您無法將儲存虛擬機器 (SVM) 加入 Active Directory - FSx for OnTAP
SVM NetBIOS 名稱與主網域相同SVM 已加入另一個 Active DirectorySVM NetBIOS 名稱已使用Amazon FSx 無法存取 中的 Active Directory 服務帳戶登入資料 AWS Secrets ManagerFSx 無法連線到 Active Directory 網域控制站連接埠組態或服務帳戶許可不足無效的服務帳戶登入資料由於服務帳戶登入資料不足,Amazon FSx 無法連線至您的 Active Directory 網域控制站無法連線到 Active Directory DNS 伺服器或網域控制站Active Directory 網域名稱無效服務帳戶無法存取 Active Directory 管理員群組指定的 OU 無效

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

您無法將儲存虛擬機器 (SVM) 加入 Active Directory

如果您無法將 SVM 加入 Active Directory (AD),請先檢閱 將 SVMs加入 Microsoft Active Directory 的運作方式。下列各節列出防止 SVM 加入 Active Directory 的常見問題,包括針對每個情況產生的錯誤訊息。

SVM NetBIOS 名稱與主網域的 NetBIOS 名稱相同。

將 SVM 加入自我管理 Active Directory 失敗,並顯示下列錯誤訊息:

Amazon FSx 無法與您的 Active Directory 建立連線。這是因為您指定的伺服器名稱是主網域的 NetBIOS 名稱。若要修正此問題,請為您的 SVM 選擇與主網域的 NetBIOS 名稱不同的 NetBIOS 名稱。然後重新嘗試將 SVM 加入 Active Directory。

若要解決此問題,請依照中所述的程序使用 AWS 管理主控台AWS CLI 和 API 將 SVMs 加入 Active Directory重新嘗試將 SVM 加入 Active Directory。請確定您的 SVM 使用NetBIOS Active Directory 主網域的 NetBIOS 名稱不同的 NetBIOS 名稱。

SVM 已加入另一個 Active Directory

將 SVM 加入 Active Directory 失敗,並顯示下列錯誤訊息:

Amazon FSx 無法建立與 Active Directory 的連線。這是因為 SVM 已加入網域。若要將此 SVM 加入不同的網域,您可以使用 ONTAP CLI 或 REST API 從 Active Directory 中取消加入此 SVM。然後重新嘗試將 SVM 加入不同的 Active Directory。

若要解決問題,請執行下列動作:

  1. 使用 NetApp ONTAP CLI 從目前的 Active Directory 中取消加入 SVM。如需詳細資訊,請參閱使用 NetApp ONTAP CLI 從 SVM 取消加入 Active Directory

  2. 請遵循中所述的程序使用 AWS 管理主控台AWS CLI 和 API 將 SVMs 加入 Active Directory,重新嘗試將 SVM 加入新的 Active Directory。

Amazon FSx 無法連線至 Active Directory 網域控制站,因為 SVM 的 NetBIOS 名稱已在使用中

建立加入自我管理 Active Directory 的 SVM 失敗,並顯示下列錯誤訊息:

Amazon FSx 無法與您的 Active Directory 建立連線。這是因為您指定的 NetBIOS (電腦) 名稱已在 Active Directory 中使用。若要修正此問題,請為不在 Active Directory 中使用的 SVM 選擇 NetBIOS 名稱。請指定 NetBIOS (電腦),然後重新嘗試將 SVM 加入 Active Directory。

若要解決此問題,請依照中所述的程序使用 AWS 管理主控台AWS CLI 和 API 將 SVMs 加入 Active Directory重新嘗試將 SVM 加入 AD。確保您為 SVM 使用唯一且尚未在 Active Directory 中使用的 NetBIOS 名稱。

Amazon FSx 無法存取 中的 Active Directory 服務帳戶登入資料 AWS Secrets Manager

下列各節說明常見問題以及如何解決這些問題。

將 SVM 加入自我管理 Active Directory 失敗,並顯示下列錯誤訊息:

You can't provide both username/password and a domain join service account secret to connect to your Active Directory. Provide only one set of credentials.

解決此問題

  1. 選擇您要提供存放在 Secrets Manager 秘密還是純文字中的登入資料。

  2. 加入 Active Directory 時,僅提供其中一個參數,不提供兩者。

將 SVM 加入自我管理 Active Directory 失敗,並顯示下列錯誤訊息:

The domain join service account secret ARN format you entered isn't valid. Use the format: arn:partition:secretsmanager:region:account-id:secret:secret-name-6chars

解決此問題

  1. 檢閱 使用 存放 Active Directory 登入資料 AWS Secrets Manager

  2. 確認您輸入的 ARN 格式正確。正確的格式範例為 arn:aws:secretsmanager:us-east-1:123456789012:secret:MyDatabaseSecret-Ab3d5f

將 SVM 加入自我管理 Active Directory 失敗,並顯示下列錯誤訊息:

Amazon FSx can't access the domain join service account secret [ARN]. Add a resource permission to the secret that grants the FSx service principal (fsx.amazonaws.com) permission to access it.

解決此問題

  1. 檢閱 使用 存放 Active Directory 登入資料 AWS Secrets Manager

  2. 確認您提供的 Secrets Manager 秘密具有允許 Amazon FSx 使用秘密的正確政策。

將 SVM 加入自我管理 Active Directory 失敗,並顯示下列錯誤訊息:

You don't have permission to access the domain join service account secret [ARN]. A resource permission needs to be added to the secret to grant you access.

解決此問題

  • Secrets Manager 秘密擁有者或管理員需要授予您的帳戶使用此秘密的存取權。如需詳細資訊,請參閱身分型政策

將 SVM 加入自我管理 Active Directory 失敗,並顯示下列錯誤訊息:

The domain join service account secret format or content isn't valid. Make sure the secret includes both CUSTOMER_MANAGED_ACTIVE_DIRECTORY_USERNAME and CUSTOMER_MANAGED_ACTIVE_DIRECTORY_PASSWORD fields with non-empty values.

解決此問題

  1. 檢閱 使用 存放 Active Directory 登入資料 AWS Secrets Manager

  2. 確認您提供的 Secrets Manager 秘密具有兩個必要欄位。

Amazon FSx 無法與您的 Active Directory 網域控制站通訊

將 SVM 加入自我管理 Active Directory 失敗,並顯示下列錯誤訊息:

Amazon FSx 無法與您的 Active Directory 通訊。若要修正此問題,請確定 Amazon FSx 與您的網域控制站之間允許網路流量。然後重新嘗試將 SVM 加入 Active Directory。

要解決此問題,請依照下列步驟:

  1. 檢閱中所述的需求網路組態需求,並進行必要的變更,以啟用 Amazon FSx 和 AD 之間的網路通訊。

  2. 一旦 Amazon FSx 能夠與您的 AD 通訊,請遵循中所述的程序使用 AWS 管理主控台AWS CLI 和 API 將 SVMs 加入 Active Directory,並再次嘗試將 SVM 加入您的 AD。

由於連接埠需求或服務帳戶許可未滿足,Amazon FSx 無法連線至您的 Active Directory

將 SVM 加入自我管理 Active Directory 失敗,並顯示下列錯誤訊息:

Amazon FSx 無法與您的 Active Directory 建立連線。這是因為不符合 Active Directory 的連接埠需求,或是所提供的服務帳戶沒有使用指定組織單位將儲存虛擬機器加入網域的許可。若要修正此問題,請在解決連接埠和服務帳戶的任何許可問題後更新儲存虛擬機器的 Active Directory 組態,如 Amazon FSx 使用者指南中所述。

要解決此問題,請依照下列步驟:

  1. 檢閱中所述的需求網路組態需求,並進行必要的變更以符合聯網需求,並確保在必要的連接埠上啟用通訊

  2. 檢閱 中所述的服務帳戶需求Active Directory 服務帳戶需求。確保服務帳戶具有使用指定組織單位將 SVM 加入 Active Directory 網域所需的委派許可。

  3. 變更連接埠許可或服務帳戶後,請遵循中所述的程序使用 AWS 管理主控台AWS CLI 和 API 將 SVMs 加入 Active Directory,並再次嘗試將 SVM 加入 AD。

Amazon FSx 無法連線至 Active Directory 網域控制站,因為服務帳戶登入資料無效

將 SVM 加入自我管理 Active Directory 失敗,並顯示下列錯誤訊息:

Amazon FSx 無法與您的 Active Directory 網域控制站建立連線,因為提供的服務帳戶登入資料無效。若要修正此問題,請使用有效的服務帳戶更新儲存虛擬機器的 Active Directory 組態。

若要解決此問題,請使用中所述的程序使用 AWS 管理主控台AWS CLI、 和 API 更新現有的 SVM Active Directory 組態來更新 SVM 的服務帳戶登入資料。輸入服務帳戶使用者名稱時,請務必只包含使用者名稱 (例如 ServiceAcct),且不要包含任何網域字首 (例如 corp.com\ServiceAcct) 或網域尾碼 (例如 )ServiceAcct@corp.com。輸入服務帳戶使用者名稱時,請勿使用辨別名稱 (DN) (例如 CN=ServiceAcct,OU=example,DC=corp,DC=com)。

由於服務帳戶登入資料不足,Amazon FSx 無法連線至您的 Active Directory 網域控制站

將 SVM 加入自我管理 Active Directory 失敗,並顯示下列錯誤訊息:

Amazon FSx 無法與您的 Active Directory 網域控制站 (Active Directory) 建立連線。這是因為 Active Directory 的連接埠需求未滿足,或提供的服務帳戶沒有將儲存虛擬機器加入具有指定組織單位之網域的許可。

若要解決此問題,請確定您已將所需的許可委派給您提供的服務帳戶。服務帳戶必須能夠在您加入檔案系統的網域中建立和刪除 OU 中的電腦物件。服務帳戶至少也需要具有執行下列動作的許可:

  • 重設密碼

  • 限制帳戶讀取和寫入資料

  • 驗證寫入 DNS 主機名稱的能力

  • 已驗證能夠寫入服務主體名稱

  • 能夠建立和刪除電腦物件

  • 驗證讀取和寫入帳戶限制的能力

如需建立具有正確許可之服務帳戶的詳細資訊,請參閱 Active Directory 服務帳戶需求將許可委派給您的 Amazon FSx 服務帳戶

Amazon FSx 無法與您的 Active Directory DNS 伺服器或網域控制站通訊

將 SVM 加入自我管理 Active Directory 失敗,並顯示下列錯誤訊息:

Amazon FSx 無法與您的 Active Directory 通訊。這是因為 Amazon FSx 無法連線到您網域提供的 DNS 伺服器或網域控制站。若要修正此問題,請使用有效的 DNS 伺服器更新儲存虛擬機器的 Active Directory 組態,以及允許流量從儲存虛擬機器流向網域控制器的聯網組態。

若要解決此問題,請使用下列程序:

  1. 如果只有 Active Directory 中的某些網域控制站可以連線,例如由於地理限制或防火牆,您可以新增偏好的網域控制站。使用此選項,Amazon FSx 會嘗試聯絡偏好的網域控制站。使用 vserver cifs domain preferred-dc add NetApp ONTAP CLI 命令新增偏好的網域控制站,如下所示:

    1. 若要存取 ONTAP CLI,請執行下列命令,在 Amazon FSx for NetApp ONTAP 檔案系統或 SVM 的管理連接埠上建立 SSH 工作階段。management_endpoint_ip 將 取代為檔案系統管理連接埠的 IP 地址。

      [~]$ ssh fsxadmin@management_endpoint_ip

      如需詳細資訊,請參閱使用 CLI ONTAP 管理檔案系統

    2. 輸入下列命令,其中:

      • -vserver vserver_name 指定儲存虛擬機器 (SVM) 名稱。

      • -domain domain_name 指定指定網域控制站所屬網域的完整 Active Directory 名稱 (FQDN)。

      • -preferred-dc IP_address,…​ 會依偏好順序,指定偏好網域控制站的一或多個 IP 地址,做為逗號分隔清單。

      FsxId123456789::> vserver cifs domain preferred-dc add -vserver vserver_name -domain domain_name -preferred-dc IP_address, …​+

      下列命令會將網域控制站 172.17.102.25 和 172.17.102.24 新增至 SVM vs1 上 SMB 伺服器用來管理 cifs.lab.example.com 網域外部存取的偏好網域控制站清單。

      FsxId123456789::> vserver cifs domain preferred-dc add -vserver vs1 -domain cifs.lab.example.com -preferred-dc 172.17.102.25,172.17.102.24

  2. 檢查您的網域控制器是否可以使用 DNS 解決。使用 vserver services access-check dns forward-lookup NetApp ONTAP CLI 命令,根據指定的 DNS 伺服器或 vserver 的 DNS 組態查詢,傳回主機名稱的 IP 地址。

    1. 若要存取 ONTAP CLI,請執行下列命令,在 Amazon FSx for NetApp ONTAP 檔案系統或 SVM 的管理連接埠上建立 SSH 工作階段。management_endpoint_ip 將 取代為檔案系統管理連接埠的 IP 地址。

      [~]$ ssh fsxadmin@management_endpoint_ip

      如需詳細資訊,請參閱使用 CLI ONTAP 管理檔案系統

    2. 使用下列命令進入 ONTAP CLI 進階模式。

      FsxId123456789::> set adv

    3. 輸入下列命令,其中:

      • -vserver vserver_name 指定儲存虛擬機器 (SVM) 名稱。

      • -hostname host_name 指定要在 DNS 伺服器上查詢的主機名稱。

      • -node node_name​ 指定執行命令的節點名稱。

      • -lookup-type 指定要在 DNS 伺服器上查詢的 IP 地址類型,預設值為 all

      FsxId123456789::> vserver services access-check dns forward-lookup \
-vserver vserver_name -node node_name \
-domains domain_name -name-servers dns_server_ip_address \
-hostname host_name

  3. 檢閱將 SVM 加入 AD 時所需的資訊

  4. 將 SVM 加入 AD 時,請檢閱聯網需求

  5. 使用中所述的程序網路組態需求,使用 Active Directory DNS 伺服器的正確 IP 地址來更新 SVM 的 Active Directory 組態。

由於 Active Directory 網域名稱無效,Amazon FSx 無法與您的 Active Directory 通訊。

將 SVM 加入自我管理 Active Directory 失敗,並顯示下列錯誤訊息:

Amazon FSx 偵測到提供的 FQDN 無效。若要修正此問題,請使用符合組態需求的 FQDN 來更新儲存虛擬機器的 Active Directory 組態。

若要解決此問題,請使用下列程序:

  1. 檢閱 中描述的內部部署 Active Directory 將 SVM 加入 Active Directory 時所需的資訊 網域名稱需求 確定您嘗試加入的 Active Directory 符合該需求。

  2. 使用中所述的程序使用 AWS 管理主控台AWS CLI 和 API 將 SVMs 加入 Active Directory,並再次嘗試將 SVM 加入 Active Directory。請務必使用 Active Directory 網域 FQDN 的正確格式。

服務帳戶無法存取 SVM Active Directory 組態中指定的管理員群組

將 SVM 加入自我管理 Active Directory 失敗,並顯示下列錯誤訊息:

Amazon FSx 無法套用您的 Active Directory 組態。這是因為您提供的管理員群組不存在或無法存取您提供的服務帳戶。若要修正此問題,請確定您的聯網組態允許從 SVM 到 Active Directory 網域控制站 (DNS) 和 DNS 伺服器的流量。然後,更新 SVM 的 Active Directory 組態,提供 Active Directory 的 DNS 伺服器,並在網域中指定管理員群組,供提供的服務帳戶存取。

要解決此問題,請依照下列步驟:

  1. 檢閱提供網域群組以對 SVM 執行管理動作的相關資訊。請確定您使用的是 Active Directory 網域管理員群組的正確名稱。

  2. 使用中所述的程序使用 AWS 管理主控台AWS CLI 和 API 將 SVMs 加入 Active Directory,然後重新嘗試將 SVM 加入 AD。

Amazon FSx 無法連線至 Active Directory 網域控制站,因為指定的組織單位不存在或無法存取

將 SVM 加入自我管理 Active Directory 失敗,並顯示下列錯誤訊息:

Amazon FSx 無法與您的 Active Directory 建立連線。這是因為您指定的組織單位不存在或無法存取提供的服務帳戶。若要修正此問題,請更新儲存虛擬機器的 Active Directory 組態,指定服務帳戶有權加入的組織單位。

要解決此問題,請依照下列步驟:

  1. 檢閱將 SVM 加入 AD 的先決條件

  2. 檢閱將 SVM 加入 AD 時所需的資訊

  3. 使用此程序搭配正確的組織單位,重新嘗試將 SVM 加入 Active Directory。