Not
Åtkomst till den här sidan kräver auktorisering. Du kan prova att logga in eller ändra kataloger.
Åtkomst till den här sidan kräver auktorisering. Du kan prova att ändra kataloger.
Den här artikeln hjälper dig att felsöka och lösa problem som kan uppstå när du använder en hanterad identitet med en Azure File Sync-distribution.
Kontrollera om Tjänsten för synkronisering av lagring använder en systemtilldelad hanterad identitet
Om du vill kontrollera om Tjänsten för synkronisering av lagring använder en systemtilldelad hanterad identitet kör du följande kommando från ett upphöjt PowerShell-fönster:
Get-AzStorageSyncService -ResourceGroupName <string> -StorageSyncServiceName <string>
Kontrollera att värdet på egenskapen UseIdentity är True i kommandoutdata. Om värdet är Falseanvänder Tjänsten för synkronisering av lagring delade nycklar för att autentisera till Azure-filresurser.
Kontrollera om en registrerad server är konfigurerad för att använda en systemtilldelad hanterad identitet
Om du vill kontrollera om en registrerad server har konfigurerats för att använda en systemtilldelad hanterad identitet kör du följande kommando från ett upphöjt PowerShell-fönster:
Get-AzStorageSyncServer -ResourceGroupName <string> -StorageSyncServiceName <string>
Kontrollera att egenskapen ApplicationId har ett GUID som anger att servern är konfigurerad för att använda en systemtilldelad hanterad identitet. När servern använder en systemtilldelad hanterad identitet uppdateras värdet för ActiveAuthType egenskapen till ManagedIdentity. Om värdet är Certificateanvänder servern delade nycklar för att autentisera till Azure-filresurser.
Note
När en server har konfigurerats för att använda en systemtilldelad hanterad identitet kan det ta upp till 15 minuter innan servern använder den systemtilldelade hanterade identiteten för att autentisera till Storage Sync Service och Azure-filresurser.
Cmdleten Set-AzStorageSyncServiceIdentity konfigurerar inte en server för att använda en systemtilldelad hanterad identitet
Om cmdleten Set-AzStorageSyncServiceIdentity inte konfigurerar en registrerad server att använda en systemtilldelad hanterad identitet beror det förmodligen på att servern inte har någon systemtilldelad hanterad identitet.
Utför följande steg för att aktivera en systemtilldelad hanterad identitet på en registrerad server som har Azure File Sync v20-agenten installerad:
Om servern finns utanför Azure måste det vara en Azure Arc-aktiverad server för att ha en systemtilldelad hanterad identitet. Mer information om Azure Arc-aktiverade servrar och hur du installerar Azure Connected Machine-agenten finns i Översikt över Azure Arc-aktiverade servrar.
- Om servern redan är Azure Arc-aktiverad kör du
azcmagent showkommandot från PowerShell och bekräftar att agentstatusenär Ansluten. Om agentstatusen är frånkopplad kan du felsöka anslutningsproblem med Azure Connected Machine-agenten。
- Om servern redan är Azure Arc-aktiverad kör du
Om servern är en virtuell Azure-dator aktiverar du en systemtilldelad hanterad identitet på den virtuella datorn.
Kontrollera om en registrerad server har en systemtilldelad hanterad identitet
Kontrollera om en registrerad server har en systemtilldelad hanterad identitet genom att köra följande PowerShell-kommando:
Get-AzStorageSyncServer -ResourceGroupName <string> -StorageSyncServiceName <string>
Kontrollera att egenskapen LatestApplicationId har ett GUID som anger att servern har en systemtilldelad hanterad identitet men inte är konfigurerad för att använda den.
Om egenskapen LatestApplicationId har ett GUID kör du cmdleten Set-AzStorageSyncServiceIdentity igen för att konfigurera servern att använda en systemtilldelad hanterad identitet. Kontrollera att egenskapen ApplicationId har ett GUID som anger att servern är konfigurerad för att använda den hanterade identiteten. När servern använder den systemtilldelade hanterade identiteten uppdateras värdet för ActiveAuthType egenskapen till ManagedIdentity.
Det går inte att ta bort en lagringssynkroniseringstjänst
När du försöker ta bort en tjänst för synkronisering av lagring kan du få följande fel:
Det går inte att ta bort tjänsten för synkronisering av lagring i regionregionen<>. Tjänsten för synkronisering av lagring tar bort ögonblicksbilder som inte längre behövs. Försök igen om några timmar.
Det här problemet uppstår när din filresursdelning har oanvända Azure File Sync-ögonblicksbilder. För att minska kostnaden tas de oanvända ögonblicksbilderna bort innan du tar bort tjänsten för synkronisering av lagring. Antalet ögonblicksbilder varierar med datamängdens storlek. Om du inte kan ta bort tjänsten för synkronisering av lagring efter några timmar kan du försöka igen nästa dag.
Felet "Det gick inte att utföra resursidentitetsåtgärden" när en synkroniseringstjänst för lagring skapades
När du skapar en tjänst för synkronisering av lagring kan du få följande fel:
Det gick inte att utföra resursidentitetsåtgärden.
Det här problemet uppstår i något av följande scenarier:
Du tar bort en tjänst för synkronisering av lagring och försöker sedan återskapa den med samma namn i samma klientorganisation.
En konfliktande tjänstehuvudenhet-app kan fortfarande finnas i Microsoft Entra ID.
Den här appen skapades troligen under den första etableringen av Tjänsten för synkronisering av lagring och tas bort automatiskt inom 24 timmar.
Använd någon av följande metoder för att lösa problemet:
Skapa Tjänsten för synkronisering av lagring med ett annat namn än det som användes tidigare.
Vänta tills den automatiska rensningen av konfliktskapande service principal applikation slutförs, eller ta bort den manuellt.
Om tjänsten inte är brådskande väntar du på att den automatiska rensningen ska slutföras. Om det behövs en omedelbar lösning kan du manuellt ta bort den motstridiga appen:
- Gå till administrationscentret för Microsoft Entra.
- Gå till Företagsprogram.
- Sök efter det appnamn som matchar Synkroniseringstjänsten för lagring.
- Välj appen och välj sedan Ta bort.
Nödvändiga behörigheter för åtkomst till ett lagringskonto och en Azure-fildelning
När Azure File Sync har konfigurerats för att använda en hanterad identitet behöver moln- och serverslutpunkterna följande behörigheter för att få åtkomst till ett lagringskonto och en Azure-filresurs:
Molnslutpunkt:
- Hanterad identitet för Storage Sync Service måste vara medlem i rollen Lagringskontodeltagare på ett lagringskonto.
- Hanterad identitet för Storage Sync Service måste vara medlem i rollen Storage File Data Privileged Contributor på en Azure-fildelning.
Serverslutpunkt:
- Registrerad serverhanterad identitet måste vara medlem i rollen Storage File Data Privileged Contributor på en Azure-filresurs.
När du kör cmdleten Set-AzStorageSyncServiceIdentity eller skapar nya moln- och serverslutpunkter beviljas dessa behörigheter. Om dessa behörigheter tas bort misslyckas åtgärderna med de fel som anges i följande avsnitt.
Vanliga problem
Det här avsnittet beskriver vanliga problem som uppstår när behörigheter eller konfigurationsinställningar är felaktiga.
Synkroniseringen misslyckas med fel 0x80c8305f (ECS_E_EXTERNAL_STORAGE_ACCOUNT_AUTHORIZATION_FAILED)
| Error | Code |
|---|---|
| HRESULT | 0x80c8305f |
| HRESULT (decimal) | -2134364065 |
| Felsträng | ECS_E_EXTERNAL_STORAGE_ACCOUNT_AUTHORIZATION_FAILED |
| Reparation krävs | Yes |
Det här problemet uppstår när den hanterade identiteten för Tjänsten för synkronisering av lagring inte har åtkomst till ett lagringskonto.
Lös problemet genom att köra följande PowerShell-kommando:
Set-AzStorageSyncCloudEndpointPermission -ResourceGroupName <string> -StorageSyncServiceName <string> -SyncGroupName <string> -Name <string>
Note
Parametern -Name är namnet på molnslutpunkten. Det är en GUID, inte det vänliga namnet som visas i Azure-portalen. Om du vill hämta namnet på molnslutpunkten kör du cmdleten Get-AzStorageSyncCloudEndpoint .
Synkroniseringen misslyckas med fel 0x80c86053 (ECS_E_AZURE_FILE_SHARE_NOT_ACCESSIBLE)
| Error | Code |
|---|---|
| HRESULT | 0x80c86053 |
| HRESULT (decimal) | -2134351789 |
| Felsträng | ECS_E_AZURE_FILE_SHARE_NOT_ACCESSIBLE |
| Reparation krävs | Yes |
Det här problemet uppstår när den hanterade identiteten för Tjänsten för synkronisering av lagring inte har åtkomst till en Azure-filresurs.
Lös problemet genom att köra följande PowerShell-kommando:
Set-AzStorageSyncCloudEndpointPermission -ResourceGroupName <string> -StorageSyncServiceName <string> -SyncGroupName <string> -Name <string>
Note
Parametern -Name är namnet på molnslutpunkten. Det är en GUID, inte det vänliga namnet som visas i Azure-portalen. Om du vill hämta namnet på molnslutpunkten kör du cmdleten Get-AzStorageSyncCloudEndpoint .
Filer kan inte synkroniseras med fel 0x80c86063 (ECS_E_AZURE_AUTHORIZATION_PERMISSION_MISMATCH)
| Error | Code |
|---|---|
| HRESULT | 0x80c86063 |
| HRESULT (decimal) | -2134351773 |
| Felsträng | ECS_E_AZURE_AUTHORIZATION_PERMISSION_MISMATCH |
| Reparation krävs | Yes |
Det här problemet uppstår när den hanterade identiteten för den registrerade servern inte har åtkomst till en Azure-filresurs.
Lös problemet genom att köra följande PowerShell-kommando:
Set-AzStorageSyncServerEndpointPermission -ResourceGroupName <string> -StorageSyncServiceName <string> -SyncGroupName <string> -Name <string>
Note
Parametern -Name är namnet på serverslutpunkten. Det är en GUID, inte det vänliga namnet som visas i Azure-portalen. Om du vill hämta serverslutpunktens namn kör du cmdleten Get-AzStorageSyncServerEndpoint .
Synkroniseringssessionen misslyckas med felet ECS_E_AUTH_IDENTITY_NOT_FOUND
Felet ECS_E_AUTH_IDENTITY_NOT_FOUND uppstår när serverns hanterade identitet som används för att kommunicera med Azure File Sync-tjänsten har ändrats, men Azure File Sync-tjänsten förväntar sig fortfarande den tidigare, vilket gör att autentiseringen misslyckas.
Du kan identifiera det här problemet genom att söka efter händelse-ID 9530 i händelseloggen Telemetri i Loggboken. Den här händelsen anger att den hanterade identiteten applicationId har ändrats.
Det här problemet uppstår ofta i följande situationer:
- Borttagning och rekreation av Azure Arc-resurser.
- Inaktivera och återaktivera sedan den systemtilldelade hanterade identiteten på en virtuell Azure-dator.
När den hanterade identiteten ändras försöker File Sync-agenten använda den nya identiteten, men Azure File Sync-tjänsten är fortfarande konfigurerad för att auktorisera den tidigare. Det här matchningsfelet ECS_E_AUTH_IDENTITY_NOT_FOUND gör att begäranden misslyckas och returnerar felet.
Så här löser du problemet:
Kontrollera att servern är konfigurerad för att använda en hanterad identitet.
Så här verifierar du den här konfigurationen:
- Kontrollera informationen om hanterade>identiteter i lagringssynkroniseringstjänsten eller
- Kör följande PowerShell-kommando:
Get-AzStorageSyncServer -ResourceGroupName <ResourceGroupName> -StorageSyncServiceName <StorageSyncServiceName>
Note
Det här felet kan inträffa om servern använder hanterad identitet (MI) eller certifikatbaserad autentisering. Därför är det viktigt att verifiera identitetstypen.
Om servern använder hanterad identitet och identiteten har ändrats kör du följande kommando för att uppdatera serverregistreringen:
Set-AzStorageSyncServer -ResourceGroupName <ResourceGroupName> -StorageSyncServiceName <StorageSyncServiceName> -Identity
Cmdleten Test-NetworkConnectivity misslyckas med fel 0x80190193 (HTTP_E_STATUS_FORBIDDEN)
Det här problemet uppstår när den hanterade identiteten för den registrerade servern inte har åtkomst till en Azure-filresurs.
Lös problemet genom att köra följande PowerShell-kommando:
Set-AzStorageSyncServerEndpointPermission -ResourceGroupName <string> -StorageSyncServiceName <string> -SyncGroupName <string> -Name <string>
Note
Parametern -Name är namnet på serverslutpunkten. Det är en GUID, inte det vänliga namnet som visas i Azure-portalen. Om du vill hämta serverslutpunktens namn kör du cmdleten Get-AzStorageSyncServerEndpoint .
Cmdleten Test-NetworkConnectivity misslyckas med fel 0x80131500 (COR_E_EXCEPTION)
Det här problemet uppstår när tillåt att Azure-tjänster i listan över betrodda tjänster får åtkomst till det här undantaget för lagringskontot inte är aktiverat på ett lagringskonto. Lös problemet genom att aktivera det här undantaget genom att följa anvisningarna i Bevilja åtkomst till betrodda Azure-tjänster och begränsa åtkomsten till lagringskontots offentliga slutpunkt till specifika virtuella nätverk.
Kontakta oss för att få hjälp
Om du har frågor kan du ställa support för Azure-communityn. Du kan också skicka produktfeedback till Azure-feedbackcommunityn.
Konfigurationer mellan klientinstanser som inte stöds
Topologier mellan klientorganisationer där serverresursen (Arc-aktiverad server eller virtuell Azure-dator) och Tjänsten för synkronisering av lagring finns i olika Microsoft Entra-klienter stöds inte. Hanterad identitet och Azure RBAC kräver token som utfärdats av samma klientorganisation; auktorisering över klientorganisationer misslyckas i det här scenariot. Försök inte konfigurera flera klientorganisationer.
Åtgärd: Justera Lagringssynkroniseringstjänsten, serverresursidentitet, RBAC-tilldelningar för lagringskontot och hanterad identitet till samma klientorganisation, och försök sedan igen.
Note
Det här kravet gäller både Arc-aktiverade servrar och virtuella Azure-datorer.