Rozwiązywanie problemów z błędami woluminów dla usługi Azure NetApp Files

Artykuł
05/03/2023

W tym artykule opisano komunikaty o błędach i rozwiązania, które mogą pomóc w rozwiązywaniu problemów z woluminami usługi Azure NetApp Files.

Błędy dotyczące woluminów SMB i dwóch protokołów

Warunki błędu	Rozwiązania
Tworzenie woluminu SMB lub podwójnego protokołu kończy się niepowodzeniem z powodu następującego błędu: `{"code":"DeploymentFailed","message":"At least one resource deployment operation failed. Please list deployment operations for details. Please see https://aka.ms/DeployOperations for usage details.","details":[{"code":"InternalServerError", "message":"Error when creating - Could not query DNS server. Verify that the network configuration is correct and that DNS servers are available."}]}`	Ten błąd wskazuje, że system DNS nie jest osiągalny. Rozważ następujące rozwiązania: Sprawdź, czy usługi AD DS i wolumin są wdrażane w tym samym regionie. Sprawdź, czy usługi AD DS i wolumin używają tej samej sieci wirtualnej. Jeśli korzystają one z różnych sieci wirtualnych, upewnij się, że sieci wirtualne są ze sobą połączone równorzędnie. Zobacz Wytyczne dotyczące planowania sieci usługi Azure NetApp Files. Na serwerze DNS mogą być stosowane sieciowe grupy zabezpieczeń. W związku z tym nie zezwala na przepływ ruchu. W takim przypadku otwórz sieciowe grupy zabezpieczeń dla serwera DNS lub usługi AD, aby łączyć się z różnymi portami. Aby poznać wymagania dotyczące portu zobacz Wymagania dotyczące połączeń usługi Active Directory. Te same rozwiązania dotyczą usług Microsoft Entra Domain Services. Usługi Microsoft Entra Domain Services powinny być wdrażane w tym samym regionie. Sieć wirtualna powinna znajdować się w tym samym regionie lub za pomocą komunikacji równorzędnej z siecią wirtualną używaną przez wolumin.
Tworzenie woluminu SMB lub podwójnego protokołu kończy się niepowodzeniem z powodu następującego błędu: {"code":"DeploymentFailed","message":"At least one resource deployment operation failed. Please list deployment operations for details. Please see https://aka.ms/DeployOperations for usage details.","details":[{"code":"InternalServerError", "message":"Error when creating - Failed to create the Active Directory machine account \"SMBTESTAD-C1C8\". Reason: Kerberos Error: Invalid credentials were given Details: Error: Machine account creation procedure failed\n [ 563] Loaded the preliminary configuration.\n[ 670] FAILURE: Could not authenticate as 'test@contoso.com':\n Unknown user (KRB5KDC_ERR_C_PRINCIPAL_UNKNOWN)\n. "}]}	Upewnij się, że wprowadzona nazwa użytkownika jest poprawna. Upewnij się, że użytkownik należy do grupy Administrator, która ma uprawnienia do tworzenia kont maszyn (komputerów). Jeśli używasz usług Microsoft Entra Domain Services, upewnij się, że użytkownik jest częścią grupy `Azure AD DC Administrators`Microsoft Entra.
Tworzenie woluminu SMB lub podwójnego protokołu kończy się niepowodzeniem z powodu następującego błędu: {"code":"DeploymentFailed","message":"At least one resource deployment operation failed. Please list deployment operations for details. Please see https://aka.ms/DeployOperations for usage details.","details":[{"code":"InternalServerError", "message":"Error when creating - Failed to create the Active Directory machine account \"SMBTESTAD-A452\". Reason: Kerberos Error: Pre-authentication information was invalid Details: Error: Machine account creation procedure failed\n [ 567] Loaded the preliminary configuration.\n [ 671] Successfully connected to ip 10.x.x.x, port 88 using TCP\n[ 1099] FAILURE: Could not authenticate as\n 'user@contoso.com': CIFS server account password does\n not match password stored in Active Directory\n (KRB5KDC_ERR_PREAUTH_FAILED)\n. "}]}	Upewnij się, że hasło wprowadzone do dołączenia do połączenia usługi AD jest poprawne.
Tworzenie woluminu SMB lub podwójnego protokołu kończy się niepowodzeniem z powodu następującego błędu: {"code":"DeploymentFailed","message":"At least one resource deployment operation failed. Please list deployment operations for details. Please see https://aka.ms/DeployOperations for usage details.","details":[{"code":"InternalServerError","message":"Error when creating - Failed to create the Active Directory machine account \"SMBTESTAD-D9A2\". Reason: SecD Error: ou not found Details: Error: Machine account creation procedure failed\n [ 561] Loaded the preliminary configuration.\n [ 665] Successfully connected to ip 10.x.x.x, port 88 using TCP\n [ 1039] Successfully connected to ip 10.x.x.x, port 389 using TCP\n[ 1147] FAILURE: Specifed OU 'OU=AADDC Com' does not exist in\n contoso.com\n. "}]}	Upewnij się, że ścieżka jednostki organizacyjnej określona do łączenia połączenia usługi AD jest poprawna. Jeśli używasz usług Microsoft Entra Domain Services, upewnij się, że ścieżka jednostki organizacyjnej to `OU=AADDC Computers`.
Tworzenie woluminu SMB lub podwójnego protokołu kończy się niepowodzeniem z powodu następującego błędu: Failed to create the Active Directory machine account \"SMB-ANF-VOL. Reason: LDAP Error: Local error occurred Details: Error: Machine account creation procedure failed. [nnn] Loaded the preliminary configuration. [nnn] Successfully connected to ip 10.x.x.x, port 88 using TCP [nnn] Successfully connected to ip 10.x.x.x, port 389 using [nnn] Entry for host-address: 10.x.x.x not found in the current source: FILES. Ignoring and trying next available source [nnn] Source: DNS unavailable. Entry for host-address:10.x.x.x found in any of the available sources\n*[nnn] FAILURE: Unable to SASL bind to LDAP server using GSSAPI: local error [nnn] Additional info: SASL(-1): generic failure: GSSAPI Error: Unspecified GSS failure. Minor code may provide more information (Cannot determine realm for numeric host address) [nnn] Unable to connect to LDAP (Active Directory) service on contoso.com (Error: Local error) [nnn] Unable to make a connection (LDAP (Active Directory):contosa.com, result: 7643.	Na serwerze DNS brakuje rekordu wskaźnika (PTR) maszyny hosta usługi AD. Musisz utworzyć strefę wyszukiwania wstecznego na serwerze DNS, a następnie dodać rekord PTR maszyny hosta usługi AD w tej strefie wyszukiwania wstecznego.
Tworzenie woluminu SMB lub podwójnego protokołu kończy się niepowodzeniem z powodu następującego błędu: `Failed to create the Active Directory machine account \"SMB-ANF-VOL\". Reason: Kerberos Error: KDC has no support for encryption type Details: Error: Machine account creation procedure failed [nnn]Loaded the preliminary configuration. [nnn]Successfully connected to ip 10.x.x.x, port 88 using TCP [nnn]FAILURE: Could not authenticate as 'contosa.com': KDC has no support for encryption type (KRB5KDC_ERR_ETYPE_NOSUPP)`	Upewnij się, że szyfrowanie AES jest włączone zarówno w połączeniu usługi Active Directory, jak i dla konta usługi.
Tworzenie woluminu SMB lub podwójnego protokołu kończy się niepowodzeniem z powodu następującego błędu: Failed to create the Active Directory machine account \"SMB-NTAP-VOL\". Reason: LDAP Error: Strong authentication is required Details: Error: Machine account creation procedure failed\n [ 338] Loaded the preliminary configuration.\n [ nnn] Successfully connected to ip 10.x.x.x, port 88 using TCP\n [ nnn ] Successfully connected to ip 10.x.x.x, port 389 using TCP\n [ 765] Unable to connect to LDAP (Active Directory) service on\n dc51.area51.com (Error: Strong(er) authentication\n required)\n[ nnn] FAILURE: Unable to make a connection (LDAP (Active\n Directory):contoso.com), result: 7609\n. "	Opcja Podpisywanie LDAP nie jest zaznaczona, ale klient usługi AD ma podpisywanie LDAP. Włącz podpisywanie LDAP i ponów próbę.
Tworzenie woluminu SMB kończy się niepowodzeniem z powodu następującego błędu: `Failed to create the Active Directory machine account. Reason: LDAP Error: Intialization of LDAP library failed Details: Error: Machine account creation procedure failed`	Ten błąd występuje, ponieważ konto usługi lub użytkownika używane w połączeniach usługi Active Directory usługi Azure NetApp Files nie ma wystarczających uprawnień do tworzenia obiektów komputera lub wprowadzania modyfikacji nowo utworzonego obiektu komputera. Aby rozwiązać ten problem, należy przyznać konto, które jest używane z większymi uprawnieniami. Rolę domyślną można zastosować z wystarczającymi uprawnieniami. Możesz również delegować dodatkowe uprawnienia do konta użytkownika lub usługi albo do grupy, do której należy.

Błędy dotyczące woluminów z dwoma protokołami

Warunki błędu	Rozwiązania
Protokół LDAP za pośrednictwem protokołu TLS jest włączony, a tworzenie woluminu z podwójnym protokołem kończy się niepowodzeniem z powodu błędu `This Active Directory has no Server root CA Certificate`.	Jeśli ten błąd występuje podczas tworzenia woluminu z podwójnym protokołem, upewnij się, że certyfikat głównego urzędu certyfikacji został przekazany na koncie usługi NetApp.
Tworzenie woluminu z podwójnym protokołem kończy się niepowodzeniem z powodu błędu `Failed to validate LDAP configuration, try again after correcting LDAP configuration`.	Na serwerze DNS brakuje rekordu wskaźnika (PTR) maszyny hosta usługi AD. Musisz utworzyć strefę wyszukiwania wstecznego na serwerze DNS, a następnie dodać rekord PTR maszyny hosta usługi AD w tej strefie wyszukiwania wstecznego. Załóżmy na przykład, że adres IP maszyny usługi AD to `10.x.x.x`, nazwa hosta maszyny usługi AD (jak znaleziono przy użyciu `hostname` polecenia) to `AD1`, a nazwa domeny to `contoso.com`. Rekord PTR dodany do strefy wyszukiwania wstecznego powinien mieć wartość `10.x.x.x` ->`contoso.com`.
Tworzenie woluminu z podwójnym protokołem kończy się niepowodzeniem z powodu błędu `Failed to create the Active Directory machine account \\\"TESTAD-C8DD\\\". Reason: Kerberos Error: Pre-authentication information was invalid Details: Error: Machine account creation procedure failed\\n [ 434] Loaded the preliminary configuration.\\n [ 537] Successfully connected to ip 10.x.x.x, port 88 using TCP\\n**[ 950] FAILURE`.	Ten błąd wskazuje, że hasło usługi AD jest niepoprawne, gdy usługa Active Directory jest przyłączona do konta usługi NetApp. Zaktualizuj połączenie usługi AD przy użyciu poprawnego hasła i spróbuj ponownie.
Tworzenie woluminu z podwójnym protokołem kończy się niepowodzeniem z powodu błędu `Could not query DNS server. Verify that the network configuration is correct and that DNS servers are available`.	Ten błąd wskazuje, że usługa DNS nie jest osiągalna. Przyczyną może być to, że adres IP DNS jest niepoprawny lub występuje problem z siecią. Sprawdź adres IP DNS wprowadzony w połączeniu usługi AD i upewnij się, że adres IP jest poprawny. Upewnij się również, że usługa AD i wolumin znajdują się w tym samym regionie i w tej samej sieci wirtualnej. Jeśli znajdują się w różnych sieciach wirtualnych, upewnij się, że została ustanowiona komunikacja równorzędna sieci wirtualnych między dwiema sieciami wirtualnymi. Aby uzyskać szczegółowe informacje, zobacz Wytyczne dotyczące planowania sieci usługi Azure NetApp Files.
Błąd odmowy uprawnień podczas instalowania woluminu z podwójnym protokołem.	Wolumin z dwoma protokołami obsługuje zarówno protokoły NFS, jak i SMB. Podczas próby uzyskania dostępu do zainstalowanego woluminu w systemie system UNIX system próbuje zamapować użytkownika system UNIX, którego używasz do użytkownika systemu Windows. Upewnij się, że `POSIX` atrybuty są prawidłowo ustawione w obiekcie użytkownika usług AD DS.

Błędy woluminów Kerberos NFSv4.1

Warunki błędu	Rozwiązania
`Error allocating volume - Export policy rules does not match kerberosEnabled flag`	Usługa Azure NetApp Files nie obsługuje protokołu Kerberos dla woluminów NFSv3. Protokół Kerberos jest obsługiwany tylko dla protokołu NFSv4.1.
`This NetApp account has no configured Active Directory connections`	Skonfiguruj usługę Active Directory dla konta usługi NetApp przy użyciu pól Adres IP centrum dystrybucji kluczy i Nazwa serwera usługi AD. Aby uzyskać instrukcje, zobacz Konfigurowanie witryny Azure Portal .
`Mismatch between KerberosEnabled flag value and ExportPolicyRule's access type parameter values.`	Usługa Azure NetApp Files nie obsługuje konwertowania zwykłego woluminu NFSv4.1 na wolumin Kerberos NFSv4.1 i odwrotnie.
`mount.nfs: access denied by server when mounting volume <SMB_SERVER_NAME-XXX.DOMAIN_NAME>/<VOLUME_NAME>` Przykład: `smb-test-64d9.contoso.com:/nfs41-vol101`	Upewnij się, że rekordy A/PTR są prawidłowo skonfigurowane i istnieją w usłudze Active Directory dla nazwy `smb-test-64d9.contoso.com`serwera . W kliencie NFS, jeśli `nslookup` z rozpoznawania `smb-test-64d9.contoso.com` adresu IP1 (czyli `10.1.1.68`), to ip1 `nslookup` musi rozpoznać tylko jeden rekord (czyli `smb-test-64d9.contoso.com`). `nslookup` adres IP1 nie może być rozpoznawany jako wiele nazw. Ustaw wartość AES-256 dla konta komputera NFS typu `NFS-<Smb NETBIOS NAME>-<few random characters>` w usłudze AD przy użyciu programu PowerShell lub interfejsu użytkownika. Przykładowe polecenia: `Set-ADComputer <NFS_MACHINE_ACCOUNT_NAME> -KerberosEncryptionType AES256` `Set-ADComputer NFS-SMB-TEST-64 -KerberosEncryptionType AES256` Upewnij się, że czas oprogramowania magazynu NFS, AD i Azure NetApp Files jest synchronizowany ze sobą i mieści się w pięciominutowym zakresie niesymetryczności. Pobierz bilet Protokołu Kerberos na kliencie NFS przy użyciu polecenia `kinit <administrator>`. Zmniejsz nazwę hosta klienta systemu plików NFS do mniej niż 15 znaków i ponownie wykonaj sprzężenie obszaru. Uruchom ponownie klienta NFS i usługę w `rpc-gssd` następujący sposób. Dokładne nazwy usług mogą się różnić w niektórych dystrybucjach systemu Linux. Większość bieżących dystrybucji używa tych samych nazw usług. Wykonaj następujące czynności jako katalog główny lub za pomocą polecenia `sudo` `systemctl enable nfs-client.target && systemctl start nfs-client.target` (Uruchom ponownie usługę `rpc-gssd` ). `systemctl restart rpc-gssd.service`
`mount.nfs: an incorrect mount option was specified`	Problem może być związany z problemem klienta NFS. Uruchom ponownie klienta NFS.
`Hostname lookup failed`	Musisz utworzyć strefę wyszukiwania wstecznego na serwerze DNS, a następnie dodać rekord PTR maszyny hosta usługi AD w tej strefie wyszukiwania wstecznego. Załóżmy na przykład, że adres IP maszyny usługi AD to `10.1.1.4`, nazwa hosta maszyny usługi AD (jak znaleziono przy użyciu polecenia nazwa hosta) to `AD1`, a nazwa domeny to `contoso.com`. Rekord PTR dodany do strefy wyszukiwania wstecznego powinien mieć wartość `10.1.1.4 -> AD1.contoso.com`.
`Volume creation fails due to unreachable DNS server`	Dostępne są dwa możliwe rozwiązania: Ten błąd wskazuje, że usługa DNS nie jest osiągalna. Przyczyną może być nieprawidłowy adres IP DNS lub problem z siecią. Sprawdź adres IP DNS wprowadzony w połączeniu usługi AD i upewnij się, że adres IP jest poprawny. Upewnij się, że usługa AD i wolumin znajdują się w tym samym regionie i w tej samej sieci wirtualnej. Jeśli znajdują się w różnych sieciach wirtualnych, upewnij się, że została ustanowiona komunikacja równorzędna sieci wirtualnych między dwiema sieciami wirtualnymi.
Tworzenie woluminu Kerberos NFSv4.1 kończy się niepowodzeniem z powodu błędu podobnego do następującego przykładu: `Failed to enable NFS Kerberos on LIF "svm_e719cde8d6d0413fbd6adac0636cdecb_7ad0b82e_73349613". Failed to bind service principal name on LIF "svm_e719cde8d6d0413fbd6adac0636cdecb_7ad0b82e_73349613". SecD Error: server create fail join user auth.`	Adres IP centrum dystrybucji kluczy jest nieprawidłowy i utworzono wolumin Kerberos. Zaktualizuj adres IP centrum dystrybucji kluczy przy użyciu poprawnego adresu. Po zaktualizowaniu adresu IP centrum dystrybucji kluczy błąd nie zniknie. Należy ponownie utworzyć wolumin.

Błędy dotyczące woluminów LDAP

Warunki błędu	Rozwiązania
Błąd podczas tworzenia woluminu SMB z elementem ldapEnabled jako true: `Error Message: ldapEnabled option is only supported with NFS protocol volume.`	Nie można utworzyć woluminu SMB z włączonym protokołem LDAP. Utwórz woluminy SMB z wyłączonym protokołem LDAP.
Błąd podczas aktualizowania wartości parametru ldapEnabled dla istniejącego woluminu: `Error Message: ldapEnabled parameter is not allowed to update`	Nie można zmodyfikować ustawienia opcji LDAP po utworzeniu woluminu. Nie aktualizuj ustawienia opcji LDAP na utworzonym woluminie. Aby uzyskać szczegółowe informacje, zobacz Konfigurowanie protokołu LDAP usług AD DS z grupami rozszerzonymi na potrzeby dostępu do woluminu NFS.
Błąd podczas tworzenia woluminu NFS z obsługą protokołu LDAP: `Could not query DNS server` `Sample error message:` "log": time="2020-10-21 05:04:04.300" level=info msg=Res method=GET url=/v2/Volumes/070d0d72-d82c-c893-8ce3-17894e56cea3 x-correlation-id=9bb9e9fe-abb6-4eb5-a1e4-9e5fbb838813 x-request-id=c8032cb4-2453-05a9-6d61-31ca4a922d85 xresp="200: {\"created\":\"2020-10-21T05:02:55.000Z\",\"lifeCycleState\":\"error\",\"lifeCycleStateDetails\":\"Error when creating - Could not query DNS server. Verify that the network configuration is correct and that DNS servers are available.\",\"name\":\"smb1\",\"ownerId\ \":\"8c925a51-b913-11e9-b0de-9af5941b8ed0\",\"region\":\"westus2stage\",\"volumeId\":\"070d0d72-d82c-c893-8ce3-	Ten błąd występuje, ponieważ system DNS jest niemożliwy do osiągnięcia. Sprawdź, czy skonfigurowano poprawną witrynę (określanie zakresu witryn) dla usługi Azure NetApp Files. Powodem, dla którego usługa DNS jest nieosiągalna, może być nieprawidłowy adres IP usługi DNS lub problemy z siecią. Sprawdź adres IP usługi DNS wprowadzony w połączeniu usługi AD, aby upewnić się, że jest on poprawny. Upewnij się, że usługa AD i wolumin znajdują się w tym samym regionie i tej samej sieci wirtualnej. Jeśli znajdują się w różnych sieciach wirtualnych, upewnij się, że została ustanowiona komunikacja równorzędna sieci wirtualnych między dwiema sieciami wirtualnymi.
Błąd podczas tworzenia woluminu na podstawie migawki: `Aggregate does not exist`	Usługa Azure NetApp Files nie obsługuje aprowizowania nowego woluminu z obsługą protokołu LDAP z migawki należącej do woluminu wyłączonego protokołu LDAP. Spróbuj utworzyć nowy wolumin wyłączony ldap z danej migawki.
Gdy są widoczne tylko identyfikatory grup podstawowych, a użytkownik należy również do grup pomocniczych.	Jest to spowodowane przekroczeniem limitu czasu zapytania: -Użyj opcji zakresu wyszukiwania LDAP. -Użyj preferowanych serwerów usługi Active Directory dla klienta LDAP.
`Error describing volume - Entry doesn't exist for username: <username>, please try with a valid username`	-Sprawdź, czy użytkownik jest obecny na serwerze LDAP. -Sprawdź, czy serwer LDAP jest w dobrej kondycji.

Błędy alokacji woluminu

Podczas tworzenia nowego woluminu lub zmiany rozmiaru istniejącego woluminu w usłudze Azure NetApp Files platforma Microsoft Azure przydziela zasoby magazynu i sieci do subskrypcji. Czasami mogą wystąpić błędy alokacji zasobów z powodu bezprecedensowego wzrostu zapotrzebowania na usługi platformy Azure w określonych regionach.

W tej sekcji opisano przyczyny niektórych typowych błędów alokacji i sugeruje możliwe środki zaradcze.

Warunki błędu	Rozwiązania
Błąd podczas tworzenia nowych woluminów lub zmiany rozmiaru istniejących woluminów. Komunikat o błędzie: `There was a problem locating [or extending] storage for the volume. Please retry the operation. If the problem persists, contact Support.`	Błąd wskazuje, że usługa napotkała błąd podczas próby przydzielenia zasobów dla tego żądania. Spróbuj ponownie wykonać operację po pewnym czasie. Skontaktuj się z pomocą techniczną, jeśli problem będzie się powtarzać.
Brak pojemności magazynu lub sieci w regionie dla woluminów regularnych. Komunikat o błędzie: `There are currently insufficient resources available to create [or extend] a volume in this region. Please retry the operation. If the problem persists, contact Support.`	Błąd wskazuje, że w regionie brakuje zasobów do utworzenia lub zmiany rozmiaru woluminów. Wypróbuj jedno z następujących obejść: Utwórz wolumin w nowej sieci wirtualnej. Pozwoli to uniknąć osiągnięcia limitów zasobów związanych z siecią. Ponów próbę po pewnym czasie. Zasoby mogły zostać zwolnione w klastrze, regionie lub strefie w międzyczasie.
Brak pojemności magazynu podczas tworzenia woluminu z funkcjami sieciowymi ustawionymi na wartość `Standard`. Komunikat o błędzie: `No storage available with Standard network features, for the provided VNet.`	Błąd wskazuje, że w regionie brakuje zasobów do utworzenia woluminów z funkcjami `Standard` sieciowymi. Wypróbuj jedno z następujących obejść: Jeśli `Standard` funkcje sieciowe nie są wymagane, utwórz wolumin z funkcjami `Basic` sieciowymi. Spróbuj utworzyć wolumin w nowej sieci wirtualnej. Pozwoli to uniknąć osiągnięcia limitów zasobów związanych z siecią Ponów próbę po pewnym czasie. Zasoby mogły zostać zwolnione w klastrze, regionie lub strefie w międzyczasie.

Ostrzeżenia dziennika aktywności dotyczące woluminów

Ostrzeżenia	Rozwiązania
Operacja `Microsoft.NetApp/netAppAccounts/capacityPools/volumes/ScaleUp` wyświetla ostrzeżenie: `Percentage Volume Consumed Size reached 90%`	Użyty rozmiar woluminu usługi Azure NetApp Files osiągnął 90% limitu przydziału woluminu. Rozmiar woluminu należy zmienić wkrótce.