Partage via

Résoudre les erreurs liées au volume pour Azure NetApp Files

  • Article

Cet article décrit les messages d’erreur et les résolutions qui peuvent vous aider à résoudre les problèmes de double protocole pour Azure NetApp Files.

Erreurs pour les volumes SMB et double protocole

Conditions d’erreur Résolutions
La création du volume SMB ou double protocole échoue avec l’erreur suivante :
{"code":"DeploymentFailed","message":"At least one resource deployment operation failed. Please list deployment operations for details. Please see https://aka.ms/DeployOperations for usage details.","details":[{"code":"InternalServerError", "message":"Error when creating - Could not query DNS server. Verify that the network configuration is correct and that DNS servers are available."}]}		 Cette erreur indique que le DNS n’est pas accessible.
Tenez compte des solutions suivantes :
  • Vérifiez si AD DS et le volume sont déployés dans la même région.
  • Vérifiez si AD DS et le volume utilisent le même réseau virtuel. S’ils utilisent des réseaux virtuels différents, vérifiez que ceux-ci sont appairés. Consultez Consignes pour planifier un réseau Azure NetApp Files.
  • Des groupes de sécurité réseau (NSG) peuvent être appliqués au serveur DNS. Celui-ci n’autorise alors pas le trafic à circuler. Dans ce cas, ouvrez les groupes NSG sur le service DNS ou AD pour vous connecter à différents ports. Pour connaître les exigences liées aux ports, consultez Prérequis des connexions Active Directory.

Les mêmes solutions s’appliquent aux services de domaine Microsoft Entra. Les services de domaine Microsoft Entra doivent être déployés dans la même région. Le réseau virtuel doit se trouver dans la même région ou être appairé avec le réseau virtuel utilisé par le volume.
La création du volume SMB ou double protocole échoue avec l’erreur suivante :
{"code":"DeploymentFailed","message":"At least one resource deployment operation failed. Please list deployment operations for details. Please see https://aka.ms/DeployOperations for usage details.","details":[{"code":"InternalServerError", "message":"Error when creating - Failed to create the Active Directory machine account \"SMBTESTAD-C1C8\". Reason: Kerberos Error: Invalid credentials were given Details: Error: Machine account creation procedure failed\n [ 563] Loaded the preliminary configuration.\n**[ 670] FAILURE: Could not authenticate as 'test@contoso.com':\n** Unknown user (KRB5KDC_ERR_C_PRINCIPAL_UNKNOWN)\n. "}]}
  • Vérifiez que le nom d’utilisateur entré est correct.
  • Vérifiez que l’utilisateur fait partie du groupe Administrateurs qui dispose du privilège de créer des comptes de machine (ordinateur).
  • Si vous utilisez Microsoft Entra Domain Services, vérifiez que l’utilisateur fait partie du groupe Azure AD DC AdministratorsMicrosoft Entra .
La création du volume SMB ou double protocole échoue avec l’erreur suivante :
{"code":"DeploymentFailed","message":"At least one resource deployment operation failed. Please list deployment operations for details. Please see https://aka.ms/DeployOperations for usage details.","details":[{"code":"InternalServerError", "message":"Error when creating - Failed to create the Active Directory machine account \"SMBTESTAD-A452\". Reason: Kerberos Error: Pre-authentication information was invalid Details: Error: Machine account creation procedure failed\n [ 567] Loaded the preliminary configuration.\n [ 671] Successfully connected to ip 10.x.x.x, port 88 using TCP\n**[ 1099] FAILURE: Could not authenticate as\n** 'user@contoso.com': CIFS server account password does\n** not match password stored in Active Directory\n** (KRB5KDC_ERR_PREAUTH_FAILED)\n. "}]}		 Vérifiez que le mot de passe entré pour rejoindre la connexion AD est correct.
La création du volume SMB ou double protocole échoue avec l’erreur suivante :
{"code":"DeploymentFailed","message":"At least one resource deployment operation failed. Please list deployment operations for details. Please see https://aka.ms/DeployOperations for usage details.","details":[{"code":"InternalServerError","message":"Error when creating - Failed to create the Active Directory machine account \"SMBTESTAD-D9A2\". Reason: SecD Error: ou not found Details: Error: Machine account creation procedure failed\n [ 561] Loaded the preliminary configuration.\n [ 665] Successfully connected to ip 10.x.x.x, port 88 using TCP\n [ 1039] Successfully connected to ip 10.x.x.x, port 389 using TCP\n**[ 1147] FAILURE: Specifed OU 'OU=AADDC Com' does not exist in\n** contoso.com\n. "}]}		 Vérifiez que le chemin d’UO spécifié pour rejoindre la connexion AD est correct. Si vous utilisez Microsoft Entra Domain Services, assurez-vous que le chemin d’accès de l’unité d’organisation est OU=AADDC Computers.
La création du volume SMB ou double protocole échoue avec l’erreur suivante :
Failed to create the Active Directory machine account \"SMB-ANF-VOL. Reason: LDAP Error: Local error occurred Details: Error: Machine account creation procedure failed. [nnn] Loaded the preliminary configuration. [nnn] Successfully connected to ip 10.x.x.x, port 88 using TCP [nnn] Successfully connected to ip 10.x.x.x, port 389 using [nnn] Entry for host-address: 10.x.x.x not found in the current source: FILES. Ignoring and trying next available source [nnn] Source: DNS unavailable. Entry for host-address:10.x.x.x found in any of the available sources\n*[nnn] FAILURE: Unable to SASL bind to LDAP server using GSSAPI: local error [nnn] Additional info: SASL(-1): generic failure: GSSAPI Error: Unspecified GSS failure. Minor code may provide more information (Cannot determine realm for numeric host address) [nnn] Unable to connect to LDAP (Active Directory) service on contoso.com (Error: Local error) [nnn] Unable to make a connection (LDAP (Active Directory):contosa.com, result: 7643. 		L’enregistrement du pointeur (PTR) de l’ordinateur hôte AD est peut-être manquant sur le serveur DNS. Vous devez créer une zone de recherche inversée sur le serveur DNS, puis ajouter un enregistrement PTR de l’ordinateur hôte AD dans cette zone de recherche inversée.
La création du volume SMB ou double protocole échoue avec l’erreur suivante :
Failed to create the Active Directory machine account \"SMB-ANF-VOL\". Reason: Kerberos Error: KDC has no support for encryption type Details: Error: Machine account creation procedure failed [nnn]Loaded the preliminary configuration. [nnn]Successfully connected to ip 10.x.x.x, port 88 using TCP [nnn]FAILURE: Could not authenticate as 'contosa.com': KDC has no support for encryption type (KRB5KDC_ERR_ETYPE_NOSUPP) 		Assurez-vous que le chiffrement AES est activé à la fois dans la connexion Active Directory et pour le compte de service.
La création du volume SMB ou double protocole échoue avec l’erreur suivante :
Failed to create the Active Directory machine account \"SMB-NTAP-VOL\". Reason: LDAP Error: Strong authentication is required Details: Error: Machine account creation procedure failed\n [ 338] Loaded the preliminary configuration.\n [ nnn] Successfully connected to ip 10.x.x.x, port 88 using TCP\n [ nnn ] Successfully connected to ip 10.x.x.x, port 389 using TCP\n [ 765] Unable to connect to LDAP (Active Directory) service on\n dc51.area51.com (Error: Strong(er) authentication\n required)\n*[ nnn] FAILURE: Unable to make a connection (LDAP (Active\n* Directory):contoso.com), result: 7609\n. "		 L’option de signature LDAP n’est pas sélectionnée, mais le client AD a une signature LDAP. Activez la signature LDAP et réessayez.
La création de volume S Mo échoue avec l’erreur suivante :
Failed to create the Active Directory machine account. Reason: LDAP Error: Intialization of LDAP library failed Details: Error: Machine account creation procedure failed		 Cette erreur se produit parce que le compte d’utilisateur ou de service utilisé dans les connexions Azure NetApp Files Active Directory ne dispose pas de privilèges suffisants pour créer des objets ordinateur ou pour apporter des modifications à l’objet ordinateur nouvellement créé.
Pour résoudre le problème, vous devez accorder au compte utilisé des privilèges plus élevés. Vous pouvez appliquer un rôle par défaut avec des privilèges suffisants. Vous pouvez également déléguer des privilèges supplémentaires au compte d’utilisateur ou de service, ou à un groupe dont il fait partie.

Erreurs pour les volumes double protocole

Conditions d’erreur Résolutions
Le protocole LDAP sur TLS est activé et la création d’un volume à deux protocoles échoue avec l’erreur This Active Directory has no Server root CA Certificate. Si cette erreur se produit lorsque vous créez un volume à deux protocoles, assurez-vous que le certificat racine de l’autorité de certification est chargé dans votre compte NetApp.
La création d’un volume à deux protocoles échoue avec l’erreur Failed to validate LDAP configuration, try again after correcting LDAP configuration. L’enregistrement du pointeur (PTR) de l’ordinateur hôte AD est peut-être manquant sur le serveur DNS. Vous devez créer une zone de recherche inversée sur le serveur DNS, puis ajouter un enregistrement PTR de l’ordinateur hôte AD dans cette zone de recherche inversée.
Par exemple, supposons que l’adresse IP de l’ordinateur AD est 10.x.x.x, le nom d’hôte de l’ordinateur AD (trouvé à l’aide de la commande hostname) est AD1 et le nom de domaine est contoso.com. L’enregistrement PTR ajouté à la zone de recherche inversée doit être 10.x.x.x ->contoso.com.
La création d’un volume à deux protocoles échoue avec l’erreur Failed to create the Active Directory machine account \\\"TESTAD-C8DD\\\". Reason: Kerberos Error: Pre-authentication information was invalid Details: Error: Machine account creation procedure failed\\n [ 434] Loaded the preliminary configuration.\\n [ 537] Successfully connected to ip 10.x.x.x, port 88 using TCP\\n**[ 950] FAILURE. Cette erreur indique que le mot de passe AD est incorrect lorsqu’Active Directory est joint au compte NetApp. Mettez à jour la connexion AD avec le mot de passe correct, puis réessayez.
La création d’un volume à deux protocoles échoue avec l’erreur Could not query DNS server. Verify that the network configuration is correct and that DNS servers are available. Cette erreur indique que DNS n’est pas accessible. Cela peut être dû au fait que l’adresse IP du DNS est incorrecte ou qu’il y a un problème réseau. Vérifiez l’adresse IP DNS entrée dans la connexion AD et assurez-vous que l’adresse IP est correcte.
En outre, assurez-vous que l’instance AD et le volume se trouvent dans la même région et dans le même réseau virtuel. S’ils se trouvent dans des réseaux virtuels différents, assurez-vous que l’appairage de réseaux virtuels est établi entre les deux réseaux virtuels.
Voir Consignes pour planifier un réseau Azure NetApp Files pour plus de détails.
Erreur « Autorisation refusée » lors du montage d’un volume à deux protocoles. Un volume à double protocoles prend en charge les protocoles NFS et SMB. Lorsque vous tentez d’accéder au volume monté sur le système UNIX, celui-ci tente de mapper l’utilisateur UNIX que vous utilisez à un utilisateur Windows.
Vérifiez que les attributs POSIXsont correctement définis sur l’objet Utilisateur AD DS.

Erreurs pour les volumes Kerberos NFSv4.1

Conditions d’erreur Résolutions
Error allocating volume - Export policy rules does not match kerberosEnabled flag Azure NetApp Files ne prend pas en charge Kerberos pour les volumes NFSv3. Kerberos est uniquement pris en charge pour le protocole NFSv4.1.
This NetApp account has no configured Active Directory connections Configurez Active Directory pour le compte NetApp avec des champs IP KDC et Nom du serveur AD. Pour obtenir des instructions, consultez Configurer le portail Azure.
Mismatch between KerberosEnabled flag value and ExportPolicyRule's access type parameter values. Azure NetApp Files ne prend pas en charge la conversion d’un volume brut NFSv 4.1 en volume Kerberos NFSv 4.1, et inversement.
mount.nfs: access denied by server when mounting volume <SMB_SERVER_NAME-XXX.DOMAIN_NAME>/<VOLUME_NAME>
Exemple : smb-test-64d9.contoso.com:/nfs41-vol101
  1. Assurez-vous que les enregistrements A/PTR sont correctement configurés et présents dans Active Directory pour le nom du serveur smb-test-64d9.contoso.com.
    Dans le client NFS, si nslookup pour smb-test-64d9.contoso.com correspond à l’adresse IP IP1 (à savoir, 10.1.1.68), nslookup pour IP1 doit correspondre à un seul enregistrement (à savoir, smb-test-64d9.contoso.com). nslookup pour IP1 ne doit pas correspondre à plusieurs noms.
  2. Définissez AES-256 pour le compte d’ordinateur NFS de type NFS-<Smb NETBIOS NAME>-<few random characters> sur AD à l’aide de PowerShell ou de l’interface utilisateur.
    Exemples de commandes :
    • Set-ADComputer <NFS_MACHINE_ACCOUNT_NAME> -KerberosEncryptionType AES256
    • Set-ADComputer NFS-SMB-TEST-64 -KerberosEncryptionType AES256
  3. Veillez à ce que l’heure du client NFS, d’AD et du logiciel de stockage Azure NetApp Files soit synchronisée et se situe dans un intervalle de cinq minutes.
  4. Récupérez le ticket Kerberos sur le client NFS à l’aide de la commande kinit <administrator>.
  5. Réduisez le nom d’hôte du client NFS à moins de 15 caractères et effectuez une nouvelle jonction de domaine.
  6. Redémarrez le client NFS et le service rpc-gssd comme suit. Les noms de service exacts peuvent varier selon certaines distributions Linux.
    La plupart des distributions actuelles utilisent les mêmes noms de service. Effectuez les opérations suivantes en tant que racine ou avec sudo
    systemctl enable nfs-client.target && systemctl start nfs-client.target
    (Redémarrez le rpc-gssd service.)
    systemctl restart rpc-gssd.service
mount.nfs: an incorrect mount option was specified Le problème peut être lié au problème du client NFS. Redémarrez le client NFS.
Hostname lookup failed Vous devez créer une zone de recherche inversée sur le serveur DNS, puis ajouter un enregistrement PTR de l’ordinateur hôte AD dans cette zone de recherche inversée.
Par exemple, supposons que l’adresse IP de l’ordinateur AD est 10.1.1.4, le nom d’hôte de l’ordinateur AD (trouvé à l’aide de la commande hostname) est AD1 et le nom de domaine contoso.com. L’enregistrement PTR ajouté à la zone de recherche inversée doit être 10.1.1.4 -> AD1.contoso.com.
Volume creation fails due to unreachable DNS server Deux solutions possibles sont disponibles :
  • Cette erreur indique que DNS n’est pas accessible. Il peut s’agir d’une adresse IP DNS incorrecte ou d’un problème de réseau. Vérifiez l’adresse IP DNS entrée dans la connexion AD et assurez-vous que l’adresse IP est correcte.
  • Assurez-vous que l’instance AD et le volume se trouvent dans la même région et dans le même réseau virtuel. S’ils se trouvent dans des réseaux virtuels différents, assurez-vous que le peering de réseaux virtuels est établi entre les deux réseaux virtuels.
La création du volume Kerberos NFSv4.1 échoue avec une erreur similaire à l’exemple suivant :
Failed to enable NFS Kerberos on LIF "svm_e719cde8d6d0413fbd6adac0636cdecb_7ad0b82e_73349613". Failed to bind service principal name on LIF "svm_e719cde8d6d0413fbd6adac0636cdecb_7ad0b82e_73349613". SecD Error: server create fail join user auth.		 L’adresse IP du KDC est incorrecte et le volume Kerberos a été créé. Mettez à jour l’adresse IP du KDC avec une adresse correcte.
Une fois l’adresse IP du KDC mise à jour, l’erreur ne disparaît pas. Vous devez recréer le volume.

Erreurs pour les volumes LDAP

Conditions d’erreur Résolutions
Erreur lors de la création d’un volume S Mo avec ldapEnabled comme true :
Error Message: ldapEnabled option is only supported with NFS protocol volume. 		Vous ne pouvez pas créer un volume SMB avec LDAP activé.
Créez des volumes SMB avec LDAP désactivé.
Erreur lors de la mise à jour de la valeur du paramètre ldapEnabled pour un volume existant :
Error Message: ldapEnabled parameter is not allowed to update		 Vous ne pouvez pas modifier le paramètre de l’option LDAP après avoir créé un volume.
Ne mettez pas à jour le paramètre de l’option LDAP sur un volume créé. Pour plus de détails, consultez Configurer AD DS LDAP avec des groupes étendus pour l’accès au volume NFS.
Erreur lors de la création d’un volume NFS compatible LDAP :
Could not query DNS server
Sample error message:
"log": time="2020-10-21 05:04:04.300" level=info msg=Res method=GET url=/v2/Volumes/070d0d72-d82c-c893-8ce3-17894e56cea3 x-correlation-id=9bb9e9fe-abb6-4eb5-a1e4-9e5fbb838813 x-request-id=c8032cb4-2453-05a9-6d61-31ca4a922d85 xresp="200: {\"created\":\"2020-10-21T05:02:55.000Z\",\"lifeCycleState\":\"error\",\"lifeCycleStateDetails\":\"Error when creating - Could not query DNS server. Verify that the network configuration is correct and that DNS servers are available.\",\"name\":\"smb1\",\"ownerId\ \":\"8c925a51-b913-11e9-b0de-9af5941b8ed0\",\"region\":\"westus2stage\",\"volumeId\":\"070d0d72-d82c-c893-8ce3-		 Cette erreur se produit parce que le DNS est inaccessible.
  • Vérifiez si vous avez configuré le site approprié (étendue du site) pour Azure NetApp Files.
  • La raison pour laquelle le DNS est inaccessible peut être une adresse IP DNS incorrecte ou des problèmes de mise en réseau. Vérifiez l’adresse IP de DNS entrée dans la connexion AD, et assurez-vous qu’elle est correcte.
  • Assurez-vous que l’AD et le volume se trouvent dans la même région et dans le même réseau virtuel. S’ils se trouvent dans des réseaux virtuels différents, assurez-vous que le peering de réseaux virtuels est établi entre les deux réseaux virtuels.
Erreur lors de la création d’un volume à partir d’un instantané :
Aggregate does not exist		 Azure NetApp Files ne prend pas en charge l’approvisionnement d’un nouveau volume avec LDAP activé à partir d’une capture instantanée appartenant à un volume avec LDAP désactivé.
Essayez de créer un volume avec LDAP désactivé à partir de la capture instantané donnée.
Lorsque seuls les ID de groupe principal sont vus et que l’utilisateur appartient également à des groupes auxiliaires. Cela est dû à un délai d’expiration de requête :
-Utiliser l’option d’étendue de recherche LDAP.
-Utilisez les serveurs Active Directory préférés pour le client LDAP.
Error describing volume - Entry doesn't exist for username: <username>, please try with a valid username -Vérifiez si l’utilisateur est présent sur le serveur LDAP.
-Vérifiez si le serveur LDAP est sain.

Erreurs pour l’allocation de volume

Lorsque vous créez un nouveau volume ou redimensionnez un volume existant dans Azure NetApp Files, Microsoft Azure alloue des ressources de stockage et de mise en réseau à votre abonnement. Il est possible que vous rencontriez des échecs d’allocation de ressources en raison d’une augmentation sans précédent de la demande de services Azure dans certaines régions.

Cette section explique les causes de certains échecs d’allocation courants et propose des solutions possibles.

Conditions d’erreur Résolutions
Erreur lors de la création de volumes ou du redimensionnement des volumes existants.
Message d’erreur : There was a problem locating [or extending] storage for the volume. Please retry the operation. If the problem persists, contact Support.		 L’erreur indique que le service a rencontré une erreur lors de la tentative d’allocation de ressources pour cette demande.
Réessayez l’opération après un certain temps. Contactez le support si le problème persiste.
Capacité de stockage ou de réseau insuffisante dans une région pour les volumes ordinaires.
Message d’erreur : There are currently insufficient resources available to create [or extend] a volume in this region. Please retry the operation. If the problem persists, contact Support.		 L’erreur indique que les ressources disponibles dans la région sont insuffisantes pour créer ou redimensionner des volumes.
Essayez l’une des solutions de contournement suivantes :
  • Créez le volume sous un nouveau réseau virtuel. Cela permet d’éviter d’atteindre les limites de ressources liées à la mise en réseau.
  • Recommencez l’opération un peu plus tard. Les ressources ont peut-être été libérées dans le cluster, la région ou la zone entretemps.
Capacité de stockage insuffisante lors de la création d’un volume avec les fonctionnalités réseau définies sur Standard.
Message d’erreur : No storage available with Standard network features, for the provided VNet.		 L’erreur indique que les ressources disponibles dans la région sont insuffisantes pour créer des volumes avec des fonctionnalités de mise en réseau Standard.
Essayez l’une des solutions de contournement suivantes :
  • Si les fonctionnalités réseau Standard ne sont pas requises, créez le volume avec les fonctionnalités réseau Basic.
  • Essayez de créer le volume sous un nouveau réseau virtuel. Cela permet d’éviter d’atteindre les limites de ressources liées à la mise en réseau
  • Recommencez l’opération un peu plus tard. Les ressources ont peut-être été libérées dans le cluster, la région ou la zone entretemps.

Avertissements du journal d’activité pour les volumes

Avertissements Résolutions
L’opération Microsoft.NetApp/netAppAccounts/capacityPools/volumes/ScaleUp affiche un avertissement :
Percentage Volume Consumed Size reached 90%		 La taille utilisée d’un volume Azure NetApp Files a atteint 90 % du quota du volume. Vous devez redimensionner le volume rapidement.

Étapes suivantes