Řešení chyb svazků ve službě Azure NetApp Files

  • Článek

Pokud se na svazku, který není ve stavu terminálu, provádí operace cruD (create-read-update-delete), operace selže. Pracovní postupy automatizace a uživatelé portálu by měli před provedením následných asynchronních operací na svazku zkontrolovat stav terminálu svazku.

Chyby svazků SMB a duálních protokolů

Chybové podmínky Řešení
Vytvoření svazku SMB nebo duálního protokolu selže s následující chybou:
{"code":"DeploymentFailed","message":"At least one resource deployment operation failed. Please list deployment operations for details. Please see https://aka.ms/DeployOperations for usage details.","details":[{"code":"InternalServerError", "message":"Error when creating - Could not query DNS server. Verify that the network configuration is correct and that DNS servers are available."}]}		 Tato chyba značí, že DNS není dosažitelný.
Zvažte následující řešení:
  • Pokud používáte základní síťové funkce, zkontrolujte, jestli Doména služby Active Directory Services (AD DS) a že se svazek nasazuje ve stejné oblasti.
  • Zkontrolujte, jestli služba AD DS a svazek používají stejnou virtuální síť. Pokud používají různé virtuální sítě, ujistěte se, že jsou mezi sebou v partnerském vztahu virtuální sítě. Viz Pokyny pro plánování sítě Azure NetApp Files.
  • Pro server DNS se můžou používat skupiny zabezpečení sítě (NSG). Proto neumožňuje tok provozu. V takovém případě otevřete skupiny zabezpečení sítě pro DNS nebo AD tak, aby bylo možné se připojit k různým portům. Požadavky na porty najdete v části Požadavky na připojení Active Directory.

Stejná řešení platí pro službu Microsoft Entra Domain Services. Služba Microsoft Entra Domain Services by měla být nasazena ve stejné oblasti. Virtuální síť by měla být ve stejné oblasti nebo v partnerském vztahu s virtuální sítí používanou svazkem.
Vytvoření svazku SMB nebo duálního protokolu selže s následující chybou:
{"code":"DeploymentFailed","message":"At least one resource deployment operation failed. Please list deployment operations for details. Please see https://aka.ms/DeployOperations for usage details.","details":[{"code":"InternalServerError", "message":"Error when creating - Failed to create the Active Directory machine account \"SMBTESTAD-C1C8\". Reason: Kerberos Error: Invalid credentials were given Details: Error: Machine account creation procedure failed\n [ 563] Loaded the preliminary configuration.\n**[ 670] FAILURE: Could not authenticate as 'test@contoso.com':\n** Unknown user (KRB5KDC_ERR_C_PRINCIPAL_UNKNOWN)\n. "}]}
  • Ujistěte se, že zadané uživatelské jméno je správné.
  • Ujistěte se, že je uživatel členem skupiny správců, která má oprávnění k vytváření účtů počítačů.
  • Pokud používáte službu Microsoft Entra Domain Services, ujistěte se, že je uživatel součástí skupiny Azure AD DC AdministratorsMicrosoft Entra .
Vytvoření svazku SMB nebo duálního protokolu selže s následující chybou:
{"code":"DeploymentFailed","message":"At least one resource deployment operation failed. Please list deployment operations for details. Please see https://aka.ms/DeployOperations for usage details.","details":[{"code":"InternalServerError", "message":"Error when creating - Failed to create the Active Directory machine account \"SMBTESTAD-A452\". Reason: Kerberos Error: Pre-authentication information was invalid Details: Error: Machine account creation procedure failed\n [ 567] Loaded the preliminary configuration.\n [ 671] Successfully connected to ip 10.x.x.x, port 88 using TCP\n**[ 1099] FAILURE: Could not authenticate as\n** 'user@contoso.com': CIFS server account password does\n** not match password stored in Active Directory\n** (KRB5KDC_ERR_PREAUTH_FAILED)\n. "}]}		 Ujistěte se, že heslo zadané pro připojení ke službě AD je správné.
Vytvoření svazku SMB nebo duálního protokolu selže s následující chybou:
{"code":"DeploymentFailed","message":"At least one resource deployment operation failed. Please list deployment operations for details. Please see https://aka.ms/DeployOperations for usage details.","details":[{"code":"InternalServerError","message":"Error when creating - Failed to create the Active Directory machine account \"SMBTESTAD-D9A2\". Reason: SecD Error: ou not found Details: Error: Machine account creation procedure failed\n [ 561] Loaded the preliminary configuration.\n [ 665] Successfully connected to ip 10.x.x.x, port 88 using TCP\n [ 1039] Successfully connected to ip 10.x.x.x, port 389 using TCP\n**[ 1147] FAILURE: Specifed OU 'OU=AADDC Com' does not exist in\n** contoso.com\n. "}]}		 Ujistěte se, že je správná cesta organizační jednotky zadaná pro připojení ke službě AD. Pokud používáte službu Microsoft Entra Domain Services, ujistěte se, že je OU=AADDC Computerscesta organizační jednotky .
Vytvoření svazku SMB nebo duálního protokolu selže s následující chybou:
Failed to create the Active Directory machine account \"SMB-ANF-VOL. Reason: LDAP Error: Local error occurred Details: Error: Machine account creation procedure failed. [nnn] Loaded the preliminary configuration. [nnn] Successfully connected to ip 10.x.x.x, port 88 using TCP [nnn] Successfully connected to ip 10.x.x.x, port 389 using [nnn] Entry for host-address: 10.x.x.x not found in the current source: FILES. Ignoring and trying next available source [nnn] Source: DNS unavailable. Entry for host-address:10.x.x.x found in any of the available sources\n*[nnn] FAILURE: Unable to SASL bind to LDAP server using GSSAPI: local error [nnn] Additional info: SASL(-1): generic failure: GSSAPI Error: Unspecified GSS failure. Minor code may provide more information (Cannot determine realm for numeric host address) [nnn] Unable to connect to LDAP (Active Directory) service on contoso.com (Error: Local error) [nnn] Unable to make a connection (LDAP (Active Directory):contosa.com, result: 7643. 		Záznam ukazatele (PTR) hostitelského počítače AD může na serveru DNS chybět. Na serveru DNS je potřeba vytvořit zónu zpětného vyhledávání a pak do této zóny zpětného vyhledávání přidat záznam PTR hostitelského počítače AD.
Vytvoření svazku SMB nebo duálního protokolu selže s následující chybou:
Failed to create the Active Directory machine account \"SMB-ANF-VOL\". Reason: Kerberos Error: KDC has no support for encryption type Details: Error: Machine account creation procedure failed [nnn]Loaded the preliminary configuration. [nnn]Successfully connected to ip 10.x.x.x, port 88 using TCP [nnn]FAILURE: Could not authenticate as 'contosa.com': KDC has no support for encryption type (KRB5KDC_ERR_ETYPE_NOSUPP) 		Ujistěte se, že je pro připojení ke službě Active Directory i účet služby povolený šifrování AES.
Vytvoření svazku SMB nebo duálního protokolu selže s následující chybou:
Failed to create the Active Directory machine account \"SMB-NTAP-VOL\". Reason: LDAP Error: Strong authentication is required Details: Error: Machine account creation procedure failed\n [ 338] Loaded the preliminary configuration.\n [ nnn] Successfully connected to ip 10.x.x.x, port 88 using TCP\n [ nnn ] Successfully connected to ip 10.x.x.x, port 389 using TCP\n [ 765] Unable to connect to LDAP (Active Directory) service on\n dc51.area51.com (Error: Strong(er) authentication\n required)\n*[ nnn] FAILURE: Unable to make a connection (LDAP (Active\n* Directory):contoso.com), result: 7609\n. "		 Možnost Podepisování protokolu LDAP není vybraná, ale klient AD má podepisování LDAP. Povolte podepisování PROTOKOLU LDAP a zkuste to znovu.
Vytvoření svazku SMB selže s následující chybou:
Failed to create the Active Directory machine account. Reason: LDAP Error: Intialization of LDAP library failed Details: Error: Machine account creation procedure failed		 K této chybě dochází, protože služba nebo uživatelský účet použitý v připojeních Active Directory služby Azure NetApp Files nemá dostatečná oprávnění k vytváření objektů počítače nebo provádění změn nově vytvořeného objektu počítače.
Pokud chcete tento problém vyřešit, udělte účtu větší oprávnění. Můžete použít výchozí roli s dostatečnými oprávněními nebo delegovat více oprávnění na uživatele, účet služby nebo skupinu, ve které je součástí.

Chyby svazků se dvěma protokoly

Chybové podmínky Řešení
Je povolen protokol LDAP přes protokol TLS a vytvoření svazku se dvěma protokoly selže s chybou This Active Directory has no Server root CA Certificate. Pokud k této chybě dojde při vytváření svazku se dvěma protokoly, ujistěte se, že se kořenový certifikát certifikační autority nahraje do vašeho účtu NetApp.
Vytvoření svazku se dvěma protokoly selže s chybou Failed to validate LDAP configuration, try again after correcting LDAP configuration. Záznam ukazatele (PTR) hostitelského počítače služby Active Directory (AD) může na serveru DNS chybět. Na serveru DNS je potřeba vytvořit zónu zpětného vyhledávání a pak do této zóny zpětného vyhledávání přidat záznam PTR hostitelského počítače AD.
Předpokládejme například, že IP adresa počítače AD je 10.x.x.x, název hostitele počítače AD (nalezen pomocí hostname příkazu) je AD1a název domény je contoso.com. Záznam PTR přidaný do zóny zpětného vyhledávání by měl být 10.x.x.x ->contoso.com.
Vytvoření svazku se dvěma protokoly selže s chybou Failed to create the Active Directory machine account \\\"TESTAD-C8DD\\\". Reason: Kerberos Error: Pre-authentication information was invalid Details: Error: Machine account creation procedure failed\\n [ 434] Loaded the preliminary configuration.\\n [ 537] Successfully connected to ip 10.x.x.x, port 88 using TCP\\n**[ 950] FAILURE. Tato chyba značí, že heslo AD není správné, když je služba Active Directory připojená k účtu NetApp. Aktualizujte heslo pro připojení k AD, aby bylo správné, a zkuste to znovu.
Vytvoření svazku se dvěma protokoly selže s chybou Could not query DNS server. Verify that the network configuration is correct and that DNS servers are available. Tato chyba značí, že DNS není dostupný. Důvodem může být nesprávná IP adresa DNS nebo došlo k problému se sítí. Zkontrolujte IP adresu DNS zadaná v připojení AD a ujistěte se, že je IP adresa správná.
Pokud používáte základní síťové funkce, ujistěte se, že konfigurace AD a svazek jsou ve stejné oblasti a ve stejné virtuální síti. Pokud se nacházejí v různých virtuálních sítích, ujistěte se, že je mezi těmito dvěma virtuálními sítěmi vytvořený partnerský vztah virtuálních sítí.
Podrobnosti najdete v pokynech pro plánování sítě Azure NetApp Files.
Při připojování svazku se dvěma protokoly došlo k chybě odepření oprávnění. Svazek se dvěma protokoly podporuje protokoly NFS i SMB. Při pokusu o přístup k připojenému svazku v systému UNIX se systém pokusí namapovat uživatele systému UNIX, který používáte k uživateli systému Windows.
Ujistěte se, že POSIX jsou atributy správně nastavené v objektu uživatele služby AD DS.

Chyby svazků Kerberos NFSv4.1

Chybové podmínky Řešení
Error allocating volume - Export policy rules does not match kerberosEnabled flag Azure NetApp Files nepodporuje protokol Kerberos pro svazky NFSv3. Protokol Kerberos se podporuje jenom pro protokol NFSv4.1.
This NetApp account has no configured Active Directory connections Nakonfigurujte službu Active Directory pro účet NetApp s poli IP adresa služby KDC a název serveru AD. Pokyny najdete v tématu Konfigurace webu Azure Portal .
Mismatch between KerberosEnabled flag value and ExportPolicyRule's access type parameter values. Azure NetApp Files nepodporuje převod prostého svazku NFSv4.1 na svazek Kerberos NFSv4.1 a naopak.
mount.nfs: access denied by server when mounting volume <SMB_SERVER_NAME-XXX.DOMAIN_NAME>/<VOLUME_NAME>
Příklad: smb-test-64d9.contoso.com:/nfs41-vol101
  1. Ujistěte se, že jsou záznamy A/PTR správně nastavené a existují ve službě Active Directory pro název smb-test-64d9.contoso.comserveru .
    Pokud se v klientovi nslookup smb-test-64d9.contoso.com NFS přeloží na IP adresu IP1 (to znamená 10.1.1.68), musí se nslookup IP1 přeložit jenom na jeden záznam (to znamená smb-test-64d9.contoso.com). nslookup ip1 nesmí překládat na více názvů.
  2. Nastavte AES-256 pro účet počítače NFS typu NFS-<Smb NETBIOS NAME>-<few random characters> ve službě AD pomocí PowerShellu nebo uživatelského rozhraní.
    Ukázkové příkazy:
    • Set-ADComputer <NFS_MACHINE_ACCOUNT_NAME> -KerberosEncryptionType AES256
    • Set-ADComputer NFS-SMB-TEST-64 -KerberosEncryptionType AES256
  3. Ujistěte se, že se čas klienta NFS, ad a softwaru úložiště Azure NetApp Files synchronizuje s ostatními a je v rozsahu 5 minut nerovnoměrné distribuce.
  4. Pomocí příkazu kinit <administrator>získejte lístek Kerberos v klientovi NFS.
  5. Snižte název hostitele klienta NFS na méně než 15 znaků a znovu se připojte k sférě.
  6. Restartujte klienta NFS a rpc-gssd službu následujícím způsobem. Přesné názvy služeb se mohou v některých distribucích Linuxu lišit.
    Většina aktuálních distribucí používá stejné názvy služeb. Proveďte následující kroky jako kořen nebo s sudo
    systemctl enable nfs-client.target && systemctl start nfs-client.target
    (Restartujte rpc-gssd službu.)
    systemctl restart rpc-gssd.service
mount.nfs: an incorrect mount option was specified Problém může souviset s problémem klienta NFS. Restartujte klienta NFS.
Hostname lookup failed Na serveru DNS je potřeba vytvořit zónu zpětného vyhledávání a pak do této zóny zpětného vyhledávání přidat záznam PTR hostitelského počítače AD.
Předpokládejme například, že IP adresa počítače AD je 10.1.1.4, název hostitele počítače AD (jak je nalezeno pomocí příkazu název hostitele) je AD1a název domény je contoso.com. Záznam PTR přidaný do zóny zpětného vyhledávání by měl být 10.1.1.4 -> AD1.contoso.com.
Volume creation fails due to unreachable DNS server K dispozici jsou dvě možná řešení:
  • Tato chyba značí, že DNS není dostupný. Důvodem může být nesprávná IP adresa DNS nebo problém se sítí. Zkontrolujte IP adresu DNS zadaná v připojení AD a ujistěte se, že je IP adresa správná.
  • Pokud používáte základní síťové funkce, ujistěte se, že služba AD a svazek jsou ve stejné oblasti a ve stejné virtuální síti. Pokud se nacházejí v různých virtuálních sítích, ujistěte se, že je mezi těmito dvěma virtuálními sítěmi vytvořený partnerský vztah virtuálních sítí.
Vytvoření svazku Kerberos NFSv4.1 selže s chybou podobnou následujícímu příkladu:
Failed to enable NFS Kerberos on LIF "svm_e719cde8d6d0413fbd6adac0636cdecb_7ad0b82e_73349613". Failed to bind service principal name on LIF "svm_e719cde8d6d0413fbd6adac0636cdecb_7ad0b82e_73349613". SecD Error: server create fail join user auth.		 IP adresa služby KDC je nesprávná a svazek Kerberos byl vytvořen. Aktualizujte IP adresu KDC správnou adresou.
Po aktualizaci IP adresy KDC chyba nezmizí. Svazek je potřeba znovu vytvořit.

Chyby svazků LDAP

Chybové podmínky Řešení
Při vytváření svazku SMB s povoleným protokolem LDAP došlo k chybě:
Error Message: ldapEnabled option is only supported with NFS protocol volume. 		Svazek SMB s povoleným protokolem LDAP nelze vytvořit.
Vytvořte svazky SMB se zakázaným protokolem LDAP.
Chyba při aktualizaci hodnoty parametru ldapEnabled pro existující svazek:
Error Message: ldapEnabled parameter is not allowed to update		 Po vytvoření svazku nelze změnit nastavení možnosti LDAP.
Neaktualizovat nastavení možnosti LDAP na vytvořeném svazku. Podrobnosti najdete v tématu Konfigurace protokolu LDAP služby AD DS s rozšířenými skupinami pro přístup ke svazku NFS.
Chyba při vytváření svazku NFS s povoleným protokolem LDAP:
Could not query DNS server
Sample error message:
"log": time="2020-10-21 05:04:04.300" level=info msg=Res method=GET url=/v2/Volumes/070d0d72-d82c-c893-8ce3-17894e56cea3 x-correlation-id=9bb9e9fe-abb6-4eb5-a1e4-9e5fbb838813 x-request-id=c8032cb4-2453-05a9-6d61-31ca4a922d85 xresp="200: {\"created\":\"2020-10-21T05:02:55.000Z\",\"lifeCycleState\":\"error\",\"lifeCycleStateDetails\":\"Error when creating - Could not query DNS server. Verify that the network configuration is correct and that DNS servers are available.\",\"name\":\"smb1\",\"ownerId\ \":\"8c925a51-b913-11e9-b0de-9af5941b8ed0\",\"region\":\"westus2stage\",\"volumeId\":\"070d0d72-d82c-c893-8ce3-		 K této chybě dochází, protože DNS je nedostupný.
  • Zkontrolujte, jestli jste pro Azure NetApp Files nakonfigurovali správný web (obor webu).
  • Příčinou nedostupnosti DNS může být nesprávná IP adresa DNS nebo problémy se sítěmi. Zkontrolujte IP adresu DNS zadanou v připojení AD a ujistěte se, že je správná.
  • Pokud používáte základní síťové funkce, ujistěte se, že služba AD a svazek jsou ve stejné oblasti a stejné virtuální síti. Pokud se nacházejí v různých virtuálních sítích, ujistěte se, že je mezi těmito dvěma virtuálními sítěmi vytvořený partnerský vztah virtuálních sítí.
Při vytváření svazku ze snímku došlo k chybě:
Aggregate does not exist		 Azure NetApp Files nepodporuje zřízení nového svazku s povoleným protokolem LDAP ze snímku, který patří ke svazku zakázanému protokolem LDAP.
Zkuste vytvořit nový svazek zakázaný protokolem LDAP z daného snímku.
Pokud se zobrazí jenom ID primární skupiny a uživatel patří také do pomocných skupin. Příčinou je vypršení časového limitu dotazu:
-Použijte možnost oboru vyhledávání LDAP.
-Použijte upřednostňované servery služby Active Directory pro klienta LDAP.
Error describing volume - Entry doesn't exist for username: <username>, please try with a valid username -Zkontrolujte, jestli je uživatel na serveru LDAP.
-Zkontrolujte, jestli je server LDAP v pořádku.

Chyby přidělení svazku

Když vytvoříte nový svazek nebo změníte velikost existujícího svazku v Azure NetApp Files, Microsoft Azure přidělí vašemu předplatnému úložiště a síťové prostředky. Občas může docházet k selháním přidělení prostředků kvůli neočekávanému růstu poptávky po službách Azure v konkrétních oblastech.

Tato část vysvětluje příčiny některých běžných selhání přidělení a navrhuje možné nápravy.

Chybové podmínky Řešení
Při vytváření nových svazků nebo změně velikosti existujících svazků došlo k chybě.
Zpráva o chybě: There was a problem locating [or extending] storage for the volume. Please retry the operation. If the problem persists, contact Support.		 Tato chyba značí, že služba při pokusu o přidělení prostředků pro tuto žádost narazila na chybu.
Po nějaké době zkuste operaci zopakovat. Pokud problém přetrvává, obraťte se na podporu.
Nedostatek úložiště nebo síťové kapacity v oblasti pro běžné svazky
Zpráva o chybě: There are currently insufficient resources available to create [or extend] a volume in this region. Please retry the operation. If the problem persists, contact Support.		 Tato chyba značí, že v oblasti není k dispozici dostatek prostředků k vytvoření nebo změně velikosti svazků.
Vyzkoušejte jedno z následujících alternativních řešení:
  • Vytvořte svazek pod novou virtuální sítí. Tím se zabrání dosažení limitů prostředků souvisejících se sítí.
  • Zkuste to znovu za nějakou dobu. Prostředky mohly být v přechodném období uvolněny v clusteru, oblasti nebo zóně.
Nedostatek kapacity úložiště při vytváření svazku s síťovými funkcemi nastavenými na Standard.
Zpráva o chybě: No storage available with Standard network features, for the provided VNet.		 Tato chyba značí, že v oblasti není k dispozici dostatek prostředků k vytvoření svazků se síťovými funkcemi Standard .
Vyzkoušejte jedno z následujících alternativních řešení:
  • Pokud Standard síťové funkce nejsou povinné, vytvořte svazek se síťovými funkcemi Basic .
  • Zkuste vytvořit svazek pod novou virtuální sítí. Tím se zabrání dosažení limitů prostředků souvisejících se sítí.
  • Zkuste to znovu za nějakou dobu. Prostředky mohly být v přechodném období uvolněny v clusteru, oblasti nebo zóně.

Upozornění protokolu aktivit pro svazky

Upozornění Řešení
Operace Microsoft.NetApp/netAppAccounts/capacityPools/volumes/ScaleUp zobrazí upozornění:
Percentage Volume Consumed Size reached 90%		 Využitá velikost svazku Azure NetApp Files dosáhla 90 % kvóty svazku. Brzy byste měli změnit velikost svazku .

Další kroky