Solución de problemas de identidad administrada de Azure File Sync
Este artículo le ayuda a solucionar problemas que pueden surgir al usar una identidad administrada con una implementación de Azure File Sync.
Compruebe si el servicio de sincronización de almacenamiento usa una identidad administrada asignada por el sistema
Para comprobar si el servicio de sincronización de almacenamiento usa una identidad administrada asignada por el sistema, ejecute el siguiente comando desde una ventana de PowerShell con privilegios elevados:
Get-AzStorageSyncService -ResourceGroupName <string> -StorageSyncServiceName <string>
Compruebe que el valor de la UseIdentity propiedad procede True de la salida del comando. Si el valor es False, el servicio de sincronización de almacenamiento usa claves compartidas para autenticarse en recursos compartidos de archivos de Azure.
Compruebe si un servidor registrado está configurado para usar una identidad administrada asignada por el sistema.
Para comprobar si un servidor registrado está configurado para utilizar una identidad administrada asignada por el sistema, ejecute el siguiente comando desde una ventana elevada de PowerShell:
Get-AzStorageSyncServer -ResourceGroupName <string> -StorageSyncServiceName <string>
Compruebe que la ApplicationId propiedad tiene un GUID que indica que el servidor está configurado para usar una identidad administrada asignada por el sistema. Una vez que el servidor usa una identidad administrada asignada por el sistema, el valor de la ActiveAuthType propiedad se actualiza a ManagedIdentity. Si el valor es Certificate, el servidor usa claves compartidas para autenticarse en recursos compartidos de archivos de Azure.
Nota:
Una vez configurado un servidor para usar una identidad administrada asignada por el sistema, puede tardar hasta una hora antes de que el servidor use la identidad administrada asignada por el sistema para autenticarse en el servicio de sincronización de almacenamiento y los recursos compartidos de archivos de Azure.
El cmdlet Set-AzStorageSyncServiceIdentity no configura un servidor para usar una identidad administrada asignada por el sistema
Si la ejecución del Set-AzStorageSyncServiceIdentity cmdlet no configura un servidor registrado para usar una identidad administrada asignada por el sistema, es probable que el servidor no tenga una identidad administrada asignada por el sistema.
Para habilitar una identidad administrada asignada por el sistema en un servidor registrado que tenga instalado el agente Azure File Sync v19, realice los siguientes pasos:
Si el servidor está alojado fuera de Azure, debe ser un servidor habilitado para Azure Arc para tener una identidad administrada asignada por el sistema. Para más información sobre los servidores habilitados para Azure Arc y cómo instalar el agente de Azure Connected Machine, consulte Introducción a los servidores habilitados para Azure Arc.
- Si el servidor ya está habilitado para Azure Arc, ejecute el
azcmagent showcomando desde PowerShell y confirme que el estado del agente está conectado. Si el estado del agente está desconectado, solucione los problemas de conexión del agente de Azure Connected Machine。
- Si el servidor ya está habilitado para Azure Arc, ejecute el
Si el servidor es una máquina virtual de Azure, habilite una identidad administrada asignada por el sistema en la máquina virtual.
Compruebe si un servidor registrado tiene una identidad administrada asignada por el sistema
Para comprobar si un servidor registrado tiene una identidad administrada asignada por el sistema, ejecute el siguiente comando de PowerShell:
Get-AzStorageSyncServer -ResourceGroupName <string> -StorageSyncServiceName <string>
Compruebe que la LatestApplicationId propiedad tiene un GUID que indica que el servidor tiene una identidad administrada asignada por el sistema, pero no está configurada actualmente para usarla.
Si la LatestApplicationId propiedad tiene un GUID, vuelva a ejecutar el Set-AzStorageSyncServiceIdentity cmdlet para configurar el servidor para que use una identidad administrada asignada por el sistema. Compruebe que la ApplicationId propiedad tiene un GUID que indica que el servidor está configurado para usar la identidad administrada. Una vez que el servidor usa la identidad administrada asignada por el sistema, el valor de la ActiveAuthType propiedad se actualiza a ManagedIdentity.
No se puede eliminar un servicio de sincronización de almacenamiento
Al intentar eliminar un servicio de sincronización de almacenamiento, es posible que reciba el siguiente error:
No se puede eliminar el servicio de sincronización de almacenamiento en la región<>. El servicio de sincronización de almacenamiento está eliminando instantáneas que ya no son necesarias. Inténtelo de nuevo en unas horas.
Este problema se produce cuando el recurso compartido de archivos tiene instantáneas de Azure File Sync sin usar. Para reducir el costo, las instantáneas sin usar se eliminan antes de quitar el servicio de sincronización de almacenamiento. El recuento de instantáneas varía con el tamaño del conjunto de datos. Si no puede eliminar el servicio de sincronización de almacenamiento después de unas horas, inténtelo de nuevo el día siguiente.
Permisos necesarios para acceder a una cuenta de almacenamiento y a un recurso compartido de archivos de Azure
Cuando Azure File Sync está configurado para usar una identidad administrada, los puntos de conexión de nube y servidor necesitan los siguientes permisos para acceder a una cuenta de almacenamiento y a un recurso compartido de archivos de Azure:
Punto de conexión en la nube:
- La identidad administrada del servicio de sincronización de almacenamiento debe ser miembro del rol Colaborador de la cuenta de almacenamiento en una cuenta de almacenamiento.
- La identidad administrada del servicio de sincronización de almacenamiento debe ser miembro del rol Colaborador con privilegios de datos de archivos de almacenamiento en un recurso compartido de archivos de Azure.
Punto de conexión de servidor:
- La identidad administrada del servidor de registro debe ser miembro del rol Colaborador con privilegios de datos de archivos de almacenamiento en un recurso compartido de archivos de Azure.
Al ejecutar el Set-AzStorageSyncServiceIdentity cmdlet o crear nuevos puntos de conexión de nube y servidor, se conceden estos permisos. Si se quitan estos permisos, las operaciones producirán errores enumerados en la sección siguiente.
Problemas comunes
En esta sección se tratan los problemas comunes que se producen cuando los permisos o las opciones de configuración son incorrectos.
Error de sincronización con 0x80c8305f de error (ECS_E_EXTERNAL_STORAGE_ACCOUNT_AUTHORIZATION_FAILED)
| Error | Código |
|---|---|
| HRESULT | 0x80c8305f |
| HRESULT (decimal) | -2134364065 |
| Cadena de error | ECS_E_EXTERNAL_STORAGE_ACCOUNT_AUTHORIZATION_FAILED |
| Se requiere una corrección | Sí |
Este problema se produce cuando la identidad administrada del servicio de sincronización de almacenamiento no tiene acceso a una cuenta de almacenamiento.
Para resolver este problema, ejecute el siguiente comando de PowerShell:
Set-AzStorageSyncCloudEndpointPermission -ResourceGroupName <string> -StorageSyncServiceName <string> -SyncGroupName <string> -Name <string>
Nota:
El -Name parámetro es el nombre del punto de conexión de nube. Es un GUID, no el nombre descriptivo que se muestra en Azure Portal. Para obtener el nombre del punto de conexión en la nube, ejecute el cmdlet Get-AzStorageSyncCloudEndpoint .
Error de sincronización con 0x80c86053 de error (ECS_E_AZURE_FILE_SHARE_NOT_ACCESSIBLE)
| Error | Código |
|---|---|
| HRESULT | 0x80c86053 |
| HRESULT (decimal) | -2134351789 |
| Cadena de error | ECS_E_AZURE_FILE_SHARE_NOT_ACCESSIBLE |
| Se requiere una corrección | Sí |
Este problema se produce cuando la identidad administrada del servicio de sincronización de almacenamiento no tiene acceso a un recurso compartido de archivos de Azure.
Para resolver este problema, ejecute el siguiente comando de PowerShell:
Set-AzStorageSyncCloudEndpointPermission -ResourceGroupName <string> -StorageSyncServiceName <string> -SyncGroupName <string> -Name <string>
Nota:
El -Name parámetro es el nombre del punto de conexión de nube. Es un GUID, no el nombre descriptivo que se muestra en Azure Portal. Para obtener el nombre del punto de conexión en la nube, ejecute el cmdlet Get-AzStorageSyncCloudEndpoint .
Los archivos no se sincronizan con 0x80c86063 de error (ECS_E_AZURE_AUTHORIZATION_PERMISSION_MISMATCH)
| Error | Código |
|---|---|
| HRESULT | 0x80c86063 |
| HRESULT (decimal) | -2134351773 |
| Cadena de error | ECS_E_AZURE_AUTHORIZATION_PERMISSION_MISMATCH |
| Se requiere una corrección | Sí |
Este problema se produce cuando la identidad administrada del servidor registrado no tiene acceso a un recurso compartido de archivos de Azure.
Para resolver este problema, ejecute el siguiente comando de PowerShell:
Set-AzStorageSyncServerEndpointPermission -ResourceGroupName <string> -StorageSyncServiceName <string> -SyncGroupName <string> -Name <string>
Nota:
El -Name parámetro es el nombre del punto de conexión del servidor. Es un GUID, no el nombre descriptivo que se muestra en Azure Portal. Para obtener el nombre del punto de conexión del servidor, ejecute el cmdlet Get-AzStorageSyncServerEndpoint .
El cmdlet Test-NetworkConnectivity produce un error 0x80190193 (HTTP_E_STATUS_FORBIDDEN)
Este problema se produce cuando la identidad administrada del servidor registrado no tiene acceso a un recurso compartido de archivos de Azure.
Para resolver este problema, ejecute el siguiente comando de PowerShell:
Set-AzStorageSyncServerEndpointPermission -ResourceGroupName <string> -StorageSyncServiceName <string> -SyncGroupName <string> -Name <string>
Nota:
El -Name parámetro es el nombre del punto de conexión del servidor. Es un GUID, no el nombre descriptivo que se muestra en Azure Portal. Para obtener el nombre del punto de conexión del servidor, ejecute el cmdlet Get-AzStorageSyncServerEndpoint .
El cmdlet Test-NetworkConnectivity produce un error 0x80131500 (COR_E_EXCEPTION)
Este problema se produce cuando la opción Permitir que los servicios de Azure de la lista de servicios de confianza accedan a esta excepción de cuenta de almacenamiento no está habilitada en una cuenta de almacenamiento. Para resolver este problema, habilite esta excepción siguiendo las instrucciones de Concesión de acceso a servicios de Azure de confianza y restricción del acceso al punto de conexión público de la cuenta de almacenamiento a redes virtuales específicas.
Ponte en contacto con nosotros para obtener ayuda
Si tiene preguntas o necesita ayuda, cree una solicitud de soporte o busque consejo en la comunidad de Azure. También puede enviar comentarios sobre el producto con los comentarios de la comunidad de Azure.