Resolver erros de volume do Azure NetApp Files

Este artigo descreve mensagens de erro e resoluções que podem ajudá-lo a resolver problemas Azure NetApp Files volumes.

Erros para volumes de SMB e duplo protocolo

Condições de erro Resoluções
A criação de volume SMB ou dual-protocol falha com o seguinte erro:
{"code":"DeploymentFailed","message":"At least one resource deployment operation failed. Please list deployment operations for details. Please see https://aka.ms/DeployOperations for usage details.","details":[{"code":"InternalServerError", "message":"Error when creating - Could not query DNS server. Verify that the network configuration is correct and that DNS servers are available."}]}
Este erro indica que o DNS não está acessível.
Considere as seguintes soluções:
  • Verifique se a AD DS e o volume estão a ser implantados na mesma região.
  • Verifique se a AD DS e o volume estão a utilizar o mesmo VNet. Se estiverem a utilizar VNETs diferentes, confirme que estão ligadas em modo de peering entre si. Veja Diretrizes para o planeamento de rede do Azure NetApp Files.
  • O servidor DNS pode ter grupos de segurança de rede (NSGs) aplicados. Como tal, não permite que o tráfego flua. Neste caso, abra os NSGs para o DNS ou AD para ligar a várias portas. Para os requisitos de porta, veja Requisitos das ligações do Active Directory.

As mesmas soluções aplicam-se a Azure AD DS. Azure AD DS deve ser implantado na mesma região. O VNet deve estar na mesma região ou espreitar com o VNet utilizado pelo volume.
A criação de volume SMB ou dual-protocol falha com o seguinte erro:
{"code":"DeploymentFailed","message":"At least one resource deployment operation failed. Please list deployment operations for details. Please see https://aka.ms/DeployOperations for usage details.","details":[{"code":"InternalServerError", "message":"Error when creating - Failed to create the Active Directory machine account \"SMBTESTAD-C1C8\". Reason: Kerberos Error: Invalid credentials were given Details: Error: Machine account creation procedure failed\n [ 563] Loaded the preliminary configuration.\n**[ 670] FAILURE: Could not authenticate as 'test@contoso.com':\n** Unknown user (KRB5KDC_ERR_C_PRINCIPAL_UNKNOWN)\n. "}]}
  • Certifique-se de que o nome de utilizador introduzido está correto.
  • Certifique-se de que o utilizador faz parte do grupo Administrador que tem o privilégio de criar contas de máquinas.
  • Se utilizar Azure AD DS, certifique-se de que o utilizador faz parte do grupo Azure AD DC AdministratorsAzure AD .
A criação de volume SMB ou dual-protocol falha com o seguinte erro:
{"code":"DeploymentFailed","message":"At least one resource deployment operation failed. Please list deployment operations for details. Please see https://aka.ms/DeployOperations for usage details.","details":[{"code":"InternalServerError", "message":"Error when creating - Failed to create the Active Directory machine account \"SMBTESTAD-A452\". Reason: Kerberos Error: Pre-authentication information was invalid Details: Error: Machine account creation procedure failed\n [ 567] Loaded the preliminary configuration.\n [ 671] Successfully connected to ip 10.x.x.x, port 88 using TCP\n**[ 1099] FAILURE: Could not authenticate as\n** 'user@contoso.com': CIFS server account password does\n** not match password stored in Active Directory\n** (KRB5KDC_ERR_PREAUTH_FAILED)\n. "}]}
Certifique-se de que a palavra-passe inserida para a junção da ligação AD está correta.
A criação de volume SMB ou dual-protocol falha com o seguinte erro:
{"code":"DeploymentFailed","message":"At least one resource deployment operation failed. Please list deployment operations for details. Please see https://aka.ms/DeployOperations for usage details.","details":[{"code":"InternalServerError","message":"Error when creating - Failed to create the Active Directory machine account \"SMBTESTAD-D9A2\". Reason: SecD Error: ou not found Details: Error: Machine account creation procedure failed\n [ 561] Loaded the preliminary configuration.\n [ 665] Successfully connected to ip 10.x.x.x, port 88 using TCP\n [ 1039] Successfully connected to ip 10.x.x.x, port 389 using TCP\n**[ 1147] FAILURE: Specifed OU 'OU=AADDC Com' does not exist in\n** contoso.com\n. "}]}
Certifique-se de que o caminho da U especificado para a junção da ligação AD está correto. Se utilizar Azure AD DS, certifique-se de que o caminho da unidade organizacional é OU=AADDC Computers.
A criação de volume SMB ou dual-protocol falha com o seguinte erro:
Failed to create the Active Directory machine account \"SMB-ANF-VOL. Reason: LDAP Error: Local error occurred Details: Error: Machine account creation procedure failed. [nnn] Loaded the preliminary configuration. [nnn] Successfully connected to ip 10.x.x.x, port 88 using TCP [nnn] Successfully connected to ip 10.x.x.x, port 389 using [nnn] Entry for host-address: 10.x.x.x not found in the current source: FILES. Ignoring and trying next available source [nnn] Source: DNS unavailable. Entry for host-address:10.x.x.x found in any of the available sources\n*[nnn] FAILURE: Unable to SASL bind to LDAP server using GSSAPI: local error [nnn] Additional info: SASL(-1): generic failure: GSSAPI Error: Unspecified GSS failure. Minor code may provide more information (Cannot determine realm for numeric host address) [nnn] Unable to connect to LDAP (Active Directory) service on contoso.com (Error: Local error) [nnn] Unable to make a connection (LDAP (Active Directory):contosa.com, result: 7643.
O registo do ponteiro (PTR) da máquina de anfitrião AD pode estar em falta no servidor DNS. Você precisa criar uma zona de pesquisa inversa no servidor DNS e, em seguida, adicionar um registo PTR da máquina hospedeira de AD naquela zona de pesquisa inversa.
A criação de volume SMB ou dual-protocol falha com o seguinte erro:
Failed to create the Active Directory machine account \"SMB-ANF-VOL\". Reason: Kerberos Error: KDC has no support for encryption type Details: Error: Machine account creation procedure failed [nnn]Loaded the preliminary configuration. [nnn]Successfully connected to ip 10.x.x.x, port 88 using TCP [nnn]FAILURE: Could not authenticate as 'contosa.com': KDC has no support for encryption type (KRB5KDC_ERR_ETYPE_NOSUPP)
Certifique-se de que a Encriptação AES está ativada tanto na ligação Ative Directory como na conta de serviço.
A criação de volume SMB ou dual-protocol falha com o seguinte erro:
Failed to create the Active Directory machine account \"SMB-NTAP-VOL\". Reason: LDAP Error: Strong authentication is required Details: Error: Machine account creation procedure failed\n [ 338] Loaded the preliminary configuration.\n [ nnn] Successfully connected to ip 10.x.x.x, port 88 using TCP\n [ nnn ] Successfully connected to ip 10.x.x.x, port 389 using TCP\n [ 765] Unable to connect to LDAP (Active Directory) service on\n dc51.area51.com (Error: Strong(er) authentication\n required)\n*[ nnn] FAILURE: Unable to make a connection (LDAP (Active\n* Directory):contoso.com), result: 7609\n. "
A opção de assinatura LDAP não está selecionada, mas o cliente AD tem assinatura LDAP. Ativar a assinatura e a repetição da LDAP.
A criação de volume SMB falha com o seguinte erro:
Failed to create the Active Directory machine account. Reason: LDAP Error: Intialization of LDAP library failed Details: Error: Machine account creation procedure failed
Este erro ocorre porque o serviço ou conta de utilizador utilizado nas ligações Azure NetApp Files Ative Directory não tem privilégio suficiente para criar objetos de computador ou fazer modificações no objeto de computador recém-criado.
Para resolver o problema, deve conceder à conta que está a ser usada um maior privilégio. Pode aplicar uma função padrão com privilégio suficiente. Também pode delegar privilégios adicionais para o utilizador ou conta de serviço ou para um grupo do qual faz parte.

Erros para volumes de duplo protocolo

Condições de erro Resoluções
O LDAP sobre tLS está ativado e a criação de volume de duplo protocolo falha com o erro This Active Directory has no Server root CA Certificate. Se este erro ocorrer quando estiver a criar um volume de dois protocolos, certifique-se de que o certificado de CA raiz é carregado na sua conta NetApp.
A criação de volume de duplo protocolo falha com o erro Failed to validate LDAP configuration, try again after correcting LDAP configuration. O registo do ponteiro (PTR) da máquina de anfitrião AD pode estar em falta no servidor DNS. Você precisa criar uma zona de pesquisa inversa no servidor DNS e, em seguida, adicionar um registo PTR da máquina hospedeira de AD naquela zona de pesquisa inversa.
Por exemplo, assuma que o endereço IP da máquina AD é 10.x.x.x, o nome de anfitrião da máquina AD (como se encontra através do hostname comando) é AD1, e o nome de domínio é contoso.com. O registo PTR adicionado à zona de procuração inversa deve ser 10.x.x.x ->contoso.com.
A criação de volume de duplo protocolo falha com o erro Failed to create the Active Directory machine account \\\"TESTAD-C8DD\\\". Reason: Kerberos Error: Pre-authentication information was invalid Details: Error: Machine account creation procedure failed\\n [ 434] Loaded the preliminary configuration.\\n [ 537] Successfully connected to ip 10.x.x.x, port 88 using TCP\\n**[ 950] FAILURE. Este erro indica que a palavra-passe AD está incorreta quando o Ative Directory é associado à conta NetApp. Atualize a ligação AD com a palavra-passe correta e tente novamente.
A criação de volume de duplo protocolo falha com o erro Could not query DNS server. Verify that the network configuration is correct and that DNS servers are available. Este erro indica que o DNS não está acessível. A razão pode ser porque o DNS IP está incorreto, ou há um problema de networking. Verifique o DNS IP introduzido na ligação AD e certifique-se de que o IP está correto.
Além disso, certifique-se de que o AD e o volume estão na mesma região e no mesmo VNet. Se estiverem em VNETs diferentes, confirme que o peering da VNet é estabelecido entre as duas VNets.
Consulte as diretrizes para Azure NetApp Files planeamento da rede para obter mais detalhes.
É negado erro de permissão ao montar um volume de dois protocolos. Um volume de duplo protocolo suporta os protocolos NFS e SMB. Quando tenta aceder ao volume montado no sistema UNIX, o sistema tenta mapear o utilizador UNIX que utiliza para um utilizador do Windows.
Certifique-se de que os POSIX atributos estão corretamente definidos no objeto do Utilizador DS AD.

Erros nos volumes NFSv4.1 Kerberos

Condições de erro Resoluções
Error allocating volume - Export policy rules does not match kerberosEnabled flag Azure NetApp Files não suporta Kerberos para volumes NFSv3. Kerberos é apoiado apenas para o protocolo NFSv4.1.
This NetApp account has no configured Active Directory connections Configurar o Diretório Ativo para a conta NetApp com os campos KDC IP e Nome do Servidor AD. Consulte a configuração do portal do Azure para obter instruções.
Mismatch between KerberosEnabled flag value and ExportPolicyRule's access type parameter values. Azure NetApp Files não suporta a conversão de um volume NFSv4.1 simples para o volume Kerberos NFSv4.1, e vice-versa.
mount.nfs: access denied by server when mounting volume <SMB_SERVER_NAME-XXX.DOMAIN_NAME>/<VOLUME_NAME>
Exemplo: smb-test-64d9.contoso.com:/nfs41-vol101
  1. Certifique-se de que os registos A/PTR estão corretamente configurado e existem no Diretório Ativo para o nome smb-test-64d9.contoso.comdo servidor .
    No cliente NFS, se nslookup de resolver o endereço IP1 (isto é, 10.1.1.68), então nslookup o IP1 deve resolver apenas um registo (isto é, smb-test-64d9.contoso.comsmb-test-64d9.contoso.com ). nslookup do IP1 não deve resolver vários nomes.
  2. Desa estade o AES-256 para a conta da máquina NFS do tipo NFS-<Smb NETBIOS NAME>-<few random characters> em AD utilizando o PowerShell ou o UI.
    Comandos de exemplo:
    • Set-ADComputer <NFS_MACHINE_ACCOUNT_NAME> -KerberosEncryptionType AES256
    • Set-ADComputer NFS-SMB-TEST-64 -KerberosEncryptionType AES256
  3. Certifique-se de que o tempo do cliente NFS, AD e Azure NetApp Files software de armazenamento está sincronizado entre si e está dentro de um intervalo de cinco minutos.
  4. Obtenha o bilhete Kerberos no cliente NFS usando o comando kinit <administrator>.
  5. Reduza o nome de anfitrião do cliente NFS para menos de 15 caracteres e execute o reino juntando-se novamente.
  6. Reinicie o cliente NFS e o rpcgssd serviço da seguinte forma. O comando pode variar dependendo do SO.
    RHEL 7:
    service nfs restart
    service rpcgssd restart
    CentOS 8:
    systemctl enable nfs-client.target && systemctl start nfs-client.target
    Ubuntu:
    (Reiniciar o rpc-gssd serviço.)
    sudo systemctl start rpc-gssd.service
mount.nfs: an incorrect mount option was specified A questão pode estar relacionada com a questão do cliente da NFS. Reinicie o cliente da NFS.
Hostname lookup failed Você precisa criar uma zona de pesquisa inversa no servidor DNS e, em seguida, adicionar um registo PTR da máquina hospedeira de AD naquela zona de pesquisa inversa.
Por exemplo, assuma que o endereço IP da máquina AD é 10.1.1.4, o nome de anfitrião da máquina AD (como se encontra através do comando do nome de anfitrião) é AD1, e o nome de domínio é contoso.com. O registo PTR adicionado à zona de procuração inversa deve ser 10.1.1.4 -> AD1.contoso.com.
Volume creation fails due to unreachable DNS server Estão disponíveis duas soluções possíveis:
  • Este erro indica que o DNS não está acessível. A razão pode ser um IP DNS incorreto ou um problema de networking. Verifique o DNS IP introduzido na ligação AD e certifique-se de que o IP está correto.
  • Confirme que o AD e o volume estão na mesma região e na mesma VNet. Se estiverem em VNets diferentes, confirme que o peering da VNet é estabelecido entre as duas VNets.
A criação de volume kerberos falha com um erro semelhante ao seguinte exemplo:
Failed to enable NFS Kerberos on LIF "svm_e719cde8d6d0413fbd6adac0636cdecb_7ad0b82e_73349613". Failed to bind service principal name on LIF "svm_e719cde8d6d0413fbd6adac0636cdecb_7ad0b82e_73349613". SecD Error: server create fail join user auth.
O IP KDC está errado e o volume Kerberos foi criado. Atualize o IP do KDC com um endereço correto.
Depois de atualizar o IP do KDC, o erro não desaparecerá. Tens de recriar o volume.

Erros para volumes LDAP

Condições de erro Resoluções
Erro ao criar um volume SMB com ldapEnabled como verdadeiro:
Error Message: ldapEnabled option is only supported with NFS protocol volume.
Não é possível criar um volume SMB com LDAP ativado.
Criar volumes SMB com LDAP desativado.
Erro ao atualizar o valor do parâmetro ldapEnabled para um volume existente:
Error Message: ldapEnabled parameter is not allowed to update
Não é possível modificar a definição de opção LDAP após a criação de um volume.
Não atualize a definição de opção LDAP num volume criado. Consulte o Configure AD DS LDAP com grupos alargados para acesso ao volume NFS para mais detalhes.
Erro ao criar um volume NFS ativado por LDAP:
Could not query DNS server
Sample error message:
"log": time="2020-10-21 05:04:04.300" level=info msg=Res method=GET url=/v2/Volumes/070d0d72-d82c-c893-8ce3-17894e56cea3 x-correlation-id=9bb9e9fe-abb6-4eb5-a1e4-9e5fbb838813 x-request-id=c8032cb4-2453-05a9-6d61-31ca4a922d85 xresp="200: {\"created\":\"2020-10-21T05:02:55.000Z\",\"lifeCycleState\":\"error\",\"lifeCycleStateDetails\":\"Error when creating - Could not query DNS server. Verify that the network configuration is correct and that DNS servers are available.\",\"name\":\"smb1\",\"ownerId\ \":\"8c925a51-b913-11e9-b0de-9af5941b8ed0\",\"region\":\"westus2stage\",\"volumeId\":\"070d0d72-d82c-c893-8ce3-
Este erro ocorre porque o DNS é inacessível.
  • Verifique se configura o local correto (deteção do site) para Azure NetApp Files.
  • O motivo pelo qual o DNS não está acessível pode ser um endereço IP do DNS incorreto ou problemas de rede. Verifique se o endereço IP do DNS introduzido na ligação do AD está correto.
  • Confirme que o AD e o volume estão na mesma região e na mesma VNet. Se estiverem em VNets diferentes, confirme que o peering da VNet é estabelecido entre as duas VNets.
Erro ao criar volume a partir de uma imagem instantânea:
Aggregate does not exist
Azure NetApp Files não suporta o fornecimento de um novo volume, ativado pelo LDAP, a partir de um instantâneo que pertence a um volume com incapacitação LDAP.
Tente criar um novo volume com incapacitação LDAP a partir do instantâneo dado.

Erros na atribuição de volume

Quando cria um novo volume ou redimensiona um volume existente em Azure NetApp Files, o Microsoft Azure atribui recursos de armazenamento e networking à sua subscrição. Poderá ocasionalmente sofrer falhas na atribuição de recursos devido ao crescimento sem precedentes da procura de serviços Azure em regiões específicas.

Esta secção explica as causas de algumas falhas comuns da atribuição e sugere possíveis soluções.

Condições de erro Resoluções
Erro ao criar novos volumes ou redimensionar volumes existentes.
Mensagem de erro: There was a problem locating [or extending] storage for the volume. Please retry the operation. If the problem persists, contact Support.
O erro indica que o serviço teve um erro ao tentar alocar recursos para este pedido.
Repita a operação após algum tempo. Contacte o Suporte se o problema persistir.
Fora da capacidade de armazenamento ou de ligação em rede numa região para volumes regulares.
Mensagem de erro: There are currently insufficient resources available to create [or extend] a volume in this region. Please retry the operation. If the problem persists, contact Support.
O erro indica que não existem recursos suficientes disponíveis na região para criar ou redimensionar volumes.
Experimente uma das seguintes soluções:
  • Crie o volume sob um novo VNet. Ao fazê-lo, evitará atingir limites de recursos relacionados com a rede.
  • Tentar depois de algum tempo. Os recursos podem ter sido libertados no aglomerado, região ou zona interinamente.
Fora da capacidade de armazenamento ao criar um volume com funcionalidades de rede definidas para Standard.
Mensagem de erro: No storage available with Standard network features, for the provided VNet.
O erro indica que não existem recursos suficientes disponíveis na região para criar volumes com Standard funcionalidades de networking.
Experimente uma das seguintes soluções:
  • Se Standard não forem necessárias funcionalidades de rede, crie o volume com Basic funcionalidades de rede.
  • Tente criar o volume sob um novo VNet. Ao fazê-lo, evitará atingir limites de recursos relacionados com a rede
  • Tentar depois de algum tempo. Os recursos podem ter sido libertados no aglomerado, região ou zona interinamente.

Avisos de registo de atividade para volumes

Avisos Resoluções
A Microsoft.NetApp/netAppAccounts/capacityPools/volumes/ScaleUp operação apresenta um aviso:
Percentage Volume Consumed Size reached 90%
O tamanho utilizado de um volume Azure NetApp Files atingiu 90% da quota de volume. Deve redimensionar o volume em breve.

Passos seguintes