Se produce un error al crear un sistema de archivos unido a un Active Directory autogestionado

Nombres de grupos de administradores de sistemas de archivos duplicados

La creación de un sistema de archivos unido a su Active Directory autoadministrado falla con el siguiente mensaje de error:

File system creation failed. Amazon FSx is unable to apply your Microsoft Active Directory configuration with the 
specified file system administrators group. Please ensure that your Active Directory does not contain multiple domain 
groups with the name: domain_group.

Amazon FSx no creó el sistema de archivos porque hay varios grupos de administradores en el dominio con el mismo nombre.

Si no especificas un nombre de grupo, Amazon FSx intentará usar el valor predeterminado «Domain Admins» como grupo de administradores. La solicitud fallará si hay más de un grupo que utilice el nombre predeterminado de «Administradores de dominio».

Siga los pasos siguientes para resolver el problema.

1. Revise los requisitos previos para unir el sistema de archivos a su Active Directory autogestionado.

2. Utilice la herramienta de validación de Amazon FSx Active Directory para validar la configuración autogestionada de Active Directory antes de crear un sistema de archivos FSx para Windows File Server unido a un Active Directory autogestionado.

3. Cree un nuevo sistema de archivos con o. AWS Management Console AWS CLI Para obtener más información, consulte Unir un sistema de FSx archivos de Amazon a un dominio autogestionado de Microsoft Active Directory.

4. Proporcione un nombre para el grupo de administradores del sistema de archivos que sea exclusivo en el dominio de su Active Directory autogestionado.

DNSservidores o controladores de dominio inalcanzables

La creación de un sistema de archivos unido a su Active Directory autoadministrado falla con el siguiente mensaje de error:

Amazon FSx can't reach the DNS servers provided or the domain controllers for your self-managed directory in Microsoft Active Directory. 
File system creation failed. Amazon FSx is unable to communicate with your Microsoft Active Directory domain controllers. 
This is because Amazon FSx can't reach the DNS servers provided or domain controllers for your domain. 
To fix this problem, delete your file system and create a new one with valid DNS servers and networking configuration that allows 
traffic from the file system to the domain controller.

Siga los pasos a continuación para solucionar el problema.

1. Compruebe que ha cumplido los requisitos previos para establecer la conectividad de red y el enrutamiento entre la subred en la que va a crear un sistema de FSx archivos de Amazon y su Active Directory autogestionado. Para obtener más información, consulte Requisitos previos.

   Utilice la herramienta de validación de Amazon FSx Active Directory para probar y verificar esta configuración de red.

   nota

   Si tiene varios sitios de Active Directory definidos, asegúrese de que las subredes VPC asociadas a su sistema de FSx archivos de Amazon estén definidas en un sitio de Active Directory y de que no existan conflictos de IP entre las subredes de su sitio VPC y las subredes de sus otros sitios. Puede ver y cambiar esta configuración mediante el complemento Sitios y servicios de Active Directory. MMC

2. Compruebe que ha configurado los grupos de VPC seguridad que ha asociado a su sistema de FSx archivos de Amazon, junto con cualquier VPC redACLs, para permitir el tráfico de red saliente en todos los puertos.

   nota

   Si desea implementar el privilegio mínimo, puede permitir el tráfico saliente solo a los puertos específicos que se necesiten para que haya comunicación con los controladores de dominio del Active Directory. Para obtener más información, consulte la documentación de Microsoft Active Directory.

3. Compruebe que los valores de las propiedades administrativas del servidor de archivos o de la red de Microsoft Windows no contengan caracteres que no sean latin-1. Por ejemplo, se produce un error en la creación del sistema de archivos si se utiliza Domänen-Admins como nombre del grupo de administradores del sistema de archivos.

4. Compruebe que los DNS servidores y controladores de dominio de su dominio de Active Directory estén activos y puedan responder a las solicitudes del dominio proporcionado.

5. Asegúrese de que el nivel funcional del dominio del Active Directory sea Windows Server 2008 R2 o superior.

6. Asegúrese de que las reglas de firewall de los controladores de dominio de su dominio de Active Directory permitan el tráfico desde su sistema de FSx archivos de Amazon. Para obtener más información, consulte la documentación de Microsoft Active Directory.

Credenciales de cuenta de servicio no válidas

No se puede crear un sistema de archivos unido a un Active Directory autoadministrado y aparece el siguiente mensaje de error:

Amazon FSx is unable to establish a connection with your Microsoft Active Directory domain controllers 
because the service account credentials provided are invalid. To fix this problem, delete your file 
system and create a new one using a valid service account.

Siga los pasos a continuación para solucionar el problema.

1. Compruebe que esté escribiendo únicamente el nombre de usuario como entrada en el nombre de usuario de la cuenta de servicio, por ejemplo ServiceAcct, en la configuración del Active Directory autoadministrado.

   importante

   NOTIncluya un prefijo de dominio (corp.com\ServiceAcct) o un sufijo de dominio (ServiceAcct@corp.com) al introducir el nombre de usuario de la cuenta de servicio.

   NOTUTILICE el nombre distintivo (DN) al introducir el nombre de usuario de la cuenta de servicio (CN=ServiceAcct, OU=example, DC=corp, DC=com).

2. Compruebe que la cuenta de servicio que proporcionó existe en el dominio de Active Directory.

3. Asegúrese de haber delegado los permisos necesarios en la cuenta de servicio que proporcionó. La cuenta de servicio debe poder crear y eliminar objetos informáticos en la unidad organizativa del dominio al que vaya a unir el sistema de archivos. La cuenta de servicio también necesita, como mínimo, tener permisos para hacer lo siguiente:

   • Restablecer contraseñas

   • Impedir que las cuentas lean y escriban datos

   • Capacidad validada de escribir en el nombre del servidor DNS

   • Capacidad validada para escribir en el nombre de entidad principal del servicio

   Para obtener más información acerca de la creación de una cuenta de servicio con los permisos correctos, consulte Cuenta de FSx servicio de Amazon.

Permisos de la cuenta de servicio insuficientes

La creación de un sistema de archivos unido a su Active Directory autoadministrado falla con el siguiente mensaje de error:

Amazon FSx is unable to establish a connection with your
Microsoft Active Directory domain controllers. This is because the service account provided does not 
have permission to join the file system to the domain with the specified organizational unit. 
To fix this problem, delete your file system and create a new one using a service account with 
permission to join the file system to the domain with the specified organizational unit.

Siga el siguiente procedimiento para solucionar el problema.

• Asegúrese de haber delegado los permisos necesarios en la cuenta de servicio que proporcionó. La cuenta de servicio debe poder crear y eliminar objetos informáticos en la unidad organizativa del dominio al que vaya a unir el sistema de archivos. La cuenta de servicio también necesita, como mínimo, tener permisos para hacer lo siguiente:

  • Restablecer contraseñas

  • Impedir que las cuentas lean y escriban datos

  • Capacidad validada de escribir en el nombre de DNS host

  • Capacidad validada para escribir en el nombre de entidad principal del servicio

  Para obtener más información acerca de la creación de una cuenta de servicio con los permisos correctos, consulte Cuenta de FSx servicio de Amazon.

Se superó la capacidad de la cuenta de servicio

La creación de un sistema de archivos unido a su Active Directory autoadministrado falla con el siguiente mensaje de error:

Amazon FSx can't establish a connection with your Microsoft Active Directory
domain controllers. This is because the service account provided has reached the
maximum number of computers that it can join to the domain. To fix this problem,
delete your file system and create a new one, supplying a service account that
is able to join new computers to the domain.

Para resolver el problema, compruebe que la cuenta de servicio que proporcionó no haya alcanzado el número máximo de equipos que puede unir al dominio. Si ha alcanzado el límite máximo, cree una cuenta de servicio nueva con los permisos correctos. Utilice la cuenta de servicio nueva y cree un sistema de archivos nuevo. Para obtener más información, consulte Cuenta de FSx servicio de Amazon.

Amazon no FSx puede acceder a la unidad organizativa (OU)

La creación de un sistema de archivos unido a su Active Directory autoadministrado falla con el siguiente mensaje de error:

Amazon FSx can't establish a connection with your Microsoft Active Directory domain controller(s). 
This is because the organizational unit you specified either doesn't exist or isn't accessible 
to the service account provided. To fix this problem, delete your file system and create a new one specifying an 
organizational unit to which the service account can join the file system.

Siga los pasos a continuación para solucionar el problema.

1. Compruebe que la unidad organizativa que proporcionó se encuentre dentro del dominio del Active Directory.

2. Asegúrese de haber delegado los permisos necesarios en la cuenta de servicio que proporcionó. La cuenta de servicio debe poder crear y eliminar objetos informático en la unidad organizativa del dominio al que se va a unir el sistema de archivos. La cuenta de servicio también debe tener, como mínimo, permisos para hacer lo siguiente:

   • Restablecer contraseñas

   • Impedir que las cuentas lean y escriban datos

   • Capacidad validada de escribir en el nombre de DNS host

   • Capacidad validada para escribir en el nombre de entidad principal del servicio

   • Tener delegado el control para crear y eliminar objetos informáticos

   • Capacidad validada para leer y escribir las restricciones de la cuenta

   Para obtener más información acerca de la creación de una cuenta de servicio con los permisos correctos, consulte Cuenta de FSx servicio de Amazon.

La cuenta de servicio no puede acceder al grupo de administradores

La creación de un sistema de archivos unido a su Active Directory autoadministrado falla con el siguiente mensaje de error:

Amazon FSx is unable to apply your Microsoft Active Directory configuration. This is because the file system 
administrators group you provided either doesn't exist or isn't accessible to the service account you 
provided. To fix this problem, delete your file system and create a new one specifying a file 
system administrators group in the domain that is accessible to the service account 
provided.

Siga los pasos a continuación para solucionar el problema.

1. Asegúrese de proporcionar solo el nombre del grupo como cadena para el parámetro del grupo de administradores.

   importante

   NOTINCLUYA un prefijo de dominio (corp.com\FSxAdmins) o un sufijo de dominio (FSxAdmins@corp.com) al proporcionar el parámetro de nombre de grupo.

   NOTUTILICE el nombre distintivo (DN) para el grupo. Un ejemplo de nombre distintivo es CN=FSxAdmins, OU=Example, DC=Corp, DC=com.

2. Asegúrese de que el grupo de administradores ingresado exista en el mismo dominio de Active Directory al que desea unir el sistema de archivos.

3. Si no has proporcionado un parámetro de grupo de administradores, Amazon FSx intentará usar el Builtin Domain Admins grupo en tu dominio de Active Directory. Si se cambió el nombre de dicho grupo o si utiliza un grupo diferente para la administración del dominio, debe establecer ese nombre para el grupo.

Amazon FSx perdió la conectividad en el dominio

La creación de un sistema de archivos unido a su Active Directory autoadministrado falla con el siguiente mensaje de error:

Amazon FSx is unable to apply your Microsoft Active Directory configuration. To fix this problem, delete your file system and create a new one 
meeting the pre-requisites described in the Amazon FSx user guide.

Al crear su sistema de archivos, Amazon FSx pudo acceder a los DNS servidores y controladores de dominio de su dominio de Active Directory y unir el sistema de archivos correctamente a su dominio de Active Directory. Sin embargo, al completar la creación del sistema de archivos, Amazon FSx perdió la conectividad o la membresía en tu dominio. Siga los pasos a continuación para solucionar el problema.

1. Asegúrese de que siga existiendo conectividad de red entre su sistema de FSx archivos de Amazon y su Active Directory. Además, asegúrese de que se siga permitiendo el tráfico de red entre ellos mediante reglas de enrutamiento, reglas de grupos de VPC seguridad y reglas de VPC red ACLs y firewall de controladores de dominio.

2. Asegúrese de que los objetos informáticos creados por Amazon FSx para sus sistemas de archivos en su dominio de Active Directory siguen activos y no se han eliminado ni manipulado de ningún otro modo.

La cuenta de servicio no tiene los permisos correctos

La creación de un sistema de archivos unido a su Active Directory autoadministrado falla con el siguiente mensaje de error:

File system creation failed. Amazon FSx is unable to establish a connection with your Microsoft Active Directory domain controller(s). 
This is because the service account provided does not have permission to join the file system to the domain with the specified 
organizational unit (OU). To fix this problem, delete your file system and create a new one using a service account with permission 
to create computer objects and reset passwords within the specified organizational unit.

Asegúrese de haber delegado los permisos necesarios en la cuenta de servicio que proporcionó. Siga los pasos a continuación para solucionar el problema.

La cuenta de servicio debe tener, como mínimo, los siguientes permisos:

• Tener delegado el control para crear y eliminar objetos informáticos en la unidad organizativa a la que va a unir el sistema de archivos

• Tener los siguientes permisos en la unidad organizativa a la que se va a unir al sistema de archivos:

  • Posibilidad de restablecer las contraseñas

  • Capacidad de restringir la lectura y escritura de datos en las cuentas

  • Capacidad validada de escribir en el nombre de DNS host

  • Capacidad validada para escribir en el nombre de entidad principal del servicio

  • La capacidad de crear y eliminar objetos informáticos (se puede delegar)

  • Capacidad validada para leer y escribir las restricciones de la cuenta

  • La capacidad de modificar los permisos

  Para obtener más información acerca de la creación de una cuenta de servicio con los permisos correctos, consulte Cuenta de FSx servicio de Amazon.

Caracteres Unicode utilizados en los parámetros de creación

La creación de un sistema de archivos unido a su Active Directory autoadministrado falla con el siguiente mensaje de error:

File system creation failed. Amazon FSx is unable to create a file system within the specified
Microsoft Active Directory. To fix this problem, please delete your file system and create a new one
meeting the pre-requisites described in the FSx for ONTAP User Guide.

Amazon FSx no admite caracteres Unicode. Compruebe que ninguno de los parámetros de creación tenga caracteres Unicode, como acentos. Esto incluye los parámetros que se pueden dejar en blanco, donde el valor predeterminado se rellena de forma automática. Asegúrese de que los valores predeterminados correspondientes del Active Directory tampoco contengan caracteres Unicode.

Si tienes problemas que no aparecen aquí mientras utilizas AmazonFSx, haz una pregunta en el FSxforo de Amazon o ponte en contacto con Amazon Web Services Support.