Risolvere i problemi di identità gestita Sincronizzazione file di Azure
Questo articolo illustra come risolvere i problemi che possono verificarsi quando si usa un'identità gestita con una distribuzione di Sincronizzazione file di Azure.
Controllare se il servizio di sincronizzazione archiviazione usa un'identità gestita assegnata dal sistema
Per verificare se il servizio di sincronizzazione archiviazione usa un'identità gestita assegnata dal sistema, eseguire il comando seguente da una finestra di PowerShell con privilegi elevati:
Get-AzStorageSyncService -ResourceGroupName <string> -StorageSyncServiceName <string>
Verificare che il valore della UseIdentity proprietà provena True dall'output del comando. Se il valore è False, il servizio di sincronizzazione archiviazione usa chiavi condivise per l'autenticazione nelle condivisioni file di Azure.
Controllare se un server registrato è configurato per l'uso di un'identità gestita assegnata dal sistema
Per verificare se un server registrato è configurato per l'uso di un'identità gestita assegnata dal sistema, eseguire il comando seguente da una finestra di PowerShell con privilegi elevati:
Get-AzStorageSyncServer -ResourceGroupName <string> -StorageSyncServiceName <string>
Verificare che la ApplicationId proprietà abbia un GUID che indica che il server è configurato per l'uso di un'identità gestita assegnata dal sistema. Quando il server usa un'identità gestita assegnata dal sistema, il valore della ActiveAuthType proprietà viene aggiornato a ManagedIdentity. Se il valore è Certificate, il server usa chiavi condivise per l'autenticazione nelle condivisioni file di Azure.
Note
Quando un server è configurato per l'uso di un'identità gestita assegnata dal sistema, può richiedere fino a un'ora prima che il server usi l'identità gestita assegnata dal sistema per l'autenticazione al servizio di sincronizzazione archiviazione e alle condivisioni file di Azure.
Il cmdlet Set-AzStorageSyncServiceIdentity non configura un server per l'uso di un'identità gestita assegnata dal sistema
Se l'esecuzione del Set-AzStorageSyncServiceIdentity cmdlet non configura un server registrato per l'uso di un'identità gestita assegnata dal sistema, è probabile che il server non abbia un'identità gestita assegnata dal sistema.
Per abilitare un'identità gestita assegnata dal sistema in un server registrato in cui è installato l'agente Sincronizzazione file di Azure v19, seguire questa procedura:
Se il server è ospitato all'esterno di Azure, deve essere un server abilitato per Azure Arc per avere un'identità gestita assegnata dal sistema. Per altre informazioni sui server abilitati per Azure Arc e su come installare l'agente di Azure Connected Machine, vedere Panoramica dei server abilitati per Azure Arc.
- Se il server è già abilitato per Azure Arc, eseguire il
azcmagent showcomando da PowerShell e verificare che lo stato dell'agente sia connesso. Se lo stato dell'agente è disconnesso, risolvere i problemi di connessione dell'agente di Azure Connected Machine。
- Se il server è già abilitato per Azure Arc, eseguire il
Se il server è una macchina virtuale di Azure, abilitare un'identità gestita assegnata dal sistema nella macchina virtuale.
Controllare se un server registrato ha un'identità gestita assegnata dal sistema
Per verificare se un server registrato dispone di un'identità gestita assegnata dal sistema, eseguire il comando PowerShell seguente:
Get-AzStorageSyncServer -ResourceGroupName <string> -StorageSyncServiceName <string>
Verificare che la LatestApplicationId proprietà abbia un GUID che indica che il server ha un'identità gestita assegnata dal sistema ma non è attualmente configurata per usarla.
Se la LatestApplicationId proprietà ha un GUID, eseguire di nuovo il Set-AzStorageSyncServiceIdentity cmdlet per configurare il server in modo da usare un'identità gestita assegnata dal sistema. Verificare che la ApplicationId proprietà abbia un GUID che indica che il server è configurato per l'uso dell'identità gestita. Dopo che il server usa l'identità gestita assegnata dal sistema, il valore della ActiveAuthType proprietà viene aggiornato a ManagedIdentity.
Impossibile eliminare un servizio di sincronizzazione archiviazione
Quando si tenta di eliminare un servizio di sincronizzazione archiviazione, è possibile che venga visualizzato l'errore seguente:
Impossibile eliminare il servizio di sincronizzazione archiviazione nell'area <>geografica. Il servizio di sincronizzazione archiviazione elimina gli snapshot non più necessari. Riprovare tra qualche ora.
Questo problema si verifica quando la condivisione file non è usata Sincronizzazione file di Azure snapshot. Per ridurre i costi, gli snapshot inutilizzati vengono eliminati prima di rimuovere il servizio di sincronizzazione archiviazione. Il numero di snapshot varia a seconda delle dimensioni del set di dati. Se non è possibile eliminare il servizio di sincronizzazione archiviazione dopo alcune ore, riprovare il giorno successivo.
Autorizzazioni necessarie per accedere a un account di archiviazione e a una condivisione file di Azure
Quando Sincronizzazione file di Azure è configurato per l'uso di un'identità gestita, gli endpoint cloud e server necessitano delle autorizzazioni seguenti per accedere a un account di archiviazione e a una condivisione file di Azure:
Endpoint cloud:
- L'identità gestita del servizio di sincronizzazione archiviazione deve essere membro del ruolo Collaboratore account di archiviazione in un account di archiviazione.
- L'identità gestita del servizio di sincronizzazione archiviazione deve essere membro del ruolo Collaboratore con privilegi per i dati dei file di archiviazione in una condivisione file di Azure.
Endpoint server:
- Registrare l'identità gestita del server deve essere un membro del ruolo Collaboratore con privilegi per i dati dei file di archiviazione in una condivisione file di Azure.
Quando si esegue il Set-AzStorageSyncServiceIdentity cmdlet o si creano nuovi endpoint cloud e server, vengono concesse queste autorizzazioni. Se queste autorizzazioni vengono rimosse, le operazioni hanno esito negativo con gli errori elencati nella sezione seguente.
Problemi comuni
Questa sezione illustra i problemi comuni che si verificano quando le autorizzazioni o le impostazioni di configurazione non sono corrette.
La sincronizzazione ha esito negativo con 0x80c8305f di errore (ECS_E_EXTERNAL_STORAGE_ACCOUNT_AUTHORIZATION_FAILED)
| Errore | Codice |
|---|---|
| HRESULT | 0x80c8305f |
| HRESULT (decimale) | -2134364065 |
| Stringa di errore | ECS_E_EXTERNAL_STORAGE_ACCOUNT_AUTHORIZATION_FAILED |
| Rimedio necessario | Sì |
Questo problema si verifica quando l'identità gestita per il servizio di sincronizzazione archiviazione non ha accesso a un account di archiviazione.
Per risolvere questo problema, eseguire il comando di PowerShell seguente:
Set-AzStorageSyncCloudEndpointPermission -ResourceGroupName <string> -StorageSyncServiceName <string> -SyncGroupName <string> -Name <string>
Note
Il -Name parametro è il nome dell'endpoint cloud. Si tratta di un GUID, non del nome descrittivo visualizzato nella portale di Azure. Per ottenere il nome dell'endpoint cloud, eseguire il cmdlet Get-AzStorageSyncCloudEndpoint .
La sincronizzazione ha esito negativo con 0x80c86053 di errore (ECS_E_AZURE_FILE_SHARE_NOT_ACCESSIBLE)
| Errore | Codice |
|---|---|
| HRESULT | 0x80c86053 |
| HRESULT (decimale) | -2134351789 |
| Stringa di errore | ECS_E_AZURE_FILE_SHARE_NOT_ACCESSIBLE |
| Rimedio necessario | Sì |
Questo problema si verifica quando l'identità gestita per il servizio di sincronizzazione archiviazione non ha accesso a una condivisione file di Azure.
Per risolvere questo problema, eseguire il comando di PowerShell seguente:
Set-AzStorageSyncCloudEndpointPermission -ResourceGroupName <string> -StorageSyncServiceName <string> -SyncGroupName <string> -Name <string>
Note
Il -Name parametro è il nome dell'endpoint cloud. Si tratta di un GUID, non del nome descrittivo visualizzato nella portale di Azure. Per ottenere il nome dell'endpoint cloud, eseguire il cmdlet Get-AzStorageSyncCloudEndpoint .
Impossibile sincronizzare i file con 0x80c86063 di errore (ECS_E_AZURE_AUTHORIZATION_PERMISSION_MISMATCH)
| Errore | Codice |
|---|---|
| HRESULT | 0x80c86063 |
| HRESULT (decimale) | -2134351773 |
| Stringa di errore | ECS_E_AZURE_AUTHORIZATION_PERMISSION_MISMATCH |
| Rimedio necessario | Sì |
Questo problema si verifica quando l'identità gestita per il server registrato non ha accesso a una condivisione file di Azure.
Per risolvere questo problema, eseguire il comando di PowerShell seguente:
Set-AzStorageSyncServerEndpointPermission -ResourceGroupName <string> -StorageSyncServiceName <string> -SyncGroupName <string> -Name <string>
Note
Il -Name parametro è il nome dell'endpoint server. Si tratta di un GUID, non del nome descrittivo visualizzato nella portale di Azure. Per ottenere il nome dell'endpoint server, eseguire il cmdlet Get-AzStorageSyncServerEndpoint .
Il cmdlet Test-NetworkConnectivity ha esito negativo e viene visualizzato l'errore 0x80190193 (HTTP_E_STATUS_FORBIDDEN)
Questo problema si verifica quando l'identità gestita per il server registrato non ha accesso a una condivisione file di Azure.
Per risolvere questo problema, eseguire il comando di PowerShell seguente:
Set-AzStorageSyncServerEndpointPermission -ResourceGroupName <string> -StorageSyncServiceName <string> -SyncGroupName <string> -Name <string>
Note
Il -Name parametro è il nome dell'endpoint server. Si tratta di un GUID, non del nome descrittivo visualizzato nella portale di Azure. Per ottenere il nome dell'endpoint server, eseguire il cmdlet Get-AzStorageSyncServerEndpoint .
Il cmdlet Test-NetworkConnectivity ha esito negativo e viene visualizzato l'errore 0x80131500 (COR_E_EXCEPTION)
Questo problema si verifica quando l'opzione Consenti ai servizi di Azure nell'elenco dei servizi attendibili di accedere a questa eccezione dell'account di archiviazione non è abilitata in un account di archiviazione. Per risolvere questo problema, abilitare questa eccezione seguendo le istruzioni riportate in Concedere l'accesso ai servizi di Azure attendibili e limitare l'accesso all'endpoint pubblico dell'account di archiviazione a reti virtuali specifiche.
Contattaci per ricevere assistenza
In caso di domande o bisogno di assistenza, creare una richiesta di supporto tecnico oppure formula una domanda nel Supporto della community di Azure. È possibile anche inviare un feedback sul prodotto al feedback della community di Azure.