你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn

排除 Azure NetApp 文件的卷错误

如果卷 create-read-update-delete (CRUD) 操作对未处于终端状态的卷执行,则操作将失败。 自动化工作流和门户用户应在对卷执行后续异步操作之前检查卷的终端状态。

SMB 和双协议卷错误

错误条件 解决方法
SMB 或双协议卷创建失败,并出现以下错误:
{"code":"DeploymentFailed","message":"At least one resource deployment operation failed. Please list deployment operations for details. Please see https://aka.ms/DeployOperations for usage details.","details":[{"code":"InternalServerError", "message":"Error when creating - Could not query DNS server. Verify that the network configuration is correct and that DNS servers are available."}]}
此错误指明 DNS 不可访问。
请考虑以下解决方案:
  • 如果使用基本网络功能,请检查 Active Directory 域服务 (AD DS) 和卷是否部署在同一区域中。
  • 检查 AD DS 和卷是否使用相同的虚拟网络 (VNet)。 如果它们使用的 VNet 不同,请确保在 VNet 之间建立了对等互连。 请参阅 Azure NetApp 文件网络规划指导原则
  • DNS 服务器可能应用了网络安全组 (NSG)。 因此,它不允许流量流动。 在这种情况下,需要向 DNS 或 AD 打开 NSG,以连接到各种端口。 有关端口要求,请参阅 Active Directory 连接要求

相同的解决方案适用于 Microsoft Entra 域服务。 Microsoft Entra 域服务应部署在同一区域中。 VNet 应位于同一区域中,或与卷使用的 VNet 建立对等互连。
SMB 或双协议卷创建失败,并出现以下错误:
{"code":"DeploymentFailed","message":"At least one resource deployment operation failed. Please list deployment operations for details. Please see https://aka.ms/DeployOperations for usage details.","details":[{"code":"InternalServerError", "message":"Error when creating - Failed to create the Active Directory machine account \"SMBTESTAD-C1C8\". Reason: Kerberos Error: Invalid credentials were given Details: Error: Machine account creation procedure failed\n [ 563] Loaded the preliminary configuration.\n**[ 670] FAILURE: Could not authenticate as 'test@contoso.com':\n** Unknown user (KRB5KDC_ERR_C_PRINCIPAL_UNKNOWN)\n. "}]}
  • 确保所输入的用户名是正确无误的。
  • 确保用户属于有权创建机器(计算机)帐户的管理员组。
  • 如果使用 Microsoft Entra 域服务,请确保用户是 Microsoft Entra 组 Azure AD DC Administrators 的成员。
SMB 或双协议卷创建失败,并出现以下错误:
{"code":"DeploymentFailed","message":"At least one resource deployment operation failed. Please list deployment operations for details. Please see https://aka.ms/DeployOperations for usage details.","details":[{"code":"InternalServerError", "message":"Error when creating - Failed to create the Active Directory machine account \"SMBTESTAD-A452\". Reason: Kerberos Error: Pre-authentication information was invalid Details: Error: Machine account creation procedure failed\n [ 567] Loaded the preliminary configuration.\n [ 671] Successfully connected to ip 10.x.x.x, port 88 using TCP\n**[ 1099] FAILURE: Could not authenticate as\n** 'user@contoso.com': CIFS server account password does\n** not match password stored in Active Directory\n** (KRB5KDC_ERR_PREAUTH_FAILED)\n. "}]}
请确保为建立 AD 联接输入的密码是正确无误的。
SMB 或双协议卷创建失败,并出现以下错误:
{"code":"DeploymentFailed","message":"At least one resource deployment operation failed. Please list deployment operations for details. Please see https://aka.ms/DeployOperations for usage details.","details":[{"code":"InternalServerError","message":"Error when creating - Failed to create the Active Directory machine account \"SMBTESTAD-D9A2\". Reason: SecD Error: ou not found Details: Error: Machine account creation procedure failed\n [ 561] Loaded the preliminary configuration.\n [ 665] Successfully connected to ip 10.x.x.x, port 88 using TCP\n [ 1039] Successfully connected to ip 10.x.x.x, port 389 using TCP\n**[ 1147] FAILURE: Specifed OU 'OU=AADDC Com' does not exist in\n** contoso.com\n. "}]}
请确保为建立 AD 联接指定的 OU 路径是正确无误的。 如果使用 Microsoft Entra 域服务,请确保组织单位路径为 OU=AADDC Computers
SMB 或双协议卷创建失败,并出现以下错误:
Failed to create the Active Directory machine account \"SMB-ANF-VOL. Reason: LDAP Error: Local error occurred Details: Error: Machine account creation procedure failed. [nnn] Loaded the preliminary configuration. [nnn] Successfully connected to ip 10.x.x.x, port 88 using TCP [nnn] Successfully connected to ip 10.x.x.x, port 389 using [nnn] Entry for host-address: 10.x.x.x not found in the current source: FILES. Ignoring and trying next available source [nnn] Source: DNS unavailable. Entry for host-address:10.x.x.x found in any of the available sources\n*[nnn] FAILURE: Unable to SASL bind to LDAP server using GSSAPI: local error [nnn] Additional info: SASL(-1): generic failure: GSSAPI Error: Unspecified GSS failure. Minor code may provide more information (Cannot determine realm for numeric host address) [nnn] Unable to connect to LDAP (Active Directory) service on contoso.com (Error: Local error) [nnn] Unable to make a connection (LDAP (Active Directory):contosa.com, result: 7643.
DNS 服务器上可能缺少 AD 主机的指针 (PTR) 记录。 你需要在 DNS 服务器上创建反向查找区域,然后在此反向查找区域中添加 AD 主机的 PTR 记录。
SMB 或双协议卷创建失败,并出现以下错误:
Failed to create the Active Directory machine account \"SMB-ANF-VOL\". Reason: Kerberos Error: KDC has no support for encryption type Details: Error: Machine account creation procedure failed [nnn]Loaded the preliminary configuration. [nnn]Successfully connected to ip 10.x.x.x, port 88 using TCP [nnn]FAILURE: Could not authenticate as 'contosa.com': KDC has no support for encryption type (KRB5KDC_ERR_ETYPE_NOSUPP)
请确保为 Active Directory 连接和服务帐户都启用了 AES 加密
SMB 或双协议卷创建失败,并出现以下错误:
Failed to create the Active Directory machine account \"SMB-NTAP-VOL\". Reason: LDAP Error: Strong authentication is required Details: Error: Machine account creation procedure failed\n [ 338] Loaded the preliminary configuration.\n [ nnn] Successfully connected to ip 10.x.x.x, port 88 using TCP\n [ nnn ] Successfully connected to ip 10.x.x.x, port 389 using TCP\n [ 765] Unable to connect to LDAP (Active Directory) service on\n dc51.area51.com (Error: Strong(er) authentication\n required)\n*[ nnn] FAILURE: Unable to make a connection (LDAP (Active\n* Directory):contoso.com), result: 7609\n. "
没有选中“LDAP 签名”选项,但 AD 客户端有 LDAP 签名。 请启用 LDAP 签名,然后重试。
SMB 卷创建失败,并出现以下错误:
Failed to create the Active Directory machine account. Reason: LDAP Error: Intialization of LDAP library failed Details: Error: Machine account creation procedure failed
发生此错误的原因是 Azure NetApp 文件 Active Directory 连接中使用的服务或用户帐户没有足够的权限来创建计算机对象或对新创建的计算机对象进行修改。
若要解决此问题,请授予所使用的帐户更大的权限。 可以应用具有足够权限的默认角色,或向其所属的用户、服务帐户或组委派更多权限。

双协议卷的错误

错误条件 解决方法
已启用 LDAP over TLS,双协议卷创建失败,错误为 This Active Directory has no Server root CA Certificate 如果在创建双协议卷时发生此错误,请确保在 NetApp 帐户中上传了根 CA 证书。
双协议卷创建失败,错误为 Failed to validate LDAP configuration, try again after correcting LDAP configuration DNS 服务器上可能缺少 Active Directory (AD) 主机的指针 (PTR) 记录。 你需要在 DNS 服务器上创建反向查找区域,然后在此反向查找区域中添加 AD 主机的 PTR 记录。
例如,假设 AD 虚拟机的 IP 地址为 10.x.x.x,AD 虚拟机的主机名(通过 hostname 命令找到)为 AD1,域名为 contoso.com。 添加到反向查找区域的 PTR 记录应是 10.x.x.x ->contoso.com
双协议卷创建失败,错误为 Failed to create the Active Directory machine account \\\"TESTAD-C8DD\\\". Reason: Kerberos Error: Pre-authentication information was invalid Details: Error: Machine account creation procedure failed\\n [ 434] Loaded the preliminary configuration.\\n [ 537] Successfully connected to ip 10.x.x.x, port 88 using TCP\\n**[ 950] FAILURE 此错误指明在 NetApp 帐户建立 Active Directory 联接时 AD 密码不正确。 请使用正确的密码更新 AD 连接,然后重试。
双协议卷创建失败,错误为 Could not query DNS server. Verify that the network configuration is correct and that DNS servers are available 此错误表明无法访问 DNS。 原因可能是 DNS IP 不正确,或者存在网络问题。 请检查在 AD 连接中输入的 DNS IP 并确保该 IP 正确。
如果使用基本网络功能,请确保 AD 配置和卷位于同一区域和同一 VNet 中。 如果它们在不同的 VNet 中,请确保在两个 VNet 之间建立 VNet 对等互连。
有关详细信息,请参阅 Azure NetApp 文件网络规划指南
在装载双协议卷时,发生“权限被拒绝”错误。 双协议卷同时支持 NFS 协议和 SMB 协议。 当你尝试在 UNIX 系统上访问装载的卷时,系统会尝试将你使用的 UNIX 用户映射到 Windows 用户。
请确保在 AD DS 用户对象上正确设置了 POSIX 属性。

NFSv4.1 Kerberos 卷错误

错误条件 解决方法
Error allocating volume - Export policy rules does not match kerberosEnabled flag Azure NetApp 文件不支持适用于 NFSv3 卷的 Kerberos。 只有 NFSv4.1 协议支持 Kerberos。
This NetApp account has no configured Active Directory connections 请通过“KDC IP”和“AD 服务器名称”字段为 NetApp 帐户配置 Active Directory。 有关说明,请参阅配置 Azure 门户
Mismatch between KerberosEnabled flag value and ExportPolicyRule's access type parameter values. Azure NetApp 文件不支持将普通 NFSv4.1 卷转换为 Kerberos NFSv4.1 卷,反之亦然。
mount.nfs: access denied by server when mounting volume <SMB_SERVER_NAME-XXX.DOMAIN_NAME>/<VOLUME_NAME>
示例: smb-test-64d9.contoso.com:/nfs41-vol101
  1. 确保正确设置 A/PTR 记录,并且这些记录存在于名为 smb-test-64d9.contoso.com 的服务器的 Active Directory 中。
    在 NFS 客户端中,如果 smb-test-64d9.contoso.comnslookup 解析为 IP 地址 IP1(即 10.1.1.68),则 IP1 的 nslookup 必须只解析为一条记录(即 smb-test-64d9.contoso.com)。 IP1 的 nslookup 不可解析为多个名称
  2. 使用 PowerShell 或 UI 为 AD 上 NFS-<Smb NETBIOS NAME>-<few random characters> 类型的 NFS 计算机帐户设置 AES-256。
    示例命令:
    • Set-ADComputer <NFS_MACHINE_ACCOUNT_NAME> -KerberosEncryptionType AES256
    • Set-ADComputer NFS-SMB-TEST-64 -KerberosEncryptionType AES256
  3. 确保 NFS 客户端、AD 和 Azure NetApp 文件存储软件的时间相互同步,并且偏差范围在五分钟之内。
  4. 使用 kinit <administrator> 命令获取 NFS 客户端上的 Kerberos 票证。
  5. 将 NFS 客户端主机名的字符数减少到 15 个以内,然后再次执行领域加入操作。
  6. 重启 NFS 客户端和 rpc-gssd 服务,如下所示。 某些 Linux 发行版的确切服务名称可能会有所不同。
    当前大多数发行版都使用相同的服务名称。 以 root 身份或使用 sudo 执行以下命令
    systemctl enable nfs-client.target && systemctl start nfs-client.target
    (重启 rpc-gssd 服务。)
    systemctl restart rpc-gssd.service
mount.nfs: an incorrect mount option was specified 该问题可能与 NFS 客户端问题相关。 请重启 NFS 客户端。
Hostname lookup failed 你需要在 DNS 服务器上创建反向查找区域,然后在此反向查找区域中添加 AD 主机的 PTR 记录。
例如,假定 AD 计算机的 IP 地址为 10.1.1.4,该 AD 计算机的主机名(通过使用 hostname 命令找到的)为 AD1,并且域名为 contoso.com。 添加到反向查找区域的 PTR 记录应是 10.1.1.4 -> AD1.contoso.com
Volume creation fails due to unreachable DNS server 有两个可能的解决方案:
  • 此错误表明无法访问 DNS。 原因可能会是 DNS IP 不正确或网络有问题。 请检查在 AD 连接中输入的 DNS IP,并确保此 IP 是正确的。
  • 如果使用基本网络功能,请确保 AD 和卷位于同一区域和同一 VNet 中。 如果它们在不同的 VNet 中,请确保在两个 VNet 之间建立 VNet 对等互连。
NFSv4.1 Kerberos 卷创建失败,出现类似于以下示例的错误:
Failed to enable NFS Kerberos on LIF "svm_e719cde8d6d0413fbd6adac0636cdecb_7ad0b82e_73349613". Failed to bind service principal name on LIF "svm_e719cde8d6d0413fbd6adac0636cdecb_7ad0b82e_73349613". SecD Error: server create fail join user auth.
KDC IP 错误,并且已创建 Kerberos 卷。 请使用正确的地址更新 KDC IP。
更新 KDC IP 后,此错误不会消失。 你需要重新创建该卷。

LDAP 卷错误

错误条件 解决方法
创建 LDAP 启用状态为 true 的 SMB 卷时出错:
Error Message: ldapEnabled option is only supported with NFS protocol volume.
你无法创建启用了 LDAP 的 SMB 卷。
创建禁用了 LDAP 的 SMB 卷。
更新现有卷的 ldapEnabled 参数值时出错:
Error Message: ldapEnabled parameter is not allowed to update
创建卷后,不能修改 LDAP 选项设置。
不要在创建的卷上更新 LDAP 选项设置。 有关详细信息,请参阅为 NFS 卷访问配置具有扩展组的 AD DS LDAP
创建启用 LDAP 的 NFS 卷时出错:
Could not query DNS server
Sample error message:
"log": time="2020-10-21 05:04:04.300" level=info msg=Res method=GET url=/v2/Volumes/070d0d72-d82c-c893-8ce3-17894e56cea3 x-correlation-id=9bb9e9fe-abb6-4eb5-a1e4-9e5fbb838813 x-request-id=c8032cb4-2453-05a9-6d61-31ca4a922d85 xresp="200: {\"created\":\"2020-10-21T05:02:55.000Z\",\"lifeCycleState\":\"error\",\"lifeCycleStateDetails\":\"Error when creating - Could not query DNS server. Verify that the network configuration is correct and that DNS servers are available.\",\"name\":\"smb1\",\"ownerId\ \":\"8c925a51-b913-11e9-b0de-9af5941b8ed0\",\"region\":\"westus2stage\",\"volumeId\":\"070d0d72-d82c-c893-8ce3-
发生此错误的原因是 DNS 不可访问。
  • 检查是否已为 Azure NetApp 文件配置了正确的站点(站点范围)。
  • DNS 不可访问的原因可能是 DNS IP 地址不正确或网络问题。 检查在 AD 连接中输入的 DNS IP 地址,以确保其正确无误。
  • 如果使用基本网络功能,请确保 AD 和卷位于同一区域和同一 VNet 中。 如果它们在不同的 VNet 中,请确保在两个 VNet 之间建立 VNet 对等互连。
从快照创建卷时出错:
Aggregate does not exist
Azure NetApp 文件不支持从属于已禁用 LDAP 的卷的快照预配新的、启用 LDAP 的卷。
尝试从给定的快照创建新的已禁用 LDAP 的卷。
仅当看到主组 ID 并且用户也属于辅助组时。 此问题是由查询超时导致的:
-使用 LDAP 搜索范围选项
-对 LDAP 客户端使用首选 Active Directory 服务器
Error describing volume - Entry doesn't exist for username: <username>, please try with a valid username -检查用户是否存在于 LDAP 服务器上。
-检查 LDAP 服务器是否正常。

卷分配错误

在 Azure NetApp 文件中创建新卷或调整现有卷的大小时,Microsoft Azure 会为订阅分配存储和网络资源。 你偶尔可能因特定区域中前所未有的 Azure 服务需求增长而遇到资源分配失败的情况。

本部分说明一些常见分配失败的原因,并建议可能的补救方法。

错误条件 解决方法
创建新卷或调整现有卷大小时出错。
错误消息:There was a problem locating [or extending] storage for the volume. Please retry the operation. If the problem persists, contact Support.
此错误指示服务在尝试为此请求分配资源时遇到了错误。
稍后重试操作。 如果问题仍然存在,请与支持人员联系。
区域中常规卷的存储或网络容量不足。
错误消息:There are currently insufficient resources available to create [or extend] a volume in this region. Please retry the operation. If the problem persists, contact Support.
此错误表示该区域中没有足够的资源可用于创建卷或调整卷的大小。
尝试下列解决方法之一:
  • 在新的 VNet 下创建卷。 这样做可以避免达到与网络相关的资源限制。
  • 请稍后重试。 在过渡期间,可能在群集或区域中释放了资源。
创建网络功能设置为 Standard 的卷时,存储容量不足。
错误消息:No storage available with Standard network features, for the provided VNet.
此错误表示该区域中没有足够的资源可用于创建具有 Standard 网络功能的卷。
尝试下列解决方法之一:
  • 如果不需要 Standard 网络功能,请创建具有 Basic 网络功能的卷。
  • 尝试在新的 VNet 下创建卷。 这样做可以避免达到与网络相关的资源限制
  • 请稍后重试。 在过渡期间,可能在群集或区域中释放了资源。

卷的活动日志警告

警告 解决方法
Microsoft.NetApp/netAppAccounts/capacityPools/volumes/ScaleUp 操作显示以下警告:
Percentage Volume Consumed Size reached 90%
Azure NetApp 文件卷的已用大小已达到 90% 的卷配额。 应该尽快调整卷大小

后续步骤