Compartilhar via


Solucionar problemas de identidade gerenciada da Sincronização de Arquivos do Azure

Este artigo ajuda você a solucionar problemas que você pode encontrar ao usar uma identidade gerenciada com uma implantação de Sincronização de Arquivos do Azure.

Verificar se o Serviço de Sincronização de Armazenamento usa uma identidade gerenciada atribuída pelo sistema

Para verificar se o Serviço de Sincronização de Armazenamento usa uma identidade gerenciada atribuída pelo sistema, execute o seguinte comando em uma janela do PowerShell com privilégios elevados:

Get-AzStorageSyncService -ResourceGroupName <string> -StorageSyncServiceName <string>

Verifique se o UseIdentity valor da propriedade é True da saída do comando. Se o valor for False, o Serviço de Sincronização de Armazenamento usará chaves compartilhadas para autenticar em compartilhamentos de arquivos do Azure.

Verificar se um servidor registrado está configurado para usar uma identidade gerenciada atribuída pelo sistema

Para verificar se um servidor registrado está configurado para usar uma identidade gerenciada atribuída pelo sistema, execute o seguinte comando em uma janela PowerShell elevada:

Get-AzStorageSyncServer -ResourceGroupName <string> -StorageSyncServiceName <string>

Verifique se a ApplicationId propriedade tem um GUID que indica que o servidor está configurado para usar uma identidade gerenciada atribuída pelo sistema. Depois que o servidor usa uma identidade gerenciada atribuída pelo sistema, o ActiveAuthType valor da propriedade é atualizado para ManagedIdentity. Se o valor for Certificate, o servidor usará chaves compartilhadas para autenticar em compartilhamentos de arquivos do Azure.

Observação

Depois que um servidor é configurado para usar uma identidade gerenciada atribuída pelo sistema, pode levar até uma hora para que o servidor use a identidade gerenciada atribuída pelo sistema para se autenticar no Serviço de Sincronização de Armazenamento e nos compartilhamentos de arquivos do Azure.

O cmdlet Set-AzStorageSyncServiceIdentity não configura um servidor para usar uma identidade gerenciada atribuída pelo sistema

Se a execução do Set-AzStorageSyncServiceIdentity cmdlet não configurar um servidor registrado para usar uma identidade gerenciada atribuída pelo sistema, é provável que o servidor não tenha uma identidade gerenciada atribuída pelo sistema.

Para habilitar uma identidade gerenciada atribuída pelo sistema em um servidor registrado que tem o agente da Sincronização de Arquivos do Azure v19 instalado, execute as seguintes etapas:

  • Se o servidor estiver hospedado fora do Azure, ele deve ser um servidor habilitado para Azure Arc para ter uma identidade gerenciada atribuída pelo sistema. Para obter mais informações sobre servidores habilitados para Azure Arc e como instalar o agente do Azure Connected Machine, consulte Visão geral dos servidores habilitados para Azure Arc.

    • Se o servidor já estiver habilitado para Azure Arc, execute o azcmagent show comando do PowerShell e confirme se o Status do Agente é Conectado. Se o Status do Agente for Desconectado, solucione problemas de conexão do agente do Azure Connected Machine。
  • Se o servidor for uma máquina virtual do Azure, habilite uma identidade gerenciada atribuída pelo sistema na máquina virtual.

Verificar se um servidor registrado tem uma identidade gerenciada atribuída pelo sistema

Para verificar se um servidor registrado tem uma identidade gerenciada atribuída pelo sistema, execute o seguinte comando do PowerShell:

Get-AzStorageSyncServer -ResourceGroupName <string> -StorageSyncServiceName <string>

Verifique se a LatestApplicationId propriedade tem um GUID que indica que o servidor tem uma identidade gerenciada atribuída pelo sistema, mas não está configurada no momento para usá-la.

Se a LatestApplicationId propriedade tiver um GUID, execute o Set-AzStorageSyncServiceIdentity cmdlet novamente para configurar o servidor para usar uma identidade gerenciada atribuída pelo sistema. Verifique se a ApplicationId propriedade tem um GUID que indica que o servidor está configurado para usar a identidade gerenciada. Depois que o servidor usa a identidade gerenciada atribuída pelo sistema, o ActiveAuthType valor da propriedade é atualizado para ManagedIdentity.

Não é possível excluir um Serviço de Sincronização de Armazenamento

Ao tentar excluir um Serviço de Sincronização de Armazenamento, você pode receber o seguinte erro:

Não é possível excluir o Serviço de Sincronização de Armazenamento na <região da região>. O Serviço de Sincronização de Armazenamento está excluindo instantâneos que não são mais necessários. Tente novamente em algumas horas.

Esse problema ocorre quando o compartilhamento de arquivos tem instantâneos da Sincronização de Arquivos do Azure não utilizados. Para reduzir o custo, os instantâneos não utilizados são excluídos antes de remover o Serviço de Sincronização de Armazenamento. A contagem de snapshots varia de acordo com o tamanho do conjunto de dados. Se você não conseguir excluir o Serviço de Sincronização de Armazenamento após algumas horas, tente novamente no dia seguinte.

Permissões necessárias para acessar uma conta de armazenamento e um compartilhamento de arquivos do Azure

Quando a Sincronização de Arquivos do Azure é configurada para usar uma identidade gerenciada, os pontos de extremidade de nuvem e servidor precisam das seguintes permissões para acessar uma conta de armazenamento e um compartilhamento de arquivos do Azure:

Ponto de extremidade da nuvem:

  • A identidade gerenciada do Serviço de Sincronização de Armazenamento deve ser membro da função Colaborador da Conta de Armazenamento em uma conta de armazenamento.
  • A identidade gerenciada do Serviço de Sincronização de Armazenamento deve ser membro da função Colaborador Privilegiado de Dados de Arquivo de Armazenamento em um compartilhamento de arquivos do Azure.

Ponto de extremidade do servidor:

  • A identidade gerenciada do servidor de registro deve ser membro da função Colaborador Privilegiado de Dados de Arquivo de Armazenamento em um compartilhamento de arquivos do Azure.

Quando você executa o Set-AzStorageSyncServiceIdentity cmdlet ou cria novos pontos de extremidade de nuvem e servidor, essas permissões são concedidas. Se essas permissões forem removidas, as operações falharão com os erros listados na seção a seguir.

Problemas comuns

Esta seção aborda problemas comuns que ocorrem quando as permissões ou definições de configuração estão incorretas.

Falha na sincronização com 0x80c8305f de erro (ECS_E_EXTERNAL_STORAGE_ACCOUNT_AUTHORIZATION_FAILED)

Erro Código
HRESULT 0x80c8305f
HRESULT (decimal) -2134364065
Cadeia de caracteres de erro ECS_E_EXTERNAL_STORAGE_ACCOUNT_AUTHORIZATION_FAILED
Correção necessária Sim

Esse problema ocorre quando a identidade gerenciada do Serviço de Sincronização de Armazenamento não tem acesso a uma conta de armazenamento.

Para resolver esse problema, execute o seguinte comando do PowerShell:

Set-AzStorageSyncCloudEndpointPermission -ResourceGroupName <string> -StorageSyncServiceName <string> -SyncGroupName <string> -Name <string>

Observação

O -Name parâmetro é o nome do ponto de extremidade da nuvem. É um GUID, não o nome amigável exibido no portal do Azure. Para obter o nome do ponto de extremidade de nuvem, execute o cmdlet Get-AzStorageSyncCloudEndpoint .

Falha na sincronização com 0x80c86053 de erro (ECS_E_AZURE_FILE_SHARE_NOT_ACCESSIBLE)

Erro Código
HRESULT 0x80c86053
HRESULT (decimal) -2134351789
Cadeia de caracteres de erro ECS_E_AZURE_FILE_SHARE_NOT_ACCESSIBLE
Correção necessária Sim

Esse problema ocorre quando a identidade gerenciada do Serviço de Sincronização de Armazenamento não tem acesso a um compartilhamento de arquivos do Azure.

Para resolver esse problema, execute o seguinte comando do PowerShell:

Set-AzStorageSyncCloudEndpointPermission -ResourceGroupName <string> -StorageSyncServiceName <string> -SyncGroupName <string> -Name <string>

Observação

O -Name parâmetro é o nome do ponto de extremidade da nuvem. É um GUID, não o nome amigável exibido no portal do Azure. Para obter o nome do ponto de extremidade de nuvem, execute o cmdlet Get-AzStorageSyncCloudEndpoint .

Os arquivos não são sincronizados com o 0x80c86063 de erro (ECS_E_AZURE_AUTHORIZATION_PERMISSION_MISMATCH)

Erro Código
HRESULT 0x80c86063
HRESULT (decimal) -2134351773
Cadeia de caracteres de erro ECS_E_AZURE_AUTHORIZATION_PERMISSION_MISMATCH
Correção necessária Sim

Esse problema ocorre quando a identidade gerenciada do servidor registrado não tem acesso a um compartilhamento de arquivos do Azure.

Para resolver esse problema, execute o seguinte comando do PowerShell:

Set-AzStorageSyncServerEndpointPermission -ResourceGroupName <string> -StorageSyncServiceName <string> -SyncGroupName <string> -Name <string>

Observação

O -Name parâmetro é o nome do ponto de extremidade do servidor. É um GUID, não o nome amigável exibido no portal do Azure. Para obter o nome do ponto de extremidade do servidor, execute o cmdlet Get-AzStorageSyncServerEndpoint .

O cmdlet Test-NetworkConnectivity falha com o 0x80190193 de erro (HTTP_E_STATUS_FORBIDDEN)

Esse problema ocorre quando a identidade gerenciada do servidor registrado não tem acesso a um compartilhamento de arquivos do Azure.

Para resolver esse problema, execute o seguinte comando do PowerShell:

Set-AzStorageSyncServerEndpointPermission -ResourceGroupName <string> -StorageSyncServiceName <string> -SyncGroupName <string> -Name <string>

Observação

O -Name parâmetro é o nome do ponto de extremidade do servidor. É um GUID, não o nome amigável exibido no portal do Azure. Para obter o nome do ponto de extremidade do servidor, execute o cmdlet Get-AzStorageSyncServerEndpoint .

O cmdlet Test-NetworkConnectivity falha com o 0x80131500 de erro (COR_E_EXCEPTION)

Esse problema ocorre quando a exceção Permitir que os serviços do Azure na lista de serviços confiáveis acessem essa conta de armazenamento não está habilitada em uma conta de armazenamento. Para resolver esse problema, habilite essa exceção seguindo as instruções em Conceder acesso a serviços confiáveis do Azure e restringir o acesso ao ponto de extremidade público da conta de armazenamento a redes virtuais específicas.

Entre em contato conosco para obter ajuda

Se você tiver dúvidas ou precisar de ajuda, crie uma solicitação de suporte ou peça ajuda à comunidade de suporte do Azure. Você também pode enviar comentários sobre o produto para a comunidade de comentários do Azure.