故障診斷:將閘道加入 Active Directory 時發生問題 - AWS Storage Gateway
透過執行 nping 測試,確認閘道可以到達網域控制站檢查為 Amazon EC2 閘道執行個體的 VPC 設定的 DHCP 選項透過執行 dig 查詢,確認閘道可以解析網域檢查網域控制站設定和角色檢查閘道是否已加入最近的網域控制站確認 Active Directory 在預設組織單位 (OU) 中建立新的電腦物件檢查您的網域控制站事件日誌

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

故障診斷:將閘道加入 Active Directory 時發生問題

使用以下疑難排解資訊,判斷當您嘗試將檔案閘道加入 Microsoft Active Directory 網域ACCESS_DENIED時,如果收到錯誤訊息,例如 TIMEOUTNETWORK_ERROR或 該怎麼辦。

若要解決這些錯誤,請執行下列檢查和組態。

透過執行 nping 測試,確認閘道可以到達網域控制站

若要執行 nping 測試:

  1. 使用 Hypervisor 管理軟體 (VMware、Hyper-V 或 KVM) 連接內部部署閘道的閘道本機主控台,或使用 ssh 連接 Amazon EC2 閘道。

  2. 輸入對應的數字以選取閘道主控台,然後輸入 h以列出所有可用的命令。若要測試 Storage Gateway 虛擬機器與網域之間的連線,請執行下列命令:

    nping -d corp.domain.com -p 389 -c 1 -t tcp

    注意

    corp.domain.com 將 取代為您的 Active Directory 網域 DNS 名稱,並將 取代389為您環境的 LDAP 連接埠。

    確認您已在防火牆中開啟必要的連接埠。

以下是成功 nping 測試的範例,其中閘道能夠到達網域控制站:

nping -d corp.domain.com -p 389 -c 1 -t tcp

Starting Nping 0.6.40 ( http://nmap.org/nping ) at 2022-06-30 16:24 UTC
SENT (0.0553s) TCP 10.10.10.21:9783 > 10.10.10.10:389 S ttl=64 id=730 iplen=40  seq=2597195024 win=1480 
RCVD (0.0556s) TCP 10.10.10.10:389 > 10.10.10.21:9783 SA ttl=128 id=22332 iplen=44  seq=4170716243 win=8192 <mss 8961>

Max rtt: 0.310ms | Min rtt: 0.310ms | Avg rtt: 0.310ms
Raw packets sent: 1 (40B) | Rcvd: 1 (44B) | Lost: 0 (0.00%)
Nping done: 1 IP address pinged in 1.09 seconds<br>

以下是 nping 測試的範例,其中目的地沒有連線或沒有回應corp.domain.com

nping -d corp.domain.com -p 389 -c 1 -t tcp

Starting Nping 0.6.40 ( http://nmap.org/nping ) at 2022-06-30 16:26 UTC
SENT (0.0421s) TCP 10.10.10.21:47196 > 10.10.10.10:389  S ttl=64 id=30318 iplen=40 seq=1762671338 win=1480

Max rtt: N/A | Min rtt: N/A | Avg rtt: N/A
Raw packets sent: 1 (40B) | Rcvd: 0 (0B) | Lost: 1 (100.00%)
Nping done: 1 IP address pinged in 1.07 seconds

檢查為 Amazon EC2 閘道執行個體的 VPC 設定的 DHCP 選項

如果檔案閘道是在 Amazon EC2 執行個體上執行,則您必須確保 DHCP 選項集已正確設定並連接到包含閘道執行個體的 Amazon Virtual Private Cloud (VPC)。如需詳細資訊,請參閱 Amazon VPC 中的 DHCP 選項集

透過執行 dig 查詢,確認閘道可以解析網域

如果閘道無法解析網域,則閘道無法加入網域。

若要執行 dig 查詢:

  1. 使用 Hypervisor 管理軟體 (VMware、Hyper-V 或 KVM) 連接內部部署閘道的閘道本機主控台,或使用 ssh 連接 Amazon EC2 閘道。

  2. 輸入對應的數字以選取閘道主控台,然後輸入 h以列出所有可用的命令。若要測試閘道是否可以解析網域,請執行下列命令:

    dig -d corp.domain.com

    注意

    corp.domain.com 將 取代為您的 Active Directory 網域 DNS 名稱。

以下是成功回應的範例:

; <<>> DiG 9.11.4-P2-RedHat-9.11.4-26.P2.amzn2.5.2 <<>> corp.domain.com
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 24817
;; flags: qr aa rd ra; QUERY: 1, ANSWER: 2, AUTHORITY: 0, ADDITIONAL: 1

;; OPT PSEUDOSECTION:
; EDNS: version: 0, flags:; udp: 4000
;; QUESTION SECTION:
;corp.domain.com.        IN    A

;; ANSWER SECTION:
corp.domain.com.    600    IN    A    10.10.10.10
corp.domain.com.    600    IN    A    10.10.20.10
            
;; Query time: 0 msec
;; SERVER: 10.10.20.228#53(10.10.20.228)
;; WHEN: Thu Jun 30 16:36:32 UTC 2022
;; MSG SIZE  rcvd: 78

檢查網域控制站設定和角色

確認網域控制站未設定為唯讀,且網域控制站有足夠的角色供電腦加入。若要測試這一點,請嘗試將其他伺服器從與閘道 VM 相同的 VPC 子網路加入網域。

檢查閘道是否已加入最近的網域控制站

最佳實務是,建議您將閘道加入地理上靠近閘道設備的網域控制器。如果閘道設備因為網路延遲無法在 20 秒內與網域控制器通訊,則網域加入程序可能會逾時。例如,如果閘道設備位於美國東部 (維吉尼亞北部), AWS 區域 而網域控制站位於亞太區域 (新加坡),則程序可能會逾時。 AWS 區域

注意

若要增加預設逾時值 20 秒,您可以在 AWS Command Line Interface (AWS CLI) 中執行 join-domain 命令,並包含增加時間--timeout-in-seconds的選項。您也可以使用 JoinDomain API 呼叫,並包含 TimeoutInSeconds 參數來增加時間。逾時值上限為 3,600 秒。

如果您在執行 AWS CLI 命令時收到錯誤,請確定您使用的是最新版本 AWS CLI 。

確認 Active Directory 在預設組織單位 (OU) 中建立新的電腦物件

請確定 Microsoft Active Directory 沒有任何群組政策物件,可在預設 OU 以外的任何位置建立新的電腦物件。您必須先在預設的 OU 中存在新的電腦物件,才能將閘道加入 Active Directory 網域。有些 Active Directory 環境會自訂為具有新建立物件的不同 OUs。若要保證閘道 VM 的新電腦物件存在於預設 OU 中,請先嘗試在網域控制器上手動建立電腦物件,再將閘道加入網域。您也可以使用 執行 join-domain 命令 AWS CLI。然後,指定 的選項--organizational-unit

注意

建立電腦物件的程序稱為預備。

檢查您的網域控制站事件日誌

如果您在嘗試先前章節中所述的所有其他檢查和組態後,無法將閘道加入網域,建議您檢查網域控制站事件日誌。檢查網域控制站的事件檢視器中是否有任何錯誤。確認閘道查詢已到達網域控制站。