Das Erstellen eines Dateisystems, das mit einem selbstverwalteten Active Directory verknüpft ist, schlägt fehl - Amazon FSx für Windows File Server
Doppelte Gruppennamen für DateisystemadministratorenDNS-Server oder Domänencontroller sind nicht erreichbarUngültige Anmeldeinformationen für das DienstkontoUnzureichende DienstkontoberechtigungenDie Kapazität des Dienstkontos wurde überschrittenKann nicht auf die Organisationseinheit zugreifenSchlechte Dateisystem-AdministratorgruppeAmazon FSx hat die Konnektivität in der Domain verlorenDas Dienstkonto hat nicht die richtigen BerechtigungenIn Erstellungsparametern verwendete Unicode-Zeichen

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Das Erstellen eines Dateisystems, das mit einem selbstverwalteten Active Directory verknüpft ist, schlägt fehl

Doppelte Gruppennamen für Dateisystemadministratoren

Das Erstellen eines Dateisystems, das mit Ihrem selbstverwalteten Active Directory verknüpft ist, schlägt fehl und es wird die folgende Fehlermeldung angezeigt:

File system creation failed. Amazon FSx is unable to apply your Microsoft Active Directory configuration with the 
specified file system administrators group. Please ensure that your Active Directory does not contain multiple domain 
groups with the name: domain_group.

Amazon FSx hat das Dateisystem nicht erstellt, da es in der Domain mehrere Administratorgruppen mit demselben Namen gibt.

Wenn Sie keinen Gruppennamen angeben, versucht Amazon FSx, den Standardwert „Domain-Admins“ als Administratorgruppe zu verwenden. Die Anfrage schlägt fehl, wenn es mehr als eine Gruppe gibt, die den Standardnamen „Domain-Admins“ verwendet.

Gehen Sie wie folgt vor, um das Problem zu beheben.

  1. Überprüfen Sie die Voraussetzungen für den Beitritt Ihres Dateisystems zu Ihrem selbstverwalteten Active Directory.

  2. Verwenden Sie das Amazon FSx Active Directory Validation Tool, um Ihre selbstverwaltete Active Directory-Konfiguration zu validieren, bevor Sie ein FSx for Windows File Server Server-Dateisystem erstellen, das mit einem selbstverwalteten Active Directory verknüpft ist.

  3. Erstellen Sie mit dem oder ein neues Dateisystem. AWS Management Console AWS CLI Weitere Informationen finden Sie unter Verbinden eines Amazon-FSx-Dateisystems mit einer selbstverwalteten Microsoft-Active-Directory-Domain.

  4. Geben Sie einen Namen für die Dateisystemadministratorgruppe ein, der in der Domäne Ihres selbstverwalteten Active Directory einzigartig ist.

DNS-Server oder Domänencontroller sind nicht erreichbar

Das Erstellen eines Dateisystems, das mit Ihrem selbstverwalteten Active Directory verknüpft ist, schlägt fehl und es wird die folgende Fehlermeldung angezeigt:

Amazon FSx can't reach the DNS servers provided or the domain controllers for your self-managed directory in Microsoft Active Directory. 
File system creation failed. Amazon FSx is unable to communicate with your Microsoft Active Directory domain controllers. 
This is because Amazon FSx can't reach the DNS servers provided or domain controllers for your domain. 
To fix this problem, delete your file system and create a new one with valid DNS servers and networking configuration that allows 
traffic from the file system to the domain controller.

Gehen Sie wie folgt vor, um das Problem zu beheben.

  1. Stellen Sie sicher, dass Sie die Voraussetzungen für die Einrichtung von Netzwerkkonnektivität und Routing zwischen dem Subnetz, in dem Sie ein Amazon FSx-Dateisystem erstellen, und Ihrem selbstverwalteten Active Directory erfüllt haben. Weitere Informationen finden Sie unter Voraussetzungen für die Verwendung eines selbstverwalteten Microsoft Active Directory.

    Verwenden Sie das Amazon FSx Active Directory Validation Tool, um diese Netzwerkeinstellungen zu testen und zu verifizieren.

    Anmerkung

    Wenn Sie mehrere Active Directory-Standorte definiert haben, stellen Sie sicher, dass die Subnetze in der VPC, die Ihrem Amazon FSx-Dateisystem zugeordnet sind, an einem Active Directory-Standort definiert sind und dass keine IP-Konflikte zwischen den Subnetzen in Ihrer VPC und den Subnetzen an Ihren anderen Standorten bestehen. Sie können diese Einstellungen mithilfe des MMC-Snap-Ins Active Directory-Standorte und -Dienste anzeigen und ändern.

  2. Stellen Sie sicher, dass Sie die VPC-Sicherheitsgruppen, die Sie Ihrem Amazon FSx-Dateisystem zugeordnet haben, zusammen mit allen VPC-Netzwerk-ACLs so konfiguriert haben, dass ausgehender Netzwerkverkehr auf allen Ports zugelassen wird.

    Anmerkung

    Wenn Sie Least-Privilegien implementieren möchten, können Sie ausgehenden Datenverkehr nur zu den spezifischen Ports zulassen, die für die Kommunikation mit den Active Directory-Domänencontrollern erforderlich sind. Weitere Informationen finden Sie in der Microsoft Active Directory-Dokumentation.

  3. Vergewissern Sie sich, dass die Werte für die administrativen Eigenschaften des Microsoft Windows-Dateiservers oder des Netzwerks keine anderen Zeichen als Latin-1 enthalten. Beispielsweise schlägt die Erstellung des Dateisystems fehl, wenn Sie den Namen der Domänen-Admins Gruppe der Dateisystemadministratoren verwenden.

  4. Stellen Sie sicher, dass die DNS-Server und Domänencontroller Ihrer Active Directory-Domäne aktiv sind und auf Anfragen für die angegebene Domäne antworten können.

  5. Stellen Sie sicher, dass die Funktionsebene Ihrer Active Directory-Domäne Windows Server 2008 R2 oder höher ist.

  6. Stellen Sie sicher, dass die Firewall-Regeln auf den Domain-Controllern Ihrer Active Directory-Domain Datenverkehr von Ihrem Amazon FSx-Dateisystem zulassen. Weitere Informationen finden Sie in der Microsoft Active Directory-Dokumentation.

Ungültige Anmeldeinformationen für das Dienstkonto

Das Erstellen eines Dateisystems, das mit einem selbstverwalteten Active Directory verknüpft ist, schlägt mit der folgenden Fehlermeldung fehl:

Amazon FSx is unable to establish a connection with your Microsoft Active Directory domain controllers 
because the service account credentials provided are invalid. To fix this problem, delete your file 
system and create a new one using a valid service account.

Gehen Sie wie folgt vor, um das Problem zu beheben.

  1. Stellen Sie sicher, dass Sie nur den Benutzernamen als Eingabe für den Benutzernamen des Dienstkontos eingeben, z. B. ServiceAcct in der selbstverwalteten Active Directory-Konfiguration.

    Wichtig

    Geben Sie bei der Eingabe des Benutzernamens für das Dienstkonto KEIN Domänenpräfix (corp.com\ServiceAcctServiceAcct@corp.com) oder Domänensuffix () an.

    Verwenden Sie NICHT den definierten Namen (DN) bei der Eingabe des Benutzernamens für das Dienstkonto (CN=ServiceAcct, OU=Example, DC=Corp, DC=com).

  2. Stellen Sie sicher, dass das von Ihnen angegebene Dienstkonto in Ihrer Active Directory-Domäne vorhanden ist.

  3. Stellen Sie sicher, dass Sie die erforderlichen Berechtigungen an das von Ihnen angegebene Dienstkonto delegiert haben. Das Dienstkonto muss in der Lage sein, Computerobjekte in der Organisationseinheit in der Domäne zu erstellen und zu löschen, zu der Sie das Dateisystem hinzufügen. Das Dienstkonto muss außerdem mindestens über die folgenden Berechtigungen verfügen:

    • Zurücksetzen von Passwörtern

    • Beschränken Sie das Lesen und Schreiben von Daten durch Konten

    • Bestätigte Fähigkeit, in den DNS-Hostnamen zu schreiben

    • Überprüfte Fähigkeit zum Schreiben in den Prinzipalnamen des Service

    Weitere Informationen zum Erstellen eines Dienstkontos mit den richtigen Berechtigungen finden Sie unter Delegieren von Berechtigungen an Ihr Amazon-FSx-Servicekonto .

Unzureichende Dienstkontoberechtigungen

Das Erstellen eines Dateisystems, das mit Ihrem selbstverwalteten Active Directory verknüpft ist, schlägt fehl und es wird die folgende Fehlermeldung angezeigt:

Amazon FSx is unable to establish a connection with your
Microsoft Active Directory domain controllers. This is because the service account provided does not 
have permission to join the file system to the domain with the specified organizational unit. 
To fix this problem, delete your file system and create a new one using a service account with 
permission to join the file system to the domain with the specified organizational unit.

Gehen Sie wie folgt vor, um das Problem zu beheben.

  • Stellen Sie sicher, dass Sie die erforderlichen Berechtigungen an das von Ihnen angegebene Dienstkonto delegiert haben. Das Dienstkonto muss in der Lage sein, Computerobjekte in der Organisationseinheit in der Domäne zu erstellen und zu löschen, zu der Sie das Dateisystem hinzufügen. Das Dienstkonto muss außerdem mindestens über die folgenden Berechtigungen verfügen:

    • Zurücksetzen von Passwörtern

    • Beschränken Sie das Lesen und Schreiben von Daten durch Konten

    • Bestätigte Fähigkeit, in den DNS-Hostnamen zu schreiben

    • Überprüfte Fähigkeit zum Schreiben in den Prinzipalnamen des Service

    Weitere Informationen zum Erstellen eines Dienstkontos mit den richtigen Berechtigungen finden Sie unter Delegieren von Berechtigungen an Ihr Amazon-FSx-Servicekonto .

Die Kapazität des Dienstkontos wurde überschritten

Das Erstellen eines Dateisystems, das mit Ihrem selbstverwalteten Active Directory verknüpft ist, schlägt fehl und es wird die folgende Fehlermeldung angezeigt:

Amazon FSx can't establish a connection with your Microsoft Active Directory
domain controllers. This is because the service account provided has reached the
maximum number of computers that it can join to the domain. To fix this problem,
delete your file system and create a new one, supplying a service account that
is able to join new computers to the domain.

Um das Problem zu beheben, stellen Sie sicher, dass das von Ihnen angegebene Dienstkonto die maximale Anzahl von Computern erreicht hat, die es der Domäne hinzufügen kann. Wenn das maximale Limit erreicht wurde, erstellen Sie ein neues Dienstkonto mit den richtigen Berechtigungen. Verwenden Sie das neue Dienstkonto und erstellen Sie ein neues Dateisystem. Weitere Informationen finden Sie unter Delegieren von Berechtigungen an Ihr Amazon-FSx-Servicekonto .

Amazon FSx kann nicht auf die Organisationseinheit (OU) zugreifen

Das Erstellen eines Dateisystems, das mit Ihrem selbstverwalteten Active Directory verknüpft ist, schlägt fehl und es wird die folgende Fehlermeldung angezeigt:

Amazon FSx can't establish a connection with your Microsoft Active Directory domain controller(s). 
This is because the organizational unit you specified either doesn't exist or isn't accessible 
to the service account provided. To fix this problem, delete your file system and create a new one specifying an 
organizational unit to which the service account can join the file system.

Gehen Sie wie folgt vor, um das Problem zu beheben.

  1. Stellen Sie sicher, dass sich die von Ihnen angegebene Organisationseinheit in Ihrer Active Directory-Domäne befindet.

  2. Stellen Sie sicher, dass Sie die erforderlichen Berechtigungen an das von Ihnen angegebene Dienstkonto delegiert haben. Das Dienstkonto muss in der Lage sein, Computerobjekte in der Organisationseinheit in der Domäne zu erstellen und zu löschen, zu der Sie das Dateisystem hinzufügen. Das Dienstkonto muss außerdem mindestens über die folgenden Berechtigungen verfügen:

    • Zurücksetzen von Passwörtern

    • Beschränken Sie das Lesen und Schreiben von Daten durch Konten

    • Bestätigte Fähigkeit, in den DNS-Hostnamen zu schreiben

    • Überprüfte Fähigkeit zum Schreiben in den Prinzipalnamen des Service

    • Ihnen wurde die Kontrolle zum Erstellen und Löschen von Computerobjekten übertragen

    • Bestätigte Fähigkeit, Kontoeinschränkungen zu lesen und zu schreiben

    Weitere Informationen zum Erstellen eines Dienstkontos mit den richtigen Berechtigungen finden Sie unter Delegieren von Berechtigungen an Ihr Amazon-FSx-Servicekonto .

Das Dienstkonto kann nicht auf die Administratorgruppe zugreifen

Das Erstellen eines Dateisystems, das mit Ihrem selbstverwalteten Active Directory verknüpft ist, schlägt mit der folgenden Fehlermeldung fehl:

Amazon FSx is unable to apply your Microsoft Active Directory configuration. This is because the file system 
administrators group you provided either doesn't exist or isn't accessible to the service account you 
provided. To fix this problem, delete your file system and create a new one specifying a file 
system administrators group in the domain that is accessible to the service account 
provided.

Gehen Sie wie folgt vor, um das Problem zu beheben.

  1. Stellen Sie sicher, dass Sie nur den Namen der Gruppe als Zeichenfolge für den Gruppenparameter des Administrators angeben.

    Wichtig

    Geben Sie KEIN Domänenpräfix (corp.com\FSxAdmins) oder Domänensuffix (FSxAdmins@corp.com) an, wenn Sie den Gruppennamenparameter angeben.

    Verwenden Sie NICHT den definierten Namen (DN) für die Gruppe. Ein Beispiel für einen eindeutigen Namen ist CN=FSxAdmins, OU=Example, DC=Corp, DC=com.

  2. Stellen Sie sicher, dass die angegebene Administratorgruppe in derselben Active Directory-Domäne vorhanden ist wie die, zu der Sie das Dateisystem hinzufügen möchten.

  3. Wenn Sie keinen Administratorgruppenparameter angegeben haben, versucht Amazon FSx, die Builtin Domain Admins Gruppe in Ihrer Active Directory-Domäne zu verwenden. Wenn der Name dieser Gruppe geändert wurde oder wenn Sie eine andere Gruppe für die Domänenverwaltung verwenden, müssen Sie diesen Namen für die Gruppe angeben.

Amazon FSx hat die Konnektivität in der Domain verloren

Das Erstellen eines Dateisystems, das mit Ihrem selbstverwalteten Active Directory verknüpft ist, schlägt mit der folgenden Fehlermeldung fehl:

Amazon FSx is unable to apply your Microsoft Active Directory configuration. To fix this problem, delete your file system and create a new one 
meeting the pre-requisites described in the Amazon FSx user guide.

Bei der Erstellung Ihres Dateisystems konnte Amazon FSx die DNS-Server und Domain-Controller Ihrer Active Directory-Domain erreichen und das Dateisystem erfolgreich mit Ihrer Active Directory-Domain verbinden. Beim Abschluss der Dateisystemerstellung hat Amazon FSx jedoch die Verbindung zu oder die Mitgliedschaft in Ihrer Domain verloren. Gehen Sie wie folgt vor, um das Problem zu beheben und zu lösen.

  1. Stellen Sie sicher, dass die Netzwerkverbindung zwischen Ihrem Amazon FSx-Dateisystem und Ihrem Active Directory weiterhin besteht. Und stellen Sie mithilfe von Routingregeln, VPC-Sicherheitsgruppenregeln, VPC-Netzwerk-ACLs und Firewallregeln für Domänencontroller sicher, dass Netzwerkverkehr zwischen ihnen weiterhin zugelassen wird.

  2. Stellen Sie sicher, dass die von Amazon FSx für Ihre Dateisysteme in Ihrer Active Directory-Domäne erstellten Computerobjekte noch aktiv sind und nicht gelöscht oder anderweitig manipuliert wurden.

Das Dienstkonto hat nicht die richtigen Berechtigungen

Das Erstellen eines Dateisystems, das mit Ihrem selbstverwalteten Active Directory verknüpft ist, schlägt fehl und es wird die folgende Fehlermeldung angezeigt:

File system creation failed. Amazon FSx is unable to establish a connection with your Microsoft Active Directory domain controller(s). 
This is because the service account provided does not have permission to join the file system to the domain with the specified 
organizational unit (OU). To fix this problem, delete your file system and create a new one using a service account with permission 
to create computer objects and reset passwords within the specified organizational unit.

Stellen Sie sicher, dass Sie die erforderlichen Berechtigungen an das von Ihnen angegebene Dienstkonto delegiert haben. Gehen Sie wie folgt vor, um das Problem zu beheben.

Das Dienstkonto muss mindestens über die folgenden Berechtigungen verfügen:

  • Ihnen wurde die Kontrolle zum Erstellen und Löschen von Computerobjekten in der Organisationseinheit übertragen, zu der Sie das Dateisystem hinzufügen

  • Verfügen Sie in der Organisationseinheit, der Sie dem Dateisystem beitreten, über die folgenden Berechtigungen:

    • Fähigkeit, Passwörter zurückzusetzen

    • Möglichkeit, Konten daran zu hindern, Daten zu lesen und zu schreiben

    • Bestätigte Fähigkeit, in den DNS-Hostnamen zu schreiben

    • Überprüfte Fähigkeit zum Schreiben in den Prinzipalnamen des Service

    • Fähigkeit (kann delegiert werden), Computerobjekte zu erstellen und zu löschen

    • Bestätigte Fähigkeit, Kontoeinschränkungen zu lesen und zu schreiben

    • Fähigkeit, Berechtigungen zu ändern

    Weitere Informationen zum Erstellen eines Dienstkontos mit den richtigen Berechtigungen finden Sie unter Delegieren von Berechtigungen an Ihr Amazon-FSx-Servicekonto .

In Erstellungsparametern verwendete Unicode-Zeichen

Das Erstellen eines Dateisystems, das mit Ihrem selbstverwalteten Active Directory verknüpft ist, schlägt fehl und es wird die folgende Fehlermeldung angezeigt:

File system creation failed. Amazon FSx is unable to create a file system within the specified
Microsoft Active Directory. To fix this problem, please delete your file system and create a new one
meeting the pre-requisites described in the FSx for ONTAP User Guide.

Amazon FSx unterstützt keine Unicode-Zeichen. Stellen Sie sicher, dass keiner der Erstellungsparameter Unicode-Zeichen wie Akzentzeichen enthält. Dies schließt Parameter ein, die leer gelassen werden können und bei denen ein Standardwert automatisch eingegeben wird. Stellen Sie sicher, dass die entsprechenden Standardwerte in Ihrem Active Directory auch keine Unicode-Zeichen enthalten.

Wenn Sie bei der Verwendung von Amazon FSx auf Probleme stoßen, die hier nicht aufgeführt sind, stellen Sie eine Frage im Amazon FSx-Forum oder wenden Sie sich an den Amazon Web Services Services-Support.