如何排查将 Storage Gateway 文件网关加入到用于 Microsoft Active Directory 身份验证的域时遇到的问题?

2 分钟阅读
0

我在 AWS Storage Gateway 上创建了一个文件网关,并且想使用 Microsoft Active Directory(Microsoft AD)来进行身份验证。但是,当我尝试将我的文件网关加入到 Microsoft AD 域时却收到以下错误消息:

NETWORK_ERROR TIMEOUT ACCESS_DENIED

如何排查这些问题,以便能够将我的网关加入到域?

解决方法

要排查此类问题,进行以下检查或配置:

1.    确定网关可以通过运行 nping 测试连接到域控制器。要运行 nping 测试,请使用适用于 Amazon Elastic Compute Cloud(Amazon EC2)的 ssh 和适用于 VMware、Hyper-V 或 KVM 的控制台连接到 AWS Storage Gateway 控制台。选择 Command Prompt(命令提示符)选项,然后键入 h 以列出控制台中的所有可用命令。要测试 Storage Gateway 虚拟机和域之间的连接,请运行以下命令:

注意:请将

替换为域的 DNS 名称,并将 <389> 替换为所使用的 LDAP 端口。此外还需要验证您已在防火墙内打开所需的端口。

nping -d <corp.domain.com> -p <389> -c 1 -t tcp

成功运行 nping 测试的示例如下,其中网关能够访问域控制器:

nping -d corp.domain.com -p 389 -c 1 -t tcp

Starting Nping 0.6.40 ( http://nmap.org/nping ) at 2022-06-30 16:24 UTC
SENT (0.0553s) TCP 10.10.10.21:9783 > 10.10.10.10:389 S ttl=64 id=730 iplen=40  seq=2597195024 win=1480 
RCVD (0.0556s) TCP 10.10.10.10:389 > 10.10.10.21:9783 SA ttl=128 id=22332 iplen=44  seq=4170716243 win=8192 <mss 8961>

Max rtt: 0.310ms | Min rtt: 0.310ms | Avg rtt: 0.310ms
Raw packets sent: 1 (40B) | Rcvd: 1 (44B) | Lost: 0 (0.00%)
Nping done: 1 IP address pinged in 1.09 seconds<br>

如果没有连接,nping 命令的响应将与以下输出类似。以下命令没有收到目标域“corp.domain.com”的响应:

nping -d <corp.domain.com> -p <389> -c 1 -t tcp

Starting Nping 0.6.40 ( http://nmap.org/nping ) at 2022-06-30 16:26 UTC
SENT (0.0421s) TCP 10.10.10.21:47196 > 10.10.10.10:389  S ttl=64 id=30318 iplen=40 seq=1762671338 win=1480

Max rtt: N/A | Min rtt: N/A | Avg rtt: N/A
Raw packets sent: 1 (40B) | Rcvd: 0 (0B) | Lost: 1 (100.00%)
Nping done: 1 IP address pinged in 1.07 seconds

2.    如果文件网关在 Amazon EC2 实例上运行,则必须创建一个 DHCP 选项集,然后将该选项集附加到实例所在的 Amazon Virtual Private Cloud(VPC)。 

3.    确定文件网关可对域进行解析。如果网关设备不能解析域,那么您将无法加入该域。要确认网关正在解析域的 DNS,请运行以下命令:

注意:请将

替换为域的 DNS 名称。

dig -d <corp.domain.com>

; <<>> DiG 9.11.4-P2-RedHat-9.11.4-26.P2.amzn2.5.2 <<>> corp.domain.com
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 24817
;; flags: qr aa rd ra; QUERY: 1, ANSWER: 2, AUTHORITY: 0, ADDITIONAL: 1

;; OPT PSEUDOSECTION:
; EDNS: version: 0, flags:; udp: 4000
;; QUESTION SECTION:
;corp.domain.com.        IN    A

;; ANSWER SECTION:
corp.domain.com.    600    IN    A    10.10.10.10
corp.domain.com.    600    IN    A    10.10.20.10

;; Query time: 0 msec
;; SERVER: 10.10.20.228#53(10.10.20.228)
;; WHEN: Thu Jun 30 16:36:32 UTC 2022
;; MSG SIZE  rcvd: 78

4.    验证域控制器未被设置为只读,而且该域控制器有足够角色让计算机可以加入。要对此进行检查,尝试将与网关 VM 位于相同 VPC 子网的其他服务器加入到域。

5.    建议将文件网关加入到在地理位置上与该网关更接近的域控制器。若网关设备无法在 20 秒内连接或查询域控制器,则该流程可能超时。例如,如果网关设备位于美国东部(弗吉尼亚北部)区域,而且域控制器位于亚太地区(新加坡)区域,那么加入域的流程可能会超时。

**注意:**要提高 20 秒的默认超时值,您可以在 AWS 命令行界面(AWS CLI)上运行 join-domain 命令,其中需包含 --timeout-in-seconds 选项以延长该时间。您还可以使用 JoinDomain API 调用并包含 TimeoutInSeconds 参数来延长该时间。最大超时值为 3600 秒。

如果在运行 AWS CLI 命令时遇到错误,请确保您使用的是最新版本的 AWS CLI

6.    检查 Microsoft AD 的组织部门(OU)是否有任何组策略对象会在除默认 OU 以外的位置创建新的计算机对象。针对此用例,OU 中必须有新的计算机对象,然后才能将域加入到文件网关。有些环境经过自定义,对于新创建的对象有不同的 OU。要确保特定 OU 下(对于网关 VM)的计算机对象加入域,在将文件网关加入到域前应尝试在您的域控制器上创建计算机对象。您还可以使用 AWS CLI 运行 join-domain 命令。然后,指定 --organizational-unit 选项。

**注意:**创建计算机对象的过程被称为预暂存。

7.    在尝试进行上述的检查和配置以后,如果您依然无法将网关加入到域,则检查是否有相关的事件日志。检查域控制器的事件查看器中的任何错误。验证网关查询可连接到域控制器。


AWS 官方
AWS 官方已更新 2 年前