本文属于机器翻译版本。若本译文内容与英语原文存在差异，则一律以英文原文为准。

# 文件系统处于配置错误状态
<a name="misconfigured-ad-config"></a>

由于您 FSx 的 Active Directory 环境发生了变化，适用于 Windows 文件服务器的文件系统可能会进入**配置错误**的状态。在这种状态下，您的文件系统当前不可用，或者有失去可用性的风险，并且有可能会备份失败。

**配置错误**状态包括一条错误消息和建议的更正措施，您可以使用 Amazon FSx 控制台、API 或 AWS CLI访问这些错误消息和建议的更正措施。采取纠正措施后，请确认文件系统的状态是否已更改为 `Available` – 请注意，此更改可能需要几分钟才能完成。

由于多种原因，您的文件系统可能会进入**配置错误**状态，例如：
+ DNS 服务器 IP 地址失效。
+ 服务账户凭证失效，或者缺少所需权限。
+ 由于网络连接问题（例如 VPC 安全组无效、VPC 网络 ACL 或路由表配置或者域控制器防火墙设置），无法访问 Active Directory 域控制器。

**重要**  
 FSx 创建文件系统后，请勿移动 Amazon 在 OU 中创建的计算机对象。这样做会导致您的文件系统配置错误。

（有关 Active Directory 要求的完整列表，请参阅[先决条件](self-managed-AD.md#self-manage-prereqs)。 您还可以使用 [Amazon Active Directory 验证工具验证您的 FSx 活动目录](validate-ad-config.md#test-ad-network-config)环境是否已正确配置以满足这些要求。）

解决其中一些问题需要直接更新文件系统 [Active Directory 配置](https://docs.aws.amazon.com/fsx/latest/APIReference/API_SelfManagedActiveDirectoryConfigurationUpdates.html)的一个或多个参数，例如更改 DNS 服务器 IP 地址或更改服务账户的用户名或密码。在这些情况下，您的纠正措施必然涉及使用亚马逊 FSx 控制台、API 或 AWS CLI 更新所需的配置参数。

其他问题可能不需要更改任何 Active Directory 配置参数，例如更改域控制器防火墙设置或 VPC 安全组。但是，在这些情况下，您需要采取进一步措施才能使文件系统 `Available`。确保 Active Directory 环境配置正确后，在亚马逊 FSx 控制台中选择 “**配置错误**” 状态旁边的 “**尝试恢复**” 按钮，或者在亚马逊 FSx 控制台、API 或 AWS CLI中使用该`StartMisconfiguredStateRecovery`命令。

**Topics**
+ [文件系统配置错误：Amazon FSx 无法访问您的域名的 DNS 服务器或域控制器。](#w2aac37c13c21)
+ [文件系统配置错误：服务账户凭证无效](#w2aac37c13c23)
+ [文件系统配置错误：密钥或 KMS AWS Secrets Manager 密钥配置不正确](#w2aac37c13c25)
+ [文件系统配置错误：提供的服务账户无权将文件系统加入域中](#w2aac37c13c27)
+ [文件系统配置错误：服务账户无法再将任何计算机加入域中](#w2aac37c13c29)
+ [文件系统配置错误：服务账户无权访问 OU](#w2aac37c13c31)

## 文件系统配置错误：Amazon FSx 无法访问您的域名的 DNS 服务器或域控制器。
<a name="w2aac37c13c21"></a>

当亚马逊 FSx无法与你的 Microsoft Active Directory 域控制器或控制器通信时，文件系统将进入一种`Misconfigured`状态。

要解决此情况，请执行以下操作：

1. 确保您的网络配置允许从文件系统到域控制器的流量。

1. 使用 [Amazon Act FSx ive Directory 验证工具](validate-ad-config.md)测试和验证您自行管理的 Active Directory 的网络设置。有关更多信息，请参阅 [使用自行管理的 Microsoft Active Directory](self-managed-AD.md)。

1. 在亚马逊 FSx 控制台中查看文件系统的自我管理活动目录配置。

1. 要更新文件系统的自我管理 Active Directory 配置，您可以使用亚马逊 FSx 控制台。

   1. 在导航窗格上，选择**文件系统**，然后选择要更新的文件系统；随即显示**文件系统详细信息**页面。

   1. 在**文件系统详细信息**页面上，选择**联网与安全**选项卡上的**更新**。

   您也可以使用 Amazon FSx CLI `update-file-system` 命令或 API 操作[UpdateFileSystem](https://docs.aws.amazon.com/fsx/latest/APIReference/API_UpdateFileSystem.html)。

## 文件系统配置错误：服务账户凭证无效
<a name="w2aac37c13c23"></a>

亚马逊 FSx 无法与你的 Microsoft Active Directory 域控制器或控制器建立连接。这是因为提供的服务账户凭证无效。有关更多信息，请参阅 [使用自行管理的 Microsoft Active Directory](self-managed-AD.md)。

要解决配置错误问题，请执行以下操作：

1. 确认您使用的是正确的服务账户，以及该账户的正确凭证。

1. 然后使用 Amazon FSx 控制台使用正确的服务账户或账户凭证更新文件系统的配置。

   1. 在导航窗格上，选择**文件系统**，然后选择要更新的配置错误的文件系统。

   1. 在**文件系统详细信息**页面上，选择**联网与安全**选项卡中的**更新**。

   您也可以使用亚马逊 FSx API 操作`update-file-system`。要了解更多信息，请参阅 Amazon FSx API 参考[UpdateFileSystem](https://docs.aws.amazon.com/fsx/latest/APIReference/API_UpdateFileSystem.html)中的。

## 文件系统配置错误：密钥或 KMS AWS Secrets Manager 密钥配置不正确
<a name="w2aac37c13c25"></a>

亚马逊 FSx 无法与你的 Microsoft Active Directory 域控制器或控制器建立连接。这是因为您的 AWS Secrets Manager 密钥或配置不 AWS KMS key 正确。有关更多信息，请参阅 [使用存储活动目录凭证 AWS Secrets Manager](self-managed-AD.md#bp-store-ad-creds-using-secret-manager-windows)。

要解决配置错误问题，请执行以下操作：

1. 验证密钥 ARN 是否正确且是否遵循正确的格式：`arn:aws:secretsmanager:region:account-id:secret:secret-name-6chars`。

1. 验证密钥是否包含两个非空值的必填字段：
   + `CUSTOMER_MANAGED_ACTIVE_DIRECTORY_USERNAME`：AD 服务账号用户名。
   + `CUSTOMER_MANAGED_ACTIVE_DIRECTORY_PASSWORD`：AD 服务账户密码。
   + 验证密钥和密钥是否具有基于资源的策略，该策略授予 Amazon FSx 服务主体检索机密值的`fsx.amazonaws.com`权限。

## 文件系统配置错误：提供的服务账户无权将文件系统加入域中
<a name="w2aac37c13c27"></a>

亚马逊 FSx 无法与你的微软 Active Directory 域控制器建立连接。这是因为提供的服务账户无权将文件系统加入具有指定 OU 的域中 

要解决配置错误问题，请执行以下操作：

1. 向 Amazon FSx 服务账户添加所需权限，或创建具有所需权限的新服务账户。有关此操作的更多信息，请参阅[亚马逊 FSx 服务账户](self-managed-AD.md#self-managed-AD-service-account)。

1. 然后使用新的服务账户凭证更新文件系统自行管理的 Active Directory 配置。要更新配置，您可以使用 Amazon FSx 控制台。

   1. 在导航窗格上，选择**文件系统**，然后选择要更新的文件系统；随即显示**文件系统详细信息**页面。

   1. 在**文件系统详细信息**页面上，选择**联网与安全**选项卡上的**更新**。

   您也可以使用亚马逊 FSx API 操作`update-file-system`。要了解更多信息，请参阅 Amazon FSx API 参考[UpdateFileSystem](https://docs.aws.amazon.com/fsx/latest/APIReference/API_UpdateFileSystem.html)中的。

## 文件系统配置错误：服务账户无法再将任何计算机加入域中
<a name="w2aac37c13c29"></a>

亚马逊 FSx 无法与你的微软 Active Directory 域控制器建立连接。这种情况是因为提供的服务账户已达到可以加入域的最大计算机数量。

要解决配置错误问题，请执行以下操作：

1. 识别其他服务账户或创建可以将新计算机加入域的新服务账户。

1. 然后使用亚马逊 FSx 控制台使用新的服务账户凭证更新文件系统的自我管理的 Active Directory 配置。

   1. 在导航窗格上，选择**文件系统**，然后选择要更新的文件系统；随即显示**文件系统详细信息**页面。

   1. 在**文件系统详细信息**页面上，选择**联网与安全**选项卡上的**更新**。

   您也可以使用亚马逊 FSx API 操作`update-file-system`。要了解更多信息，请参阅 Amazon FSx API 参考[UpdateFileSystem](https://docs.aws.amazon.com/fsx/latest/APIReference/API_UpdateFileSystem.html)中的。

## 文件系统配置错误：服务账户无权访问 OU
<a name="w2aac37c13c31"></a>

亚马逊 FSx 无法与你的 Microsoft Active Directory 域控制器建立连接，因为提供的服务账户无权访问指定的 OU。

要解决配置错误问题，请执行以下操作：

1.  识别其他服务账户或创建可以访问 OU 的新服务账户。

1. 然后使用新的服务账户凭证更新文件系统自行管理的 Active Directory 配置。

   1. 在导航窗格上，选择**文件系统**，然后选择要更新的文件系统；随即显示**文件系统详细信息**页面。

   1. 在**文件系统详细信息**页面上，选择**联网与安全**选项卡上的**更新**。

   您也可以使用亚马逊 FSx API 操作`update-file-system`。要了解更多信息，请参阅 Amazon FSx API 参考[UpdateFileSystem](https://docs.aws.amazon.com/fsx/latest/APIReference/API_UpdateFileSystem.html)中的。