本文為英文版的機器翻譯版本，如內容有任何歧義或不一致之處，概以英文版為準。

# 對身分驗證問題進行故障診斷
<a name="auth-issues"></a>

本節說明下列身分驗證問題的可能解決方案。

**Topics**
+ [身分驗證失敗 - SSH/SFTP](#publickey-auth)
+ [Managed AD 不相符領域問題](#managed-ad-realms-mismatched)
+ [超過 Active Directory 群組限制](#managed-ad-group-limits)
+ [其他身分驗證問題](#misc-auth-issues)
+ [對 Amazon API Gateway 問題進行故障診斷](#transfer-apigateway)
+ [對測試您的身分提供者進行故障診斷](#blank-test-identity-provider)
+ [Web 應用程式中的重複 Amazon S3 儲存貯體](#webapp-duplicate-buckets)

## 身分驗證失敗 - SSH/SFTP
<a name="publickey-auth"></a>

**Description**

當您嘗試使用 Secure Shell (SSH) 檔案傳輸通訊協定 (SFTP) 連線至伺服器時，您會收到類似以下的訊息：

```
Received disconnect from 3.130.115.105 port 22:2: Too many authentication failures
  Authentication failed.
```

**注意**  
如果您使用 API Gateway 並收到此錯誤，請參閱 [身分驗證失敗太多](#auth-failures-sftp)。

**原因**

您尚未為使用者新增 RSA 金鑰對，因此您必須改用密碼進行身分驗證。

 **解決方案** 

當您執行 `sftp`命令時，請指定 `-o PubkeyAuthentication=no`選項。此選項會強制系統請求您的密碼。例如：

```
sftp -o PubkeyAuthentication=no sftp-user@server-id.server.transfer.region-id.amazonaws.com
```

## Managed AD 不相符領域問題
<a name="managed-ad-realms-mismatched"></a>

**Description**

 使用者的領域及其群組領域必須相符。兩者都必須位於預設領域，或兩者都必須位於信任領域。

**原因**

如果使用者及其群組不相符，則 Transfer Family 無法驗證使用者。如果您測試使用者的身分提供者，您會收到錯誤 找不到與使用者群組相關聯的存取權。

**解決方案**

參考使用者領域中符合群組領域 （預設或信任） 的群組。

## 超過 Active Directory 群組限制
<a name="managed-ad-group-limits"></a>

**Description**

嘗試將更多 Active Directory 群組新增至 AWS Transfer Family 伺服器時，您會收到錯誤，指出已達到允許的群組數量上限。

**原因**

AWS Transfer Family 預設限制為每個伺服器 100 個 Active Directory 群組。

**解決方案**

以下是兩種可能的解決方案：
+ 合併您的 Active Directory 群組，以減少所需的總數。
+ 如果您的使用案例需要超過 100 個群組，請考慮使用自訂身分提供者解決方案，如[透過自訂身分提供者簡化 Active Directory 身分驗證 AWS Transfer Family](https://aws.amazon.com/blogs/storage/simplify-active-directory-authentication-with-a-custom-identity-provider-for-aws-transfer-family/)中所述。

## 其他身分驗證問題
<a name="misc-auth-issues"></a>

**Description**

您會收到身分驗證錯誤，而且其他故障診斷都無法運作

**原因**

您可能已指定邏輯目錄的目標，其中包含正斜線或結尾斜線 (/)。

 **解決方案** 

更新您的邏輯目錄目標，以確保其開頭為斜線，且不包含結尾斜線。例如， `/amzn-s3-demo-bucket/images` 是可接受的，但 `amzn-s3-demo-bucket/images`和 `/amzn-s3-demo-bucket/images/` 是不可接受的。

## 對 Amazon API Gateway 問題進行故障診斷
<a name="transfer-apigateway"></a>

本節說明下列 API Gateway 問題的可能解決方案。

**Topics**
+ [身分驗證失敗太多](#auth-failures-sftp)
+ [連線已關閉](#connection-closed)

### 身分驗證失敗太多
<a name="auth-failures-sftp"></a>

**Description**

當您嘗試使用 Secure Shell (SSH) 檔案傳輸通訊協定 (SFTP) 連線至伺服器時，您會收到下列錯誤：

```
Received disconnect from 3.15.127.197 port 22:2: Too many authentication failures
Authentication failed.
Couldn't read packet: Connection reset by peer
```

**原因**

您可能為使用者輸入了不正確的密碼。再次嘗試輸入正確的密碼。

如果密碼正確，問題可能是由於角色 Amazon Resource Name (ARN) 無效所致。若要確認這是問題，請測試您伺服器的身分提供者。如果您看到類似以下內容的回應，角色 ARN 只是預留位置，如所有零的角色 ID 值所示：

```
{
    "Response": "{\"Role\": \"arn:aws:iam::000000000000:role/MyUserS3AccessRole\",\"HomeDirectory\": \"/\"}",
    "StatusCode": 200,
    "Message": "",
    "Url": "https://api-gateway-ID.execute-api.us-east-1.amazonaws.com/prod/servers/transfer-server-ID/users/myuser/config"
}
```

**解決方案**

將預留位置角色 ARN 取代為具有伺服器存取許可的實際角色。

**更新角色**

1. 

   在 https：//[https://console.aws.amazon.com/cloudformation](https://console.aws.amazon.com/cloudformation/) 開啟 CloudFormation 主控台。

1. 在左側導覽窗格中，選擇 **Stacks (堆疊)**。

1. 在**堆疊**清單中，選擇您的堆疊，然後選擇**參數**索引標籤。

1. 選擇**更新**。在**更新堆疊**頁面上，選擇**使用目前範本**，然後選擇**下一步**。

1. 將 **UserRoleArn** 取代為具有足夠許可的角色 ARN，以存取 Transfer Family 伺服器。
**注意**  
若要授予必要的許可，您可以將 `AmazonAPIGatewayAdministrator`和 `AmazonS3FullAccess`受管政策新增至您的角色。

1. 選擇**下一步**，然後再次選擇**下一步**。在**檢閱*堆疊***頁面上，選取**我確認 AWS CloudFormation 可能會建立 IAM 資源**，然後選擇**更新堆疊**。

### 連線已關閉
<a name="connection-closed"></a>

**Description**

當您嘗試使用 Secure Shell (SSH) 檔案傳輸通訊協定 (SFTP) 連線至伺服器時，您會收到下列錯誤：

```
Connection closed
```

**原因**

此問題的一個可能原因是您的 Amazon CloudWatch 記錄角色與 Transfer Family 沒有信任關係。

**解決方案**

請確定伺服器的記錄角色與 Transfer Family 具有信任關係。如需詳細資訊，請參閱[建立信任關係](requirements-roles.md#establish-trust-transfer)。

## 對測試您的身分提供者進行故障診斷
<a name="blank-test-identity-provider"></a>

**Description**

如果您使用 主控台或 `TestIdentityProvider` API 操作測試身分提供者，則 `Response` 欄位為空白。例如：

```
{
    "Response": "{}",
    "StatusCode": 200,
    "Message": ""
}
```

**原因**

最可能的原因是身分驗證因使用者名稱或密碼不正確而失敗。

**解決方案**

請務必為使用者使用正確的登入資料，並視需要更新使用者名稱或密碼。

## Web 應用程式中的重複 Amazon S3 儲存貯體
<a name="webapp-duplicate-buckets"></a>

**Description**

相同的 Amazon S3 儲存貯體會在 Transfer Family Web 應用程式界面中出現多次。

**原因**

當使用者屬於具有授予相同 Amazon S3 儲存貯體的多個 Active Directory 群組時，就會發生這種情況。Web 應用程式會列出與使用者 UID 或 GID 相關聯的所有最上層授予，包括對相同儲存貯體位置的重複授予。

**解決方案**

為了防止重複的清單，請合併授予，讓每個使用者在每個 Amazon S3 位置只有一個授予。檢閱您的 Amazon S3 Access Grants 組態，並移除不同 Active Directory 群組中相同儲存貯體的備援授權。