故障排除:将网关加入活动目录时出现问题 - AWS Storage Gatewa
通过运行 nping 测试确认网关可以到达域控制器检查为亚马逊 EC2 网关实例的 VPC 设置的 DHCP 选项通过运行挖掘查询确认网关可以解析域名检查域控制器设置和角色检查网关是否已加入最近的域控制器确认 Active Directory 在默认组织单位 (OU) 中创建了新的计算机对象查看您的域控制器事件日志

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

故障排除:将网关加入活动目录时出现问题

使用以下疑难解答信息来确定如果您收到错误消息(例如NETWORK_ERRORTIMEOUT、),或者在尝试将文件网关加入到 Microsoft Active Directory 域ACCESS_DENIED时该怎么做。

要解决这些错误,请执行以下检查和配置。

通过运行 nping 测试确认网关可以到达域控制器

要运行 nping 测试,请执行以下操作:

  1. 使用本地网关的虚拟机管理程序(Hyper-V 或 KVM)或使用 ssh(VMware用于 Amazon 网关)连接到网关本地控制台。 EC2

  2. 输入相应的数字以选择 Gateway Console,然后输入h以列出所有可用命令。要测试 Storage Gateway 虚拟机与域之间的连接,请运行以下命令:

    nping -d corp.domain.com -p 389 -c 1 -t tcp

    注意

    corp.domain.com替换为您的 Active Directory 域 DNS 名称,并389替换为您环境的 LDAP 端口。

    确认您已在防火墙内打开所需的端口。

以下是成功进行 nping 测试的示例,在该测试中,网关能够访问域控制器:

nping -d corp.domain.com -p 389 -c 1 -t tcp

Starting Nping 0.6.40 ( http://nmap.org/nping ) at 2022-06-30 16:24 UTC
SENT (0.0553s) TCP 10.10.10.21:9783 > 10.10.10.10:389 S ttl=64 id=730 iplen=40  seq=2597195024 win=1480 
RCVD (0.0556s) TCP 10.10.10.10:389 > 10.10.10.21:9783 SA ttl=128 id=22332 iplen=44  seq=4170716243 win=8192 <mss 8961>

Max rtt: 0.310ms | Min rtt: 0.310ms | Avg rtt: 0.310ms
Raw packets sent: 1 (40B) | Rcvd: 1 (44B) | Lost: 0 (0.00%)
Nping done: 1 IP address pinged in 1.09 seconds<br>

以下是 nping 测试的示例,其中没有与目的地的连接,也没有来自corp.domain.com目的地的响应:

nping -d corp.domain.com -p 389 -c 1 -t tcp

Starting Nping 0.6.40 ( http://nmap.org/nping ) at 2022-06-30 16:26 UTC
SENT (0.0421s) TCP 10.10.10.21:47196 > 10.10.10.10:389  S ttl=64 id=30318 iplen=40 seq=1762671338 win=1480

Max rtt: N/A | Min rtt: N/A | Avg rtt: N/A
Raw packets sent: 1 (40B) | Rcvd: 0 (0B) | Lost: 1 (100.00%)
Nping done: 1 IP address pinged in 1.07 seconds

检查为亚马逊 EC2 网关实例的 VPC 设置的 DHCP 选项

如果文件网关在亚马逊 EC2 实例上运行,则必须确保正确配置 DHCP 选项集并将其连接到包含网关实例的亚马逊虚拟私有云 (VPC)。有关更多信息,请参阅 Amazon VPC 中的 DHCP 选项集

通过运行挖掘查询确认网关可以解析域名

如果网关无法解析该域,则网关无法加入该域。

要运行挖掘查询,请执行以下操作:

  1. 使用本地网关的虚拟机管理程序(Hyper-V 或 KVM)或使用 ssh(VMware用于 Amazon 网关)连接到网关本地控制台。 EC2

  2. 输入相应的数字以选择 Gateway Console,然后输入h以列出所有可用命令。要测试网关能否解析域,请运行以下命令:

    dig -d corp.domain.com

    注意

    corp.domain.com替换为您的活动目录域名 DNS 名称。

以下是成功响应的示例:

; <<>> DiG 9.11.4-P2-RedHat-9.11.4-26.P2.amzn2.5.2 <<>> corp.domain.com
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 24817
;; flags: qr aa rd ra; QUERY: 1, ANSWER: 2, AUTHORITY: 0, ADDITIONAL: 1

;; OPT PSEUDOSECTION:
; EDNS: version: 0, flags:; udp: 4000
;; QUESTION SECTION:
;corp.domain.com.        IN    A

;; ANSWER SECTION:
corp.domain.com.    600    IN    A    10.10.10.10
corp.domain.com.    600    IN    A    10.10.20.10
            
;; Query time: 0 msec
;; SERVER: 10.10.20.228#53(10.10.20.228)
;; WHEN: Thu Jun 30 16:36:32 UTC 2022
;; MSG SIZE  rcvd: 78

检查域控制器设置和角色

确认域控制器未设置为只读,以及域控制器是否有足够的角色可供计算机加入。要测试这一点,请尝试将网关 VM 所在的 VPC 子网中的其他服务器加入该域。

检查网关是否已加入最近的域控制器

作为最佳实践,我们建议将您的网关加入地理位置靠近网关设备的域控制器。如果由于网络延迟,网关设备无法在 20 秒内与域控制器通信,则域加入过程可能会超时。例如,如果网关设备位于美国东部(弗吉尼亚北部), AWS 区域 而域控制器位于亚太地区(新加坡),则该过程可能会超时 AWS 区域。

注意

要增加 20 秒的默认超时值,您可以在 AWS Command Line Interface (AWS CLI) 中运行 join-domain 命令并添加延长时间的--timeout-in-seconds选项。您也可以使用 JoinDomain API 调用并添加TimeoutInSeconds参数来延长时间。最大超时值为 3,600 秒。

如果您在运行 AWS CLI 命令时收到错误,请确保您使用的是最新 AWS CLI 版本。

确认 Active Directory 在默认组织单位 (OU) 中创建了新的计算机对象

确保 Microsoft Active Directory 没有任何组策略对象可以在默认 OU 以外的任何位置创建新的计算机对象。在将网关加入 Active Directory 域之前,默认 OU 中必须存在新的计算机对象。某些 Active Directory 环境经过自定义 OUs,新创建的对象会有所不同。为确保网关 VM 的新计算机对象存在于默认 OU 中,请在将网关加入域之前,尝试在域控制器上手动创建计算机对象。您也可以使用运行 join-domain 命令。 AWS CLI然后,为指定选项--organizational-unit

注意

创建计算机对象的过程称为预暂存。

查看您的域控制器事件日志

如果您在尝试了前几节中描述的所有其他检查和配置后仍无法将网关加入域,我们建议您检查您的域控制器事件日志。检查域控制器的事件查看器中是否存在任何错误。验证网关查询是否已到达域控制器。