Felsöka problem med hanterad identitet i Azure File Sync
Den här artikeln hjälper dig att felsöka och lösa problem som kan uppstå när du använder en hanterad identitet med en Azure File Sync-distribution.
Kontrollera om Tjänsten för synkronisering av lagring använder en systemtilldelad hanterad identitet
Om du vill kontrollera om Tjänsten för synkronisering av lagring använder en systemtilldelad hanterad identitet kör du följande kommando från ett upphöjt PowerShell-fönster:
Get-AzStorageSyncService -ResourceGroupName <string> -StorageSyncServiceName <string>
Kontrollera att värdet för UseIdentity egenskapen kommer True från kommandoutdata. Om värdet är Falseanvänder Tjänsten för synkronisering av lagring delade nycklar för att autentisera till Azure-filresurser.
Kontrollera om en registrerad server är konfigurerad för att använda en systemtilldelad hanterad identitet
Om du vill kontrollera om en registrerad server har konfigurerats för att använda en systemtilldelad hanterad identitet kör du följande kommando från ett upphöjt PowerShell-fönster:
Get-AzStorageSyncServer -ResourceGroupName <string> -StorageSyncServiceName <string>
Kontrollera att egenskapen ApplicationId har ett GUID som anger att servern är konfigurerad för att använda en systemtilldelad hanterad identitet. När servern använder en systemtilldelad hanterad identitet uppdateras värdet för ActiveAuthType egenskapen till ManagedIdentity. Om värdet är Certificateanvänder servern delade nycklar för att autentisera till Azure-filresurser.
Kommentar
När en server har konfigurerats för att använda en systemtilldelad hanterad identitet kan det ta upp till en timme innan servern använder den systemtilldelade hanterade identiteten för att autentisera till Lagringssynkroniseringstjänsten och Azure-filresurserna.
Cmdleten Set-AzStorageSyncServiceIdentity konfigurerar inte en server för att använda en systemtilldelad hanterad identitet
Om cmdleten Set-AzStorageSyncServiceIdentity inte konfigurerar en registrerad server att använda en systemtilldelad hanterad identitet beror det förmodligen på att servern inte har någon systemtilldelad hanterad identitet.
Utför följande steg för att aktivera en systemtilldelad hanterad identitet på en registrerad server som har Azure File Sync v19-agenten installerad:
Om servern finns utanför Azure måste det vara en Azure Arc-aktiverad server för att ha en systemtilldelad hanterad identitet. Mer information om Azure Arc-aktiverade servrar och hur du installerar Azure Connected Machine-agenten finns i Översikt över Azure Arc-aktiverade servrar.
- Om servern redan är Azure Arc-aktiverad kör du
azcmagent showkommandot från PowerShell och bekräftar att agentstatusen är Ansluten. Om agentstatusen är frånkopplad kan du felsöka anslutningsproblem med Azure Connected Machine-agenten。
- Om servern redan är Azure Arc-aktiverad kör du
Om servern är en virtuell Azure-dator aktiverar du en systemtilldelad hanterad identitet på den virtuella datorn.
Kontrollera om en registrerad server har en systemtilldelad hanterad identitet
Kontrollera om en registrerad server har en systemtilldelad hanterad identitet genom att köra följande PowerShell-kommando:
Get-AzStorageSyncServer -ResourceGroupName <string> -StorageSyncServiceName <string>
Kontrollera att egenskapen LatestApplicationId har ett GUID som anger att servern har en systemtilldelad hanterad identitet men inte är konfigurerad för att använda den.
Om egenskapen LatestApplicationId har ett GUID kör du cmdleten Set-AzStorageSyncServiceIdentity igen för att konfigurera servern att använda en systemtilldelad hanterad identitet. Kontrollera att egenskapen ApplicationId har ett GUID som anger att servern är konfigurerad för att använda den hanterade identiteten. När servern använder den systemtilldelade hanterade identiteten uppdateras värdet för ActiveAuthType egenskapen till ManagedIdentity.
Det går inte att ta bort en lagringssynkroniseringstjänst
När du försöker ta bort en tjänst för synkronisering av lagring kan du få följande fel:
Det går inte att ta bort tjänsten för synkronisering av lagring i regionregionen<>. Tjänsten för synkronisering av lagring tar bort ögonblicksbilder som inte längre behövs. Försök igen om några timmar.
Det här problemet uppstår när filresursen har oanvända Ögonblicksbilder av Azure File Sync. För att minska kostnaden tas de oanvända ögonblicksbilderna bort innan du tar bort tjänsten för synkronisering av lagring. Antalet ögonblicksbilder varierar med datamängdens storlek. Om du inte kan ta bort tjänsten för synkronisering av lagring efter några timmar kan du försöka igen nästa dag.
Behörigheter som krävs för åtkomst till ett lagringskonto och En Azure-filresurs
När Azure File Sync har konfigurerats för att använda en hanterad identitet behöver moln- och serverslutpunkterna följande behörigheter för att få åtkomst till ett lagringskonto och en Azure-filresurs:
Molnslutpunkt:
- Hanterad identitet för Storage Sync Service måste vara medlem i rollen Lagringskontodeltagare på ett lagringskonto.
- Hanterad identitet för Storage Sync Service måste vara medlem i rollen Storage File Data Privileged Contributor på en Azure-filresurs.
Serverslutpunkt:
- Registrera serverhanterad identitet måste vara medlem i rollen Storage File Data Privileged Contributor på en Azure-filresurs.
När du kör cmdleten Set-AzStorageSyncServiceIdentity eller skapar nya moln- och serverslutpunkter beviljas dessa behörigheter. Om dessa behörigheter tas bort misslyckas åtgärderna med de fel som anges i följande avsnitt.
Vanliga problem
Det här avsnittet beskriver vanliga problem som uppstår när behörigheter eller konfigurationsinställningar är felaktiga.
Synkroniseringen misslyckas med fel 0x80c8305f (ECS_E_EXTERNAL_STORAGE_ACCOUNT_AUTHORIZATION_FAILED)
| Fel | Kod |
|---|---|
| HRESULT | 0x80c8305f |
| HRESULT (decimal) | -2134364065 |
| Felsträng | ECS_E_EXTERNAL_STORAGE_ACCOUNT_AUTHORIZATION_FAILED |
| Reparation krävs | Ja |
Det här problemet uppstår när den hanterade identiteten för Tjänsten för synkronisering av lagring inte har åtkomst till ett lagringskonto.
Lös problemet genom att köra följande PowerShell-kommando:
Set-AzStorageSyncCloudEndpointPermission -ResourceGroupName <string> -StorageSyncServiceName <string> -SyncGroupName <string> -Name <string>
Kommentar
Parametern -Name är namnet på molnslutpunkten. Det är ett GUID, inte det egna namnet som visas i Azure Portal. Om du vill hämta namnet på molnslutpunkten kör du cmdleten Get-AzStorageSyncCloudEndpoint .
Synkroniseringen misslyckas med fel 0x80c86053 (ECS_E_AZURE_FILE_SHARE_NOT_ACCESSIBLE)
| Fel | Kod |
|---|---|
| HRESULT | 0x80c86053 |
| HRESULT (decimal) | -2134351789 |
| Felsträng | ECS_E_AZURE_FILE_SHARE_NOT_ACCESSIBLE |
| Reparation krävs | Ja |
Det här problemet uppstår när den hanterade identiteten för Tjänsten för synkronisering av lagring inte har åtkomst till en Azure-filresurs.
Lös problemet genom att köra följande PowerShell-kommando:
Set-AzStorageSyncCloudEndpointPermission -ResourceGroupName <string> -StorageSyncServiceName <string> -SyncGroupName <string> -Name <string>
Kommentar
Parametern -Name är namnet på molnslutpunkten. Det är ett GUID, inte det egna namnet som visas i Azure Portal. Om du vill hämta namnet på molnslutpunkten kör du cmdleten Get-AzStorageSyncCloudEndpoint .
Filer kan inte synkroniseras med fel 0x80c86063 (ECS_E_AZURE_AUTHORIZATION_PERMISSION_MISMATCH)
| Fel | Kod |
|---|---|
| HRESULT | 0x80c86063 |
| HRESULT (decimal) | -2134351773 |
| Felsträng | ECS_E_AZURE_AUTHORIZATION_PERMISSION_MISMATCH |
| Reparation krävs | Ja |
Det här problemet uppstår när den hanterade identiteten för den registrerade servern inte har åtkomst till en Azure-filresurs.
Lös problemet genom att köra följande PowerShell-kommando:
Set-AzStorageSyncServerEndpointPermission -ResourceGroupName <string> -StorageSyncServiceName <string> -SyncGroupName <string> -Name <string>
Kommentar
Parametern -Name är namnet på serverslutpunkten. Det är ett GUID, inte det egna namnet som visas i Azure Portal. Om du vill hämta serverslutpunktens namn kör du cmdleten Get-AzStorageSyncServerEndpoint .
Cmdleten Test-NetworkConnectivity misslyckas med fel 0x80190193 (HTTP_E_STATUS_FORBIDDEN)
Det här problemet uppstår när den hanterade identiteten för den registrerade servern inte har åtkomst till en Azure-filresurs.
Lös problemet genom att köra följande PowerShell-kommando:
Set-AzStorageSyncServerEndpointPermission -ResourceGroupName <string> -StorageSyncServiceName <string> -SyncGroupName <string> -Name <string>
Kommentar
Parametern -Name är namnet på serverslutpunkten. Det är ett GUID, inte det egna namnet som visas i Azure Portal. Om du vill hämta serverslutpunktens namn kör du cmdleten Get-AzStorageSyncServerEndpoint .
Cmdleten Test-NetworkConnectivity misslyckas med fel 0x80131500 (COR_E_EXCEPTION)
Det här problemet uppstår när tillåt att Azure-tjänster i listan över betrodda tjänster får åtkomst till det här undantaget för lagringskontot inte är aktiverat på ett lagringskonto. Lös problemet genom att aktivera det här undantaget genom att följa anvisningarna i Bevilja åtkomst till betrodda Azure-tjänster och begränsa åtkomsten till lagringskontots offentliga slutpunkt till specifika virtuella nätverk.
Kontakta oss för att få hjälp
Om du har frågor eller behöver hjälp skapar du en supportförfrågan eller frågar Azure community support. Du kan också skicka produktfeedback till Azure-feedbackcommunityn.