針對 Azure NetApp Files 的磁碟區錯誤進行疑難排解

  • 發行項

本文說明可協助您針對 Azure NetApp Files 磁片區進行疑難排解的錯誤訊息和解決方案。

SMB 和雙重通訊協定磁片區的錯誤

錯誤條件 解決方法
SMB 或雙通訊協定磁片區建立失敗,並出現下列錯誤:
{"code":"DeploymentFailed","message":"At least one resource deployment operation failed. Please list deployment operations for details. Please see https://aka.ms/DeployOperations for usage details.","details":[{"code":"InternalServerError", "message":"Error when creating - Could not query DNS server. Verify that the network configuration is correct and that DNS servers are available."}]}		 此錯誤表示 DNS 無法連線。
請考慮下列解決方案:
  • 檢查 AD DS 和磁片區是否部署在相同的區域中。
  • 檢查 AD DS 和磁片區是否使用相同的 VNet。 如果使用不同的 VNet,請確定 VNet 彼此對等互連。 請參閱適用於 Azure NetApp Files 網路方案的指導方針
  • DNS 伺服器可能已套用網路安全性群組 (NSG)。 因此,它不允許流量流動。 在此情況下,請針對 DNS 或 AD 開啟 NSG,以連線到各種連接埠。 如需了解連接埠需求,請參閱 Active Directory 連線的需求

相同的解決方案適用于 Microsoft Entra Domain Services。 Microsoft Entra Domain Services 應該部署在相同的區域中。 VNet 應該位於相同區域,或與磁片區所使用的 VNet 對等互連。
SMB 或雙通訊協定磁片區建立失敗,並出現下列錯誤:
{"code":"DeploymentFailed","message":"At least one resource deployment operation failed. Please list deployment operations for details. Please see https://aka.ms/DeployOperations for usage details.","details":[{"code":"InternalServerError", "message":"Error when creating - Failed to create the Active Directory machine account \"SMBTESTAD-C1C8\". Reason: Kerberos Error: Invalid credentials were given Details: Error: Machine account creation procedure failed\n [ 563] Loaded the preliminary configuration.\n**[ 670] FAILURE: Could not authenticate as 'test@contoso.com':\n** Unknown user (KRB5KDC_ERR_C_PRINCIPAL_UNKNOWN)\n. "}]}
  • 請確定輸入的使用者名稱正確。
  • 請確定使用者為具有建立機器 (電腦) 帳戶權限之系統管理員群組的成員。
  • 如果您使用 Microsoft Entra Domain Services,請確定使用者是 Microsoft Entra 群組 Azure AD DC Administrators 的一部分。
SMB 或雙通訊協定磁片區建立失敗,並出現下列錯誤:
{"code":"DeploymentFailed","message":"At least one resource deployment operation failed. Please list deployment operations for details. Please see https://aka.ms/DeployOperations for usage details.","details":[{"code":"InternalServerError", "message":"Error when creating - Failed to create the Active Directory machine account \"SMBTESTAD-A452\". Reason: Kerberos Error: Pre-authentication information was invalid Details: Error: Machine account creation procedure failed\n [ 567] Loaded the preliminary configuration.\n [ 671] Successfully connected to ip 10.x.x.x, port 88 using TCP\n**[ 1099] FAILURE: Could not authenticate as\n** 'user@contoso.com': CIFS server account password does\n** not match password stored in Active Directory\n** (KRB5KDC_ERR_PREAUTH_FAILED)\n. "}]}		 請確定輸入用來加入 AD 連線的密碼正確。
SMB 或雙通訊協定磁片區建立失敗,並出現下列錯誤:
{"code":"DeploymentFailed","message":"At least one resource deployment operation failed. Please list deployment operations for details. Please see https://aka.ms/DeployOperations for usage details.","details":[{"code":"InternalServerError","message":"Error when creating - Failed to create the Active Directory machine account \"SMBTESTAD-D9A2\". Reason: SecD Error: ou not found Details: Error: Machine account creation procedure failed\n [ 561] Loaded the preliminary configuration.\n [ 665] Successfully connected to ip 10.x.x.x, port 88 using TCP\n [ 1039] Successfully connected to ip 10.x.x.x, port 389 using TCP\n**[ 1147] FAILURE: Specifed OU 'OU=AADDC Com' does not exist in\n** contoso.com\n. "}]}		 請確定為聯結 AD 連線所指定的 OU 路徑正確。 如果您使用 Microsoft Entra Domain Services,請確定組織單位路徑為 OU=AADDC Computers
SMB 或雙通訊協定磁片區建立失敗,並出現下列錯誤:
Failed to create the Active Directory machine account \"SMB-ANF-VOL. Reason: LDAP Error: Local error occurred Details: Error: Machine account creation procedure failed. [nnn] Loaded the preliminary configuration. [nnn] Successfully connected to ip 10.x.x.x, port 88 using TCP [nnn] Successfully connected to ip 10.x.x.x, port 389 using [nnn] Entry for host-address: 10.x.x.x not found in the current source: FILES. Ignoring and trying next available source [nnn] Source: DNS unavailable. Entry for host-address:10.x.x.x found in any of the available sources\n*[nnn] FAILURE: Unable to SASL bind to LDAP server using GSSAPI: local error [nnn] Additional info: SASL(-1): generic failure: GSSAPI Error: Unspecified GSS failure. Minor code may provide more information (Cannot determine realm for numeric host address) [nnn] Unable to connect to LDAP (Active Directory) service on contoso.com (Error: Local error) [nnn] Unable to make a connection (LDAP (Active Directory):contosa.com, result: 7643. 		DNS 伺服器上可能遺漏 AD 主機電腦的指標 (PTR) 記錄。 您必須在 DNS 伺服器上建立反向對應區域,然後在該反向對應區域中新增 AD 主機電腦的 PTR 記錄。
SMB 或雙通訊協定磁片區建立失敗,並出現下列錯誤:
Failed to create the Active Directory machine account \"SMB-ANF-VOL\". Reason: Kerberos Error: KDC has no support for encryption type Details: Error: Machine account creation procedure failed [nnn]Loaded the preliminary configuration. [nnn]Successfully connected to ip 10.x.x.x, port 88 using TCP [nnn]FAILURE: Could not authenticate as 'contosa.com': KDC has no support for encryption type (KRB5KDC_ERR_ETYPE_NOSUPP) 		請確定 已在 Active Directory 連線和服務帳戶中同時啟用 AES 加密
SMB 或雙通訊協定磁片區建立失敗,並出現下列錯誤:
Failed to create the Active Directory machine account \"SMB-NTAP-VOL\". Reason: LDAP Error: Strong authentication is required Details: Error: Machine account creation procedure failed\n [ 338] Loaded the preliminary configuration.\n [ nnn] Successfully connected to ip 10.x.x.x, port 88 using TCP\n [ nnn ] Successfully connected to ip 10.x.x.x, port 389 using TCP\n [ 765] Unable to connect to LDAP (Active Directory) service on\n dc51.area51.com (Error: Strong(er) authentication\n required)\n*[ nnn] FAILURE: Unable to make a connection (LDAP (Active\n* Directory):contoso.com), result: 7609\n. "		 未選取 [LDAP 簽署] 選項,但 AD 用戶端具有 LDAP 簽署。 啟用 LDAP 簽署 並重試。
SMB 磁片區建立失敗,並出現下列錯誤:
Failed to create the Active Directory machine account. Reason: LDAP Error: Intialization of LDAP library failed Details: Error: Machine account creation procedure failed		 之所以發生此錯誤,是因為 Azure NetApp Files Active Directory 連線中使用的服務或使用者帳戶沒有足夠的許可權可建立電腦物件,或對新建立的電腦物件進行修改。
若要解決此問題,您應該授與正在使用的帳戶更高的許可權。 您可以套用具有足夠許可權的預設角色。 您也可以將其他許可權委派給使用者或服務帳戶,或委派給屬於該帳戶的群組。

雙重通訊協定磁片區的錯誤

錯誤條件 解決方法
已啟用 LDAP over TLS,且雙通訊協定磁片區建立失敗,並出現錯誤 This Active Directory has no Server root CA Certificate 如果您在建立雙通訊協定磁片區時發生此錯誤,請確定您的 NetApp 帳戶中上傳根 CA 憑證。
雙重通訊協定磁片區建立失敗,並出現錯誤 Failed to validate LDAP configuration, try again after correcting LDAP configuration DNS 伺服器上可能遺漏 AD 主機電腦的指標 (PTR) 記錄。 您必須在 DNS 伺服器上建立反向對應區域,然後在該反向對應區域中新增 AD 主機電腦的 PTR 記錄。
例如,假設 AD 電腦的 IP 位址是 10.x.x.x 、AD 電腦的主機名稱(如使用 hostname 命令找到的)是 AD1 ,而且功能變數名稱為 contoso.com 。 新增至反向對應區域的 PTR 記錄應該是 10.x.x.x - >contoso.com
雙重通訊協定磁片區建立失敗,並出現錯誤 Failed to create the Active Directory machine account \\\"TESTAD-C8DD\\\". Reason: Kerberos Error: Pre-authentication information was invalid Details: Error: Machine account creation procedure failed\\n [ 434] Loaded the preliminary configuration.\\n [ 537] Successfully connected to ip 10.x.x.x, port 88 using TCP\\n**[ 950] FAILURE 此錯誤表示 Active Directory 加入 NetApp 帳戶時 AD 密碼不正確。 使用正確密碼更新 AD 連線,然後再試一次。
雙重通訊協定磁片區建立失敗,並出現錯誤 Could not query DNS server. Verify that the network configuration is correct and that DNS servers are available 此錯誤表示 DNS 無法連線。 原因可能是 DNS IP 不正確,或發生網路問題。 檢查 AD 連線中輸入的 DNS IP,並確定 IP 正確無誤。
此外,請確定 AD 和磁片區位於相同的區域和相同的 VNet 中。 若兩者位於不同的 VNet 中,請確定已在兩個 VNet 之間建立 VNet 對等互連。
如需詳細資訊,請參閱 Azure NetApp Files 網路規劃 的指導方針。
掛接雙通訊協定磁片區時,許可權遭到拒絕。 雙通訊協定磁片區同時支援 NFS 和 SMB 通訊協定。 當您嘗試存取 UNIX 系統上掛接的磁片區時,系統會嘗試將您使用的 UNIX 使用者對應至 Windows 使用者。
確定 POSIX AD DS User 物件上已正確設定屬性。

NFSv4.1 Kerberos 磁片區的錯誤

錯誤條件 解決方法
Error allocating volume - Export policy rules does not match kerberosEnabled flag Azure NetApp Files 不支援 NFSv3 磁片區的 Kerberos。 Kerberos 僅支援 NFSv4.1 通訊協定。
This NetApp account has no configured Active Directory connections 使用 KDC IP AD 伺服器名稱 欄位 設定 NetApp 帳戶的 Active Directory。 如需指示,請參閱 設定Azure 入口網站
Mismatch between KerberosEnabled flag value and ExportPolicyRule's access type parameter values. Azure NetApp Files 不支援將一般 NFSv4.1 磁片區轉換為 Kerberos NFSv4.1 磁片區,反之亦然。
mount.nfs: access denied by server when mounting volume <SMB_SERVER_NAME-XXX.DOMAIN_NAME>/<VOLUME_NAME>
範例: smb-test-64d9.contoso.com:/nfs41-vol101
  1. 請確定已正確設定 A/PTR 記錄,並存在於 Active Directory 中的伺服器名稱 smb-test-64d9.contoso.com
    在 NFS 用戶端中,如果 nslookupsmb-test-64d9.contoso.com 解析為 IP 位址 IP1(也就是 10.1.1.68 ),則 nslookup IP1 必須解析為只有一筆記錄(也就是 smb-test-64d9.contoso.com )。 nslookup 的 IP1 不得 解析為多個名稱。
  2. 使用 PowerShell 或 UI,為 AD 上類型的 NFS-<Smb NETBIOS NAME>-<few random characters> NFS 電腦帳戶設定 AES-256。
    範例命令:
    • Set-ADComputer <NFS_MACHINE_ACCOUNT_NAME> -KerberosEncryptionType AES256
    • Set-ADComputer NFS-SMB-TEST-64 -KerberosEncryptionType AES256
  3. 確定 NFS 用戶端、AD 和 Azure NetApp Files 儲存體軟體的時間彼此同步,且在五分鐘的扭曲範圍內。
  4. 使用 命令 kinit <administrator> 取得 NFS 用戶端上的 Kerberos 票證。
  5. 將 NFS 用戶端主機名稱縮減為少於 15 個字元,然後再次執行領域聯結。
  6. 重新開機 NFS 用戶端和服務, rpc-gssd 如下所示。 某些 Linux 發行版本的確切服務名稱可能會有所不同。
    大部分目前的散發套件都會使用相同的服務名稱。 以 root 或 搭配執行下列命令 sudo
    systemctl enable nfs-client.target && systemctl start nfs-client.target
    (重新開機 rpc-gssd 服務。)
    systemctl restart rpc-gssd.service
mount.nfs: an incorrect mount option was specified 此問題可能與 NFS 用戶端問題有關。 重新開機 NFS 用戶端。
Hostname lookup failed 您必須在 DNS 伺服器上建立反向對應區域,然後在該反向對應區域中新增 AD 主機電腦的 PTR 記錄。
例如,假設 AD 電腦的 IP 位址是 10.1.1.4 、AD 電腦的主機名稱(如使用主機名稱命令找到的)是 AD1 ,而功能變數名稱為 contoso.com 。 新增至反向對應區域的 PTR 記錄應該是 10.1.1.4 -> AD1.contoso.com
Volume creation fails due to unreachable DNS server 有兩個可能的解決方案可供使用:
  • 此錯誤表示 DNS 無法連線。 原因可能是不正確的 DNS IP 或網路問題。 檢查 AD 連線中輸入的 DNS IP,並確定 IP 正確無誤。
  • 請確定 AD 和磁碟區位於相同區域和相同的 VNet 中。 若兩者位於不同的 VNet 中,請確定已在兩個 VNet 之間建立 VNet 對等互連。
NFSv4.1 Kerberos 磁片區建立失敗,並出現類似下列範例的錯誤:
Failed to enable NFS Kerberos on LIF "svm_e719cde8d6d0413fbd6adac0636cdecb_7ad0b82e_73349613". Failed to bind service principal name on LIF "svm_e719cde8d6d0413fbd6adac0636cdecb_7ad0b82e_73349613". SecD Error: server create fail join user auth.		 KDC IP 錯誤且已建立 Kerberos 磁片區。 以正確的位址更新 KDC IP。
更新 KDC IP 後,錯誤並不會消失。 您必須重新建立磁片區。

LDAP 磁片區的錯誤

錯誤條件 解決方法
使用 ldapEnabled 建立 SMB 磁片區時發生錯誤:true:
Error Message: ldapEnabled option is only supported with NFS protocol volume. 		您無法建立已啟用 LDAP 的 SMB 磁片區。
建立停用 LDAP 的 SMB 磁片區。
更新現有磁片區的 ldapEnabled 參數值時發生錯誤:
Error Message: ldapEnabled parameter is not allowed to update		 您無法在建立磁片區之後修改 LDAP 選項設定。
請勿更新已建立磁片區上的 LDAP 選項設定。 如需詳細資訊,請參閱 使用擴充群組設定 AD DS LDAP 以取得 NFS 磁片區存取 權。
建立已啟用 LDAP 的 NFS 磁片區時發生錯誤:
Could not query DNS server
Sample error message:
"log": time="2020-10-21 05:04:04.300" level=info msg=Res method=GET url=/v2/Volumes/070d0d72-d82c-c893-8ce3-17894e56cea3 x-correlation-id=9bb9e9fe-abb6-4eb5-a1e4-9e5fbb838813 x-request-id=c8032cb4-2453-05a9-6d61-31ca4a922d85 xresp="200: {\"created\":\"2020-10-21T05:02:55.000Z\",\"lifeCycleState\":\"error\",\"lifeCycleStateDetails\":\"Error when creating - Could not query DNS server. Verify that the network configuration is correct and that DNS servers are available.\",\"name\":\"smb1\",\"ownerId\ \":\"8c925a51-b913-11e9-b0de-9af5941b8ed0\",\"region\":\"westus2stage\",\"volumeId\":\"070d0d72-d82c-c893-8ce3-		 發生此錯誤的原因是 DNS 無法連線。
  • 檢查您是否已為 Azure NetApp Files 設定正確的網站(網站範圍)。
  • 無法連線到 DNS 的原因可能是 DNS IP 位址不正確或網路有問題。 檢查在 AD 連線中輸入的 DNS IP 位址,以確定其正確性。
  • 請確定 AD 和磁碟區位於相同區域和相同的 VNet 中。 若兩者位於不同的 VNet 中,請確定已在兩個 VNet 之間建立 VNet 對等互連。
從快照集建立磁片區時發生錯誤:
Aggregate does not exist		 Azure NetApp Files 不支援從屬於 LDAP 停用磁片區的快照集布建已啟用 LDAP 的新磁片區。
請嘗試從指定的快照集建立已停用 LDAP 的磁片區。
只看到主要群組識別碼且使用者也屬於輔助群組時。 這是由查詢逾時所造成:
-使用 LDAP 搜尋範圍選項
-針對 LDAP 用戶端 使用 慣用的 Active Directory 伺服器。
Error describing volume - Entry doesn't exist for username: <username>, please try with a valid username -檢查使用者是否存在於 LDAP 伺服器上。
-檢查 LDAP 伺服器是否狀況良好。

磁片區配置的錯誤

當您在 Azure NetApp Files 中建立新的磁片區或調整現有磁片區的大小時,Microsoft Azure 會將儲存體和網路資源配置給您的訂用帳戶。 您偶爾可能會遇到資源配置失敗,因為特定區域中 Azure 服務的需求成長史無前例。

本節說明一些常見配置失敗的原因,並建議可能的補救措施。

錯誤條件 解決方法
建立新磁片區或調整現有磁片區大小時發生錯誤。
錯誤訊息:There was a problem locating [or extending] storage for the volume. Please retry the operation. If the problem persists, contact Support.		 錯誤表示服務嘗試配置此要求的資源時發生錯誤。
請在一段時間之後重試此作業。 如果問題持續發生,請連絡支援人員。
一般磁片區的儲存體或網路容量不足。
錯誤訊息:There are currently insufficient resources available to create [or extend] a volume in this region. Please retry the operation. If the problem persists, contact Support.		 錯誤指出區域中的資源不足,無法建立或調整磁片區的大小。
請嘗試下列其中一個因應措施:
  • 在新的 VNet 下建立磁片區。 這麼做可避免達到網路相關資源限制。
  • 在一段時間後重試。 資源可能已在過渡期的叢集、區域或區域中釋出。
建立網路功能設定為 Standard 的磁片區時,儲存體容量不足。
錯誤訊息:No storage available with Standard network features, for the provided VNet.		 錯誤指出區域中的資源不足,無法建立具有 Standard 網路功能的磁片區。
請嘗試下列其中一個因應措施:
  • 如果 Standard 不需要網路功能,請使用 Basic 網路功能建立磁片區。
  • 請嘗試在新的 VNet 下建立磁片區。 這麼做可避免達到網路相關資源限制
  • 在一段時間後重試。 資源可能已在過渡期的叢集、區域或區域中釋出。

磁片區的活動記錄警告

警告 解決方法
作業 Microsoft.NetApp/netAppAccounts/capacityPools/volumes/ScaleUp 會顯示警告:
Percentage Volume Consumed Size reached 90%		 Azure NetApp Files 磁片區的已使用大小已達磁片區配額的 90%。 您應該很快就會調整磁片區 的大小。

下一步