Anda tidak dapat bergabung dengan mesin virtual storage (SVM) ke Active Directory - FSx for ONTAP

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Anda tidak dapat bergabung dengan mesin virtual storage (SVM) ke Active Directory

Jika Anda tidak dapat bergabung dengan mesin virtual penyimpanan (SVM) ke Active Directory, tinjau duluBergabung dengan Amazon FSx SVM ke Microsoft Active Directory. Masalah umum yang mencegah SVM bergabung ke Active Directory Anda tercantum dalam bagian berikut.

Amazon FSx tidak dapat mencapai server DNS Direktori Aktif yang dikelola sendiri atau pengontrol domain

Membuat SVM yang bergabung dengan Direktori Aktif yang dikelola sendiri gagal dilakukan dengan pesan galat berikut:

Amazon FSx tidak dapat berkomunikasi dengan pengontrol domain Active Directory Anda. Harap hapus mesin virtual penyimpanan Anda dan buat yang baru setelah Anda mengizinkan lalu lintas jaringan antara Amazon FSx dan pengontrol domain Anda seperti yang direkomendasikan dalam panduan pengguna Amazon FSx.

Untuk memecahkan masalah ini, gunakan langkah-langkah berikut.

  1. Pastikan bahwa Anda mengikuti prasyarat untuk memiliki konektivitas jaringan dan perutean yang dibuat antara subnet atau subnet di mana sistem file Anda berada, dan Direktori Aktif yang dikelola sendiri. Untuk informasi selengkapnya, lihat Prasyarat untuk menggunakan Microsoft AD yang dikelola sendiri.

  2. Pastikan bahwa Anda mengkonfigurasi grup keamanan VPC yang Anda kaitkan dengan sistem file Amazon FSx Anda, bersama dengan daftar kontrol akses jaringan VPC (ACL), untuk mengizinkan lalu lintas jaringan keluar pada semua port.

    catatan

    Jika Anda ingin menerapkan pengurangan hak istimewa, Anda dapat mengizinkan lalu lintas keluar hanya untuk port tertentu yang diperlukan untuk komunikasi dengan pengontrol domain Direktori Aktif. Untuk informasi selengkapnya, lihat Dokumentasi Direktori Aktif Microsoft.

  3. Pastikan bahwa server dan pengontrol domain Direktori Aktif telah aktif dan dapat menanggapi permintaan untuk domain yang disediakan.

  4. Pastikan bahwa aturan firewall pada pengontrol domain Direktori Aktif Anda mengizinkan lalu lintas dari sistem file Amazon FSx Anda. Untuk informasi selengkapnya, lihat Dokumentasi Direktori Aktif Microsoft.

Amazon FSx tidak dapat terhubung ke pengontrol domain Direktori Aktif karena kredensi akun layanan tidak valid

Membuat SVM yang bergabung dengan Direktori Aktif yang dikelola sendiri gagal dilakukan dengan pesan galat berikut:

Amazon FSx tidak dapat membuat koneksi dengan pengontrol domain Active Directory Anda karena kredensi akun layanan yang disediakan tidak valid. Untuk mengatasi masalah ini, hapus mesin virtual penyimpanan Anda dan buat yang baru menggunakan akun layanan yang valid seperti yang direkomendasikan dalam panduan pengguna Amazon FSx.

Untuk memecahkan masalah ini, gunakan langkah-langkah berikut.

  1. Dalam konfigurasi Direktori Aktif yang dikelola sendiri, pastikan bahwa Anda memasukkan hanya nama pengguna sebagai input untukNama pengguna akun layanan, sepertiServiceAcct.

    penting

    Saat memasukkan nama pengguna akun layanan, jangan sertakan awalan domain (misalnya,corp.com\ServiceAcct) atau akhiran domain (misalnya,ServiceAcct@corp.com). Jangan menggunakan Nama yang Dibedakan (DN) saat memasukkan nama pengguna akun layanan (misalnya,CN=ServiceAcct,OU=example,DC=corp,DC=com).

  2. Pastikan bahwa akun layanan yang Anda berikan ada di domain Direktori Aktif.

  3. Pastikan bahwa Anda mendelegasikan izin yang diperlukan untuk akun layanan yang Anda berikan. Akun layanan harus dapat membuat dan menghapus objek komputer di unit organisasi (OU) di domain yang Anda gabungkan dengan sistem file. Untuk memiliki izin, Akun layanan juga setidaknya perlu untuk melakukan hal berikut:

    • Atur ulang kata sandi

    • Batasi akun dari membaca dan menulis data

    • Kemampuan tervalidasi untuk menulis ke nama host DNS

    • Kemampuan tervalidasi untuk menulis ke nama utama layanan

    Untuk mempelajari selengkapnya tentang membuat akun layanan dengan izin yang benar, lihat Mendelegasikan hak istimewa ke akun layanan Amazon FSx Anda.

Amazon FSx tidak dapat terhubung ke pengontrol domain Direktori Aktif karena kredensi akun layanan tidak mencukupi

Membuat SVM yang bergabung dengan Direktori Aktif yang dikelola sendiri gagal dilakukan dengan pesan galat berikut:

Amazon FSx tidak dapat membuat koneksi dengan pengontrol domain Direktori Aktif. Hal ini disebabkan baik persyaratan port untuk Direktori Aktif belum terpenuhi, atau akun layanan yang disediakan tidak memiliki izin untuk bergabung dengan mesin virtual penyimpanan ke domain dengan unit organisasi yang ditentukan. Untuk mengatasi masalah ini, hapus mesin virtual penyimpanan Anda dan buat yang baru mengacu pada persyaratan konfigurasi yang ditentukan dalam panduan pengguna Amazon FSx.

Untuk mengatasi masalah ini, pastikan bahwa Anda mendelegasikan izin yang diperlukan untuk akun layanan yang Anda berikan. Akun layanan harus mampu membuat dan menghapus objek komputer di OU di domain yang Anda gabungkan dengan sistem file. Untuk memiliki izin, Akun layanan juga setidaknya perlu untuk melakukan hal berikut:

  • Atur ulang kata sandi

  • Batasi akun dari membaca dan menulis data

  • Kemampuan tervalidasi untuk menulis ke nama host DNS

  • Kemampuan tervalidasi untuk menulis ke nama utama layanan

Untuk mempelajari selengkapnya tentang membuat akun layanan dengan izin yang benar, lihat Mendelegasikan hak istimewa ke akun layanan Amazon FSx Anda.

Amazon FSx tidak dapat terhubung ke pengontrol domain Direktori Aktif karena unit organisasi yang ditentukan tidak ada atau tidak dapat diakses

Membuat SVM yang bergabung dengan Direktori Aktif yang dikelola sendiri gagal dilakukan dengan pesan galat berikut:

Amazon FSx tidak dapat membuat koneksi dengan pengontrol domain Direktori Aktif. Hal ini karena unit organisasi yang Anda tentukan tidak ada atau tidak dapat diakses oleh akun layanan yang disediakan. Untuk mengatasi masalah ini, hapus mesin virtual penyimpanan Anda dan buat yang baru menentukan unit organisasi tempat akun layanan dapat bergabung dengan mesin virtual penyimpanan seperti yang direkomendasikan dalam panduan pengguna Amazon FSx.

Untuk memecahkan masalah ini, gunakan langkah-langkah berikut.

  1. Pastikan bahwa OU yang Anda berikan di domain Direktori Aktif.

  2. Pastikan bahwa Anda mendelegasikan izin yang diperlukan untuk akun layanan yang Anda berikan. Akun layanan harus mampu membuat dan menghapus objek komputer di OU di domain yang Anda gabungkan dengan sistem file. Untuk memiliki izin, Akun layanan juga setidaknya perlu untuk melakukan hal berikut di OU yang Anda berikan:

    • Atur ulang kata sandi

    • Batasi akun dari membaca dan menulis data

    • Kemampuan tervalidasi untuk menulis ke nama host DNS

    • Kemampuan tervalidasi untuk menulis ke nama utama layanan

    Untuk mempelajari selengkapnya tentang membuat akun layanan dengan izin yang benar, lihat Mendelegasikan hak istimewa ke akun layanan Amazon FSx Anda.