Устранение неполадок Синхронизация файлов Azure управляемых удостоверений
В этой статье показано, как устранить неполадки, которые могут возникнуть при использовании управляемого удостоверения с развертыванием Синхронизация файлов Azure.
Проверьте, использует ли служба синхронизации хранилища управляемое удостоверение, назначаемое системой
Чтобы проверить, использует ли служба синхронизации хранилища управляемое удостоверение, назначаемое системой, выполните следующую команду из окна PowerShell с повышенными привилегиями:
Get-AzStorageSyncService -ResourceGroupName <string> -StorageSyncServiceName <string>
Убедитесь, что значение UseIdentity свойства находится True в выходных данных команды. Если значение равно False, служба синхронизации хранилища использует общие ключи для проверки подлинности в общих папках Azure.
Проверьте, настроен ли зарегистрированный сервер для использования управляемого удостоверения, назначаемого системой
Чтобы проверить, настроен ли зарегистрированный сервер на использование управляемого удостоверения, назначаемого системой, выполните следующую команду из окна PowerShell с повышенными привилегиями:
Get-AzStorageSyncServer -ResourceGroupName <string> -StorageSyncServiceName <string>
Убедитесь, ApplicationId что свойство имеет GUID, указывающий, что сервер настроен на использование управляемого удостоверения, назначаемого системой. Когда сервер использует управляемое удостоверение, назначаемое системой, значение ActiveAuthType свойства обновляется до ManagedIdentity. Если значение равно Certificate, сервер использует общие ключи для проверки подлинности в общих папках Azure.
Примечание.
После настройки сервера для использования управляемого удостоверения, назначаемого системой, может потребоваться до одного часа, прежде чем сервер использует управляемое удостоверение, назначаемое системой, для проверки подлинности в службе синхронизации хранилища и общих папках Azure.
Командлет Set-AzStorageSyncServiceIdentity не настраивает сервер для использования управляемого удостоверения, назначаемого системой
Если выполнение Set-AzStorageSyncServiceIdentity командлета не настраивает зарегистрированный сервер для использования управляемого удостоверения, назначаемого системой, скорее всего, так как сервер не имеет управляемого удостоверения, назначаемого системой.
Чтобы включить управляемое удостоверение, назначаемое системой, на зарегистрированном сервере с установленным агентом Синхронизация файлов Azure версии 19, выполните следующие действия.
Если сервер размещен за пределами Azure, он должен быть сервером с поддержкой Azure Arc, чтобы иметь управляемое удостоверение, назначаемое системой. Дополнительные сведения о серверах с поддержкой Azure Arc и установке агента подключенного компьютера Azure см. в статье "Обзор серверов с поддержкой Azure Arc".
- Если сервер уже включен в Azure Arc, выполните
azcmagent showкоманду из PowerShell и убедитесь, что состояние агента подключено. Если состояние агента отключено, устраните неполадки подключения агента подключенного компьютера Azure。
- Если сервер уже включен в Azure Arc, выполните
Если сервер является виртуальной машиной Azure, включите назначаемое системой управляемое удостоверение на виртуальной машине.
Проверьте, имеет ли зарегистрированный сервер управляемое удостоверение, назначаемое системой
Чтобы проверить, имеет ли зарегистрированный сервер управляемое удостоверение, назначаемое системой, выполните следующую команду PowerShell:
Get-AzStorageSyncServer -ResourceGroupName <string> -StorageSyncServiceName <string>
Убедитесь, LatestApplicationId что свойство имеет GUID, указывающий, что сервер имеет управляемое удостоверение, назначаемое системой, но в настоящее время не настроено для его использования.
LatestApplicationId Если свойство имеет GUID, запустите Set-AzStorageSyncServiceIdentity командлет еще раз, чтобы настроить сервер для использования управляемого удостоверения, назначаемого системой. Убедитесь, ApplicationId что свойство имеет GUID, указывающий, что сервер настроен для использования управляемого удостоверения. Когда сервер использует управляемое удостоверение, назначаемое системой, значение ActiveAuthType свойства обновляется до ManagedIdentity.
Не удается удалить службу синхронизации хранилища
При попытке удалить службу синхронизации хранилища может появиться следующая ошибка:
Не удается удалить службу синхронизации хранилища в регионе<>. Служба синхронизации хранилища удаляет моментальные снимки, которые больше не нужны. Повторите попытку через несколько часов.
Эта проблема возникает, когда общий файловый ресурс не использует Синхронизация файлов Azure моментальных снимков. Чтобы сократить затраты, неиспользуемые моментальные снимки удаляются перед удалением службы синхронизации хранилища. Количество моментальных снимков зависит от размера набора данных. Если вы не можете удалить службу синхронизации хранилища через несколько часов, повторите попытку на следующий день.
Разрешения, необходимые для доступа к учетной записи хранения и общей папке Azure
Если Синхронизация файлов Azure настроено на использование управляемого удостоверения, облачные и серверные конечные точки должны получить следующие разрешения для доступа к учетной записи хранения и общей папке Azure:
Облачная конечная точка:
- Управляемое удостоверение службы синхронизации хранилища должно быть членом роли участника учетной записи хранения в учетной записи хранения.
- Управляемое удостоверение службы синхронизации хранилища должно быть членом роли участника привилегированных данных хранилища в общей папке Azure.
Конечная точка сервера.
- Регистрация управляемого удостоверения сервера должна быть членом роли участника привилегированных данных хранилища в общей папке Azure.
При запуске командлета Set-AzStorageSyncServiceIdentity или создании новых облачных и серверных конечных точек эти разрешения предоставляются. Если эти разрешения удалены, операции завершаются ошибкой, перечисленными в следующем разделе.
Распространенные проблемы
В этом разделе рассматриваются распространенные проблемы, возникающие при неправильных разрешениях или параметрах конфигурации.
Сбой синхронизации с 0x80c8305f ошибки (ECS_E_EXTERNAL_STORAGE_ACCOUNT_AUTHORIZATION_FAILED)
| Ошибка | Код |
|---|---|
| HRESULT | 0x80c8305f |
| HRESULT (десятичное число) | -2134364065 |
| Строка ошибки | ECS_E_EXTERNAL_STORAGE_ACCOUNT_AUTHORIZATION_FAILED |
| Требуются действия по исправлению | Да |
Эта проблема возникает, когда управляемое удостоверение службы синхронизации хранилища не имеет доступа к учетной записи хранения.
Чтобы устранить эту проблему, выполните следующую команду PowerShell:
Set-AzStorageSyncCloudEndpointPermission -ResourceGroupName <string> -StorageSyncServiceName <string> -SyncGroupName <string> -Name <string>
Примечание.
Параметр -Name — это имя облачной конечной точки. Это GUID, а не понятное имя, отображаемое в портал Azure. Чтобы получить имя облачной конечной точки, выполните командлет Get-AzStorageSyncCloudEndpoint .
Сбой синхронизации с ошибкой 0x80c86053 (ECS_E_AZURE_FILE_SHARE_NOT_ACCESSIBLE)
| Ошибка | Код |
|---|---|
| HRESULT | 0x80c86053 |
| HRESULT (десятичное число) | -2134351789 |
| Строка ошибки | ECS_E_AZURE_FILE_SHARE_NOT_ACCESSIBLE |
| Требуются действия по исправлению | Да |
Эта проблема возникает, когда управляемое удостоверение службы синхронизации хранилища не имеет доступа к общей папке Azure.
Чтобы устранить эту проблему, выполните следующую команду PowerShell:
Set-AzStorageSyncCloudEndpointPermission -ResourceGroupName <string> -StorageSyncServiceName <string> -SyncGroupName <string> -Name <string>
Примечание.
Параметр -Name — это имя облачной конечной точки. Это GUID, а не понятное имя, отображаемое в портал Azure. Чтобы получить имя облачной конечной точки, выполните командлет Get-AzStorageSyncCloudEndpoint .
Не удалось синхронизировать файлы с ошибкой 0x80c86063 (ECS_E_AZURE_AUTHORIZATION_PERMISSION_MISMATCH)
| Ошибка | Код |
|---|---|
| HRESULT | 0x80c86063 |
| HRESULT (десятичное число) | -2134351773 |
| Строка ошибки | ECS_E_AZURE_AUTHORIZATION_PERMISSION_MISMATCH |
| Требуются действия по исправлению | Да |
Эта проблема возникает, когда управляемое удостоверение для зарегистрированного сервера не имеет доступа к общей папке Azure.
Чтобы устранить эту проблему, выполните следующую команду PowerShell:
Set-AzStorageSyncServerEndpointPermission -ResourceGroupName <string> -StorageSyncServiceName <string> -SyncGroupName <string> -Name <string>
Примечание.
Параметр -Name — это имя конечной точки сервера. Это GUID, а не понятное имя, отображаемое в портал Azure. Чтобы получить имя конечной точки сервера, выполните командлет Get-AzStorageSyncServerEndpoint .
Командлет Test-NetworkConnectivity завершается ошибкой 0x80190193 (HTTP_E_STATUS_FORBIDDEN)
Эта проблема возникает, когда управляемое удостоверение для зарегистрированного сервера не имеет доступа к общей папке Azure.
Чтобы устранить эту проблему, выполните следующую команду PowerShell:
Set-AzStorageSyncServerEndpointPermission -ResourceGroupName <string> -StorageSyncServiceName <string> -SyncGroupName <string> -Name <string>
Примечание.
Параметр -Name — это имя конечной точки сервера. Это GUID, а не понятное имя, отображаемое в портал Azure. Чтобы получить имя конечной точки сервера, выполните командлет Get-AzStorageSyncServerEndpoint .
Командлет Test-NetworkConnectivity завершается ошибкой 0x80131500 (COR_E_EXCEPTION)
Эта проблема возникает, когда службы Azure в списке доверенных служб для доступа к этому исключению учетной записи хранения не включены в учетной записи хранения. Чтобы устранить эту проблему, включите это исключение, следуя инструкциям в разделе "Предоставление доступа к доверенным службам Azure" и ограничение доступа к общедоступной конечной точке учетной записи хранения для определенных виртуальных сетей.
Свяжитесь с нами для получения помощи
Если у вас есть вопросы или вам нужна помощь, создайте запрос в службу поддержки или обратитесь за поддержкой сообщества Azure. Вы также можете отправить отзыв о продукте в сообщество отзывов Azure.