故障排除:将网关加入 Active Directory 时出现的问题 - AWS Storage Gatewa
通过运行 nping 测试来确认网关可以访问域控制器检查为亚马逊 EC2 网关实例的 VPC 设置的 DHCP 选项通过运行 dig 查询来确认网关可以解析域检查域控制器设置和角色检查网关是否已加入最近的域控制器确认 Active Directory 在默认组织单元(OU)中创建了新的计算机对象查看域控制器事件日志

Amazon FSx 文件网关不再向新客户开放。 FSx File Gateway 的现有客户可以继续正常使用该服务。有关与 FSx 文件网关类似的功能,请访问此博客文章

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

故障排除:将网关加入 Active Directory 时出现的问题

使用以下故障排除信息,确定在尝试将文件网关加入 Microsoft Active Directory 域时如果收到错误消息(例如 NETWORK_ERRORTIMEOUTACCESS_DENIED)该怎么做。

要解决这些错误,请执行以下检查和配置。

通过运行 nping 测试来确认网关可以访问域控制器

要运行 nping 测试,请执行以下操作:

  1. 使用本地网关的虚拟机管理程序(Hyper-V 或 KVM)或使用 ssh(VMware用于 Amazon 网关)连接到网关本地控制台。 EC2

  2. 输入相应的数字来选择网关控制台,然后输入 h 以列出所有可用命令。要测试 Storage Gateway 虚拟机与域之间的连接,请运行以下命令:

    nping -d corp.domain.com -p 389 -c 1 -t tcp

    注意

    corp.domain.com 替换为 Active Directory 域 DNS 名称,并将 389 替换为您的环境的 LDAP 端口。

    确认已在防火墙内打开所需的端口。

以下示例说明 nping 测试成功,网关能够访问域控制器:

nping -d corp.domain.com -p 389 -c 1 -t tcp

Starting Nping 0.6.40 ( http://nmap.org/nping ) at 2022-06-30 16:24 UTC
SENT (0.0553s) TCP 10.10.10.21:9783 > 10.10.10.10:389 S ttl=64 id=730 iplen=40  seq=2597195024 win=1480 
RCVD (0.0556s) TCP 10.10.10.10:389 > 10.10.10.21:9783 SA ttl=128 id=22332 iplen=44  seq=4170716243 win=8192 <mss 8961>

Max rtt: 0.310ms | Min rtt: 0.310ms | Avg rtt: 0.310ms
Raw packets sent: 1 (40B) | Rcvd: 1 (44B) | Lost: 0 (0.00%)
Nping done: 1 IP address pinged in 1.09 seconds<br>

以下 nping 测试示例表明没有与 corp.domain.com 目标建立连接,或者目标没有响应:

nping -d corp.domain.com -p 389 -c 1 -t tcp

Starting Nping 0.6.40 ( http://nmap.org/nping ) at 2022-06-30 16:26 UTC
SENT (0.0421s) TCP 10.10.10.21:47196 > 10.10.10.10:389  S ttl=64 id=30318 iplen=40 seq=1762671338 win=1480

Max rtt: N/A | Min rtt: N/A | Avg rtt: N/A
Raw packets sent: 1 (40B) | Rcvd: 0 (0B) | Lost: 1 (100.00%)
Nping done: 1 IP address pinged in 1.07 seconds

检查为亚马逊 EC2 网关实例的 VPC 设置的 DHCP 选项

如果文件网关在亚马逊 EC2 实例上运行,则必须确保正确配置 DHCP 选项集并将其连接到包含网关实例的亚马逊虚拟私有云 (VPC)。有关更多信息,请参阅 Amazon VPC 中的 DHCP 选项集

通过运行 dig 查询来确认网关可以解析域

如果网关无法解析域,则网关无法加入域。

要运行 dig 查询,请执行以下操作:

  1. 使用本地网关的虚拟机管理程序(Hyper-V 或 KVM)或使用 ssh(VMware用于 Amazon 网关)连接到网关本地控制台。 EC2

  2. 输入相应的数字来选择网关控制台,然后输入 h 以列出所有可用命令。要测试网关能否解析域,请运行以下命令:

    dig -d corp.domain.com

    注意

    corp.domain.com 替换为您的 Active Directory 域 DNS 名称。

以下是成功响应的示例:

; <<>> DiG 9.11.4-P2-RedHat-9.11.4-26.P2.amzn2.5.2 <<>> corp.domain.com
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 24817
;; flags: qr aa rd ra; QUERY: 1, ANSWER: 2, AUTHORITY: 0, ADDITIONAL: 1

;; OPT PSEUDOSECTION:
; EDNS: version: 0, flags:; udp: 4000
;; QUESTION SECTION:
;corp.domain.com.        IN    A

;; ANSWER SECTION:
corp.domain.com.    600    IN    A    10.10.10.10
corp.domain.com.    600    IN    A    10.10.20.10
            
;; Query time: 0 msec
;; SERVER: 10.10.20.228#53(10.10.20.228)
;; WHEN: Thu Jun 30 16:36:32 UTC 2022
;; MSG SIZE  rcvd: 78

检查域控制器设置和角色

确认域控制器未设置为只读,并且域控制器的角色具有必要的权限,可让计算机加入域。要对此进行测试,请尝试将网关 VM 所在的 VPC 子网中的其他服务器加入域。

检查网关是否已加入最近的域控制器

作为最佳实践,建议将网关加入在地理位置上靠近网关设备的域控制器。如果由于存在网络延迟,网关设备无法在 20 秒内与域控制器通信,则域加入过程会超时。例如,如果网关设备位于美国东部(弗吉尼亚北部), AWS 区域 而域控制器位于亚太地区(新加坡),则该过程可能会超时 AWS 区域。

注意

要增加 20 秒的默认超时值,您可以在 AWS Command Line Interface (AWS CLI) 中运行 join-domain 命令并添加延长时间的--timeout-in-seconds选项。您也可以使用 JoinDomain API 调用并添加TimeoutInSeconds参数来延长时间。最大超时值为 3600 秒。

如果您在运行 AWS CLI 命令时收到错误,请确保您使用的是最新 AWS CLI 版本。

确认 Active Directory 在默认组织单元(OU)中创建了新的计算机对象

确保 Microsoft Active Directory 没有任何组策略对象会在默认 OU 以外的任何位置创建新的计算机对象。将网关加入 Active Directory 域之前,默认 OU 中必须有新的计算机对象。某些 Active Directory 环境经过自定义 OUs,为新创建的对象设置不同的环境。为确保默认 OU 中有网关 VM 的新计算机对象,请在将网关加入域之前,尝试在域控制器上手动创建计算机对象。您也可以使用 AWS CLI运行 join-domain 命令。然后,指定 --organizational-unit 选项。

注意

创建计算机对象的过程称为预配置。

查看域控制器事件日志

如果在尝试了前几节中描述的所有其他检查和配置后仍无法将网关加入域,建议检查域控制器事件日志。在域控制器的事件查看器中检查是否有任何错误。确认网关查询已到达域控制器。