Устранение ошибок тома для Azure NetApp Files
В этой статье описываются сообщения об ошибках и разрешения, которые помогут устранить неполадки томов Azure NetApp Files.
Ошибки для томов S МБ и двух протоколов
| Условия ошибок | Разрешения |
|---|---|
Создание тома S МБ или двойного протокола завершается сбоем со следующей ошибкой:{"code":"DeploymentFailed","message":"At least one resource deployment operation failed. Please list deployment operations for details. Please see https://aka.ms/DeployOperations for usage details.","details":[{"code":"InternalServerError", "message":"Error when creating - Could not query DNS server. Verify that the network configuration is correct and that DNS servers are available."}]} |
Данная ошибка указывает на то, что служба DNS недоступна. Рассмотрим следующие решения:
Те же решения применяются к доменным службам Microsoft Entra. Доменные службы Microsoft Entra должны быть развернуты в одном регионе. Виртуальная сеть должна находиться в том же регионе или в той же одноранговой сети, что и виртуальная сеть, используемая томом. |
Создание тома S МБ или двойного протокола завершается сбоем со следующей ошибкой:{"code":"DeploymentFailed","message":"At least one resource deployment operation failed. Please list deployment operations for details. Please see https://aka.ms/DeployOperations for usage details.","details":[{"code":"InternalServerError", "message":"Error when creating - Failed to create the Active Directory machine account \"SMBTESTAD-C1C8\". Reason: Kerberos Error: Invalid credentials were given Details: Error: Machine account creation procedure failed\n [ 563] Loaded the preliminary configuration.\n**[ 670] FAILURE: Could not authenticate as 'test@contoso.com':\n** Unknown user (KRB5KDC_ERR_C_PRINCIPAL_UNKNOWN)\n. "}]} |
|
Создание тома S МБ или двойного протокола завершается сбоем со следующей ошибкой:{"code":"DeploymentFailed","message":"At least one resource deployment operation failed. Please list deployment operations for details. Please see https://aka.ms/DeployOperations for usage details.","details":[{"code":"InternalServerError", "message":"Error when creating - Failed to create the Active Directory machine account \"SMBTESTAD-A452\". Reason: Kerberos Error: Pre-authentication information was invalid Details: Error: Machine account creation procedure failed\n [ 567] Loaded the preliminary configuration.\n [ 671] Successfully connected to ip 10.x.x.x, port 88 using TCP\n**[ 1099] FAILURE: Could not authenticate as\n** 'user@contoso.com': CIFS server account password does\n** not match password stored in Active Directory\n** (KRB5KDC_ERR_PREAUTH_FAILED)\n. "}]} |
Следует убедиться, что правильно указан пароль для соединения с AD. |
Создание тома S МБ или двойного протокола завершается сбоем со следующей ошибкой:{"code":"DeploymentFailed","message":"At least one resource deployment operation failed. Please list deployment operations for details. Please see https://aka.ms/DeployOperations for usage details.","details":[{"code":"InternalServerError","message":"Error when creating - Failed to create the Active Directory machine account \"SMBTESTAD-D9A2\". Reason: SecD Error: ou not found Details: Error: Machine account creation procedure failed\n [ 561] Loaded the preliminary configuration.\n [ 665] Successfully connected to ip 10.x.x.x, port 88 using TCP\n [ 1039] Successfully connected to ip 10.x.x.x, port 389 using TCP\n**[ 1147] FAILURE: Specifed OU 'OU=AADDC Com' does not exist in\n** contoso.com\n. "}]} |
Следует убедиться, что путь к подразделению, указанный для присоединения к AD, правильный. Если вы используете доменные службы Microsoft Entra, убедитесь, что путь к подразделению имеет значение OU=AADDC Computers. |
Создание тома S МБ или двойного протокола завершается сбоем со следующей ошибкой:Failed to create the Active Directory machine account \"SMB-ANF-VOL. Reason: LDAP Error: Local error occurred Details: Error: Machine account creation procedure failed. [nnn] Loaded the preliminary configuration. [nnn] Successfully connected to ip 10.x.x.x, port 88 using TCP [nnn] Successfully connected to ip 10.x.x.x, port 389 using [nnn] Entry for host-address: 10.x.x.x not found in the current source: FILES. Ignoring and trying next available source [nnn] Source: DNS unavailable. Entry for host-address:10.x.x.x found in any of the available sources\n*[nnn] FAILURE: Unable to SASL bind to LDAP server using GSSAPI: local error [nnn] Additional info: SASL(-1): generic failure: GSSAPI Error: Unspecified GSS failure. Minor code may provide more information (Cannot determine realm for numeric host address) [nnn] Unable to connect to LDAP (Active Directory) service on contoso.com (Error: Local error) [nnn] Unable to make a connection (LDAP (Active Directory):contosa.com, result: 7643. |
Запись указателя (PTR) хост-компьютера AD может отсутствовать на DNS-сервере. Необходимо создать зону обратного просмотра на DNS-сервере, а затем добавить запись типа PTR для компьютера узла AD в эту зону обратного просмотра. |
Создание тома S МБ или двойного протокола завершается сбоем со следующей ошибкой:Failed to create the Active Directory machine account \"SMB-ANF-VOL\". Reason: Kerberos Error: KDC has no support for encryption type Details: Error: Machine account creation procedure failed [nnn]Loaded the preliminary configuration. [nnn]Successfully connected to ip 10.x.x.x, port 88 using TCP [nnn]FAILURE: Could not authenticate as 'contosa.com': KDC has no support for encryption type (KRB5KDC_ERR_ETYPE_NOSUPP) |
Следует убедиться, что шифрование AES включено как для подключения к Active Directory, так и для учетной записи службы. |
Создание тома S МБ или двойного протокола завершается сбоем со следующей ошибкой:Failed to create the Active Directory machine account \"SMB-NTAP-VOL\". Reason: LDAP Error: Strong authentication is required Details: Error: Machine account creation procedure failed\n [ 338] Loaded the preliminary configuration.\n [ nnn] Successfully connected to ip 10.x.x.x, port 88 using TCP\n [ nnn ] Successfully connected to ip 10.x.x.x, port 389 using TCP\n [ 765] Unable to connect to LDAP (Active Directory) service on\n dc51.area51.com (Error: Strong(er) authentication\n required)\n*[ nnn] FAILURE: Unable to make a connection (LDAP (Active\n* Directory):contoso.com), result: 7609\n. " |
Параметр "Подписка LDAP" не выбран, но у клиента AD имеется подпись LDAP. Включить подписку LDAP и повторить попытку. |
S МБ сбой при создании тома со следующей ошибкой:Failed to create the Active Directory machine account. Reason: LDAP Error: Intialization of LDAP library failed Details: Error: Machine account creation procedure failed |
Эта ошибка возникает из-за того, что учетная запись службы или пользователя, используемая в подключениях Active Directory Azure NetApp Files, не имеет достаточных привилегий для создания объектов компьютера или внесения изменений в только что созданный объект компьютера. Чтобы решить эту проблему, необходимо предоставить учетной записи более высокую привилегию. Вы можете применить роль по умолчанию с достаточными привилегиями. Вы также можете делегировать дополнительные привилегии учетной записи пользователя или службы или группе, в которую она входит. |
Ошибки для томов с двумя протоколами
| Условия ошибок | Разрешения |
|---|---|
Протокол LDAP через TLS включен, а создание тома с двойным протоколом завершается с ошибкой This Active Directory has no Server root CA Certificate. |
Если эта ошибка возникает при создании тома с двумя протоколами, следует убедиться, что сертификат корневого CA отправлен в учетную запись NetApp. |
Создание тома с двойным протоколом завершается с ошибкой Failed to validate LDAP configuration, try again after correcting LDAP configuration. |
Запись указателя (PTR) хост-компьютера AD может отсутствовать на DNS-сервере. Необходимо создать зону обратного просмотра на DNS-сервере, а затем добавить запись типа PTR для компьютера узла AD в эту зону обратного просмотра. Например, предположим, что IP-адрес компьютера AD — это 10.x.x.x, имя узла (найденное с помощью команды hostname) — AD1, а именем домена является contoso.com. Запись PTR, добавленная в зону обратного поиска, должна быть 10.x.x.x ->contoso.com. |
Создание тома с двойным протоколом завершается с ошибкой Failed to create the Active Directory machine account \\\"TESTAD-C8DD\\\". Reason: Kerberos Error: Pre-authentication information was invalid Details: Error: Machine account creation procedure failed\\n [ 434] Loaded the preliminary configuration.\\n [ 537] Successfully connected to ip 10.x.x.x, port 88 using TCP\\n**[ 950] FAILURE. |
Эта ошибка указывает на то, что при присоединении Active Directory к учетной записи NetApp пароль AD неверен. Следует обновить подключение AD, указав правильный пароль, и повторить попытку. |
Создание тома с двойным протоколом завершается с ошибкой Could not query DNS server. Verify that the network configuration is correct and that DNS servers are available. |
Эта ошибка указывает на то, что служба DNS недоступна. Причина может быть из-за неправильного IP-адреса DNS или проблемы с сетью. Следует проверить IP-адрес DNS, указанный в подключении AD, и убедиться в том, что он правильный. Кроме того, следует убедиться, что AD и том находятся в одном и том же регионе и в одной виртуальной сети. Если они находятся в разных виртуальных сетях, необходимо убедиться, что две виртуальные сети являются одноранговыми сетями. Дополнительные сведения см. в статье Рекомендации по планированию сети для Azure NetApp Files. |
| Ошибка "В разрешении отказано" при подключении тома с двумя протоколами. | Том с двумя протоколами поддерживает протоколы NFS и SMB. При попытке доступа к подключенному тому в системе UNIX, система пытается сопоставить пользователя UNIX, которого вы используете, с пользователем Windows. Убедитесь, что POSIX атрибуты правильно заданы в объекте пользователя AD DS. |
Ошибки томов Kerberos NFSv4.1
| Условия ошибок | Разрешения |
|---|---|
Error allocating volume - Export policy rules does not match kerberosEnabled flag |
Azure NetApp Files не поддерживает протокол Kerberos для томов NFSv3. Протокол Kerberos поддерживается только для протокола NFS 4.1. |
This NetApp account has no configured Active Directory connections |
Настройте Active Directory для учетной записи NetApp, заполнив поля IP-адрес KDC и Имя сервера AD. Инструкции см. в разделе Настройка портала Azure. |
Mismatch between KerberosEnabled flag value and ExportPolicyRule's access type parameter values. |
Azure NetApp Files не поддерживает преобразование тома обычного NFS 4.1 в том NFS 4.1 Kerberos и наоборот. |
mount.nfs: access denied by server when mounting volume <SMB_SERVER_NAME-XXX.DOMAIN_NAME>/<VOLUME_NAME> Пример: smb-test-64d9.contoso.com:/nfs41-vol101 |
|
mount.nfs: an incorrect mount option was specified |
Эта ошибка может быть связана с проблемой клиента NFS. Перезагрузите клиент NFS. |
Hostname lookup failed |
Необходимо создать зону обратного просмотра на DNS-сервере, а затем добавить запись типа PTR для компьютера узла AD в эту зону обратного просмотра. Например, предположим, что IP-адрес компьютера AD — это 10.1.1.4, имя узла виртуально машины (найденное с помощью команды "имя узла") — AD1, а именем домена является contoso.com. Запись типа PTR, добавленная в зону обратного просмотра, должна иметь вид 10.1.1.4 -> AD1.contoso.com. |
Volume creation fails due to unreachable DNS server |
Доступны два возможных решения:
|
Создание тома Kerberos NFSv4.1 завершается ошибкой, аналогичной следующему примеру: Failed to enable NFS Kerberos on LIF "svm_e719cde8d6d0413fbd6adac0636cdecb_7ad0b82e_73349613". Failed to bind service principal name on LIF "svm_e719cde8d6d0413fbd6adac0636cdecb_7ad0b82e_73349613". SecD Error: server create fail join user auth. |
IP-адрес KDC неверен, и создан том Kerberos. Обновите IP-адрес KDC с помощью правильного адреса. После обновления IP-адреса KDC эта ошибка не исчезнет. Необходимо повторно создать том. |
Ошибки томов LDAP
| Условия ошибок | Разрешения |
|---|---|
Ошибка при создании тома S МБ с ldapEnabled как true:Error Message: ldapEnabled option is only supported with NFS protocol volume. |
Невозможно создать том SMB с включенным LDAP. Создайте том SMB с отключенным LDAP. |
Ошибка при обновлении значения параметра ldapEnabled для существующего тома: Error Message: ldapEnabled parameter is not allowed to update |
После создания тома изменить параметр LDAP нельзя. Не обновляйте параметр LDAP на созданном томе. Дополнительные сведения см. в статье "Настройка LDAP AD DS с расширенными группами для доступа к томам NFS". |
Ошибка при создании тома NFS с поддержкой LDAP: Could not query DNS server Sample error message: "log": time="2020-10-21 05:04:04.300" level=info msg=Res method=GET url=/v2/Volumes/070d0d72-d82c-c893-8ce3-17894e56cea3 x-correlation-id=9bb9e9fe-abb6-4eb5-a1e4-9e5fbb838813 x-request-id=c8032cb4-2453-05a9-6d61-31ca4a922d85 xresp="200: {\"created\":\"2020-10-21T05:02:55.000Z\",\"lifeCycleState\":\"error\",\"lifeCycleStateDetails\":\"Error when creating - Could not query DNS server. Verify that the network configuration is correct and that DNS servers are available.\",\"name\":\"smb1\",\"ownerId\ \":\"8c925a51-b913-11e9-b0de-9af5941b8ed0\",\"region\":\"westus2stage\",\"volumeId\":\"070d0d72-d82c-c893-8ce3- |
Эта ошибка возникает из-за недоступности DNS.
|
Ошибка при создании тома из моментального снимка: Aggregate does not exist |
Azure NetApp Files не поддерживает подготовку нового тома с поддержкой LDAP из моментального снимка, который относится к тому с отключенным протоколом LDAP. Попробуйте создать новый том с отключенным протоколом LDAP из заданного моментального снимка. |
| Когда отображаются только идентификаторы основной группы, а пользователь принадлежит вспомогательным группам. | Это вызвано временем ожидания запроса: —Используйте параметр поиска LDAP область. —Используйте предпочтительный сервер Active Directory для клиента LDAP. |
Error describing volume - Entry doesn't exist for username: <username>, please try with a valid username |
-Проверьте, присутствует ли пользователь на сервере LDAP. -Проверьте работоспособность сервера LDAP. |
Ошибки выделения томов
При создании нового тома или изменении размера существующего тома в Azure NetApp Files Microsoft Azure выделяет ресурсы хранилища и сетевые ресурсы для подписки. Иногда возникают сбои выделения ресурсов из-за беспрецедентного роста спроса на службы Azure в определенных регионах.
В этом разделе описываются причины некоторых распространенных сбоев выделения и предлагаются возможные средства правовой защиты.
| Условия ошибок | Разрешения |
|---|---|
| Ошибка при создании новых томов или изменении размера существующих томов. Сообщение об ошибке: There was a problem locating [or extending] storage for the volume. Please retry the operation. If the problem persists, contact Support. |
Ошибка указывает, что служба столкнулась с ошибкой при попытке выделить ресурсы для этого запроса. Повторите операцию через некоторое время. Обратитесь в службу поддержки, если проблема сохраняется. |
| Из хранилища или сетевой емкости в регионе для обычных томов. Сообщение об ошибке: There are currently insufficient resources available to create [or extend] a volume in this region. Please retry the operation. If the problem persists, contact Support. |
Ошибка указывает, что в регионе недостаточно ресурсов для создания или изменения размера томов. Попробуйте одно из следующих обходных решений:
|
Емкость хранилища при создании тома с сетевыми функциями имеет значение Standard. Сообщение об ошибке: No storage available with Standard network features, for the provided VNet. |
Ошибка указывает, что в регионе недостаточно ресурсов для создания томов с сетевыми Standard функциями. Попробуйте одно из следующих обходных решений:
|
Предупреждения журнала действий для томов
| Предупреждения | Разрешения |
|---|---|
В Microsoft.NetApp/netAppAccounts/capacityPools/volumes/ScaleUp операции отображается предупреждение: Percentage Volume Consumed Size reached 90% |
Используемый размер тома Azure NetApp Files достиг 90 % квоты тома. Вы должны изменить размер тома в ближайшее время. |