Nota
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare ad accedere o modificare le directory.
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare a modificare le directory.
Questo articolo illustra come risolvere i problemi che possono verificarsi quando si usa un'identità gestita con una distribuzione di Sincronizzazione file di Azure.
Controllare se il servizio di sincronizzazione archiviazione usa un'identità gestita assegnata dal sistema
Per verificare se il servizio di sincronizzazione archiviazione usa un'identità gestita assegnata dal sistema, eseguire il comando seguente da una finestra di PowerShell con privilegi elevati:
Get-AzStorageSyncService -ResourceGroupName <string> -StorageSyncServiceName <string>
Verificare che il valore della proprietà UseIdentity sia True nell'output del comando. Se il valore è False, il servizio di sincronizzazione archiviazione usa chiavi condivise per l'autenticazione nelle condivisioni file di Azure.
Controllare se un server registrato è configurato per l'uso di un'identità gestita assegnata dal sistema
Per verificare se un server registrato è configurato per l'uso di un'identità gestita assegnata dal sistema, eseguire il comando seguente da una finestra di PowerShell con privilegi elevati:
Get-AzStorageSyncServer -ResourceGroupName <string> -StorageSyncServiceName <string>
Verificare che la ApplicationId proprietà abbia un GUID che indica che il server è configurato per l'uso di un'identità gestita assegnata dal sistema. Quando il server usa un'identità gestita assegnata dal sistema, il valore della ActiveAuthType proprietà viene aggiornato a ManagedIdentity. Se il valore è Certificate, il server usa chiavi condivise per l'autenticazione nelle condivisioni file di Azure.
Note
Dopo aver configurato un server per l'uso di un'identità gestita assegnata dal sistema, possono essere necessari fino a 15 minuti prima che il server usi l'identità gestita assegnata dal sistema per l'autenticazione al servizio di sincronizzazione archiviazione e alle condivisioni file di Azure.
Il cmdlet Set-AzStorageSyncServiceIdentity non configura un server per l'uso di un'identità gestita assegnata dal sistema
Se l'esecuzione del Set-AzStorageSyncServiceIdentity cmdlet non configura un server registrato per l'uso di un'identità gestita assegnata dal sistema, è probabile che il server non abbia un'identità gestita assegnata dal sistema.
Per abilitare un'identità gestita assegnata dal sistema in un server registrato in cui è installato l'agente sincronizzazione file di Azure v20, seguire questa procedura:
Se il server è ospitato all'esterno di Azure, deve essere un server abilitato per Azure Arc per avere un'identità gestita assegnata dal sistema. Per altre informazioni sui server abilitati per Azure Arc e su come installare l'agente di Azure Connected Machine, vedere Panoramica dei server abilitati per Azure Arc.
- Se il server è già abilitato per Azure Arc, eseguire il
azcmagent showcomando da PowerShell e verificare che lo stato dell'agente sia connesso. Se lo stato dell'agente è disconnesso, risolvere i problemi di connessione dell'agente di Azure Connected Machine.
- Se il server è già abilitato per Azure Arc, eseguire il
Se il server è una macchina virtuale di Azure, abilitare un'identità gestita assegnata dal sistema nella macchina virtuale.
Controllare se un server registrato ha un'identità gestita assegnata dal sistema
Per verificare se un server registrato dispone di un'identità gestita assegnata dal sistema, eseguire il comando PowerShell seguente:
Get-AzStorageSyncServer -ResourceGroupName <string> -StorageSyncServiceName <string>
Verificare che la LatestApplicationId proprietà abbia un GUID che indica che il server ha un'identità gestita assegnata dal sistema ma non è attualmente configurata per usarla.
Se la LatestApplicationId proprietà ha un GUID, eseguire di nuovo il Set-AzStorageSyncServiceIdentity cmdlet per configurare il server in modo da usare un'identità gestita assegnata dal sistema. Verificare che la ApplicationId proprietà abbia un GUID che indica che il server è configurato per l'uso dell'identità gestita. Dopo che il server usa l'identità gestita assegnata dal sistema, il valore della ActiveAuthType proprietà viene aggiornato a ManagedIdentity.
Impossibile eliminare un servizio di sincronizzazione archiviazione
Quando si tenta di eliminare un servizio di sincronizzazione archiviazione, è possibile che venga visualizzato l'errore seguente:
Impossibile eliminare il Servizio di Sincronizzazione dell'Archiviazione nella regione <region>. Il servizio di sincronizzazione archiviazione elimina gli snapshot non più necessari. Riprovare tra qualche ora.
Questo problema si verifica quando la condivisione file ha snapshot di Sincronizzazione file di Azure inutilizzate. Per ridurre i costi, gli snapshot inutilizzati vengono eliminati prima di rimuovere il servizio di sincronizzazione archiviazione. Il numero di snapshot varia a seconda delle dimensioni del set di dati. Se non è possibile eliminare il servizio di sincronizzazione archiviazione dopo alcune ore, riprovare il giorno successivo.
Errore "Non è stato possibile eseguire l'operazione di identità della risorsa" durante la creazione di un servizio di sincronizzazione archiviazione
Quando si crea un servizio di sincronizzazione archiviazione, è possibile che venga visualizzato l'errore seguente:
Impossibile eseguire l'operazione di identità della risorsa.
Questo problema si verifica in uno degli scenari seguenti:
Si elimina un servizio di sincronizzazione archiviazione e quindi si tenta di ricrearlo usando lo stesso nome all'interno dello stesso tenant.
Un'applicazione principale del servizio in conflitto potrebbe essere ancora presente in Microsoft Entra ID.
Questa app è stata probabilmente creata durante il provisioning iniziale del servizio di sincronizzazione archiviazione e verrà eliminata automaticamente entro 24 ore.
Per risolvere questo problema, usare uno dei metodi seguenti:
Creare il servizio di sincronizzazione archiviazione con un nome diverso da quello usato in precedenza.
Attendi che la pulizia automatica dell'applicazione principale del servizio in conflitto sia completata oppure eliminala manualmente.
Se il servizio non è urgentemente necessario, attendere il completamento di questa pulizia automatica. Se è necessaria una risoluzione immediata, è possibile eliminare manualmente l'app in conflitto:
- Vai alla Interfaccia di amministrazione di Microsoft Entra.
- Passare ad Applicazioni aziendali.
- Cercare il nome dell'app corrispondente al Servizio di sincronizzazione dell'archiviazione.
- Selezionare l'app e quindi elimina.
Autorizzazioni necessarie per accedere a un account di archiviazione e a una condivisione file di Azure
Quando Azure File Sync è configurata per l'uso di un'identità gestita, gli endpoint cloud e gli endpoint server necessitano delle seguenti autorizzazioni per accedere a un account di archiviazione di Azure e a una condivisione file di Azure.
endpoint del cloud
- L'identità gestita del servizio di sincronizzazione archiviazione deve essere assegnata al ruolo di Collaboratore dell'account di archiviazione.
- L'identità gestita del servizio di sincronizzazione archiviazione deve essere membro del ruolo Collaboratore privilegiato per i dati dei file di archiviazione in una condivisione file di Azure.
Endpoint del server
- L'identità gestita del server registrato deve essere membro del ruolo Collaboratore con privilegi per i dati dei file di archiviazione in una condivisione file di Azure.
Quando si esegue il Set-AzStorageSyncServiceIdentity cmdlet o si creano nuovi endpoint cloud e server, vengono concesse queste autorizzazioni. Se queste autorizzazioni vengono rimosse, le operazioni hanno esito negativo con gli errori elencati nella sezione seguente.
Problemi comuni
Questa sezione illustra i problemi comuni che si verificano quando le autorizzazioni o le impostazioni di configurazione non sono corrette.
La sincronizzazione non riesce con l'errore 0x80c8305f (ECS_E_EXTERNAL_STORAGE_ACCOUNT_AUTHORIZATION_FAILED)
| Error | Code |
|---|---|
| HRESULT | 0x80c8305f |
| HRESULT (decimale) | -2134364065 |
| Stringa di errore | ECS_E_EXTERNAL_STORAGE_ACCOUNT_AUTHORIZATION_FAILED |
| Rimedio necessario | Yes |
Questo problema si verifica quando l'identità gestita per il servizio di sincronizzazione archiviazione non ha accesso a un account di archiviazione.
Per risolvere questo problema, eseguire il comando di PowerShell seguente:
Set-AzStorageSyncCloudEndpointPermission -ResourceGroupName <string> -StorageSyncServiceName <string> -SyncGroupName <string> -Name <string>
Note
Il -Name parametro è il nome dell'endpoint cloud. Si tratta di un GUID, non del nome descrittivo visualizzato nel portale di Azure. Per ottenere il nome dell'endpoint cloud, eseguire il cmdlet Get-AzStorageSyncCloudEndpoint .
La sincronizzazione fallisce con errore 0x80c86053 (ECS_E_AZURE_FILE_SHARE_NOT_ACCESSIBLE)
| Error | Code |
|---|---|
| HRESULT | 0x80c86053 |
| HRESULT (decimale) | -2134351789 |
| Stringa di errore | ECS_E_AZURE_FILE_SHARE_NOT_ACCESSIBLE |
| Rimedio necessario | Yes |
Questo problema si verifica quando l'identità gestita per il servizio di sincronizzazione archiviazione non ha accesso a una condivisione file di Azure.
Per risolvere questo problema, eseguire il comando di PowerShell seguente:
Set-AzStorageSyncCloudEndpointPermission -ResourceGroupName <string> -StorageSyncServiceName <string> -SyncGroupName <string> -Name <string>
Note
Il -Name parametro è il nome dell'endpoint cloud. Si tratta di un GUID, non del nome descrittivo visualizzato nel portale di Azure. Per ottenere il nome dell'endpoint cloud, eseguire il cmdlet Get-AzStorageSyncCloudEndpoint .
Impossibile sincronizzare i file con errore 0x80c86063 (ECS_E_AZURE_AUTHORIZATION_PERMISSION_MISMATCH)
| Error | Code |
|---|---|
| HRESULT | 0x80c86063 |
| HRESULT (decimale) | -2134351773 |
| Stringa di errore | ECS_E_AZURE_AUTHORIZATION_PERMISSION_MISMATCH |
| Rimedio necessario | Yes |
Questo problema si verifica quando l'identità gestita per il server registrato non ha accesso a una condivisione file di Azure.
Per risolvere questo problema, eseguire il comando di PowerShell seguente:
Set-AzStorageSyncServerEndpointPermission -ResourceGroupName <string> -StorageSyncServiceName <string> -SyncGroupName <string> -Name <string>
Note
Il -Name parametro è il nome dell'endpoint server. Si tratta di un GUID, non del nome descrittivo visualizzato nel portale di Azure. Per ottenere il nome dell'endpoint server, eseguire il cmdlet Get-AzStorageSyncServerEndpoint .
La sessione di sincronizzazione ha esito negativo con l'errore di ECS_E_AUTH_IDENTITY_NOT_FOUND
L'errore ECS_E_AUTH_IDENTITY_NOT_FOUND si verifica quando l'identità gestita del server usata per comunicare con il servizio Sincronizzazione file di Azure è stata modificata, ma il servizio Sincronizzazione file di Azure prevede ancora quello precedente, causando l'esito negativo dell'autenticazione. Questo errore può verificarsi anche se le identità gestite vengono usate in una configurazione tra tenant. Sincronizzazione file di Azure non supporta le identità gestite tra tenant, pertanto i tentativi di autenticazione con un'identità gestita da un tenant diverso avranno esito negativo e restituiranno l'errore ECS_E_AUTH_IDENTITY_NOT_FOUND.
È possibile identificare questo problema controllando l'ID evento 9530 nel registro eventi di telemetria all'interno del Visualizzatore eventi. Questo evento indica che il applicationId dell'identità gestita è cambiato.
Questo problema si verifica spesso nelle situazioni seguenti:
- Eliminazione e ricreazione delle risorse di Azure Arc.
- Disattivare e quindi riabilitare l'identità gestita assegnata dal sistema in una macchina virtuale di Azure.
Quando l'identità gestita cambia, l'agente sincronizzazione file tenta di usare la nuova identità, ma il servizio Sincronizzazione file di Azure è ancora configurato per autorizzare quello precedente. Questa mancata corrispondenza causa l'esito negativo delle richieste e la restituzione dell'errore ECS_E_AUTH_IDENTITY_NOT_FOUND .
Per risolvere il problema:
Assicurarsi che il server sia configurato per l'uso di un'identità gestita.
Per verificare questa configurazione:
- Controllare i dettagli delle impostazioni>identità gestite nel servizio di sincronizzazione dell'archivio o
- Eseguire il comando PowerShell seguente:
Get-AzStorageSyncServer -ResourceGroupName <ResourceGroupName> -StorageSyncServiceName <StorageSyncServiceName>
Note
Questo errore può verificarsi se il server usa l'identità gestita o l'autenticazione basata su certificati. È quindi importante verificare il tipo di identità.
Se il server usa l'identità gestita e l'identità è stata modificata, eseguire il comando seguente per aggiornare la registrazione del server:
Set-AzStorageSyncServer -ResourceGroupName <ResourceGroupName> -StorageSyncServiceName <StorageSyncServiceName> -Identity
Il cmdlet Test-NetworkConnectivity ha esito negativo e viene visualizzato l'errore 0x80190193 (HTTP_E_STATUS_FORBIDDEN)
Questo problema si verifica quando l'identità gestita per il server registrato non ha accesso a una condivisione file di Azure.
Per risolvere questo problema, eseguire il comando di PowerShell seguente:
Set-AzStorageSyncServerEndpointPermission -ResourceGroupName <string> -StorageSyncServiceName <string> -SyncGroupName <string> -Name <string>
Note
Il -Name parametro è il nome dell'endpoint server. Si tratta di un GUID, non del nome descrittivo visualizzato nel portale di Azure. Per ottenere il nome dell'endpoint server, eseguire il cmdlet Get-AzStorageSyncServerEndpoint .
Il cmdlet Test-NetworkConnectivity ha esito negativo e viene visualizzato l'errore 0x80131500 (COR_E_EXCEPTION)
Questo problema si verifica quando l'opzione Consenti ai servizi di Azure nell'elenco dei servizi attendibili di accedere a questa eccezione dell'account di archiviazione non è abilitata in un account di archiviazione. Per risolvere questo problema, abilitare questa eccezione seguendo le istruzioni riportate in Concedere l'accesso ai servizi di Azure attendibili e limitare l'accesso all'endpoint pubblico dell'account di archiviazione a reti virtuali specifiche.
Contattaci per ricevere assistenza
In caso di domande, è possibile porre domande al supporto della community di Azure. È possibile anche inviare un feedback sul prodotto al feedback della community di Azure.
Configurazioni tra tenant non supportate
Le topologie tra tenant in cui la risorsa server (server abilitato per Arc o macchina virtuale di Azure) e il servizio di sincronizzazione archiviazione si trovano in tenant Microsoft Entra diversi non sono supportati. Identità gestita e Azure RBAC richiedono token emessi dallo stesso tenant; l'autorizzazione fra tenant ha esito negativo in questo scenario. Non provare configurazioni cross-tenant.
Mitigazione: Allineare il Servizio di Sincronizzazione dell'Archiviazione, l'identità delle risorse del server, le assegnazioni RBAC dell'account di archiviazione e l'identità gestita allo stesso tenant, quindi riprovare.
Note
Questo requisito si applica sia ai server abilitati per Arc che alle macchine virtuali di Azure.