Comment puis-je résoudre les problèmes liés à la jonction de ma passerelle de fichiers Storage Gateway à un domaine pour l'authentification Microsoft Active Directory ?

Résolution

Pour résoudre ces erreurs, essayez les vérifications ou configurations suivantes :

1.    Exécutez un test nping pour vous assurer que la passerelle peut atteindre le contrôleur de domaine. Pour exécuter un test nping, connectez-vous à la console AWS Storage Gateway à l'aide de ssh pour Amazon Elastic Compute Cloud (Amazon EC2) et de la console pour VMware, Hyper-V ou KVM. Sélectionnez l'option Invite de commandes, puis saisissez h pour répertorier toutes les commandes disponibles dans la console. Exécutez la commande ci-dessous pour tester la connectivité entre la machine virtuelle Storage Gateway et le domaine :

Remarque : remplacez

par le nom DNS du domaine et <389>par le port LDAP utilisé. Par ailleurs, vérifiez que vous avez ouvert les ports nécessaires dans votre pare-feu.

nping -d <corp.domain.com> -p <389> -c 1 -t tcp

Voici un exemple de test nping réussi où la passerelle a pu atteindre le contrôleur de domaine :

nping -d corp.domain.com -p 389 -c 1 -t tcp

Starting Nping 0.6.40 ( http://nmap.org/nping ) at 2022-06-30 16:24 UTC
SENT (0.0553s) TCP 10.10.10.21:9783 > 10.10.10.10:389 S ttl=64 id=730 iplen=40  seq=2597195024 win=1480 
RCVD (0.0556s) TCP 10.10.10.10:389 > 10.10.10.21:9783 SA ttl=128 id=22332 iplen=44  seq=4170716243 win=8192 <mss 8961>

Max rtt: 0.310ms | Min rtt: 0.310ms | Avg rtt: 0.310ms
Raw packets sent: 1 (40B) | Rcvd: 1 (44B) | Lost: 0 (0.00%)
Nping done: 1 IP address pinged in 1.09 seconds<br>

En cas d'absence de connectivité, la réponse de la commande nping sera similaire à la sortie ci-dessous. La commande ci-dessous n'a pas de réponse pour la destination 'corp.domain.com' :

nping -d <corp.domain.com> -p <389> -c 1 -t tcp

Starting Nping 0.6.40 ( http://nmap.org/nping ) at 2022-06-30 16:26 UTC
SENT (0.0421s) TCP 10.10.10.21:47196 > 10.10.10.10:389  S ttl=64 id=30318 iplen=40 seq=1762671338 win=1480

Max rtt: N/A | Min rtt: N/A | Avg rtt: N/A
Raw packets sent: 1 (40B) | Rcvd: 0 (0B) | Lost: 1 (100.00%)
Nping done: 1 IP address pinged in 1.07 seconds

2.    Si la passerelle de fichiers est en cours d'exécution sur une instance Amazon EC2, vous devez créer un jeu d'options DHCP, puis attacher le jeu (si ce n'est pas encore fait) au cloud privé virtuel (VPC) Amazon dans lequel se trouve l'instance. 

3.    Assurez-vous que le domaine peut être résolu par la passerelle de fichiers. Vous ne pourrez pas joindre le domaine s'il n'est pas résolu par l'appliance de la passerelle. Exécutez la commande ci-dessous pour confirmer que la passerelle résout le DNS du domaine :

Remarque : remplacez

par le nom DNS du domaine.

dig -d <corp.domain.com>

; <<>> DiG 9.11.4-P2-RedHat-9.11.4-26.P2.amzn2.5.2 <<>> corp.domain.com
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 24817
;; flags: qr aa rd ra; QUERY: 1, ANSWER: 2, AUTHORITY: 0, ADDITIONAL: 1

;; OPT PSEUDOSECTION:
; EDNS: version: 0, flags:; udp: 4000
;; QUESTION SECTION:
;corp.domain.com.        IN    A

;; ANSWER SECTION:
corp.domain.com.    600    IN    A    10.10.10.10
corp.domain.com.    600    IN    A    10.10.20.10

;; Query time: 0 msec
;; SERVER: 10.10.20.228#53(10.10.20.228)
;; WHEN: Thu Jun 30 16:36:32 UTC 2022
;; MSG SIZE  rcvd: 78

4.    Vérifiez que le contrôleur de domaine n'est pas défini sur « Lecture seule » et que le contrôleur de domaine dispose de suffisamment de rôles pour une jonction des ordinateurs. Pour effectuer cette vérification, essayez de joindre d'autres serveurs dans le même sous-réseau VPC que l'ordinateur virtuel de la passerelle au domaine.

5.    Il est recommandé de joindre la passerelle de fichiers à un contrôleur de domaine géographiquement plus proche de la passerelle. Le processus peut expirer si l'appliance de passerelle ne parvient pas à atteindre ou à interroger le contrôleur de domaine dans les 20 secondes. Par exemple, le processus de jonction de domaine peut expirer si l'appliance de passerelle se trouve dans la région USA Est (Virginie du Nord) tandis que le contrôleur de domaine se trouve dans la région Asie-Pacifique (Singapour).

Remarque : pour augmenter la valeur du délai d'expiration par défaut de 20 secondes, vous pouvez exécuter la commande joint-domain sur l'interface de la ligne de commande AWS (AWS CLI), puis inclure l'option --timeout-in-seconds (délai d'expiration en secondes). Vous pouvez également utiliser l'appel d’API JoinDomain et inclure le paramètre TimeoutInSeconds pour augmenter le délai d'expiration. Le délai maximal d'expiration est de 3 600 secondes.

Si vous recevez des messages d'erreurs lors de l'exécution de commandes AWS CLI, assurez-vous que vous utilisez la version d'AWS CLI la plus récente.

6.    Vérifiez si l'unité d'organisation (UO) de Microsoft AD comporte des objets de politique de groupe qui créent un nouvel objet ordinateur dans un emplacement autre que l'UO par défaut. Pour ce cas d'utilisation, il doit nécessairement y avoir un nouvel objet ordinateur dans l'unité d'organisation avant toute jonction du domaine à la passerelle de fichiers. Certains environnements sont personnalisés pour avoir différentes unités d'organisation pour les objets nouvellement créés. Pour vous assurer qu'un objet d'ordinateur (pour la machine virtuelle de la passerelle) dans une unité d'organisation donnée rejoint le domaine, essayez de créer l'objet d'ordinateur sur votre contrôleur de domaine avant de joindre la passerelle de fichiers au domaine. Vous pouvez également exécuter la commande join-domain à l'aide de AWS CLI. Indiquez ensuite une option pour —organizational-unit. (Unité d'organisation).

Remarque : le processus de création de l'objet d'ordinateur est appelé pré-intermédiaire.

7.    Si vous ne parvenez toujours pas à joindre la passerelle au domaine après essaie des vérifications et configurations précédentes, vérifiez s'il existe des journaux d'évènements connexes. Recherchez les erreurs dans la visionneuse d'événements du contrôleur de domaine. Vérifiez si la requête de passerelle a atteint le contrôleur de domaine.