你当前正在访问 Microsoft Azure Global Edition 技术文档网站。如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站，请访问 https://docs.azure.cn。

排除 Azure NetApp 文件的卷错误

项目
05/03/2023

本文介绍了有助于对 Azure NetApp 文件卷进行故障排除的错误消息和解决方法。

SMB 和双协议卷错误

错误条件	解决方法
SMB 或双协议卷创建失败，并出现以下错误： `{"code":"DeploymentFailed","message":"At least one resource deployment operation failed. Please list deployment operations for details. Please see https://aka.ms/DeployOperations for usage details.","details":[{"code":"InternalServerError", "message":"Error when creating - Could not query DNS server. Verify that the network configuration is correct and that DNS servers are available."}]}`	此错误指明 DNS 不可访问。请考虑以下解决方案：检查 AD DS 和卷是否部署在同一区域中。检查 AD DS 和卷是否在使用相同的 VNet。如果使用的 VNet 不同，请确保在 VNet 之间建立了对等互连。请参阅 Azure NetApp 文件网络规划指导原则。 DNS 服务器可能应用了网络安全组 (NSG)。因此，它不允许流量流动。在这种情况下，需要向 DNS 或 AD 打开 NSG，以连接到各种端口。有关端口要求，请参阅 Active Directory 连接要求。相同的解决方案适用于 Microsoft Entra 域服务。 Microsoft Entra 域服务应部署在同一区域中。 VNet 应位于同一区域中，或与卷使用的 VNet 建立对等互连。
SMB 或双协议卷创建失败，并出现以下错误： {"code":"DeploymentFailed","message":"At least one resource deployment operation failed. Please list deployment operations for details. Please see https://aka.ms/DeployOperations for usage details.","details":[{"code":"InternalServerError", "message":"Error when creating - Failed to create the Active Directory machine account \"SMBTESTAD-C1C8\". Reason: Kerberos Error: Invalid credentials were given Details: Error: Machine account creation procedure failed\n [ 563] Loaded the preliminary configuration.\n[ 670] FAILURE: Could not authenticate as 'test@contoso.com':\n Unknown user (KRB5KDC_ERR_C_PRINCIPAL_UNKNOWN)\n. "}]}	确保所输入的用户名是正确无误的。确保用户属于有权创建机器（计算机）帐户的管理员组。如果使用 Microsoft Entra 域服务，请确保用户是 Microsoft Entra 组 `Azure AD DC Administrators`的一部分。
SMB 或双协议卷创建失败，并出现以下错误： {"code":"DeploymentFailed","message":"At least one resource deployment operation failed. Please list deployment operations for details. Please see https://aka.ms/DeployOperations for usage details.","details":[{"code":"InternalServerError", "message":"Error when creating - Failed to create the Active Directory machine account \"SMBTESTAD-A452\". Reason: Kerberos Error: Pre-authentication information was invalid Details: Error: Machine account creation procedure failed\n [ 567] Loaded the preliminary configuration.\n [ 671] Successfully connected to ip 10.x.x.x, port 88 using TCP\n[ 1099] FAILURE: Could not authenticate as\n 'user@contoso.com': CIFS server account password does\n not match password stored in Active Directory\n (KRB5KDC_ERR_PREAUTH_FAILED)\n. "}]}	请确保为建立 AD 联接输入的密码是正确无误的。
SMB 或双协议卷创建失败，并出现以下错误： {"code":"DeploymentFailed","message":"At least one resource deployment operation failed. Please list deployment operations for details. Please see https://aka.ms/DeployOperations for usage details.","details":[{"code":"InternalServerError","message":"Error when creating - Failed to create the Active Directory machine account \"SMBTESTAD-D9A2\". Reason: SecD Error: ou not found Details: Error: Machine account creation procedure failed\n [ 561] Loaded the preliminary configuration.\n [ 665] Successfully connected to ip 10.x.x.x, port 88 using TCP\n [ 1039] Successfully connected to ip 10.x.x.x, port 389 using TCP\n[ 1147] FAILURE: Specifed OU 'OU=AADDC Com' does not exist in\n contoso.com\n. "}]}	请确保为建立 AD 联接指定的 OU 路径是正确无误的。如果使用 Microsoft Entra 域服务，请确保组织单位路径为 `OU=AADDC Computers`。
SMB 或双协议卷创建失败，并出现以下错误： Failed to create the Active Directory machine account \"SMB-ANF-VOL. Reason: LDAP Error: Local error occurred Details: Error: Machine account creation procedure failed. [nnn] Loaded the preliminary configuration. [nnn] Successfully connected to ip 10.x.x.x, port 88 using TCP [nnn] Successfully connected to ip 10.x.x.x, port 389 using [nnn] Entry for host-address: 10.x.x.x not found in the current source: FILES. Ignoring and trying next available source [nnn] Source: DNS unavailable. Entry for host-address:10.x.x.x found in any of the available sources\n*[nnn] FAILURE: Unable to SASL bind to LDAP server using GSSAPI: local error [nnn] Additional info: SASL(-1): generic failure: GSSAPI Error: Unspecified GSS failure. Minor code may provide more information (Cannot determine realm for numeric host address) [nnn] Unable to connect to LDAP (Active Directory) service on contoso.com (Error: Local error) [nnn] Unable to make a connection (LDAP (Active Directory):contosa.com, result: 7643.	DNS 服务器上可能缺少 AD 主机的指针 (PTR) 记录。你需要在 DNS 服务器上创建反向查找区域，然后在此反向查找区域中添加 AD 主机的 PTR 记录。
SMB 或双协议卷创建失败，并出现以下错误： `Failed to create the Active Directory machine account \"SMB-ANF-VOL\". Reason: Kerberos Error: KDC has no support for encryption type Details: Error: Machine account creation procedure failed [nnn]Loaded the preliminary configuration. [nnn]Successfully connected to ip 10.x.x.x, port 88 using TCP [nnn]FAILURE: Could not authenticate as 'contosa.com': KDC has no support for encryption type (KRB5KDC_ERR_ETYPE_NOSUPP)`	请确保在 Active Directory 连接和服务帐户中都启用了 AES 加密。
SMB 或双协议卷创建失败，并出现以下错误： Failed to create the Active Directory machine account \"SMB-NTAP-VOL\". Reason: LDAP Error: Strong authentication is required Details: Error: Machine account creation procedure failed\n [ 338] Loaded the preliminary configuration.\n [ nnn] Successfully connected to ip 10.x.x.x, port 88 using TCP\n [ nnn ] Successfully connected to ip 10.x.x.x, port 389 using TCP\n [ 765] Unable to connect to LDAP (Active Directory) service on\n dc51.area51.com (Error: Strong(er) authentication\n required)\n[ nnn] FAILURE: Unable to make a connection (LDAP (Active\n Directory):contoso.com), result: 7609\n. "	没有选中“LDAP 签名”选项，但 AD 客户端有 LDAP 签名。请启用 LDAP 签名，然后重试。
SMB 卷创建失败，并出现以下错误： `Failed to create the Active Directory machine account. Reason: LDAP Error: Intialization of LDAP library failed Details: Error: Machine account creation procedure failed`	发生此错误的原因是 Azure NetApp 文件 Active Directory 连接中使用的服务或用户帐户没有足够的权限来创建计算机对象或对新创建的计算机对象进行修改。若要解决此问题，应授予所使用的帐户更大的权限。可以应用具有足够权限的默认角色。还可以将其他权限委托给用户或服务帐户或它属于的组。

双协议卷的错误

错误条件	解决方法
已启用 LDAP over TLS，双协议卷创建失败，错误为 `This Active Directory has no Server root CA Certificate`。	如果在创建双协议卷时发生此错误，请确保在 NetApp 帐户中上传了根 CA 证书。
双协议卷创建失败，错误为 `Failed to validate LDAP configuration, try again after correcting LDAP configuration`。	DNS 服务器上可能缺少 AD 主机的指针 (PTR) 记录。你需要在 DNS 服务器上创建反向查找区域，然后在此反向查找区域中添加 AD 主机的 PTR 记录。例如，假设 AD 虚拟机的 IP 地址为 `10.x.x.x`，AD 虚拟机的主机名（通过 `hostname` 命令找到）为 `AD1`，域名为 `contoso.com`。添加到反向查找区域的 PTR 记录应是 `10.x.x.x` ->`contoso.com`。
双协议卷创建失败，错误为 `Failed to create the Active Directory machine account \\\"TESTAD-C8DD\\\". Reason: Kerberos Error: Pre-authentication information was invalid Details: Error: Machine account creation procedure failed\\n [ 434] Loaded the preliminary configuration.\\n [ 537] Successfully connected to ip 10.x.x.x, port 88 using TCP\\n**[ 950] FAILURE`。	此错误指明在 NetApp 帐户建立 Active Directory 联接时 AD 密码不正确。请使用正确的密码更新 AD 连接，然后重试。
双协议卷创建失败，错误为 `Could not query DNS server. Verify that the network configuration is correct and that DNS servers are available`。	此错误表明无法访问 DNS。原因可能是 DNS IP 不正确，或者存在网络问题。请检查在 AD 连接中输入的 DNS IP 并确保该 IP 正确。另外，还请确保 AD 和卷位于相同的区域和 VNet 中。如果位于不同的 VNet 中，请确保在两个 VNet 之间建立 VNet 对等互连。有关详细信息，请参阅 Azure NetApp 文件网络规划指南。
在装载双协议卷时，发生“权限被拒绝”错误。	双协议卷同时支持 NFS 协议和 SMB 协议。当你尝试在 UNIX 系统上访问装载的卷时，系统会尝试将你使用的 UNIX 用户映射到 Windows 用户。请确保在 AD DS 用户对象上正确设置了 `POSIX` 属性。

NFSv4.1 Kerberos 卷错误

错误条件	解决方法
`Error allocating volume - Export policy rules does not match kerberosEnabled flag`	Azure NetApp 文件不支持适用于 NFSv3 卷的 Kerberos。只有 NFSv4.1 协议支持 Kerberos。
`This NetApp account has no configured Active Directory connections`	请通过“KDC IP”和“AD 服务器名称”字段为 NetApp 帐户配置 Active Directory。有关说明，请参阅配置 Azure 门户。
`Mismatch between KerberosEnabled flag value and ExportPolicyRule's access type parameter values.`	Azure NetApp 文件不支持将普通 NFSv4.1 卷转换为 Kerberos NFSv4.1 卷，反之亦然。
`mount.nfs: access denied by server when mounting volume <SMB_SERVER_NAME-XXX.DOMAIN_NAME>/<VOLUME_NAME>` 示例： `smb-test-64d9.contoso.com:/nfs41-vol101`	确保正确设置 A/PTR 记录，并且这些记录存在于名为 `smb-test-64d9.contoso.com` 的服务器的 Active Directory 中。在 NFS 客户端中，如果 `smb-test-64d9.contoso.com` 的 `nslookup` 解析为 IP 地址 IP1（即 `10.1.1.68`），则 IP1 的 `nslookup` 必须只解析为一条记录（即 `smb-test-64d9.contoso.com`）。 IP1 的 `nslookup` 不可解析为多个名称。使用 PowerShell 或 UI 为 AD 上 `NFS-<Smb NETBIOS NAME>-<few random characters>` 类型的 NFS 计算机帐户设置 AES-256。示例命令： `Set-ADComputer <NFS_MACHINE_ACCOUNT_NAME> -KerberosEncryptionType AES256` `Set-ADComputer NFS-SMB-TEST-64 -KerberosEncryptionType AES256` 确保 NFS 客户端、AD 和 Azure NetApp 文件存储软件的时间相互同步，并且偏差范围在五分钟之内。使用 `kinit <administrator>` 命令获取 NFS 客户端上的 Kerberos 票证。将 NFS 客户端主机名的字符数减少到 15 个以内，然后再次执行领域加入操作。重启 NFS 客户端和 `rpc-gssd` 服务，如下所示。某些 Linux 分发版的确切服务名称可能会有所不同。大多数当前分发版使用相同的服务名称。以 root 或 with 的形式执行以下操作 `sudo` `systemctl enable nfs-client.target && systemctl start nfs-client.target` （重启 `rpc-gssd` 服务。） `systemctl restart rpc-gssd.service`
`mount.nfs: an incorrect mount option was specified`	该问题可能与 NFS 客户端问题相关。请重启 NFS 客户端。
`Hostname lookup failed`	你需要在 DNS 服务器上创建反向查找区域，然后在此反向查找区域中添加 AD 主机的 PTR 记录。例如，假定 AD 计算机的 IP 地址为 `10.1.1.4`，该 AD 计算机的主机名（通过使用 hostname 命令找到的）为 `AD1`，并且域名为 `contoso.com`。添加到反向查找区域的 PTR 记录应是 `10.1.1.4 -> AD1.contoso.com`。
`Volume creation fails due to unreachable DNS server`	有两种可能的解决方案可用：此错误表明无法访问 DNS。原因可能会是 DNS IP 不正确或网络有问题。请检查在 AD 连接中输入的 DNS IP 并确保该 IP 正确。确保 AD 和卷位于同一区域和同一 VNet 中。如果它们在不同的 VNet 中，请确保在两个 VNet 之间建立 VNet 对等互连。
NFSv4.1 Kerberos 卷创建失败，出现类似于以下示例的错误： `Failed to enable NFS Kerberos on LIF "svm_e719cde8d6d0413fbd6adac0636cdecb_7ad0b82e_73349613". Failed to bind service principal name on LIF "svm_e719cde8d6d0413fbd6adac0636cdecb_7ad0b82e_73349613". SecD Error: server create fail join user auth.`	KDC IP 错误，并且已创建 Kerberos 卷。请使用正确的地址更新 KDC IP。更新 KDC IP 后，此错误不会消失。你需要重新创建该卷。

LDAP 卷错误

错误条件	解决方法
创建 ldapEnabled 为 true 的 SMB 卷时出错： `Error Message: ldapEnabled option is only supported with NFS protocol volume.`	你无法创建启用了 LDAP 的 SMB 卷。创建禁用了 LDAP 的 SMB 卷。
更新现有卷的 ldapEnabled 参数值时出错： `Error Message: ldapEnabled parameter is not allowed to update`	创建卷后，不能修改 LDAP 选项设置。不要在创建的卷上更新 LDAP 选项设置。有关详细信息，请参阅为 NFS 卷访问配置具有扩展组的 AD DS LDAP。
创建启用了 LDAP 的 NFS 卷时出错： `Could not query DNS server` `Sample error message:` "log": time="2020-10-21 05:04:04.300" level=info msg=Res method=GET url=/v2/Volumes/070d0d72-d82c-c893-8ce3-17894e56cea3 x-correlation-id=9bb9e9fe-abb6-4eb5-a1e4-9e5fbb838813 x-request-id=c8032cb4-2453-05a9-6d61-31ca4a922d85 xresp="200: {\"created\":\"2020-10-21T05:02:55.000Z\",\"lifeCycleState\":\"error\",\"lifeCycleStateDetails\":\"Error when creating - Could not query DNS server. Verify that the network configuration is correct and that DNS servers are available.\",\"name\":\"smb1\",\"ownerId\ \":\"8c925a51-b913-11e9-b0de-9af5941b8ed0\",\"region\":\"westus2stage\",\"volumeId\":\"070d0d72-d82c-c893-8ce3-	发生此错误的原因是 DNS 不可访问。检查是否已为 Azure NetApp 文件配置了正确的站点（站点范围）。 DNS 不可访问的原因可能是 DNS IP 地址不正确或网络问题。检查在 AD 连接中输入的 DNS IP 地址，以确保其正确无误。请确保 AD 和卷位于同一区域和同一 VNet 中。如果它们在不同的 VNet 中，请确保在两个 VNet 之间建立 VNet 对等互连。
从快照创建卷时出错： `Aggregate does not exist`	Azure NetApp 文件不支持从属于已禁用 LDAP 的卷的快照预配新的、启用 LDAP 的卷。尝试从给定的快照创建新的已禁用 LDAP 的卷。
仅当看到主组 ID 并且用户也属于辅助组时。	这是由查询超时导致的： -使用 LDAP 搜索范围选项。 -对 LDAP 客户端使用首选 Active Directory 服务器。
`Error describing volume - Entry doesn't exist for username: <username>, please try with a valid username`	-检查用户是否存在于 LDAP 服务器上。 -检查 LDAP 服务器是否正常。

卷分配错误

在 Azure NetApp 文件中创建新卷或调整现有卷的大小时，Microsoft Azure 会为订阅分配存储和网络资源。你偶尔可能因特定区域中前所未有的 Azure 服务需求增长而遇到资源分配失败的情况。

本部分说明一些常见分配失败的原因，并建议可能的补救方法。

错误条件	解决方法
创建新卷或调整现有卷大小时出错。错误消息：`There was a problem locating [or extending] storage for the volume. Please retry the operation. If the problem persists, contact Support.`	此错误指示服务在尝试为此请求分配资源时遇到了错误。稍后重试操作。如果问题仍然存在，请与支持人员联系。
区域中常规卷的存储或网络容量不足。错误消息：`There are currently insufficient resources available to create [or extend] a volume in this region. Please retry the operation. If the problem persists, contact Support.`	此错误表示该区域中没有足够的资源可用于创建卷或调整卷的大小。请尝试以下解决方法之一：在新的 VNet 下创建卷。这样做可以避免达到与网络相关的资源限制。一段时间后重试。在过渡期间，可能在群集或区域中释放了资源。
创建网络功能设置为 `Standard` 的卷时，存储容量不足。错误消息：`No storage available with Standard network features, for the provided VNet.`	此错误表示该区域中没有足够的资源可用于创建具有 `Standard` 网络功能的卷。请尝试以下解决方法之一：如果不需要 `Standard` 网络功能，请创建具有 `Basic` 网络功能的卷。尝试在新的 VNet 下创建卷。这样做可以避免达到与网络相关的资源限制一段时间后重试。在过渡期间，可能在群集或区域中释放了资源。

卷的活动日志警告

警告	解决方法
该 `Microsoft.NetApp/netAppAccounts/capacityPools/volumes/ScaleUp` 操作显示警告： `Percentage Volume Consumed Size reached 90%`	Azure NetApp 文件卷的已用大小已达到 90% 的卷配额。应该尽快调整卷大小。

错误条件	解决方法
创建新卷或调整现有卷大小时出错。错误消息：`There was a problem locating [or extending] storage for the volume. Please retry the operation. If the problem persists, contact Support.`	此错误指示服务在尝试为此请求分配资源时遇到了错误。稍后重试操作。如果问题仍然存在，请与支持人员联系。
区域中常规卷的存储或网络容量不足。错误消息：`There are currently insufficient resources available to create [or extend] a volume in this region. Please retry the operation. If the problem persists, contact Support.`	此错误表示该区域中没有足够的资源可用于创建卷或调整卷的大小。请尝试以下解决方法之一：在新的 VNet 下创建卷。这样做可以避免达到与网络相关的资源限制。一段时间后重试。在过渡期间，可能在群集或区域中释放了资源。
创建网络功能设置为 `Standard` 的卷时，存储容量不足。错误消息：`No storage available with Standard network features, for the provided VNet.`	此错误表示该区域中没有足够的资源可用于创建具有 `Standard` 网络功能的卷。请尝试以下解决方法之一：如果不需要 `Standard` 网络功能，请创建具有 `Basic` 网络功能的卷。尝试在新的 VNet 下创建卷。这样做可以避免达到与网络相关的资源限制一段时间后重试。在过渡期间，可能在群集或区域中释放了资源。