创建加入自我管理的 Active Directory 的文件系统失败

文件系统管理员组名重复

创建加入自行管理的 Active Directory 的文件系统失败，并显示以下错误消息：

File system creation failed. Amazon FSx is unable to apply your Microsoft Active Directory configuration with the 
specified file system administrators group. Please ensure that your Active Directory does not contain multiple domain 
groups with the name: domain_group.

Amazon FSx 之所以没有创建文件系统，是因为该域中有多个同名的管理员组。

如果您未指定群组名称，Amazon FSx 将尝试使用默认值 “域管理员” 作为管理员组。如果有多个群组使用默认 “域管理员” 名称，则请求将失败。

使用以下步骤来解决问题。

1. 查看将文件系统加入自行管理的 Active Directory 的先决条件。

2. 在创建加入自我管理的活动目录的 FSx for Windows File Server 文件系统之前，请使用 Amazon FSx 活动目录验证工具验证您的自我管理的活动目录配置。

3. 使用 AWS Management Console 或创建新的文件系统 AWS CLI。有关更多信息，请参阅 将 Amazon FSx 文件系统加入到自行管理的 Microsoft Active Directory 域。

4. 为文件系统管理员组提供一个名称，该名称在您自行管理的 Active Directory 的域中是唯一的。

无法访问 DNS 服务器或域控制器

创建加入自行管理的 Active Directory 的文件系统失败，并显示以下错误消息：

Amazon FSx can't reach the DNS servers provided or the domain controllers for your self-managed directory in Microsoft Active Directory. 
File system creation failed. Amazon FSx is unable to communicate with your Microsoft Active Directory domain controllers. 
This is because Amazon FSx can't reach the DNS servers provided or domain controllers for your domain. 
To fix this problem, delete your file system and create a new one with valid DNS servers and networking configuration that allows 
traffic from the file system to the domain controller.

按照以下步骤排查并解决问题。

1. 确认您满足了在创建 Amazon FSx 文件系统的子网和自行管理的 Active Directory 之间建立网络连接和路由的先决条件。有关更多信息，请参阅 使用自行管理的 Microsoft Active Directory 的先决条件。

   使用 Amazon FSx Active Directory 验证工具测试和验证这些网络设置。

   注意

   如果您定义了多个 Active Directory 站点，则必须确保在 Active Directory 站点中定义了与 Amazon FSx 文件系统关联的 VPC 中的子网，且 VPC 中的子网与您其他站点中的子网之间不存在 IP 冲突。您可以使用 Active Directory Sites and Services MMC 管理单元查看和更改这些设置。

2. 确认您已将与 Amazon FSx 文件系统关联的 VPC 安全组以及所有 VPC 网络 ACL 配置为允许所有端口上的出站网络流量。

   注意

   如果要实施最低权限，则可以只允许与 Active Directory 域控制器通信所需的特定端口支持出站流量。有关更多信息，请参阅 Microsoft Active Directory 文档。

3. 确认 Microsoft Windows 文件服务器或网络管理属性的值不包含非 Lat-1 字符。例如，如果您使用 Domänen-Admins 作为文件系统管理员组的名称，那么文件系统创建就会失败。

4. 确认 Active Directory 域的 DNS 服务器和域控制器是否处于活动状态，且能够响应对所提供域的请求。

5. 确保 Active Directory 域的功能级别为 Windows Server 2008 R2 或更高版本。

6. 确保 Active Directory 域的域控制器上的防火墙规则允许来自 Amazon FSx 文件系统的流量。有关更多信息，请参阅 Microsoft Active Directory 文档。

服务账号凭证无效

创建加入自我管理的 Active Directory 的文件系统失败，并显示以下错误消息：

Amazon FSx is unable to establish a connection with your Microsoft Active Directory domain controllers 
because the service account credentials provided are invalid. To fix this problem, delete your file 
system and create a new one using a valid service account.

按照以下步骤排查并解决问题。

1. 确认您只输入了用户名作为服务账户用户名，例如在自行管理的 Active Directory 配置中输入 ServiceAcct。

   重要

   输入服务账户用户名时，请勿包含域前缀（corp.com\ServiceAcct）或域后缀（ServiceAcct@corp.com）。

   输入服务帐户用户名（CN= ServiceAcct、ou=Example、dc=Corp、dc=Corp、dc=com）时，请勿使用可分辨名称 (DN)。

2. 确认 Active Directory 域中是否有您提供的服务账户。

3. 确保您已向提供的服务账户授予所需的权限。服务账户必须能在文件系统加入的域的 OU 中创建和删除计算机对象。服务账户还必须至少有权执行以下操作：

   • 重置密码

   • 限制账户读取和写入数据

   • 验证写入 DNS 主机名的能力

   • 验证写入服务主体名称的能力

   有关如何创建具有正确权限的服务账户的更多信息，请参阅 向 Amazon FSx 服务账户委派权限 。

服务账号权限不足

创建加入自行管理的 Active Directory 的文件系统失败，并显示以下错误消息：

Amazon FSx is unable to establish a connection with your
Microsoft Active Directory domain controllers. This is because the service account provided does not 
have permission to join the file system to the domain with the specified organizational unit. 
To fix this problem, delete your file system and create a new one using a service account with 
permission to join the file system to the domain with the specified organizational unit.

按照以下程序排查并解决问题。

• 确保您已向提供的服务账户授予所需的权限。服务账户必须能在文件系统加入的域的 OU 中创建和删除计算机对象。服务账户还必须至少有权执行以下操作：

  • 重置密码

  • 限制账户读取和写入数据

  • 验证写入 DNS 主机名的能力

  • 验证写入服务主体名称的能力

  有关如何创建具有正确权限的服务账户的更多信息，请参阅 向 Amazon FSx 服务账户委派权限 。

服务账户容量已超出

创建加入自行管理的 Active Directory 的文件系统失败，并显示以下错误消息：

Amazon FSx can't establish a connection with your Microsoft Active Directory
domain controllers. This is because the service account provided has reached the
maximum number of computers that it can join to the domain. To fix this problem,
delete your file system and create a new one, supplying a service account that
is able to join new computers to the domain.

要解决此问题，请确认您提供的服务账户是否已达到可以加入域的最大计算机数量。如果已达到最大限制，请创建一个具有正确权限的新服务账户。使用新的服务账户并创建新的文件系统。有关更多信息，请参阅 向 Amazon FSx 服务账户委派权限 。

Amazon FSx 无法访问组织单位 (OU)

创建加入自行管理的 Active Directory 的文件系统失败，并显示以下错误消息：

Amazon FSx can't establish a connection with your Microsoft Active Directory domain controller(s). 
This is because the organizational unit you specified either doesn't exist or isn't accessible 
to the service account provided. To fix this problem, delete your file system and create a new one specifying an 
organizational unit to which the service account can join the file system.

按照以下步骤排查并解决问题。

1. 确认 Active Directory 域中是否有您提供的 OU。

2. 确保您已向提供的服务账户授予所需的权限。服务账户必须能在文件系统加入的域的 OU 中创建和删除计算机对象。服务账户还必须至少有权执行以下操作：

   • 重置密码

   • 限制账户读取和写入数据

   • 验证写入 DNS 主机名的能力

   • 验证写入服务主体名称的能力

   • 被授予创建和删除计算机对象的控制权

   • 验证读取和写入账户限制的能力

   有关如何创建具有正确权限的服务账户的更多信息，请参阅 向 Amazon FSx 服务账户委派权限 。

服务帐号无法访问管理员群组

创建加入自行管理的 Active Directory 的文件系统失败，并显示以下错误消息：

Amazon FSx is unable to apply your Microsoft Active Directory configuration. This is because the file system 
administrators group you provided either doesn't exist or isn't accessible to the service account you 
provided. To fix this problem, delete your file system and create a new one specifying a file 
system administrators group in the domain that is accessible to the service account 
provided.

按照以下步骤排查并解决问题。

1. 确保您只提供组名称作为管理员组参数的字符串。

   重要

   提供组名称参数时，请勿包含域前缀（corp.com\FSxAdmins）或域后缀（FSxAdmins@corp.com）。

   请勿使用该组的可分辨名称（DN）。可分辨名称的一个例子是 CN=F SxAdmins、ou=Example、dc=Corp、dc=com。

2. 确保提供的管理员组与您要加入文件系统的管理员组位于同一 Active Directory 域中。

3. 如果您未提供管理员组参数，Amazon FSx 会尝试使用 Active Directory 域中的 Builtin Domain Admins 组。如果此组的名称已更改，或者您使用其他组进行域管理，则必须在为该组提供该名称。

亚马逊 FSx 在域中断了连接

创建加入自行管理的 Active Directory 的文件系统失败，并显示以下错误消息：

Amazon FSx is unable to apply your Microsoft Active Directory configuration. To fix this problem, delete your file system and create a new one 
meeting the pre-requisites described in the Amazon FSx user guide.

创建文件系统时，Amazon FSx 能够访问 Active Directory 域的 DNS 服务器和域控制器，并将文件系统成功加入您的 Active Directory 域中。但是，在完成文件系统创建时，Amazon FSx 断开了与域的连接或失去了域成员资格。按照以下步骤排查并解决问题。

1. 确保您的 Amazon FSx 文件系统和 Active Directory 间的网络连接持续存在。同时，使用路由规则、VPC 安全组规则、VPC 网络 ACL 和域控制器防火墙规则，确保它们之间持续允许网络流量通过。

2. 确保 Amazon FSx 为 Active Directory 域中的文件系统创建的计算机对象仍处于活动状态，并且未被删除或以其他方式操纵。

服务帐号的权限不正确

创建加入自行管理的 Active Directory 的文件系统失败，并显示以下错误消息：

File system creation failed. Amazon FSx is unable to establish a connection with your Microsoft Active Directory domain controller(s). 
This is because the service account provided does not have permission to join the file system to the domain with the specified 
organizational unit (OU). To fix this problem, delete your file system and create a new one using a service account with permission 
to create computer objects and reset passwords within the specified organizational unit.

确保您已向提供的服务账户授予所需的权限。按照以下步骤排查并解决问题。

服务账户至少需要具有以下权限：

• 被授予创建和删除加入文件系统的 OU 中的计算机对象的控制权

• 在要加入文件系统的 OU 中具有以下权限：

  • 能够重置密码

  • 能够限制账户读取和写入数据

  • 验证写入 DNS 主机名的能力

  • 验证写入服务主体名称的能力

  • 能够（经委派）创建和删除计算机对象

  • 验证读取和写入账户限制的能力

  • 能够修改权限

  有关如何创建具有正确权限的服务账户的更多信息，请参阅 向 Amazon FSx 服务账户委派权限 。

创建参数中使用的 Unicode 字符

创建加入自行管理的 Active Directory 的文件系统失败，并显示以下错误消息：

File system creation failed. Amazon FSx is unable to create a file system within the specified
Microsoft Active Directory. To fix this problem, please delete your file system and create a new one
meeting the pre-requisites described in the FSx for ONTAP User Guide.

Amazon FSx 不支持 Unicode 字符。确认所有创建参数都没有 Unicode 字符，例如重音符号。这包括可以留空的参数，其默认值会自动填写。确保 Active Directory 中相应的默认值也不包含 Unicode 字符。

如果您在使用 Amazon FSx 时遇到此处未列出的问题，请在 Amazon FSx 论坛上提问或联系 Amazon Web Services 支持。