Résoudre les problèmes d’identité managée Azure File Sync
Cet article vous aide à résoudre et résoudre les problèmes que vous pouvez rencontrer lors de l’utilisation d’une identité managée avec un déploiement Azure File Sync.
Vérifiez si le service de synchronisation de stockage utilise une identité managée affectée par le système
Pour vérifier si le service de synchronisation de stockage utilise une identité managée affectée par le système, exécutez la commande suivante à partir d’une fenêtre PowerShell avec élévation de privilèges :
Get-AzStorageSyncService -ResourceGroupName <string> -StorageSyncServiceName <string>
Vérifiez que la valeur de la UseIdentity propriété provient True de la sortie de la commande. Si la valeur est False, le service de synchronisation de stockage utilise des clés partagées pour s’authentifier auprès des partages de fichiers Azure.
Vérifiez si un serveur inscrit est configuré pour utiliser une identité managée affectée par le système
Pour vérifier si un serveur enregistré est configuré pour utiliser une identité gérée attribuée par le système, exécutez la commande suivante à partir d'une fenêtre PowerShell avec privilèges élevés :
Get-AzStorageSyncServer -ResourceGroupName <string> -StorageSyncServiceName <string>
Vérifiez que la ApplicationId propriété a un GUID qui indique que le serveur est configuré pour utiliser une identité managée affectée par le système. Une fois que le serveur utilise une identité managée affectée par le système, la valeur de la ActiveAuthType propriété est mise à jour ManagedIdentityvers . Si la valeur est Certificate, le serveur utilise des clés partagées pour s’authentifier auprès des partages de fichiers Azure.
Note
Une fois qu’un serveur est configuré pour utiliser une identité managée affectée par le système, il peut prendre jusqu’à une heure avant que le serveur utilise l’identité managée affectée par le système pour s’authentifier auprès du service de synchronisation de stockage et des partages de fichiers Azure.
L’applet de commande Set-AzStorageSyncServiceIdentity ne configure pas un serveur pour utiliser une identité managée affectée par le système
Si l’exécution de l’applet Set-AzStorageSyncServiceIdentity de commande ne configure pas un serveur inscrit pour utiliser une identité managée affectée par le système, il est probable que le serveur n’ait pas d’identité managée affectée par le système.
Pour activer une identité gérée attribuée par le système sur un serveur enregistré sur lequel l'agent Azure File Sync v19 est installé, procédez comme suit :
Si le serveur est hébergé en dehors d’Azure, il doit s’agir d’un serveur compatible Azure Arc pour disposer d’une identité managée attribuée par le système. Pour plus d’informations sur les serveurs avec Azure Arc et sur la façon d’installer l’agent Azure Connected Machine, consultez Vue d’ensemble des serveurs avec Azure Arc.
- Si le serveur est déjà activé pour Azure Arc, exécutez la
azcmagent showcommande à partir de PowerShell et vérifiez que l’état de l’agent est connecté. Si l’état de l’agent est déconnecté, résolvez les problèmes de connexion de l’agent Connecté Azure。
- Si le serveur est déjà activé pour Azure Arc, exécutez la
Si le serveur est une machine virtuelle Azure, activez une identité managée affectée par le système sur la machine virtuelle.
Vérifier si un serveur inscrit a une identité managée affectée par le système
Pour vérifier si un serveur inscrit a une identité managée affectée par le système, exécutez la commande PowerShell suivante :
Get-AzStorageSyncServer -ResourceGroupName <string> -StorageSyncServiceName <string>
Vérifiez que la LatestApplicationId propriété a un GUID qui indique que le serveur a une identité managée affectée par le système, mais n’est pas actuellement configuré pour l’utiliser.
Si la LatestApplicationId propriété a un GUID, réexécutez l’applet Set-AzStorageSyncServiceIdentity de commande pour configurer le serveur afin qu’il utilise une identité managée affectée par le système. Vérifiez que la ApplicationId propriété a un GUID qui indique que le serveur est configuré pour utiliser l’identité managée. Une fois que le serveur utilise l’identité managée affectée par le système, la valeur de la ActiveAuthType propriété est mise à jour ManagedIdentityvers .
Impossible de supprimer un service de synchronisation de stockage
Lorsque vous essayez de supprimer un service de synchronisation de stockage, vous pouvez obtenir l’erreur suivante :
Impossible de supprimer le service de synchronisation de stockage dans la région<.> Le service de synchronisation de stockage supprime des instantanés qui ne sont plus nécessaires. Réessayez en quelques heures.
Ce problème se produit lorsque votre partage de fichiers a des instantanés Azure File Sync inutilisés. Pour réduire vos coûts, les instantanés inutilisés sont supprimés avant de supprimer le service de synchronisation de stockage. Le nombre d’instantanés varie selon la taille du jeu de données. Si vous ne pouvez pas supprimer le service de synchronisation de stockage après quelques heures, réessayez le lendemain.
Autorisations requises pour accéder à un compte de stockage et au partage de fichiers Azure
Quand Azure File Sync est configuré pour utiliser une identité managée, vos points de terminaison cloud et serveur ont besoin des autorisations suivantes pour accéder à un compte de stockage et au partage de fichiers Azure :
Point de terminaison cloud :
- L’identité managée du service de synchronisation de stockage doit être membre du rôle Contributeur de compte de stockage sur un compte de stockage.
- L’identité managée du service de synchronisation de stockage doit être membre du rôle Contributeur privilégié des données de fichier de stockage sur un partage de fichiers Azure.
Point de terminaison de serveur :
- Inscrire l’identité managée du serveur doit être membre du rôle Contributeur privilégié des données de fichier de stockage sur un partage de fichiers Azure.
Lorsque vous exécutez l’applet Set-AzStorageSyncServiceIdentity de commande ou créez des points de terminaison cloud et serveur, ces autorisations sont accordées. Si ces autorisations sont supprimées, les opérations échouent avec les erreurs répertoriées dans la section suivante.
Problèmes courants
Cette section traite des problèmes courants qui se produisent lorsque les autorisations ou les paramètres de configuration sont incorrects.
La synchronisation échoue avec le 0x80c8305f d’erreur (ECS_E_EXTERNAL_STORAGE_ACCOUNT_AUTHORIZATION_FAILED)
| Error | Code |
|---|---|
| HRESULT | 0x80c8305f |
| HRESULT (décimal) | -2134364065 |
| Chaîne d’erreur | ECS_E_EXTERNAL_STORAGE_ACCOUNT_AUTHORIZATION_FAILED |
| Correction requise | Oui |
Ce problème se produit lorsque l’identité managée du service de synchronisation de stockage n’a pas accès à un compte de stockage.
Pour résoudre ce problème, exécutez la commande PowerShell suivante :
Set-AzStorageSyncCloudEndpointPermission -ResourceGroupName <string> -StorageSyncServiceName <string> -SyncGroupName <string> -Name <string>
Note
Le -Name paramètre est le nom du point de terminaison cloud. Il s’agit d’un GUID, et non du nom convivial affiché dans le Portail Azure. Pour obtenir le nom du point de terminaison cloud, exécutez l’applet de commande Get-AzStorageSyncCloudEndpoint .
La synchronisation échoue avec l’erreur 0x80c86053 (ECS_E_AZURE_FILE_SHARE_NOT_ACCESSIBLE)
| Error | Code |
|---|---|
| HRESULT | 0x80c86053 |
| HRESULT (décimal) | -2134351789 |
| Chaîne d’erreur | ECS_E_AZURE_FILE_SHARE_NOT_ACCESSIBLE |
| Correction requise | Oui |
Ce problème se produit lorsque l’identité managée du service de synchronisation de stockage n’a pas accès à un partage de fichiers Azure.
Pour résoudre ce problème, exécutez la commande PowerShell suivante :
Set-AzStorageSyncCloudEndpointPermission -ResourceGroupName <string> -StorageSyncServiceName <string> -SyncGroupName <string> -Name <string>
Note
Le -Name paramètre est le nom du point de terminaison cloud. Il s’agit d’un GUID, et non du nom convivial affiché dans le Portail Azure. Pour obtenir le nom du point de terminaison cloud, exécutez l’applet de commande Get-AzStorageSyncCloudEndpoint .
Échec de la synchronisation des fichiers avec 0x80c86063 d’erreur (ECS_E_AZURE_AUTHORIZATION_PERMISSION_MISMATCH)
| Error | Code |
|---|---|
| HRESULT | 0x80c86063 |
| HRESULT (décimal) | -2134351773 |
| Chaîne d’erreur | ECS_E_AZURE_AUTHORIZATION_PERMISSION_MISMATCH |
| Correction requise | Oui |
Ce problème se produit lorsque l’identité managée du serveur inscrit n’a pas accès à un partage de fichiers Azure.
Pour résoudre ce problème, exécutez la commande PowerShell suivante :
Set-AzStorageSyncServerEndpointPermission -ResourceGroupName <string> -StorageSyncServiceName <string> -SyncGroupName <string> -Name <string>
Note
Le -Name paramètre est le nom du point de terminaison du serveur. Il s’agit d’un GUID, et non du nom convivial affiché dans le Portail Azure. Pour obtenir le nom du point de terminaison du serveur, exécutez l’applet de commande Get-AzStorageSyncServerEndpoint .
L’applet de commande Test-NetworkConnectivity échoue avec le 0x80190193 d’erreur (HTTP_E_STATUS_FORBIDDEN)
Ce problème se produit lorsque l’identité managée du serveur inscrit n’a pas accès à un partage de fichiers Azure.
Pour résoudre ce problème, exécutez la commande PowerShell suivante :
Set-AzStorageSyncServerEndpointPermission -ResourceGroupName <string> -StorageSyncServiceName <string> -SyncGroupName <string> -Name <string>
Note
Le -Name paramètre est le nom du point de terminaison du serveur. Il s’agit d’un GUID, et non du nom convivial affiché dans le Portail Azure. Pour obtenir le nom du point de terminaison du serveur, exécutez l’applet de commande Get-AzStorageSyncServerEndpoint .
L’applet de commande Test-NetworkConnectivity échoue avec l’erreur 0x80131500 (COR_E_EXCEPTION)
Ce problème se produit lorsque l’autorisation des services Azure dans la liste des services approuvés pour accéder à cette exception de compte de stockage n’est pas activée sur un compte de stockage. Pour résoudre ce problème, activez cette exception en suivant les instructions fournies dans Accorder l’accès aux services Azure approuvés et en limitant l’accès au point de terminaison public du compte de stockage à des réseaux virtuels spécifiques.
Contactez-nous pour obtenir de l’aide
Pour toute demande ou assistance, créez une demande de support ou posez une question au support de la communauté Azure. Vous pouvez également soumettre des commentaires sur les produits à la communauté de commentaires Azure.