Solução de problemas: problemas ao associar o gateway ao Active Directory - AWS Storage Gateway
Confirme se o gateway pode acessar o controlador de domínio executando um teste de npingVerifique as opções de DHCP definidas para a VPC da sua instância de gateway da Amazon EC2 Confirme se o gateway pode resolver o domínio executando uma consulta digVerifique as configurações e funções do controlador de domínioVerifique se o gateway está associado ao controlador de domínio mais próximoConfirme se o Active Directory cria novos objetos de computador na unidade organizacional (OU) padrãoVerifique os registros de eventos do seu controlador de domínio

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Solução de problemas: problemas ao associar o gateway ao Active Directory

Use as informações de solução de problemas a seguir para determinar o que fazer se você receber mensagens de erro como NETWORK_ERRORTIMEOUT, ou ACCESS_DENIED ao tentar associar seu File Gateway a um domínio do Microsoft Active Directory.

Para resolver esses erros, execute as seguintes verificações e configurações.

Confirme se o gateway pode acessar o controlador de domínio executando um teste de nping

Para executar um teste de nping:

  1. Conecte-se ao console local do gateway usando seu software de gerenciamento de hipervisor (VMwareHyper-V ou KVM) para gateways locais ou usando ssh para gateways da Amazon. EC2

  2. Digite o número correspondente para selecionar Gateway Console e, em seguida, insira h para listar todos os comandos disponíveis. Para testar a conectividade entre a máquina virtual do Storage Gateway e o domínio, execute o seguinte comando:

    nping -d corp.domain.com -p 389 -c 1 -t tcp

    nota

    corp.domain.comSubstitua pelo nome DNS do seu domínio do Active Directory e 389 substitua pela porta LDAP do seu ambiente.

    Verifique se você abriu as portas necessárias no seu firewall.

Veja a seguir um exemplo de um teste de nping bem-sucedido em que o gateway conseguiu acessar o controlador de domínio:

nping -d corp.domain.com -p 389 -c 1 -t tcp

Starting Nping 0.6.40 ( http://nmap.org/nping ) at 2022-06-30 16:24 UTC
SENT (0.0553s) TCP 10.10.10.21:9783 > 10.10.10.10:389 S ttl=64 id=730 iplen=40  seq=2597195024 win=1480 
RCVD (0.0556s) TCP 10.10.10.10:389 > 10.10.10.21:9783 SA ttl=128 id=22332 iplen=44  seq=4170716243 win=8192 <mss 8961>

Max rtt: 0.310ms | Min rtt: 0.310ms | Avg rtt: 0.310ms
Raw packets sent: 1 (40B) | Rcvd: 1 (44B) | Lost: 0 (0.00%)
Nping done: 1 IP address pinged in 1.09 seconds<br>

Veja a seguir um exemplo de um teste de nping em que não há conectividade ou resposta do corp.domain.com destino:

nping -d corp.domain.com -p 389 -c 1 -t tcp

Starting Nping 0.6.40 ( http://nmap.org/nping ) at 2022-06-30 16:26 UTC
SENT (0.0421s) TCP 10.10.10.21:47196 > 10.10.10.10:389  S ttl=64 id=30318 iplen=40 seq=1762671338 win=1480

Max rtt: N/A | Min rtt: N/A | Avg rtt: N/A
Raw packets sent: 1 (40B) | Rcvd: 0 (0B) | Lost: 1 (100.00%)
Nping done: 1 IP address pinged in 1.07 seconds

Verifique as opções de DHCP definidas para a VPC da sua instância de gateway da Amazon EC2

Se o File Gateway estiver sendo executado em uma EC2 instância da Amazon, você deverá se certificar de que um conjunto de opções de DHCP esteja devidamente configurado e anexado à Amazon Virtual Private Cloud (VPC) que contém a instância do gateway. Para obter mais informações, consulte Conjuntos de opções de DHCP na Amazon VPC.

Confirme se o gateway pode resolver o domínio executando uma consulta dig

Se o domínio não puder ser resolvido pelo gateway, o gateway não poderá ingressar no domínio.

Para executar uma consulta de escavação:

  1. Conecte-se ao console local do gateway usando seu software de gerenciamento de hipervisor (VMwareHyper-V ou KVM) para gateways locais ou usando ssh para gateways da Amazon. EC2

  2. Digite o número correspondente para selecionar Gateway Console e, em seguida, insira h para listar todos os comandos disponíveis. Para testar se o gateway pode resolver o domínio, execute o seguinte comando:

    dig -d corp.domain.com

    nota

    corp.domain.comSubstitua pelo nome DNS do seu domínio do Active Directory.

Veja a seguir um exemplo de uma resposta bem-sucedida:

; <<>> DiG 9.11.4-P2-RedHat-9.11.4-26.P2.amzn2.5.2 <<>> corp.domain.com
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 24817
;; flags: qr aa rd ra; QUERY: 1, ANSWER: 2, AUTHORITY: 0, ADDITIONAL: 1

;; OPT PSEUDOSECTION:
; EDNS: version: 0, flags:; udp: 4000
;; QUESTION SECTION:
;corp.domain.com.        IN    A

;; ANSWER SECTION:
corp.domain.com.    600    IN    A    10.10.10.10
corp.domain.com.    600    IN    A    10.10.20.10
            
;; Query time: 0 msec
;; SERVER: 10.10.20.228#53(10.10.20.228)
;; WHEN: Thu Jun 30 16:36:32 UTC 2022
;; MSG SIZE  rcvd: 78

Verifique as configurações e funções do controlador de domínio

Verifique se o controlador de domínio não está definido como somente leitura e se o controlador de domínio tem funções suficientes para que os computadores participem. Para testar isso, tente unir outros servidores da mesma sub-rede VPC da VM do gateway ao domínio.

Verifique se o gateway está associado ao controlador de domínio mais próximo

Como prática recomendada, recomendamos unir seu gateway a um controlador de domínio que esteja geograficamente próximo ao dispositivo de gateway. Se o dispositivo de gateway não conseguir se comunicar com o controlador de domínio em 20 segundos devido à latência da rede, o processo de adesão ao domínio poderá expirar. Por exemplo, o processo pode expirar se o dispositivo de gateway estiver no Leste dos EUA (Norte da Virgínia) Região da AWS e o controlador de domínio estiver na Ásia-Pacífico (Cingapura). Região da AWS

nota

Para aumentar o valor de tempo limite padrão de 20 segundos, você pode executar o comando join-domain no AWS Command Line Interface (AWS CLI) e incluir a --timeout-in-seconds opção de aumentar o tempo. Você também pode usar a chamada JoinDomain da API e incluir o TimeoutInSeconds parâmetro para aumentar o tempo. O valor máximo do tempo limite é de 3.600 segundos.

Se você receber erros ao executar AWS CLI comandos, verifique se está usando a AWS CLI versão mais recente.

Confirme se o Active Directory cria novos objetos de computador na unidade organizacional (OU) padrão

Certifique-se de que o Microsoft Active Directory não tenha nenhum objeto de política de grupo que crie novos objetos de computador em qualquer local que não seja a OU padrão. Antes de unir seu gateway ao domínio do Active Directory, um novo objeto de computador deve existir na OU padrão. Alguns ambientes do Active Directory são personalizados para serem diferentes OUs para objetos recém-criados. Para garantir que exista um novo objeto de computador para a VM do gateway na OU padrão, tente criar o objeto de computador manualmente no controlador de domínio antes de associar o gateway ao domínio. Você também pode executar o comando join-domain usando o. AWS CLI Em seguida, especifique a opção para--organizational-unit.

nota

O processo de criação do objeto de computador é chamado de pré-preparação.

Verifique os registros de eventos do seu controlador de domínio

Se você não conseguir associar o gateway ao domínio depois de tentar todas as outras verificações e configurações descritas nas seções anteriores, recomendamos examinar os registros de eventos do controlador de domínio. Verifique se há erros no visualizador de eventos do controlador de domínio. Verifique se as consultas do gateway chegaram ao controlador de domínio.