共用方式為

針對 Azure NetApp Files 的磁碟區錯誤進行疑難排解

  • 發行項

如果磁碟區 create-read-update-delete (CRUD) 作業是在不是處於終端狀態的磁碟區上執行,作業將會失敗。 自動化工作流程和入口網站使用者應該先檢查磁碟區的終端機狀態,再對磁碟區執行後續的異步操作。

SMB 和雙重通訊協定磁碟區的錯誤

錯誤條件 解決方法
SMB 或雙重通訊協定磁碟區建立失敗,發生下列錯誤:
{"code":"DeploymentFailed","message":"At least one resource deployment operation failed. Please list deployment operations for details. Please see https://aka.ms/DeployOperations for usage details.","details":[{"code":"InternalServerError", "message":"Error when creating - Could not query DNS server. Verify that the network configuration is correct and that DNS servers are available."}]}		 此錯誤表示無法連線到 DNS。
請考慮下列解決方案:
  • 如果您使用基本網路功能,請檢查 Active Directory Domain Services (AD DS) 和磁碟區是否部署在相同的區域中。
  • 檢查 AD DS 和磁碟區是否使用相同的虛擬網路 (VNet)。 如果使用不同的 VNet,請確定 VNet 彼此對等互連。 請參閱適用於 Azure NetApp Files 網路方案的指導方針
  • DNS 伺服器可能已套用網路安全性群組 (NSG)。 因此,不允許流量通過。 在此情況下,請針對 DNS 或 AD 開啟 NSG,以連線到各種連接埠。 如需了解連接埠需求,請參閱 Active Directory 連線的需求

相同的解決方案適用於 Microsoft Entra Domain Services。 Microsoft Entra Domain Services 應該部署在相同的區域中。 VNet 應該位於相同區域,或與磁碟區所使用的 VNet 對等互連。
SMB 或雙重通訊協定磁碟區建立失敗,發生下列錯誤:
{"code":"DeploymentFailed","message":"At least one resource deployment operation failed. Please list deployment operations for details. Please see https://aka.ms/DeployOperations for usage details.","details":[{"code":"InternalServerError", "message":"Error when creating - Failed to create the Active Directory machine account \"SMBTESTAD-C1C8\". Reason: Kerberos Error: Invalid credentials were given Details: Error: Machine account creation procedure failed\n [ 563] Loaded the preliminary configuration.\n**[ 670] FAILURE: Could not authenticate as 'test@contoso.com':\n** Unknown user (KRB5KDC_ERR_C_PRINCIPAL_UNKNOWN)\n. "}]}
  • 請確定輸入的使用者名稱正確無誤。
  • 請確定使用者為具有建立機器 (電腦) 帳戶權限之系統管理員群組的成員。
  • 如果您使用 Microsoft Entra Domain Services,請確定使用者是 Microsoft Entra 群組 Azure AD DC Administrators 的一部分。
SMB 或雙重通訊協定磁碟區建立失敗,發生下列錯誤:
{"code":"DeploymentFailed","message":"At least one resource deployment operation failed. Please list deployment operations for details. Please see https://aka.ms/DeployOperations for usage details.","details":[{"code":"InternalServerError", "message":"Error when creating - Failed to create the Active Directory machine account \"SMBTESTAD-A452\". Reason: Kerberos Error: Pre-authentication information was invalid Details: Error: Machine account creation procedure failed\n [ 567] Loaded the preliminary configuration.\n [ 671] Successfully connected to ip 10.x.x.x, port 88 using TCP\n**[ 1099] FAILURE: Could not authenticate as\n** 'user@contoso.com': CIFS server account password does\n** not match password stored in Active Directory\n** (KRB5KDC_ERR_PREAUTH_FAILED)\n. "}]}		 請確定針對加入 AD 連線所輸入的密碼正確無誤。
SMB 或雙重通訊協定磁碟區建立失敗,發生下列錯誤:
{"code":"DeploymentFailed","message":"At least one resource deployment operation failed. Please list deployment operations for details. Please see https://aka.ms/DeployOperations for usage details.","details":[{"code":"InternalServerError","message":"Error when creating - Failed to create the Active Directory machine account \"SMBTESTAD-D9A2\". Reason: SecD Error: ou not found Details: Error: Machine account creation procedure failed\n [ 561] Loaded the preliminary configuration.\n [ 665] Successfully connected to ip 10.x.x.x, port 88 using TCP\n [ 1039] Successfully connected to ip 10.x.x.x, port 389 using TCP\n**[ 1147] FAILURE: Specifed OU 'OU=AADDC Com' does not exist in\n** contoso.com\n. "}]}		 請確定指定加入 AD 連線的 OU 路徑正確無誤。 如果您使用 Microsoft Entra Domain Services,請確定組織單位路徑是 OU=AADDC Computers
SMB 或雙重通訊協定磁碟區建立失敗,發生下列錯誤:
Failed to create the Active Directory machine account \"SMB-ANF-VOL. Reason: LDAP Error: Local error occurred Details: Error: Machine account creation procedure failed. [nnn] Loaded the preliminary configuration. [nnn] Successfully connected to ip 10.x.x.x, port 88 using TCP [nnn] Successfully connected to ip 10.x.x.x, port 389 using [nnn] Entry for host-address: 10.x.x.x not found in the current source: FILES. Ignoring and trying next available source [nnn] Source: DNS unavailable. Entry for host-address:10.x.x.x found in any of the available sources\n*[nnn] FAILURE: Unable to SASL bind to LDAP server using GSSAPI: local error [nnn] Additional info: SASL(-1): generic failure: GSSAPI Error: Unspecified GSS failure. Minor code may provide more information (Cannot determine realm for numeric host address) [nnn] Unable to connect to LDAP (Active Directory) service on contoso.com (Error: Local error) [nnn] Unable to make a connection (LDAP (Active Directory):contosa.com, result: 7643. 		DNS 伺服器上可能遺漏 AD 主機電腦的指標 (PTR) 記錄。 您必須在 DNS 伺服器上建立反向對應區域,然後在該反向對應區域中新增 AD 主機電腦的 PTR 記錄。
SMB 或雙重通訊協定磁碟區建立失敗,發生下列錯誤:
Failed to create the Active Directory machine account \"SMB-ANF-VOL\". Reason: Kerberos Error: KDC has no support for encryption type Details: Error: Machine account creation procedure failed [nnn]Loaded the preliminary configuration. [nnn]Successfully connected to ip 10.x.x.x, port 88 using TCP [nnn]FAILURE: Could not authenticate as 'contosa.com': KDC has no support for encryption type (KRB5KDC_ERR_ETYPE_NOSUPP) 		請確定已在 Active Directory 連線和服務帳戶中啟用 AES 加密
SMB 或雙重通訊協定磁碟區建立失敗,發生下列錯誤:
Failed to create the Active Directory machine account \"SMB-NTAP-VOL\". Reason: LDAP Error: Strong authentication is required Details: Error: Machine account creation procedure failed\n [ 338] Loaded the preliminary configuration.\n [ nnn] Successfully connected to ip 10.x.x.x, port 88 using TCP\n [ nnn ] Successfully connected to ip 10.x.x.x, port 389 using TCP\n [ 765] Unable to connect to LDAP (Active Directory) service on\n dc51.area51.com (Error: Strong(er) authentication\n required)\n*[ nnn] FAILURE: Unable to make a connection (LDAP (Active\n* Directory):contoso.com), result: 7609\n. "		 未選取 [LDAP 簽署] 選項,但 AD 用戶端具有 LDAP 簽署。 啟用 LDAP 簽署並重試。
SMB 磁碟區建立失敗,並出現下列錯誤:
Failed to create the Active Directory machine account. Reason: LDAP Error: Intialization of LDAP library failed Details: Error: Machine account creation procedure failed		 發生此錯誤的原因是 Azure NetApp Files Active Directory 連線中使用的服務或使用者帳戶,沒有足夠權限可建立電腦物件或修改新建立的電腦物件。
若要解決此問題,請將更高的權限授與正在使用的帳戶。 您可以套用具有足夠權限的預設角色,或將更多權限委派給其所屬的使用者、服務帳戶或群組。

雙重通訊協定磁碟區的錯誤

錯誤條件 解決方法
已啟用 LDAP over TLS,且雙重通訊協定磁碟區建立失敗,並出現錯誤 This Active Directory has no Server root CA Certificate 如果您在建立雙重通訊協定磁碟區時發生此錯誤,請確定根 CA 憑證已上傳至您的 NetApp 帳戶。
雙重通訊協定磁碟區建立失敗,並出現錯誤 Failed to validate LDAP configuration, try again after correcting LDAP configuration DNS 伺服器上可能遺漏 Active Directory (AD) 主機電腦的指標 (PTR) 記錄。 您必須在 DNS 伺服器上建立反向對應區域,然後在該反向對應區域中新增 AD 主機電腦的 PTR 記錄。
例如,假設 AD 電腦的 IP 位址為 10.x.x.x、AD 電腦的主機名稱為 AD1 (使用 hostname 命令找到),且網域名稱為 contoso.com。 新增至反向對應區域的 PTR 記錄應該是 10.x.x.x ->contoso.com
雙重通訊協定磁碟區建立失敗,並出現錯誤 Failed to create the Active Directory machine account \\\"TESTAD-C8DD\\\". Reason: Kerberos Error: Pre-authentication information was invalid Details: Error: Machine account creation procedure failed\\n [ 434] Loaded the preliminary configuration.\\n [ 537] Successfully connected to ip 10.x.x.x, port 88 using TCP\\n**[ 950] FAILURE 此錯誤指出 Active Directory 加入 NetApp 帳戶時,AD 密碼不正確。 使用正確密碼更新 AD 連線,然後再試一次。
雙重通訊協定磁碟區建立失敗,並出現錯誤 Could not query DNS server. Verify that the network configuration is correct and that DNS servers are available 此錯誤表示無法連線到 DNS。 原因可能是因為 DNS IP 不正確,或發生網路問題。 檢查 AD 連線中輸入的 DNS IP,並確定 IP 正確無誤。
如果您使用基本網路功能,請確定 AD 組態和磁碟區位於相同的區域和相同的 VNet 中。 若兩者位於不同的 VNet 中,請確定已在兩個 VNet 之間建立 VNet 對等互連。
如需詳細資訊,請參閱適用於 Azure NetApp Files 網路方案的指導方針
掛接雙重通訊協定磁碟區時,權限遭到拒絕。 雙重通訊協定磁碟區同時支援 NFS 和 SMB 通訊協定。 當您嘗試存取 UNIX 系統上掛接的磁碟區時,系統會嘗試將您使用的 UNIX 使用者對應至 Windows 使用者。
請確定 AD DS 使用者物件上已正確設定 POSIX 屬性。

NFSv4.1 Kerberos 磁碟區的錯誤

錯誤條件 解決方法
Error allocating volume - Export policy rules does not match kerberosEnabled flag 針對 NFSv3 磁碟區,Azure NetApp Files 不支援 Kerberos。 只有 NFSv4.1 通訊協定才支援 Kerberos。
This NetApp account has no configured Active Directory connections 使用 KDC IPAD 伺服器名稱欄位,設定 NetApp 帳戶的 Active Directory。 如需指示,請參閱設定 Azure 入口網站
Mismatch between KerberosEnabled flag value and ExportPolicyRule's access type parameter values. Azure NetApp Files 不支援將一般 NFSv4.1 磁碟區轉換為 Kerberos NFSv4.1 磁碟區,反之亦然。
mount.nfs: access denied by server when mounting volume <SMB_SERVER_NAME-XXX.DOMAIN_NAME>/<VOLUME_NAME>
範例: smb-test-64d9.contoso.com:/nfs41-vol101
  1. 請確定已正確設定 A/PTR 記錄,並存在於 Active Directory 中作為伺服器名稱 smb-test-64d9.contoso.com
    在 NFS 用戶端中,如果 smb-test-64d9.contoso.comnslookup 解析為 IP 位址 IP1 (也就是 10.1.1.68),則 IP1 的 nslookup 只能解析成一筆記錄 (也就是 smb-test-64d9.contoso.com)。 IP1 的 nslookup 不得解析為多個名稱。
  2. 使用 PowerShell 或 UI,針對 AD 上型別 NFS-<Smb NETBIOS NAME>-<few random characters> 的 NFS 電腦帳戶設定 AES-256。
    範例命令:
    • Set-ADComputer <NFS_MACHINE_ACCOUNT_NAME> -KerberosEncryptionType AES256
    • Set-ADComputer NFS-SMB-TEST-64 -KerberosEncryptionType AES256
  3. 請確定 NFS 用戶端、AD 和 Azure NetApp Files 儲存體軟體的時間彼此同步,且在五分鐘的扭曲範圍內。
  4. 使用命令 kinit <administrator> 取得 NFS 用戶端上的 Kerberos 票證。
  5. 將 NFS 用戶端主機名稱減少至少於 15 個字元,然後再次執行領域聯結。
  6. 重新啟動 NFS 用戶端和 rpc-gssd 服務,如下所示。 某些 Linux 發行套件的確切服務名稱可能會有所不同。
    大部分目前的發行套件都會使用相同的服務名稱。 以 root 身分或使用 sudo 執行以下動作
    systemctl enable nfs-client.target && systemctl start nfs-client.target
    (重新啟動 rpc-gssd 服務。)
    systemctl restart rpc-gssd.service
mount.nfs: an incorrect mount option was specified 此問題可能與 NFS 用戶端問題有關。 重新開機 NFS 用戶端。
Hostname lookup failed 您必須在 DNS 伺服器上建立反向對應區域,然後在該反向對應區域中新增 AD 主機電腦的 PTR 記錄。
例如,假設 AD 電腦的 IP 位址為 10.1.1.4、AD 電腦的主機名稱為 AD1 (使用 hostname 命令找到),且網域名稱為 contoso.com。 新增至反向對應區域的 PTR 記錄應該是 10.1.1.4 -> AD1.contoso.com
Volume creation fails due to unreachable DNS server 有兩個可能的解決方案可供使用:
  • 此錯誤表示無法連線到 DNS。 原因可能是 DNS IP 不正確,或發生網路問題。 檢查 AD 連線中輸入的 DNS IP,並確定 IP 正確無誤。
  • 如果您使用基本網路功能,請確定 AD 和磁碟區位於相同的區域和相同的 VNet 中。 若兩者位於不同的 VNet 中,請確定已在兩個 VNet 之間建立 VNet 對等互連。
NFSv4.1 Kerberos 磁碟區建立失敗並出現錯誤,類似下列範例:
Failed to enable NFS Kerberos on LIF "svm_e719cde8d6d0413fbd6adac0636cdecb_7ad0b82e_73349613". Failed to bind service principal name on LIF "svm_e719cde8d6d0413fbd6adac0636cdecb_7ad0b82e_73349613". SecD Error: server create fail join user auth.		 KDC IP 錯誤,且已建立 Kerberos 磁碟區。 以正確的位址更新 KDC IP。
更新 KDC IP 後,錯誤並不會消失。 您必須重新建立磁碟區。

LDAP 磁碟區的錯誤

錯誤條件 解決方法
建立 SMB 磁碟區時,發生 LDAP 為 true 的錯誤:
Error Message: ldapEnabled option is only supported with NFS protocol volume. 		您無法建立已啟用 LDAP 的 SMB 磁碟區。
建立已停用 LDAP 的 SMB 磁碟區。
更新現有磁碟區的 ldapEnabled 參數值時發生錯誤:
Error Message: ldapEnabled parameter is not allowed to update		 您無法在建立磁碟區之後修改 LDAP 選項設定。
請勿更新已建立磁碟區上的 LDAP 選項設定。 如需詳細資訊,請參閱為 AD DS LDAP 設定擴充群組以便能存取 NFS 磁碟區
建立已啟用 LDAP 的 NFS 磁碟區時發生錯誤:
Could not query DNS server
Sample error message:
"log": time="2020-10-21 05:04:04.300" level=info msg=Res method=GET url=/v2/Volumes/070d0d72-d82c-c893-8ce3-17894e56cea3 x-correlation-id=9bb9e9fe-abb6-4eb5-a1e4-9e5fbb838813 x-request-id=c8032cb4-2453-05a9-6d61-31ca4a922d85 xresp="200: {\"created\":\"2020-10-21T05:02:55.000Z\",\"lifeCycleState\":\"error\",\"lifeCycleStateDetails\":\"Error when creating - Could not query DNS server. Verify that the network configuration is correct and that DNS servers are available.\",\"name\":\"smb1\",\"ownerId\ \":\"8c925a51-b913-11e9-b0de-9af5941b8ed0\",\"region\":\"westus2stage\",\"volumeId\":\"070d0d72-d82c-c893-8ce3-		 此錯誤是因為無法連線到 DNS。
  • 檢查您是否已為 Azure NetApp Files 設定正確的網站 (界定網站範圍)。
  • 無法連線到 DNS 的原因可能是 DNS IP 位址不正確或網路有問題。 檢查在 AD 連線中輸入的 DNS IP 位址,以確定其正確性。
  • 如果您使用基本網路功能,請確定 AD 和磁碟區位於相同的區域和相同的 VNet。 若兩者位於不同的 VNet 中,請確定已在兩個 VNet 之間建立 VNet 對等互連。
從快照集建立磁碟區時發生錯誤:
Aggregate does not exist		 Azure NetApp Files 不支援從屬於 LDAP 停用磁碟區的快照集佈建新的 LDAP 啟用磁片區。
請嘗試從指定的快照集建立新的 LDAP 停用磁碟區。
只看到主要群組識別碼,但使用者也屬於輔助群組時。 這是查詢逾時所致:
- 使用 LDAP 搜尋範圍選項
- 使用 LDAP 用戶端慣用的 Active Directory 伺服器
Error describing volume - Entry doesn't exist for username: <username>, please try with a valid username - 檢查使用者是否存在於 LDAP 伺服器上。
- 檢查 LDAP 伺服器是否狀況良好。

磁碟區配置的錯誤

當您在 Azure NetApp Files 中建立新的磁碟區或調整現有磁碟區的大小時,Microsoft Azure 會將儲存體和網路資源配置給您的訂用帳戶。 您可能偶爾會遇到因特定區域中對 Azure 服務的空前需求成長,而導致資源配置失敗的情況。

本節說明一些常見的配置失敗原因,並建議可能的補救方法。

錯誤條件 解決方法
建立新的磁碟區或調整現有磁碟區大小時發生錯誤。
錯誤訊息:There was a problem locating [or extending] storage for the volume. Please retry the operation. If the problem persists, contact Support.		 此錯誤表示服務嘗試配置此要求的資源時發生錯誤。
請在一段時間之後重試此作業。 若問題持續發生,請連絡客戶支援。
一般磁碟區的儲存體或網路容量不足。
錯誤訊息:There are currently insufficient resources available to create [or extend] a volume in this region. Please retry the operation. If the problem persists, contact Support.		 此錯誤表示區域中的資源不足,無法建立或調整磁碟區大小。
請嘗試下列其中一項解決方法:
  • 在新的 VNet 下建立磁碟區。 這麼做可避免達到網路相關資源限制。
  • 請稍後重試。 資源可能已在叢集、區域或過渡期的區域中釋出。
建立網路功能設定為 Standard 的磁碟區時,儲存體容量不足。
錯誤訊息:No storage available with Standard network features, for the provided VNet.		 此錯誤表示區域中的資源不足,無法建立具備 Standard 網路功能的磁碟區。
請嘗試下列其中一項解決方法:
  • 如果不需要 Standard 網路功能,請建立具備 Basic 網路功能的磁碟區。
  • 請嘗試在新的 VNet 下建立磁碟區。 這樣做可避免達到網路相關資源限制
  • 請稍後重試。 資源可能已在叢集、區域或過渡期的區域中釋出。

磁碟區的活動記錄警告

警告 解決方法
Microsoft.NetApp/netAppAccounts/capacityPools/volumes/ScaleUp 作業會顯示警告:
Percentage Volume Consumed Size reached 90%		 Azure NetApp Files 磁碟區的使用大小已達到磁碟區配額的 90%。 您應該盡快調整磁碟區的大小

下一步