Compartilhar via

Solucionar erros em volumes do Azure NetApp Files

  • Artigo

Este artigo descreve as mensagens de erro e as resoluções que podem ajudá-lo a solucionar problemas de volumes no Azure NetApp Files.

Erros para volumes SMB e de protocolo duplo

Condições de erro Resoluções
A criação de volume SMB ou de protocolo duplo falha com o seguinte erro:
{"code":"DeploymentFailed","message":"At least one resource deployment operation failed. Please list deployment operations for details. Please see https://aka.ms/DeployOperations for usage details.","details":[{"code":"InternalServerError", "message":"Error when creating - Could not query DNS server. Verify that the network configuration is correct and that DNS servers are available."}]}		 Esse erro indica que o DNS não está ao alcance.
Considere as seguintes soluções:
  • Verifique se o AD DS e o volume estão sendo implantados na mesma região.
  • Verifique se o AD DS e o volume estão usando a mesma VNet. Se estiverem usando VNETs diferentes, verifique se as VNets estão emparelhadas entre si. Consulte Diretrizes para planejamento de rede do Azure NetApp Files.
  • O servidor DNS pode ter grupos de segurança de rede (NSGs) aplicados. Como tal, ele não permite que o tráfego flua. Nesse caso, abra os NSGs para o DNS ou o AD para se conectar a várias portas. Para requisitos de porta, consulte Requisitos para conexões do Active Directory.

As mesmas soluções se aplicam aos Serviços de Domínio do Microsoft Entra. Os Serviços de Domínio Microsoft Entra devem ser implantados na mesma região. A VNet deve estar na mesma região ou emparelhada com a VNet usada pelo volume.
A criação de volume SMB ou de protocolo duplo falha com o seguinte erro:
{"code":"DeploymentFailed","message":"At least one resource deployment operation failed. Please list deployment operations for details. Please see https://aka.ms/DeployOperations for usage details.","details":[{"code":"InternalServerError", "message":"Error when creating - Failed to create the Active Directory machine account \"SMBTESTAD-C1C8\". Reason: Kerberos Error: Invalid credentials were given Details: Error: Machine account creation procedure failed\n [ 563] Loaded the preliminary configuration.\n**[ 670] FAILURE: Could not authenticate as 'test@contoso.com':\n** Unknown user (KRB5KDC_ERR_C_PRINCIPAL_UNKNOWN)\n. "}]}
  • Certifique-se de que o nome de usuário inserido esteja correto.
  • Verifique se o usuário faz parte do grupo de administradores que tem privilégio para criar contas de computador.
  • Se utilizar os Serviços de Domínio Microsoft Entra, certifique-se de que o utilizador faz parte do grupo Azure AD DC AdministratorsMicrosoft Entra.
A criação de volume SMB ou de protocolo duplo falha com o seguinte erro:
{"code":"DeploymentFailed","message":"At least one resource deployment operation failed. Please list deployment operations for details. Please see https://aka.ms/DeployOperations for usage details.","details":[{"code":"InternalServerError", "message":"Error when creating - Failed to create the Active Directory machine account \"SMBTESTAD-A452\". Reason: Kerberos Error: Pre-authentication information was invalid Details: Error: Machine account creation procedure failed\n [ 567] Loaded the preliminary configuration.\n [ 671] Successfully connected to ip 10.x.x.x, port 88 using TCP\n**[ 1099] FAILURE: Could not authenticate as\n** 'user@contoso.com': CIFS server account password does\n** not match password stored in Active Directory\n** (KRB5KDC_ERR_PREAUTH_FAILED)\n. "}]}		 Certifique-se de que a senha inserida para ingressar na conexão do AD esteja correta.
A criação de volume SMB ou de protocolo duplo falha com o seguinte erro:
{"code":"DeploymentFailed","message":"At least one resource deployment operation failed. Please list deployment operations for details. Please see https://aka.ms/DeployOperations for usage details.","details":[{"code":"InternalServerError","message":"Error when creating - Failed to create the Active Directory machine account \"SMBTESTAD-D9A2\". Reason: SecD Error: ou not found Details: Error: Machine account creation procedure failed\n [ 561] Loaded the preliminary configuration.\n [ 665] Successfully connected to ip 10.x.x.x, port 88 using TCP\n [ 1039] Successfully connected to ip 10.x.x.x, port 389 using TCP\n**[ 1147] FAILURE: Specifed OU 'OU=AADDC Com' does not exist in\n** contoso.com\n. "}]}		 Certifique-se de que o caminho da UO especificado para ingressar na conexão do AD esteja correto. Se você usar os Serviços de Domínio Microsoft Entra, verifique se o caminho da unidade organizacional é OU=AADDC Computers.
A criação de volume SMB ou de protocolo duplo falha com o seguinte erro:
Failed to create the Active Directory machine account \"SMB-ANF-VOL. Reason: LDAP Error: Local error occurred Details: Error: Machine account creation procedure failed. [nnn] Loaded the preliminary configuration. [nnn] Successfully connected to ip 10.x.x.x, port 88 using TCP [nnn] Successfully connected to ip 10.x.x.x, port 389 using [nnn] Entry for host-address: 10.x.x.x not found in the current source: FILES. Ignoring and trying next available source [nnn] Source: DNS unavailable. Entry for host-address:10.x.x.x found in any of the available sources\n*[nnn] FAILURE: Unable to SASL bind to LDAP server using GSSAPI: local error [nnn] Additional info: SASL(-1): generic failure: GSSAPI Error: Unspecified GSS failure. Minor code may provide more information (Cannot determine realm for numeric host address) [nnn] Unable to connect to LDAP (Active Directory) service on contoso.com (Error: Local error) [nnn] Unable to make a connection (LDAP (Active Directory):contosa.com, result: 7643. 		O registro de ponteiro (PTR) do computador host do AD pode estar ausente no servidor DNS. Você precisa criar uma zona de pesquisa inversa no servidor DNS e adicionar um registro PTR do computador host do AD nessa zona de pesquisa inversa.
A criação de volume SMB ou de protocolo duplo falha com o seguinte erro:
Failed to create the Active Directory machine account \"SMB-ANF-VOL\". Reason: Kerberos Error: KDC has no support for encryption type Details: Error: Machine account creation procedure failed [nnn]Loaded the preliminary configuration. [nnn]Successfully connected to ip 10.x.x.x, port 88 using TCP [nnn]FAILURE: Could not authenticate as 'contosa.com': KDC has no support for encryption type (KRB5KDC_ERR_ETYPE_NOSUPP) 		Certifique-se de que a criptografia AES esteja habilitada tanto na conexão do Active Directory quanto para a conta de serviço.
A criação de volume SMB ou de protocolo duplo falha com o seguinte erro:
Failed to create the Active Directory machine account \"SMB-NTAP-VOL\". Reason: LDAP Error: Strong authentication is required Details: Error: Machine account creation procedure failed\n [ 338] Loaded the preliminary configuration.\n [ nnn] Successfully connected to ip 10.x.x.x, port 88 using TCP\n [ nnn ] Successfully connected to ip 10.x.x.x, port 389 using TCP\n [ 765] Unable to connect to LDAP (Active Directory) service on\n dc51.area51.com (Error: Strong(er) authentication\n required)\n*[ nnn] FAILURE: Unable to make a connection (LDAP (Active\n* Directory):contoso.com), result: 7609\n. "		 A opção de assinatura LDAP não está selecionada, mas o cliente do AD tem assinatura LDAP. Habilite a assinatura LDAP e tente novamente.
A criação do volume SMB falha com o seguinte erro:
Failed to create the Active Directory machine account. Reason: LDAP Error: Intialization of LDAP library failed Details: Error: Machine account creation procedure failed		 Esse erro ocorre porque a conta de serviço ou de usuário usada nas conexões do Azure NetApp Files Active Directory não tem privilégios suficientes para criar objetos de computador ou fazer modificações no objeto de computador recém-criado.
Para resolver o problema, você deve conceder maior privilégio à conta que está sendo usada. Você pode aplicar uma função padrão com privilégios suficientes. Também é possível delegar privilégios adicionais ao usuário, à conta de serviço ou a um grupo do qual ele faz parte.

Erros para volumes de protocolo duplo

Condições de erro Resoluções
O LDAP sobre TLS está habilitado e a criação de volume de protocolo duplo falha com o erro This Active Directory has no Server root CA Certificate. Se esse erro ocorrer quando você estiver criando um volume de protocolo duplo, certifique-se de que o certificado CA raiz seja carregado em sua conta do NetApp.
A criação de volume de protocolo duplo falha com o erro Failed to validate LDAP configuration, try again after correcting LDAP configuration. O registro de ponteiro (PTR) do computador host do AD pode estar ausente no servidor DNS. Você precisa criar uma zona de pesquisa inversa no servidor DNS e adicionar um registro PTR do computador host do AD nessa zona de pesquisa inversa.
Por exemplo, suponha que o endereço IP do computador do AD seja 10.x.x.x, o nome do host do computador do AD (como encontrado usando o comando hostname) seja AD1 e que o nome de domínio seja contoso.com. O registro PTR adicionado à zona de pesquisa inversa precisa ser 10.x.x.x ->contoso.com.
A criação de volume de protocolo duplo falha com o erro Failed to create the Active Directory machine account \\\"TESTAD-C8DD\\\". Reason: Kerberos Error: Pre-authentication information was invalid Details: Error: Machine account creation procedure failed\\n [ 434] Loaded the preliminary configuration.\\n [ 537] Successfully connected to ip 10.x.x.x, port 88 using TCP\\n**[ 950] FAILURE. Esse erro indica que a senha do AD está incorreta quando Active Directory é unida à conta do NetApp. Atualize a conexão do AD com a senha correta e tente novamente.
A criação de volume de protocolo duplo falha com o erro Could not query DNS server. Verify that the network configuration is correct and that DNS servers are available. Esse erro indica que o DNS não está ao alcance. Isso pode ter acontecido devido a um IP do DNS incorreto ou problema de rede. Verifique o IP do DNS inserido na conexão do AD e certifique-se de que o IP esteja correto.
Além disso, certifique-se de que o AD e o volume estejam na mesma região e na mesma VNet. Se estiverem em VNets diferentes, certifique-se de que o emparelhamento da VNet esteja estabelecido entre os dois VNets.
Confira Diretrizes para planejamento de rede do Azure NetApp Files para obter detalhes.
A permissão é um erro negado ao montar um volume de protocolo duplo. Um volume de protocolo duplo dá suporte aos protocolos NFS e SMB. Quando você tenta acessar o volume montado no sistema UNIX, o sistema tenta mapear o usuário do UNIX que você usa para um usuário do Windows.
Verifique se os atributos POSIX estão definidos corretamente no objeto de usuário do AD DS.

Erros para volumes Kerberos NFSv4.1

Condições de erro Resoluções
Error allocating volume - Export policy rules does not match kerberosEnabled flag O Azure NetApp Files não dá suporte a Kerberos para volumes NFSv3. O Kerberos tem suporte apenas para o protocolo NFSv 4.1.
This NetApp account has no configured Active Directory connections Configure o Active Directory para a conta do NetApp com os campos IP do KDC e Nome do Servidor do AD. Veja Configurar o portal do Azure para obter instruções.
Mismatch between KerberosEnabled flag value and ExportPolicyRule's access type parameter values. O Azure NetApp Files não dá suporte à conversão de um volume NFSv4.1 simples para o volume Kerberos NFSv4.1 e vice-versa.
mount.nfs: access denied by server when mounting volume <SMB_SERVER_NAME-XXX.DOMAIN_NAME>/<VOLUME_NAME>
Exemplo: smb-test-64d9.contoso.com:/nfs41-vol101
  1. Verifique se os registros A/PTR estão configurados corretamente e se existem no Active Directory para o nome do servidor smb-test-64d9.contoso.com.
    No cliente NFS, se nslookup de smb-test-64d9.contoso.com for resolvido para o endereço IP IP1 (ou seja, 10.1.1.68), o nslookup do IP1 deverá resolver para apenas um registro (ou seja, smb-test-64d9.contoso.com). nslookup do IP1 não deve ser resolvido para vários nomes.
  2. Defina o AES-256 para a conta do computador NFS do tipo NFS-<Smb NETBIOS NAME>-<few random characters> no AD usando o PowerShell ou a interface do usuário.
    Exemplos de comandos:
    • Set-ADComputer <NFS_MACHINE_ACCOUNT_NAME> -KerberosEncryptionType AES256
    • Set-ADComputer NFS-SMB-TEST-64 -KerberosEncryptionType AES256
  3. Verifique se o horário do cliente NFS, do AD e do software de armazenamento Azure NetApp Files está sincronizado entre si e está dentro de um intervalo de distorção de cinco minutos.
  4. Obtenha o tíquete do Kerberos no cliente NFS usando o comando kinit <administrator>.
  5. Reduza o nome do host do cliente NFS para menos de 15 caracteres e execute novamente a junção de realm.
  6. Reinicie o cliente NFS e o serviço rpc-gssd da seguinte maneira. Os nomes exatos dos serviços podem variar em algumas distribuições Linux.
    A maioria das distribuições atuais usa os mesmos nomes de serviço. Execute o seguinte como root ou com sudo
    systemctl enable nfs-client.target && systemctl start nfs-client.target
    (Reinicie o rpc-gssd serviço.)
    systemctl restart rpc-gssd.service
mount.nfs: an incorrect mount option was specified O problema pode estar relacionado ao problema do cliente NFS. Reiniciar o cliente NFS.
Hostname lookup failed Você precisa criar uma zona de pesquisa inversa no servidor DNS e adicionar um registro PTR do computador host do AD nessa zona de pesquisa inversa.
Por exemplo, suponha que o endereço IP do computador do AD seja 10.1.1.4, o nome do host do computador do AD (como encontrado usando o comando de nome do host) seja AD1 e que o nome de domínio seja contoso.com. O registro PTR adicionado à zona de pesquisa inversa deve ser 10.1.1.4 -> AD1.contoso.com.
Volume creation fails due to unreachable DNS server Duas soluções possíveis estão disponíveis:
  • Esse erro indica que o DNS não está ao alcance. O motivo pode ser um IP DNS incorreto ou um problema de rede. Verifique o IP do DNS inserido na conexão do AD e certifique-se de que o IP esteja correto.
  • Confirme que o AD e o volume estejam na mesma região e na mesma VNet. Caso eles estejam em VNets diferentes, estabeleça um emparelhamento entre as duas VNets.
A criação do volume Kerberos do NFSv4.1 falha com um erro semelhante ao exemplo a seguir:
Failed to enable NFS Kerberos on LIF "svm_e719cde8d6d0413fbd6adac0636cdecb_7ad0b82e_73349613". Failed to bind service principal name on LIF "svm_e719cde8d6d0413fbd6adac0636cdecb_7ad0b82e_73349613". SecD Error: server create fail join user auth.		 O IP do KDC está incorreto, e o volume Kerberos foi criado. Atualize o IP KDC com um endereço correto.
Depois de atualizar o IP do KDC, o erro não vai desaparecer. Você precisará recriar o volume.

Erros para volumes LDAP

Condições de erro Resoluções
Erro ao criar um volume SMB com ldapEnabled como true:
Error Message: ldapEnabled option is only supported with NFS protocol volume. 		Não é possível criar um volume SMB com o LDAP habilitado.
Crie volumes SMB com o LDAP desabilitado.
Erro ao atualizar o valor do parâmetro ldapEnabled para um volume existente:
Error Message: ldapEnabled parameter is not allowed to update		 Não é possível modificar a configuração de opção LDAP após criar o volume.
Não atualize a configuração de opção LDAP em um volume já criado. Veja mais detalhes em Configurar o AD DS LDAP com grupos estendidos para acesso ao volume NFS.
Erro ao criar um volume NFS habilitado para LDAP:
Could not query DNS server
Sample error message:
"log": time="2020-10-21 05:04:04.300" level=info msg=Res method=GET url=/v2/Volumes/070d0d72-d82c-c893-8ce3-17894e56cea3 x-correlation-id=9bb9e9fe-abb6-4eb5-a1e4-9e5fbb838813 x-request-id=c8032cb4-2453-05a9-6d61-31ca4a922d85 xresp="200: {\"created\":\"2020-10-21T05:02:55.000Z\",\"lifeCycleState\":\"error\",\"lifeCycleStateDetails\":\"Error when creating - Could not query DNS server. Verify that the network configuration is correct and that DNS servers are available.\",\"name\":\"smb1\",\"ownerId\ \":\"8c925a51-b913-11e9-b0de-9af5941b8ed0\",\"region\":\"westus2stage\",\"volumeId\":\"070d0d72-d82c-c893-8ce3-		 O erro ocorre porque o DNS está inacessível.
  • Verifique se você configurou o site correto (escopo do site) para o Azure NetApp Files.
  • O motivo pelo qual o DNS está inacessível pode ser um erro no endereço IP do DNS ou problemas de rede. Verifique se o endereço IP do DNS inserido na conexão do AD está correto.
  • O AD e o volume precisam estar na mesma região e na mesma VNet. Caso eles estejam em VNets diferentes, estabeleça um emparelhamento entre as duas VNets.
Erro ao criar volume a partir de um snapshot:
Aggregate does not exist		 No Azure NetApp Files, não é possível usar o instantâneo de um volume com o LDAP desabilitado para provisionar um novo volume com o LDAP habilitado.
Crie um volume com o LDAP desabilitado usando o instantâneo fornecido.
Quando apenas IDs de grupo primário são vistos e o usuário pertence a grupos auxiliares também. Isso é causado por um tempo limite de consulta:
-Use a opção de escopo de pesquisa LDAP.
-Use servidores preferenciais do Active Directory para cliente LDAP.
Error describing volume - Entry doesn't exist for username: <username>, please try with a valid username -Verifique se o usuário está presente no servidor LDAP.
-Verifique se o servidor LDAP está íntegro.

Erros de alocação de volume

Quando você cria um novo volume ou redimensiona um volume existente no Azure NetApp Files, o Microsoft Azure aloca recursos de armazenamento e de rede à assinatura. Você pode enfrentar ocasionalmente falhas de alocação de recursos devido ao crescimento sem precedentes da demanda por serviços do Azure em regiões específicas.

Esta seção explica as causas de algumas das falhas de alocação mais comuns e sugere possíveis correções.

Condições de erro Resoluções
Erro ao criar novos volumes ou redimensionar volumes existentes.
Mensagem de erro: There was a problem locating [or extending] storage for the volume. Please retry the operation. If the problem persists, contact Support.		 O erro indica que o serviço encontrou um erro ao tentar alocar recursos para essa solicitação.
Repita a operação após algum tempo. Se o problema persistir, entre em contato com o suporte.
Capacidade de armazenamento ou de rede insuficiente em uma região para volumes regulares.
Mensagem de erro: There are currently insufficient resources available to create [or extend] a volume in this region. Please retry the operation. If the problem persists, contact Support.		 O erro indica que há recursos insuficientes disponíveis na região para criar ou redimensionar volumes.
Tente uma das seguintes soluções alternativas:
  • Crie o volume em uma nova VNet. Isso evitará atingir limites de recursos relacionados à rede.
  • Aguarde um pouco e tente novamente. Os recursos podem ter sido liberados no cluster, região ou zona durante este período.
Capacidade de armazenamento insuficiente ao criar um volume com recursos de rede definidos como Standard.
Mensagem de erro: No storage available with Standard network features, for the provided VNet.		 O erro indica que há recursos insuficientes disponíveis na região para criar volumes com recursos de rede Standard.
Tente uma das seguintes soluções alternativas:
  • Se os recursos de rede Standard não forem necessários, crie o volume com recursos de rede Basic.
  • Tente criar o volume em uma nova VNet. Isso evitará atingir limites de recursos relacionados à rede
  • Aguarde um pouco e tente novamente. Os recursos podem ter sido liberados no cluster, região ou zona durante este período.

Avisos do log de atividades para volumes

Warnings Resoluções
A Microsoft.NetApp/netAppAccounts/capacityPools/volumes/ScaleUp operação exibe um aviso:
Percentage Volume Consumed Size reached 90%		 o tamanho usado de um volume do Azure NetApp Files atingiu 90% da cota de volume. Você deverá redimensionar o volume em breve.

Próximas etapas