testar se o gateway pode resolver o domínio, execute o seguinte comando:

    dig -d corp.domain.com

    nota

    Substitua corp.domain.com pelo nome DNS do seu domínio do Active Directory.

Veja a seguir um exemplo de resposta bem-sucedida:

; <<>> DiG 9.11.4-P2-RedHat-9.11.4-26.P2.amzn2.5.2 <<>> corp.domain.com
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 24817
;; flags: qr aa rd ra; QUERY: 1, ANSWER: 2, AUTHORITY: 0, ADDITIONAL: 1

;; OPT PSEUDOSECTION:
; EDNS: version: 0, flags:; udp: 4000
;; QUESTION SECTION:
;corp.domain.com.        IN    A

;; ANSWER SECTION:
corp.domain.com.    600    IN    A    10.10.10.10
corp.domain.com.    600    IN    A    10.10.20.10
            
;; Query time: 0 msec
;; SERVER: 10.10.20.228#53(10.10.20.228)
;; WHEN: Thu Jun 30 16:36:32 UTC 2022
;; MSG SIZE  rcvd: 78

Conferir as configurações e perfis do controlador de domínio

Verifique se o controlador de domínio não está definido como somente leitura e se ele tem perfis suficientes para a associação dos computadores. Para testar isso, tente associar outros servidores da mesma sub-rede da VPC que a VM do gateway ao domínio.

Conferir se o gateway está associado ao controlador de domínio mais próximo

Como prática recomendada, recomendamos associar seu gateway a um controlador de domínio que esteja geograficamente próximo ao dispositivo de gateway. Se o dispositivo de gateway não conseguir se comunicar com o controlador de domínio em 20 segundos devido à latência da rede, o processo de associação ao domínio poderá expirar. Por exemplo, o processo pode expirar se o dispositivo de gateway estiver no Leste dos EUA (Norte da Virgínia) Região da AWS e o controlador de domínio estiver na Ásia-Pacífico (Cingapura). Região da AWS

nota

Para aumentar o valor de tempo limite padrão de 20 segundos, você pode executar o comando join-domain no AWS Command Line Interface (AWS CLI) e incluir a --timeout-in-seconds opção de aumentar o tempo. Você também pode usar a chamada JoinDomain da API e incluir o TimeoutInSeconds parâmetro para aumentar o tempo. O valor de tempo limite máximo é 3.600 segundos.

Se você receber erros ao executar AWS CLI comandos, verifique se está usando a AWS CLI versão mais recente.

Confirmar se o Active Directory cria objetos de computador na unidade organizacional (UO) padrão

Garanta que o Microsoft Active Directory não tenha nenhum objeto de política de grupo que crie objetos de computador em qualquer local que não seja a UO padrão. Antes de associar seu gateway ao domínio do Active Directory, deve existir um novo objeto de computador na UO padrão. Alguns ambientes do Active Directory são personalizados para serem diferentes OUs para objetos recém-criados. Para garantir que exista um novo objeto de computador para a VM do gateway na UO padrão, tente criar o objeto de computador manualmente no controlador de domínio antes de associar o gateway ao domínio. Você também pode executar o comando join-domain utilizando a AWS CLI. Depois, especifique a opção para --organizational-unit.

nota

O processo de criação do objeto de computador é chamado de pré-preparação.

Conferir os logs de eventos do seu controlador de domínio

Se você não conseguir associar o gateway ao domínio depois de tentar todas as outras verificações e configurações descritas nas seções anteriores, recomendamos examinar os logs de eventos do controlador de domínio. Confira se há erros no visualizador de eventos do controlador de domínio. Verifique se as consultas do gateway chegaram ao controlador de domínio.