Rozwiązywanie problemów z tożsamością zarządzaną usługi Azure File Sync
Ten artykuł ułatwia rozwiązywanie problemów, które mogą wystąpić podczas korzystania z tożsamości zarządzanej we wdrożeniu usługi Azure File Sync.
Sprawdź, czy usługa synchronizacji magazynu używa przypisanej przez system tożsamości zarządzanej
Aby sprawdzić, czy usługa synchronizacji magazynu używa przypisanej przez system tożsamości zarządzanej, uruchom następujące polecenie w oknie programu PowerShell z podwyższonym poziomem uprawnień:
Get-AzStorageSyncService -ResourceGroupName <string> -StorageSyncServiceName <string>
Sprawdź, czy wartość UseIdentity właściwości pochodzi True z danych wyjściowych polecenia. Jeśli wartość to False, usługa synchronizacji magazynu używa kluczy udostępnionych do uwierzytelniania w udziałach plików platformy Azure.
Sprawdź, czy zarejestrowany serwer jest skonfigurowany do używania tożsamości zarządzanej przypisanej przez system
Aby sprawdzić, czy zarejestrowany serwer jest skonfigurowany do używania tożsamości zarządzanej przypisanej przez system, uruchom następujące polecenie w oknie programu PowerShell z podwyższonym poziomem uprawnień:
Get-AzStorageSyncServer -ResourceGroupName <string> -StorageSyncServiceName <string>
Sprawdź, ApplicationId czy właściwość ma identyfikator GUID, który wskazuje, że serwer jest skonfigurowany do używania tożsamości zarządzanej przypisanej przez system. Gdy serwer używa tożsamości zarządzanej przypisanej przez system, wartość ActiveAuthType właściwości zostanie zaktualizowana do ManagedIdentitywartości . Jeśli wartość to Certificate, serwer używa kluczy udostępnionych do uwierzytelniania w udziałach plików platformy Azure.
Uwaga 16.
Po skonfigurowaniu serwera do używania tożsamości zarządzanej przypisanej przez system może upłynąć do jednej godziny, zanim serwer użyje przypisanej przez system tożsamości zarządzanej do uwierzytelniania w usłudze synchronizacji magazynu i udziałach plików platformy Azure.
Polecenie cmdlet Set-AzStorageSyncServiceIdentity nie konfiguruje serwera do używania tożsamości zarządzanej przypisanej przez system
Jeśli uruchomienie polecenia Set-AzStorageSyncServiceIdentity cmdlet nie konfiguruje zarejestrowanego serwera do korzystania z tożsamości zarządzanej przypisanej przez system, prawdopodobnie serwer nie ma przypisanej przez system tożsamości zarządzanej.
Aby włączyć tożsamość zarządzaną przypisaną przez system na zarejestrowanym serwerze z zainstalowanym agentem usługi Azure File Sync w wersji 19, wykonaj następujące kroki:
Jeśli serwer jest hostowany poza platformą Azure, musi być serwerem z obsługą usługi Azure Arc, aby mieć tożsamość zarządzaną przypisaną przez system. Aby uzyskać więcej informacji na temat serwerów z obsługą usługi Azure Arc i sposobu instalowania agenta połączonej maszyny platformy Azure, zobacz Omówienie serwerów z obsługą usługi Azure Arc.
- Jeśli serwer jest już włączony w usłudze Azure Arc, uruchom
azcmagent showpolecenie z poziomu programu PowerShell i upewnij się, że stan agenta jest połączony. Jeśli stan agenta jest rozłączony, rozwiąż problemy z połączeniem agenta połączonej maszyny platformy Azure。
- Jeśli serwer jest już włączony w usłudze Azure Arc, uruchom
Jeśli serwer jest maszyną wirtualną platformy Azure, włącz tożsamość zarządzaną przypisaną przez system na maszynie wirtualnej.
Sprawdzanie, czy zarejestrowany serwer ma tożsamość zarządzaną przypisaną przez system
Aby sprawdzić, czy zarejestrowany serwer ma tożsamość zarządzaną przypisaną przez system, uruchom następujące polecenie programu PowerShell:
Get-AzStorageSyncServer -ResourceGroupName <string> -StorageSyncServiceName <string>
Sprawdź, LatestApplicationId czy właściwość ma identyfikator GUID, który wskazuje, że serwer ma tożsamość zarządzaną przypisaną przez system, ale nie jest obecnie skonfigurowany do jej używania.
LatestApplicationId Jeśli właściwość ma identyfikator GUID, uruchom Set-AzStorageSyncServiceIdentity ponownie polecenie cmdlet, aby skonfigurować serwer do używania tożsamości zarządzanej przypisanej przez system. Sprawdź, ApplicationId czy właściwość ma identyfikator GUID, który wskazuje, że serwer jest skonfigurowany do korzystania z tożsamości zarządzanej. Gdy serwer używa tożsamości zarządzanej przypisanej przez system, wartość ActiveAuthType właściwości zostanie zaktualizowana do ManagedIdentity.
Nie można usunąć usługi synchronizacji magazynu
Podczas próby usunięcia usługi synchronizacji magazynu może wystąpić następujący błąd:
Nie można usunąć usługi synchronizacji magazynu w regionie regionu<>. Usługa synchronizacji magazynu usuwa migawki, które nie są już potrzebne. Spróbuj ponownie za kilka godzin.
Ten problem występuje, gdy udział plików ma nieużywane migawki usługi Azure File Sync. Aby zmniejszyć koszt, nieużywane migawki zostaną usunięte przed usunięciem usługi synchronizacji magazynu. Liczba migawek różni się w zależności od rozmiaru zestawu danych. Jeśli nie możesz usunąć usługi synchronizacji magazynu po kilku godzinach, spróbuj ponownie następnego dnia.
Uprawnienia wymagane do uzyskania dostępu do konta magazynu i udziału plików platformy Azure
Gdy usługa Azure File Sync jest skonfigurowana do używania tożsamości zarządzanej, punkty końcowe chmury i serwera muszą mieć następujące uprawnienia dostępu do konta magazynu i udziału plików platformy Azure:
Punkt końcowy chmury:
- Tożsamość zarządzana usługi synchronizacji magazynu musi należeć do roli Współautor konta magazynu na koncie magazynu.
- Tożsamość zarządzana usługi synchronizacji magazynu musi należeć do roli współautora danych plików magazynu w udziale plików platformy Azure.
Punkt końcowy serwera:
- Tożsamość zarządzana serwera musi należeć do roli współautora danych plików magazynu w udziale plików platformy Azure.
Po uruchomieniu polecenia cmdlet lub utworzeniu Set-AzStorageSyncServiceIdentity nowych punktów końcowych chmury i serwera te uprawnienia są przyznawane. Jeśli te uprawnienia zostaną usunięte, operacje kończą się niepowodzeniem z błędami wymienionymi w poniższej sekcji.
Typowe problemy
W tej sekcji opisano typowe problemy występujące, gdy uprawnienia lub ustawienia konfiguracji są nieprawidłowe.
Synchronizacja kończy się niepowodzeniem z powodu błędu 0x80c8305f (ECS_E_EXTERNAL_STORAGE_ACCOUNT_AUTHORIZATION_FAILED)
| Błąd | Kod |
|---|---|
| HRESULT | 0x80c8305f |
| HRESULT (dziesiętny) | -2134364065 |
| Ciąg błędu | ECS_E_EXTERNAL_STORAGE_ACCOUNT_AUTHORIZATION_FAILED |
| Wymagane korygowanie | Tak |
Ten problem występuje, gdy tożsamość zarządzana usługi synchronizacji magazynu nie ma dostępu do konta magazynu.
Aby rozwiązać ten problem, uruchom następujące polecenie programu PowerShell:
Set-AzStorageSyncCloudEndpointPermission -ResourceGroupName <string> -StorageSyncServiceName <string> -SyncGroupName <string> -Name <string>
Uwaga 16.
Parametr -Name jest nazwą punktu końcowego chmury. Jest to identyfikator GUID, a nie przyjazna nazwa wyświetlana w witrynie Azure Portal. Aby uzyskać nazwę punktu końcowego chmury, uruchom polecenie cmdlet Get-AzStorageSyncCloudEndpoint .
Synchronizacja kończy się niepowodzeniem z powodu błędu 0x80c86053 (ECS_E_AZURE_FILE_SHARE_NOT_ACCESSIBLE)
| Błąd | Kod |
|---|---|
| HRESULT | 0x80c86053 |
| HRESULT (dziesiętny) | -2134351789 |
| Ciąg błędu | ECS_E_AZURE_FILE_SHARE_NOT_ACCESSIBLE |
| Wymagane korygowanie | Tak |
Ten problem występuje, gdy tożsamość zarządzana usługi synchronizacji magazynu nie ma dostępu do udziału plików platformy Azure.
Aby rozwiązać ten problem, uruchom następujące polecenie programu PowerShell:
Set-AzStorageSyncCloudEndpointPermission -ResourceGroupName <string> -StorageSyncServiceName <string> -SyncGroupName <string> -Name <string>
Uwaga 16.
Parametr -Name jest nazwą punktu końcowego chmury. Jest to identyfikator GUID, a nie przyjazna nazwa wyświetlana w witrynie Azure Portal. Aby uzyskać nazwę punktu końcowego chmury, uruchom polecenie cmdlet Get-AzStorageSyncCloudEndpoint .
Nie można zsynchronizować plików z 0x80c86063 błędów (ECS_E_AZURE_AUTHORIZATION_PERMISSION_MISMATCH)
| Błąd | Kod |
|---|---|
| HRESULT | 0x80c86063 |
| HRESULT (dziesiętny) | -2134351773 |
| Ciąg błędu | ECS_E_AZURE_AUTHORIZATION_PERMISSION_MISMATCH |
| Wymagane korygowanie | Tak |
Ten problem występuje, gdy tożsamość zarządzana zarejestrowanego serwera nie ma dostępu do udziału plików platformy Azure.
Aby rozwiązać ten problem, uruchom następujące polecenie programu PowerShell:
Set-AzStorageSyncServerEndpointPermission -ResourceGroupName <string> -StorageSyncServiceName <string> -SyncGroupName <string> -Name <string>
Uwaga 16.
Parametr -Name jest nazwą punktu końcowego serwera. Jest to identyfikator GUID, a nie przyjazna nazwa wyświetlana w witrynie Azure Portal. Aby uzyskać nazwę punktu końcowego serwera, uruchom polecenie cmdlet Get-AzStorageSyncServerEndpoint .
Polecenie cmdlet Test-NetworkConnectivity kończy się niepowodzeniem z powodu błędu 0x80190193 (HTTP_E_STATUS_FORBIDDEN)
Ten problem występuje, gdy tożsamość zarządzana zarejestrowanego serwera nie ma dostępu do udziału plików platformy Azure.
Aby rozwiązać ten problem, uruchom następujące polecenie programu PowerShell:
Set-AzStorageSyncServerEndpointPermission -ResourceGroupName <string> -StorageSyncServiceName <string> -SyncGroupName <string> -Name <string>
Uwaga 16.
Parametr -Name jest nazwą punktu końcowego serwera. Jest to identyfikator GUID, a nie przyjazna nazwa wyświetlana w witrynie Azure Portal. Aby uzyskać nazwę punktu końcowego serwera, uruchom polecenie cmdlet Get-AzStorageSyncServerEndpoint .
Polecenie cmdlet Test-NetworkConnectivity kończy się niepowodzeniem z powodu błędu 0x80131500 (COR_E_EXCEPTION)
Ten problem występuje, gdy pozycja Zezwalaj usługom platformy Azure na liście zaufanych usług na dostęp do tego wyjątku konta magazynu nie jest włączona na koncie magazynu. Aby rozwiązać ten problem, włącz ten wyjątek, postępując zgodnie z instrukcjami w temacie Udzielanie dostępu do zaufanych usług platformy Azure i ograniczanie dostępu do publicznego punktu końcowego konta magazynu do określonych sieci wirtualnych.
Skontaktuj się z nami, aby uzyskać pomoc
Jeśli masz pytania lub potrzebujesz pomocy, utwórz wniosek o pomoc techniczną lub zadaj pytanie w społeczności wsparcia dla platformy Azure. Możesz również przesłać opinię o produkcie do społeczności opinii na temat platformy Azure.