Azure File Sync のマネージド ID に関する問題のトラブルシューティング
この記事は、Azure File Sync デプロイでマネージド ID を使用するときに発生する可能性がある問題のトラブルシューティングと解決に役立ちます。
ストレージ同期サービスでシステム割り当てマネージド ID が使用されているかどうかを確認する
ストレージ同期サービスでシステム割り当てマネージド ID が使用されているかどうかを確認するには、管理者特権の PowerShell ウィンドウから次のコマンドを実行します。
Get-AzStorageSyncService -ResourceGroupName <string> -StorageSyncServiceName <string>
UseIdentity プロパティの値がコマンド出力からTrueされていることを確認します。 値が Falseされている場合、ストレージ同期サービスは共有キーを使用して Azure ファイル共有に対する認証を行います。
登録済みサーバーがシステム割り当てマネージド ID を使用するように構成されているかどうかを確認する
登録サーバーがシステム割り当てマネージド ID を使用するように構成されているかどうかを確認するには、管理者特権の PowerShell ウィンドウから次のコマンドを実行します。
Get-AzStorageSyncServer -ResourceGroupName <string> -StorageSyncServiceName <string>
ApplicationId プロパティに、サーバーがシステム割り当てマネージド ID を使用するように構成されていることを示す GUID があることを確認します。 サーバーがシステム割り当てマネージド ID を使用すると、 ActiveAuthType プロパティの値が ManagedIdentityに更新されます。 値が Certificate場合、サーバーは共有キーを使用して Azure ファイル共有に対する認証を行います。
Note
システム割り当てマネージド ID を使用するようにサーバーが構成されると、サーバーがシステム割り当てマネージド ID を使用してストレージ同期サービスと Azure ファイル共有に対して認証されるまでに最大 1 時間かかることがあります。
Set-AzStorageSyncServiceIdentity コマンドレットは、システム割り当てマネージド ID を使用するようにサーバーを構成しません
Set-AzStorageSyncServiceIdentity コマンドレットを実行しても、システム割り当てマネージド ID を使用するように登録済みサーバーが構成されていない場合は、サーバーにシステム割り当てマネージド ID がないためである可能性があります。
Azure File Sync v19 エージェントがインストールされている登録サーバー上でシステム割り当てマネージド ID を有効にするには、以下の手順を実行します。
サーバーが Azure の外部でホストされている場合、システム割り当てマネージド ID を割り当てるには、Azure Arc 対応サーバーである必要があります。 Azure Arc 対応サーバーと Azure Connected Machine エージェントをインストールする方法の詳細については、「 Azure Arc 対応サーバーの概要を参照してください。
サーバーが Azure 仮想マシンの場合 仮想マシンでシステム割り当てマネージド ID を有効にします。
登録済みサーバーにシステム割り当てマネージド ID があるかどうかを確認する
登録済みサーバーにシステム割り当てマネージド ID があるかどうかを確認するには、次の PowerShell コマンドを実行します。
Get-AzStorageSyncServer -ResourceGroupName <string> -StorageSyncServiceName <string>
LatestApplicationId プロパティに GUID があることを確認します。これは、サーバーにシステム割り当てマネージド ID が割り当てられているが、現在使用するように構成されていないことを示します。
LatestApplicationId プロパティに GUID がある場合は、Set-AzStorageSyncServiceIdentity コマンドレットをもう一度実行して、システム割り当てマネージド ID を使用するようにサーバーを構成します。 ApplicationId プロパティに、サーバーがマネージド ID を使用するように構成されていることを示す GUID があることを確認します。 サーバーがシステム割り当てマネージド ID を使用すると、 ActiveAuthType プロパティの値が ManagedIdentityに更新されます。
ストレージ同期サービスを削除できない
ストレージ同期サービスを削除しようとすると、次のエラーが発生する可能性があります。
リージョン <リージョン内のストレージ同期サービスを削除できません>。 ストレージ同期サービスは、不要になったスナップショットを削除しています。 数時間後にもう一度お試しください。
この問題は、ファイル共有に未使用の Azure File Sync スナップショットがある場合に発生します。 コストを削減するために、ストレージ同期サービスを削除する前に、未使用のスナップショットが削除されます。 スナップショットの数は、データセットのサイズによって異なります。 数時間後にストレージ同期サービスを削除できない場合は、翌日にもう一度お試しください。
ストレージ アカウントと Azure ファイル共有にアクセスするために必要なアクセス許可
マネージド ID を使用するように Azure File Sync が構成されている場合、クラウドエンドポイントとサーバー エンドポイントは、ストレージ アカウントと Azure ファイル共有にアクセスするために次のアクセス許可を必要とします。
クラウド エンドポイント:
- ストレージ同期サービスのマネージド ID は、ストレージ アカウントの Storage アカウント共同作成者 ロールのメンバーである必要があります。
- ストレージ同期サービスのマネージド ID は、Azure ファイル共有の Storage File Data Privileged Contributor ロールのメンバーである必要があります。
サーバー エンドポイント:
- サーバーマネージド ID の登録は、Azure ファイル共有の Storage File Data Privileged Contributor ロールのメンバーである必要があります。
Set-AzStorageSyncServiceIdentity コマンドレットを実行するか、新しいクラウドおよびサーバー エンドポイントを作成すると、これらのアクセス許可が付与されます。 これらのアクセス許可が削除されると、次のセクションに示すエラーで操作が失敗します。
一般的な問題
このセクションでは、アクセス許可または構成設定が正しくない場合に発生する一般的な問題について説明します。
エラー 0x80c8305f (ECS_E_EXTERNAL_STORAGE_ACCOUNT_AUTHORIZATION_FAILED) で同期が失敗する
| エラー | コード |
|---|---|
| HRESULT | 0x80c8305f |
| HRESULT (10 進値) | -2134364065 |
| エラー文字列 | ECS_E_EXTERNAL_STORAGE_ACCOUNT_AUTHORIZATION_FAILED |
| 修復が必要か | はい |
この問題は、ストレージ同期サービスのマネージド ID がストレージ アカウントにアクセスできない場合に発生します。
この問題を解決するには、次の PowerShell コマンドを実行します。
Set-AzStorageSyncCloudEndpointPermission -ResourceGroupName <string> -StorageSyncServiceName <string> -SyncGroupName <string> -Name <string>
Note
-Name パラメーターは、クラウド エンドポイントの名前です。 これは GUID であり、Azure portal に表示されるフレンドリ名ではありません。 クラウド エンドポイント名を取得するには、 Get-AzStorageSyncCloudEndpoint コマンドレットを実行します。
エラー 0x80c86053 (ECS_E_AZURE_FILE_SHARE_NOT_ACCESSIBLE) で同期が失敗する
| エラー | コード |
|---|---|
| HRESULT | 0x80c86053 |
| HRESULT (10 進値) | -2134351789 |
| エラー文字列 | ECS_E_AZURE_FILE_SHARE_NOT_ACCESSIBLE |
| 修復が必要か | はい |
この問題は、ストレージ同期サービスのマネージド ID が Azure ファイル共有にアクセスできない場合に発生します。
この問題を解決するには、次の PowerShell コマンドを実行します。
Set-AzStorageSyncCloudEndpointPermission -ResourceGroupName <string> -StorageSyncServiceName <string> -SyncGroupName <string> -Name <string>
Note
-Name パラメーターは、クラウド エンドポイントの名前です。 これは GUID であり、Azure portal に表示されるフレンドリ名ではありません。 クラウド エンドポイント名を取得するには、 Get-AzStorageSyncCloudEndpoint コマンドレットを実行します。
ファイルがエラー 0x80c86063 (ECS_E_AZURE_AUTHORIZATION_PERMISSION_MISMATCH) と同期できない
| エラー | コード |
|---|---|
| HRESULT | 0x80c86063 |
| HRESULT (10 進値) | -2134351773 |
| エラー文字列 | ECS_E_AZURE_AUTHORIZATION_PERMISSION_MISMATCH |
| 修復が必要か | はい |
この問題は、登録済みサーバーのマネージド ID が Azure ファイル共有にアクセスできない場合に発生します。
この問題を解決するには、次の PowerShell コマンドを実行します。
Set-AzStorageSyncServerEndpointPermission -ResourceGroupName <string> -StorageSyncServiceName <string> -SyncGroupName <string> -Name <string>
Note
-Name パラメーターは、サーバー エンドポイントの名前です。 これは GUID であり、Azure portal に表示されるフレンドリ名ではありません。 サーバー エンドポイント名を取得するには、 Get-AzStorageSyncServerEndpoint コマンドレットを実行します。
Test-NetworkConnectivity コマンドレットがエラー 0x80190193で失敗する (HTTP_E_STATUS_FORBIDDEN)
この問題は、登録済みサーバーのマネージド ID が Azure ファイル共有にアクセスできない場合に発生します。
この問題を解決するには、次の PowerShell コマンドを実行します。
Set-AzStorageSyncServerEndpointPermission -ResourceGroupName <string> -StorageSyncServiceName <string> -SyncGroupName <string> -Name <string>
Note
-Name パラメーターは、サーバー エンドポイントの名前です。 これは GUID であり、Azure portal に表示されるフレンドリ名ではありません。 サーバー エンドポイント名を取得するには、 Get-AzStorageSyncServerEndpoint コマンドレットを実行します。
Test-NetworkConnectivity コマンドレットがエラー 0x80131500で失敗する (COR_E_EXCEPTION)
この問題は、このストレージ アカウントにアクセスするために信頼されたサービスの一覧の Allow Azure サービス 例外がストレージ アカウントで有効になっていない場合に発生します。 この問題を解決するには、「 信頼された Azure サービスへのアクセスを許可し、ストレージ アカウントのパブリック エンドポイントへのアクセスを特定の仮想ネットワークに制限するの手順に従って、この例外を有効にします。
お問い合わせはこちらから
質問がある場合やヘルプが必要な場合は、サポート要求を作成するか、Azure コミュニティ サポートにお問い合わせください。 Azure フィードバック コミュニティに製品フィードバックを送信することもできます。