FSx for Windows File Server에서 외부 트러스트를 통해 PowerShell 세션을 시작할 수 없는 경우 문제를 해결하려면 어떻게 해야 합니까?
Amazon FSx for Windows File Server에 섀도 복사본을 구성하려고 합니다. 그런데 원격 PowerShell 세션을 설정하는 동안 다음 오류로 인해 구성할 수가 없습니다. "enter-pssession : Connecting to remote server <FSx_DNS_Name> failed with the following error message : WinRM cannot process the request. The following error occurred while using Kerberos authentication: Cannot find the computer <FSx_DNS_Name>. Verify that the computer exists on the network and that the name provided is spelled correctly. For more information, see the about_Remote_Troubleshooting Help topic."
해결 방법
먼저 구성이 다음 사전 조건을 충족하는지 확인합니다.
- 온프레미스 Microsoft Active Directory와 AWS Directory Service for Microsoft Active Directory 간의 트러스트 관계를 생성해야 합니다.
참고: 최소한 2개의 단방향 트러스트 관계가 있어야 합니다. 단방향 트러스트 관계 중 하나는 Amazon FSx 컴퓨터 객체가 있는 AWS Managed Microsoft AD에서 보내는 트러스트여야 합니다. 또 다른 하나는 온프레미스 Microsoft AD로 들어오는 트러스트여야 합니다. - AWS Managed Microsoft AD 디렉터리에 Amazon FSx 관리자 그룹의 일부인 온프레미스 AD 사용자가 있어야 합니다.
- Amazon FSx 보안 그룹에 Amazon FSx를 관리하고 섀도 복사본을 활성화하려는 클라이언트에 연결된 IP 주소 또는 보안 그룹 ID의 수신 및 발신 트래픽을 허용하는 규칙이 있어야 합니다. Amazon FSx 보안 그룹은 다음 포트에서 이 인바운드 및 아웃바운드 트래픽을 허용해야 합니다.
TCP/UDP 445(SMB)
TCP 135(RPC)
TCP/UDP 1024-65535(RPC용 임시 포트)
구성이 사전 조건을 충족하지만 여전히 "Kerberos authentication: Cannot find the computer" 오류가 발생하는 경우 이 오류는 Microsoft 외부 트러스트와 관련된 것일 수 있습니다. Kerberos 인증에 Microsoft 외부 트러스트를 사용하려면 서비스 주체 이름(SPN)을 만드는 애플리케이션에서 세 부분으로 된 SPN을 만들어야 합니다. enter-pssession cmdlet은 두 부분으로 된 SPN만 요청하므로 요청이 실패합니다. PowerShell cmdlet을 실행하는 동안 네트워크 추적을 실행하는 경우 요청 시 "Kerberos: KRB_ERROR - KDC_ERR_S_PRINCIPAL_UNKNOWN"과 같은 오류 메시지가 반환됩니다.
이 오류를 해결하고 Microsoft 외부 트러스트를 통해 Kerberos 인증을 활성화하려면 온프레미스 AD 도메인의 Kerberos 클라이언트에 대해 Kerberos 포리스트 검색 순서(KFSO)를 구성합니다. [포리스트 검색 순서 사용(Use forest search order)] 창의 [검색할 포리스트(Forests to Search)]에서 자체 관리형 AD 및 AWS Managed Microsoft AD의 도메인 이름을 추가합니다. 다음 형식과 순서로 도메인 이름을 추가합니다.
selfmanaged.example.com;awsmanaged.example.com
Amazon FSx의 유지 관리에 사용하는 머신에서 이러한 설정을 적용한 후 Amazon FSx의 섀도 복사본을 활성화할 수 있습니다.
관련 정보
