Behandeln von Problemen mit verwalteter Identität Azure-Dateisynchronisierung
Dieser Artikel hilft Ihnen bei der Behandlung und Behebung von Problemen, die bei der Verwendung einer verwalteten Identität mit einer Azure-Dateisynchronisierung Bereitstellung auftreten können.
Überprüfen, ob der Speichersynchronisierungsdienst eine vom System zugewiesene verwaltete Identität verwendet
Um zu überprüfen, ob der Speichersynchronisierungsdienst eine vom System zugewiesene verwaltete Identität verwendet, führen Sie den folgenden Befehl aus einem PowerShell-Fenster mit erhöhten Rechten aus:
Get-AzStorageSyncService -ResourceGroupName <string> -StorageSyncServiceName <string>
Überprüfen Sie, ob der Wert der UseIdentity Eigenschaft True aus der Befehlsausgabe stammt. Wenn der Wert lautet False, verwendet der Speichersynchronisierungsdienst gemeinsame Schlüssel, um sich bei Azure-Dateifreigaben zu authentifizieren.
Überprüfen, ob ein registrierter Server für die Verwendung einer vom System zugewiesenen verwalteten Identität konfiguriert ist
Um zu überprüfen, ob ein registrierter Server für die Verwendung einer systemseitig zugewiesenen verwalteten Identität konfiguriert ist, führen Sie den folgenden Befehl in einem PowerShell-Fenster mit erhöhten Rechten aus:
Get-AzStorageSyncServer -ResourceGroupName <string> -StorageSyncServiceName <string>
Stellen Sie sicher, dass die ApplicationId Eigenschaft über eine GUID verfügt, die angibt, dass der Server für die Verwendung einer vom System zugewiesenen verwalteten Identität konfiguriert ist. Sobald der Server eine vom System zugewiesene verwaltete Identität verwendet, wird der Wert der ActiveAuthType Eigenschaft auf aktualisiert ManagedIdentity. Wenn der Wert lautet Certificate, verwendet der Server gemeinsame Schlüssel, um sich bei Azure-Dateifreigaben zu authentifizieren.
Notiz
Sobald ein Server für die Verwendung einer vom System zugewiesenen verwalteten Identität konfiguriert ist, kann es bis zu einer Stunde dauern, bis der Server die vom System zugewiesene verwaltete Identität verwendet, um sich beim Speichersynchronisierungsdienst und azure-Dateifreigaben zu authentifizieren.
Das Cmdlet Set-AzStorageSyncServiceIdentity konfiguriert keinen Server für die Verwendung einer vom System zugewiesenen verwalteten Identität.
Wenn das Set-AzStorageSyncServiceIdentity Cmdlet keinen registrierten Server für die Verwendung einer vom System zugewiesenen verwalteten Identität konfiguriert, liegt dies wahrscheinlich daran, dass der Server keine vom System zugewiesene verwaltete Identität aufweist.
Führen Sie die folgenden Schritte aus, um eine systemseitig zugewiesene verwaltete Identität auf einem registrierten Server zu aktivieren, auf dem der Azure-Dateisynchronisierung-Agent v19 installiert ist:
Wenn der Server außerhalb von Azure gehostet wird, muss es ein Azure Arc-fähigen Server sein, um über eine systemseitig zugewiesene verwaltete Identität zu verfügen. Weitere Informationen zu Azure Arc-fähigen Servern und zum Installieren des Azure Connected Machine-Agents finden Sie unter Azure Arc-fähige Server ( Übersicht).
- Wenn der Server bereits Azure Arc-aktiviert ist, führen Sie den
azcmagent showBefehl über PowerShell aus, und bestätigen Sie, dass der Agentstatus verbunden ist. Wenn der Agentstatus getrennt ist, beheben Sie Probleme bei der Verbindung mit dem Azure Connected Machine-Agent。
- Wenn der Server bereits Azure Arc-aktiviert ist, führen Sie den
Wenn der Server ein virtueller Azure-Computer ist, aktivieren Sie eine vom System zugewiesene verwaltete Identität auf dem virtuellen Computer.
Überprüfen, ob ein registrierter Server über eine vom System zugewiesene verwaltete Identität verfügt
Um zu überprüfen, ob ein registrierter Server über eine vom System zugewiesene verwaltete Identität verfügt, führen Sie den folgenden PowerShell-Befehl aus:
Get-AzStorageSyncServer -ResourceGroupName <string> -StorageSyncServiceName <string>
Überprüfen Sie, ob die LatestApplicationId Eigenschaft über eine GUID verfügt, die angibt, dass der Server über eine vom System zugewiesene verwaltete Identität verfügt, aber zurzeit nicht für die Verwendung konfiguriert ist.
Wenn die LatestApplicationId Eigenschaft über eine GUID verfügt, führen Sie das Set-AzStorageSyncServiceIdentity Cmdlet erneut aus, um den Server so zu konfigurieren, dass eine vom System zugewiesene verwaltete Identität verwendet wird. Überprüfen Sie, ob die ApplicationId Eigenschaft über eine GUID verfügt, die angibt, dass der Server für die Verwendung der verwalteten Identität konfiguriert ist. Sobald der Server die vom System zugewiesene verwaltete Identität verwendet, wird der Wert der ActiveAuthType Eigenschaft auf aktualisiert ManagedIdentity.
Ein Speichersynchronisierungsdienst kann nicht gelöscht werden.
Wenn Sie versuchen, einen Speichersynchronisierungsdienst zu löschen, wird möglicherweise die folgende Fehlermeldung angezeigt:
Speichersynchronisierungsdienst kann nicht in Region region <>gelöscht werden. Der Speichersynchronisierungsdienst löscht Momentaufnahmen, die nicht mehr benötigt werden. Versuchen Sie es in einigen Stunden erneut.
Dieses Problem tritt auf, wenn ihre Dateifreigabe nicht Azure-Dateisynchronisierung Momentaufnahmen verwendet hat. Um Ihre Kosten zu reduzieren, werden die nicht verwendeten Momentaufnahmen gelöscht, bevor sie den Speichersynchronisierungsdienst entfernen. Die Momentaufnahmeanzahl variiert je nach Datasetgröße. Wenn Sie den Speichersynchronisierungsdienst nach ein paar Stunden nicht löschen können, versuchen Sie es am nächsten Tag erneut.
Erforderliche Berechtigungen für den Zugriff auf ein Speicherkonto und die Azure-Dateifreigabe
Wenn Azure-Dateisynchronisierung für die Verwendung einer verwalteten Identität konfiguriert ist, benötigen Ihre Cloud- und Serverendpunkte die folgenden Berechtigungen für den Zugriff auf ein Speicherkonto und eine Azure-Dateifreigabe:
Cloudendpunkt:
- Die verwaltete Identität des Speichersynchronisierungsdiensts muss Mitglied der Rolle "Mitwirkender des Speicherkontos " für ein Speicherkonto sein.
- Die verwaltete Identität des Speichersynchronisierungsdiensts muss Mitglied der Rolle "Privilegierter Mitwirkender von Speicherdateidaten" in einer Azure-Dateifreigabe sein.
Serverendpunkt:
- Die verwaltete Identität des Registrierungsservers muss Mitglied der Rolle "Privilegierter Mitwirkender von Speicherdateidaten" in einer Azure-Dateifreigabe sein.
Wenn Sie das Set-AzStorageSyncServiceIdentity Cmdlet ausführen oder neue Cloud- und Serverendpunkte erstellen, werden diese Berechtigungen erteilt. Wenn diese Berechtigungen entfernt werden, schlagen Vorgänge mit den im folgenden Abschnitt aufgeführten Fehlern fehl.
Häufige Probleme
In diesem Abschnitt werden häufige Probleme behandelt, die auftreten, wenn Berechtigungen oder Konfigurationseinstellungen falsch sind.
Die Synchronisierung schlägt mit fehler 0x80c8305f (ECS_E_EXTERNAL_STORAGE_ACCOUNT_AUTHORIZATION_FAILED) fehl.
| Fehler | Code |
|---|---|
| HRESULT | 0x80c8305f |
| HRESULT (dezimal) | -2134364065 |
| Fehlerzeichenfolge | ECS_E_EXTERNAL_STORAGE_ACCOUNT_AUTHORIZATION_FAILED |
| Korrektur erforderlich | Ja |
Dieses Problem tritt auf, wenn die verwaltete Identität für den Speichersynchronisierungsdienst keinen Zugriff auf ein Speicherkonto hat.
Führen Sie zum Beheben dieses Problems den folgenden PowerShell-Befehl aus:
Set-AzStorageSyncCloudEndpointPermission -ResourceGroupName <string> -StorageSyncServiceName <string> -SyncGroupName <string> -Name <string>
Notiz
Der -Name Parameter ist der Name des Cloudendpunkts. Es ist eine GUID, nicht der Anzeigename, der im Azure-Portal angezeigt wird. Um den Namen des Cloudendpunkts abzurufen, führen Sie das Cmdlet Get-AzStorageSyncCloudEndpoint aus.
Die Synchronisierung schlägt mit fehler 0x80c86053 (ECS_E_AZURE_FILE_SHARE_NOT_ACCESSIBLE) fehl.
| Fehler | Code |
|---|---|
| HRESULT | 0x80c86053 |
| HRESULT (dezimal) | -2134351789 |
| Fehlerzeichenfolge | ECS_E_AZURE_FILE_SHARE_NOT_ACCESSIBLE |
| Korrektur erforderlich | Ja |
Dieses Problem tritt auf, wenn die verwaltete Identität für den Speichersynchronisierungsdienst keinen Zugriff auf eine Azure-Dateifreigabe hat.
Führen Sie zum Beheben dieses Problems den folgenden PowerShell-Befehl aus:
Set-AzStorageSyncCloudEndpointPermission -ResourceGroupName <string> -StorageSyncServiceName <string> -SyncGroupName <string> -Name <string>
Notiz
Der -Name Parameter ist der Name des Cloudendpunkts. Es ist eine GUID, nicht der Anzeigename, der im Azure-Portal angezeigt wird. Um den Namen des Cloudendpunkts abzurufen, führen Sie das Cmdlet Get-AzStorageSyncCloudEndpoint aus.
Fehler beim Synchronisieren von Dateien mit fehler 0x80c86063 (ECS_E_AZURE_AUTHORIZATION_PERMISSION_MISMATCH)
| Fehler | Code |
|---|---|
| HRESULT | 0x80c86063 |
| HRESULT (dezimal) | -2134351773 |
| Fehlerzeichenfolge | ECS_E_AZURE_AUTHORIZATION_PERMISSION_MISMATCH |
| Korrektur erforderlich | Ja |
Dieses Problem tritt auf, wenn die verwaltete Identität für den registrierten Server keinen Zugriff auf eine Azure-Dateifreigabe hat.
Führen Sie zum Beheben dieses Problems den folgenden PowerShell-Befehl aus:
Set-AzStorageSyncServerEndpointPermission -ResourceGroupName <string> -StorageSyncServiceName <string> -SyncGroupName <string> -Name <string>
Notiz
Der -Name Parameter ist der Name des Serverendpunkts. Es ist eine GUID, nicht der Anzeigename, der im Azure-Portal angezeigt wird. Führen Sie zum Abrufen des Serverendpunktnamens das Cmdlet Get-AzStorageSyncServerEndpoint aus.
Das Cmdlet "Test-NetworkConnectivity" schlägt mit fehler 0x80190193 (HTTP_E_STATUS_FORBIDDEN) fehl.
Dieses Problem tritt auf, wenn die verwaltete Identität für den registrierten Server keinen Zugriff auf eine Azure-Dateifreigabe hat.
Führen Sie zum Beheben dieses Problems den folgenden PowerShell-Befehl aus:
Set-AzStorageSyncServerEndpointPermission -ResourceGroupName <string> -StorageSyncServiceName <string> -SyncGroupName <string> -Name <string>
Notiz
Der -Name Parameter ist der Name des Serverendpunkts. Es ist eine GUID, nicht der Anzeigename, der im Azure-Portal angezeigt wird. Führen Sie zum Abrufen des Serverendpunktnamens das Cmdlet Get-AzStorageSyncServerEndpoint aus.
Das Cmdlet "Test-NetworkConnectivity" schlägt mit fehler 0x80131500 (COR_E_EXCEPTION) fehl.
Dieses Problem tritt auf, wenn die Azure-Dienste in der Liste der vertrauenswürdigen Dienste für den Zugriff auf diese Speicherkonto-Ausnahme nicht für ein Speicherkonto aktiviert sind. Um dieses Problem zu beheben, aktivieren Sie diese Ausnahme, indem Sie anweisungen unter Gewähren des Zugriffs auf vertrauenswürdige Azure-Dienste befolgen und den Zugriff auf den öffentlichen Endpunkt des Speicherkontos auf bestimmte virtuelle Netzwerke einschränken.
Kontaktieren Sie uns für Hilfe
Wenn Sie Fragen haben oder Hilfe mit Ihren Azure-Gutschriften benötigen, dann erstellen Sie beim Azure-Support eine Support-Anforderung oder fragen Sie den Azure Community-Support. Sie können auch Produktfeedback an die Azure Feedback Community senden.