Falha na criação de um sistema de arquivos associado a um Active Directory autogerenciado - Amazon FSx for Windows File Server
Nomes de grupos de administradores de sistemas de arquivos duplicadosServidores DNS ou controladores de domínio inacessíveisCredenciais inválidas da conta de serviçoPermissões insuficientes da conta de serviçoCapacidade da conta de serviço excedidaNão consigo acessar a OUGrupo de administradores do sistema de arquivos inválidoO Amazon FSx perdeu a conectividade no domínioA conta de serviço não tem permissões corretasCaracteres Unicode usados nos parâmetros de criação

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Falha na criação de um sistema de arquivos associado a um Active Directory autogerenciado

Nomes de grupos de administradores de sistemas de arquivos duplicados

A criação de um sistema de arquivos associado ao Active Directory autogerenciado apresenta falha com a seguinte mensagem de erro:

File system creation failed. Amazon FSx is unable to apply your Microsoft Active Directory configuration with the 
specified file system administrators group. Please ensure that your Active Directory does not contain multiple domain 
groups with the name: domain_group.

O Amazon FSx não criou o sistema de arquivos porque há vários grupos de administradores no domínio com o mesmo nome.

Se você não especificar um nome de grupo, o Amazon FSx tentará usar o valor padrão “Domain Admins” como grupo de administradores. A solicitação falhará se houver mais de um grupo usando o nome padrão “Administradores de domínio”.

Use as etapas a seguir para resolver o problema.

  1. Analise os pré-requisitos para unir seu sistema de arquivos ao Active Directory autogerenciado.

  2. Use a ferramenta de validação do Amazon FSx Active Directory para validar sua configuração autogerenciada do Active Directory antes de criar um sistema de arquivos FSx for Windows File Server associado a um Active Directory autogerenciado.

  3. Crie um novo sistema de arquivos usando o AWS Management Console ou AWS CLI. Para ter mais informações, consulte Associar um sistema de arquivos do Amazon FSx a um domínio do Microsoft Active Directory autogerenciado.

  4. Forneça um nome para o grupo de administradores do sistema de arquivos que seja exclusivo no domínio do seu Active Directory autogerenciado.

Servidores DNS ou controladores de domínio inacessíveis

A criação de um sistema de arquivos associado ao Active Directory autogerenciado apresenta falha com a seguinte mensagem de erro:

Amazon FSx can't reach the DNS servers provided or the domain controllers for your self-managed directory in Microsoft Active Directory. 
File system creation failed. Amazon FSx is unable to communicate with your Microsoft Active Directory domain controllers. 
This is because Amazon FSx can't reach the DNS servers provided or domain controllers for your domain. 
To fix this problem, delete your file system and create a new one with valid DNS servers and networking configuration that allows 
traffic from the file system to the domain controller.

Use as etapas a seguir para solucionar o problema.

  1. Verifique se você seguiu os pré-requisitos para estabelecer a conectividade de rede e o roteamento entre a sub-rede em que está criando um sistema de arquivos do Amazon FSx e o Active Directory autogerenciado. Para ter mais informações, consulte Pré-requisitos para usar um Microsoft Active Directory autogerenciado.

    Use a Ferramenta de validação do Active Directory do Amazon FSx para testar e verificar essas configurações de rede.

    nota

    Caso vários sites do Active Directory estejam definidos, certifique-se de que as sub-redes na VPC associadas ao seu sistema de arquivos do Amazon FSx estejam definidas em um site do Active Directory e que não haja conflitos de IP entre as sub-redes da sua VPC e as sub-redes dos outros sites. Você pode exibir e alterar essas configurações usando o snap-in do MMC de Serviços e Sites do Active Directory.

  2. Verifique se você configurou os grupos de segurança da VPC que você associou ao seu sistema de arquivos do Amazon FSx, juntamente com quaisquer ACLs da rede da VPC, para permitir o tráfego de rede de saída em todas as portas.

    nota

    Se você quiser implantar o privilégio mínimo, você poderá permitir o tráfego de saída somente para as portas específicas necessárias para a comunicação com os controladores de domínio do Active Directory. Para obter mais informações, consulte a Documentação do Microsoft Active Directory.

  3. Verifique se os valores do servidor de arquivos do Microsoft Windows ou das propriedades administrativas da rede não contêm caracteres non-Latin-1. Por exemplo, a criação do sistema de arquivos falhará se você usar Domänen-Admins como o nome do grupo de administradores do sistema de arquivos.

  4. Verifique se os servidores DNS e os controladores de domínio do seu domínio do Active Directory estão ativos e podem responder a solicitações para o domínio fornecido.

  5. Certifique-se de que o nível funcional de seu domínio do Active Directory seja o Windows Server 2008 R2 ou superior.

  6. Certifique-se de que as regras de firewall nos controladores de domínio do seu domínio do Active Directory permitam o tráfego do seu sistema de arquivos do Amazon FSx. Para obter mais informações, consulte a Documentação do Microsoft Active Directory.

Credenciais inválidas da conta de serviço

A criação de um sistema de arquivos associado a um Active Directory autogerenciado falha com a seguinte mensagem de erro:

Amazon FSx is unable to establish a connection with your Microsoft Active Directory domain controllers 
because the service account credentials provided are invalid. To fix this problem, delete your file 
system and create a new one using a valid service account.

Use as etapas a seguir para solucionar o problema.

  1. Verifique se você está inserindo apenas o nome de usuário como entrada para o Nome de usuário da conta de serviço, como ServiceAcct, na configuração do Active Directory autogerenciado.

    Importante

    NÃO inclua um prefixo de domínio (corp.com\ServiceAcct) ou sufixo de domínio (ServiceAcct@corp.com) ao inserir o nome de usuário da conta de serviço.

    NÃO use o nome distinto (DN) ao inserir o nome de usuário da conta de serviço (CN=ServiceAcct, OU=exemplo, DC=corp, DC=com).

  2. Verifique se a conta de serviço que você forneceu existe em seu domínio do Active Directory.

  3. Certifique-se de que você delegou as permissões necessárias à conta de serviço que você forneceu. A conta de serviço deve ser capaz de criar e excluir objetos de computador na UO no domínio ao qual você está associando o sistema de arquivos. A conta de serviço também precisa, no mínimo, ter permissões para fazer o seguinte:

    • Redefinir senhas

    • Restringir contas de ler e gravar dados

    • Capacidade validada para gravar no nome do host DNS

    • Capacidade validada para gravar no nome da entidade principal de serviço

    Para obter mais informações sobre como criar uma conta de serviço com as permissões corretas, consulte Delegar privilégios à conta de serviço Amazon FSx .

Permissões insuficientes da conta de serviço

A criação de um sistema de arquivos associado ao Active Directory autogerenciado apresenta falha com a seguinte mensagem de erro:

Amazon FSx is unable to establish a connection with your
Microsoft Active Directory domain controllers. This is because the service account provided does not 
have permission to join the file system to the domain with the specified organizational unit. 
To fix this problem, delete your file system and create a new one using a service account with 
permission to join the file system to the domain with the specified organizational unit.

Use o procedimento a seguir para solucionar o problema.

  • Certifique-se de que você delegou as permissões necessárias à conta de serviço que você forneceu. A conta de serviço deve ser capaz de criar e excluir objetos de computador na UO no domínio ao qual você está associando o sistema de arquivos. A conta de serviço também precisa, no mínimo, ter permissões para fazer o seguinte:

    • Redefinir senhas

    • Restringir contas de ler e gravar dados

    • Capacidade validada para gravar no nome do host DNS

    • Capacidade validada para gravar no nome da entidade principal de serviço

    Para obter mais informações sobre como criar uma conta de serviço com as permissões corretas, consulte Delegar privilégios à conta de serviço Amazon FSx .

Capacidade da conta de serviço excedida

A criação de um sistema de arquivos associado ao Active Directory autogerenciado apresenta falha com a seguinte mensagem de erro:

Amazon FSx can't establish a connection with your Microsoft Active Directory
domain controllers. This is because the service account provided has reached the
maximum number of computers that it can join to the domain. To fix this problem,
delete your file system and create a new one, supplying a service account that
is able to join new computers to the domain.

Para resolver o problema, verifique se a conta de serviço que você forneceu atingiu o número máximo de computadores aos quais ela pode se associar ao domínio. Se ele tiver atingido o limite máximo, crie uma nova conta de serviço com as permissões corretas. Use a nova conta de serviço e crie um novo sistema de arquivos. Para ter mais informações, consulte Delegar privilégios à conta de serviço Amazon FSx .

O Amazon FSx não pode acessar a unidade organizacional (OU)

A criação de um sistema de arquivos associado ao Active Directory autogerenciado apresenta falha com a seguinte mensagem de erro:

Amazon FSx can't establish a connection with your Microsoft Active Directory domain controller(s). 
This is because the organizational unit you specified either doesn't exist or isn't accessible 
to the service account provided. To fix this problem, delete your file system and create a new one specifying an 
organizational unit to which the service account can join the file system.

Use as etapas a seguir para solucionar o problema.

  1. Verifique se a UO que você forneceu está em seu domínio do Active Directory.

  2. Certifique-se de ter delegado as permissões necessárias à conta de serviço que você forneceu. A conta de serviço deve ser capaz de criar e excluir objetos de computador na UO do domínio ao qual você está associando o sistema de arquivos. A conta de serviço também precisa ter, no mínimo, permissões para fazer o seguinte:

    • Redefinir senhas

    • Restringir contas de ler e gravar dados

    • Capacidade validada para gravar no nome do host DNS

    • Capacidade validada para gravar no nome da entidade principal de serviço

    • Ter controle delegado para criar e excluir objetos de computador

    • Capacidade validada para ler e gravar restrições de conta

    Para obter mais informações sobre como criar uma conta de serviço com as permissões corretas, consulte Delegar privilégios à conta de serviço Amazon FSx .

A conta de serviço não consegue acessar o grupo de administradores

A criação de um sistema de arquivos associado ao Active Directory autogerenciado apresenta falha com a seguinte mensagem de erro:

Amazon FSx is unable to apply your Microsoft Active Directory configuration. This is because the file system 
administrators group you provided either doesn't exist or isn't accessible to the service account you 
provided. To fix this problem, delete your file system and create a new one specifying a file 
system administrators group in the domain that is accessible to the service account 
provided.

Use as etapas a seguir para solucionar o problema.

  1. Certifique-se de que você está fornecendo apenas o nome do grupo como uma string para o parâmetro de grupo de administradores.

    Importante

    NÃO inclua um prefixo de domínio (corp.com\FSxAdmins) ou sufixo de domínio (FSxAdmins@corp.com) ao fornecer o parâmetro de nome de grupo.

    NÃO use o nome distinto (DN) para o grupo. Um exemplo de nome distinto é CN=FSxAdmins, OU=example, DC=corp, DC=com.

  2. Certifique-se de que o grupo de administradores fornecido exista no mesmo domínio do Active Directory ao qual você deseja associar o sistema de arquivos.

  3. Se você não tiver fornecido um parâmetro de grupo de administradores, o Amazon FSx tentará usar o grupo Builtin Domain Admins em seu domínio do Active Directory. Se o nome desse grupo tiver sido alterado ou se você estiver usando um grupo diferente para a administração do domínio, será necessário fornecer esse nome para o grupo.

O Amazon FSx perdeu a conectividade no domínio

A criação de um sistema de arquivos associado ao Active Directory autogerenciado apresenta falha com a seguinte mensagem de erro:

Amazon FSx is unable to apply your Microsoft Active Directory configuration. To fix this problem, delete your file system and create a new one 
meeting the pre-requisites described in the Amazon FSx user guide.

Ao criar seu sistema de arquivos, o Amazon FSx conseguiu acessar os servidores DNS e os controladores de domínio do seu domínio do Active Directory e associar o sistema de arquivos com êxito ao seu domínio do Active Directory. No entanto, ao concluir a criação do sistema de arquivos, o Amazon FSx perdeu a conectividade ou a associação ao seu domínio. Use as etapas a seguir para solucionar o problema.

  1. Certifique-se de que a conectividade de rede continue existindo entre o sistema de arquivos do Amazon FSx e o Active Directory. Além disso, garanta que o tráfego de rede continue a ser permitido entre eles usando regras de roteamento, regras de grupo de segurança da VPC, ACLs da rede da VPC e regras de firewall do controlador de domínio.

  2. Certifique-se de que os objetos de computador criados pelo Amazon FSx para os sistemas de arquivos no domínio do Active Directory ainda estejam ativos e não tenham sido excluídos ou manipulados de outra forma.

A conta de serviço não tem permissões corretas

A criação de um sistema de arquivos associado ao Active Directory autogerenciado apresenta falha com a seguinte mensagem de erro:

File system creation failed. Amazon FSx is unable to establish a connection with your Microsoft Active Directory domain controller(s). 
This is because the service account provided does not have permission to join the file system to the domain with the specified 
organizational unit (OU). To fix this problem, delete your file system and create a new one using a service account with permission 
to create computer objects and reset passwords within the specified organizational unit.

Certifique-se de ter delegado as permissões necessárias à conta de serviço que você forneceu. Use as etapas a seguir para solucionar o problema.

A conta de serviço precisa ter, no mínimo, as seguintes permissões:

  • Receber a delegação de controle para criar e excluir objetos de computador na UO à qual você está associando o sistema de arquivos

  • Tenha as seguintes permissões na UO à qual você está associando o sistema de arquivos:

    • Capacidade de redefinir senhas

    • Capacidade de restringir contas de ler e gravar dados

    • Capacidade validada para gravar no nome do host DNS

    • Capacidade validada para gravar no nome da entidade principal de serviço

    • Capacidade (pode ser delegada) de criar e excluir objetos de computador

    • Capacidade validada para ler e gravar restrições de conta

    • Capacidade de modificar permissões

    Para obter mais informações sobre como criar uma conta de serviço com as permissões corretas, consulte Delegar privilégios à conta de serviço Amazon FSx .

Caracteres Unicode usados nos parâmetros de criação

A criação de um sistema de arquivos associado ao Active Directory autogerenciado apresenta falha com a seguinte mensagem de erro:

File system creation failed. Amazon FSx is unable to create a file system within the specified
Microsoft Active Directory. To fix this problem, please delete your file system and create a new one
meeting the pre-requisites described in the FSx for ONTAP User Guide.

O Amazon FSx não é compatível com caracteres Unicode. Verifique se nenhum dos parâmetros de criação possui caracteres Unicode, como acentos. Isso inclui parâmetros que podem ser deixados em branco, nos quais um valor padrão é preenchido automaticamente. Certifique-se de que os valores padrão correspondentes em seu Active Directory também não contenham caracteres Unicode.

Se você encontrar problemas não listados aqui ao usar o Amazon FSx, faça uma pergunta no Fórum do Amazon FSx ou entre em contato com o Suporte da Amazon Web Services.