解決 AKS Arc 安裝期間的問題和錯誤

執行 Install-AksHci 之後會出現此錯誤訊息。

如果您未使用 Private Link，請使用下列步驟來解決此問題：

1. 開啟 PowerShell 並執行 Uninstall-AksHci。
2. 開啟 Azure 入口網站，並流覽至您在執行 Install-AksHci時所使用的資源群組。
3. 檢查任何處於 已中斷連線狀態的 已連線叢集資源，並包含顯示為隨機產生的 GUID 的名稱。
4. 刪除這些叢集資源。
5. 關閉 PowerShell 工作階段並開啟新的工作階段，再再次執行 Install-AksHci 。

此錯誤可能是因為安裝程式嘗試違反在 Azure Arc 上線程式期間提供的 Azure 訂用帳戶或資源群組上設定的 Azure 原則所造成。 如果使用者已在訂用帳戶或資源群組層級定義 Azure 原則，然後嘗試在違反 Azure 原則 的 Azure 本機上安裝 AKS，就會發生此錯誤。

若要解決此問題，請閱讀錯誤訊息，以瞭解 Azure 系統管理員已違反哪些 Azure 原則，然後藉由對 Azure 原則進行例外狀況來修改 Azure 原則。 若要深入了解原則例外狀況，請參閱 Azure 原則 豁免結構。

先前安裝的功能仍處於失敗狀態，且尚未清除。 您可能會看到下列錯誤：

Exception [An error occurred while creating resource 'MOC Cloud Agent Service' for the clustered role 'ca-3f72bdeb-xxxx-4ae9-a721-3aa902a998f0'.]
Stacktrace [at Add-FailoverClusterGenericRole, C:\Program Files\WindowsPowerShell\Modules\Moc\1.0.20\Common.psm1: line 2987
at Install-CloudAgent, C:\Program Files\WindowsPowerShell\Modules\Moc\1.0.20\Moc.psm1: line 1310
at Install-MocAgents, C:\Program Files\WindowsPowerShell\Modules\Moc\1.0.20\Moc.psm1: line 1229
at Initialize-Cloud, C:\Program Files\WindowsPowerShell\Modules\Moc\1.0.20\Moc.psm1: line 1135
at Install-MocInternal, C:\Program Files\WindowsPowerShell\Modules\Moc\1.0.20\Moc.psm1: line 1078
at Install-Moc, C:\Program Files\WindowsPowerShell\Modules\Moc\1.0.20\Moc.psm1: line 207
at Install-AksHciInternal, C:\Program Files\WindowsPowerShell\Modules\AksHci\1.1.25\AksHci.psm1: line 3867
at Install-AksHci, C:\Program Files\WindowsPowerShell\Modules\AksHci\1.1.25\AksHci.psm1: line 778
at <ScriptBlock>, <No file>: line 1]
InnerException[The object already exists]

或者，您可能會看到：

Install-Moc failed.
Exception [Unable to save property changes for 'IPv4 Address xxx.168.18.0'.]
Stacktrace [at Add-FailoverClusterGenericRole, C:\Program Files\WindowsPowerShell\Modules\Moc\1.0.20\Common.psm1: line 2971
at Install-CloudAgent, C:\Program Files\WindowsPowerShell\Modules\Moc\1.0.20\Moc.psm1: line 1310
at Install-MocAgents, C:\Program Files\WindowsPowerShell\Modules\Moc\1.0.20\Moc.psm1: line 1229
at Initialize-Cloud, C:\Program Files\WindowsPowerShell\Modules\Moc\1.0.20\Moc.psm1: line 1135
at Install-MocInternal, C:\Program Files\WindowsPowerShell\Modules\Moc\1.0.20\Moc.psm1: line 1078
at Install-Moc, C:\Program Files\WindowsPowerShell\Modules\Moc\1.0.20\Moc.psm1: line 207
at Install-AksHciInternal, C:\Program Files\WindowsPowerShell\Modules\AksHci\1.1.25\AksHci.psm1: line 3867
at Install-AksHci, C:\Program Files\WindowsPowerShell\Modules\AksHci\1.1.25\AksHci.psm1: line 778
at <ScriptBlock>, <No file>: line 1]
InnerException[A matching cluster network for the specified IP address could not be found]

若要解決此問題，請手動清除叢集角色。 您可以執行下列 PowerShell Cmdlet，從故障轉移叢集管理員移除資源： Remove-ClusterResource -name <resource name>。

Cmdlet Install-AksHci 失敗，並出現「API 呼叫傳回的 GetRelease 錯誤：檔案下載錯誤：哈希不符」。

1. 開啟 PowerShell 並執行 Uninstall-AksHci。
2. 重試安裝。
3. 如果問題持續發生，請使用 -concurrentDownloads 參數搭配 Set-AksHciConfig ，並將它設定為低於預設 10 的數位，然後再重試安裝。 減少並行下載數目可能有助於敏感性網路順利完成大型檔案下載。 此參數是預覽功能。

部署之後，重新啟動 Azure 本機節點時，AKS 報告會顯示計費失敗狀態。

若要解決此問題，請依照指示 手動輪替令牌，然後重新啟動 KMS 外掛程式。

執行 Install-AksHci 之後，安裝會停止並顯示下列錯誤訊息：

\kubectl.exe --kubeconfig=C:\AksHci\0.9.7.3\kubeconfig-clustergroup-management 
get akshciclusters -o json returned a non zero exit code 1 
[Unable to connect to the server: dial tcp 192.168.0.150:6443: 
connectex: A connection attempt failed because the connected party 
did not properly respond after a period of time, or established connection 
failed because connected host has failed to respond.]

安裝可能會因為錯誤而失敗 waiting for API server 的原因有很多。

下一節概述此錯誤的可能原因和解決方案。

原因 1：不正確的 IP 閘道 設定 如果您使用靜態 IP 位址，並收到下列錯誤訊息，請確認 IP 位址和閘道的設定正確。

Install-AksHci 
C:\AksHci\kvactl.exe create --configfile C:\AksHci\yaml\appliance.yaml  --outfile C:\AksHci\kubeconfig-clustergroup-management returned a non-zero exit code 1 [ ]

若要檢查您的 IP 位址和閘道是否有正確的設定，請執行下列命令：

ipconfig /all

在顯示的組態設定中，確認組態。 您也可以嘗試 Ping IP 閘道和 DNS 伺服器。

ping <DNS server>

如果這些方法無法運作，請使用 New-AksHciNetworkSetting 來變更設定。

原因 2：不正確的 DNS 伺服器 如果您使用靜態 IP 位址，請確認 DNS 伺服器已正確設定。 若要檢查主機的 DNS 伺服器位址，請使用下列命令：

Get-NetIPConfiguration.DNSServer | ?{ $_.AddressFamily -ne 23} ).ServerAddresses

執行下列命令，確認 DNS 伺服器地址與執行時 New-AksHciNetworkSetting 所使用的位址相同：

Get-MocConfig

如果 DNS 伺服器設定不正確，請使用正確的 DNS 伺服器重新安裝 Azure 本機上的 AKS。 如需詳細資訊，請參閱 在 Azure 本機 上重新啟動、移除或重新安裝 Azure Kubernetes Service。

刪除設定並重新啟動具有新組態的 VM 之後，問題已解決。

Install-AksHci 發生此錯誤失敗，因為另一個進程正在存取 mocstack.cab。

若要解決此問題，請關閉所有開啟的 PowerShell 視窗，然後重新開啟新的 PowerShell 視窗。

無法存取檔案，因為檔案正由另一個進程使用。

您可以重新啟動 PowerShell 工作階段來解決此問題。 關閉 PowerShell 視窗，然後再次嘗試 Install-AksHci。

Install-AksHci 發生此錯誤失敗，因為 AZURE 本機設定上 AKS 中提供的 IP 集區範圍在 CIDR 中已關閉 1，而且可能會導致 CloudAgent 當機。 例如，如果您的子網 10.0.0.0/21 位址範圍為 10.0.0.0.0 - 10.0.7.255，然後使用 10.0.0.1 的起始位址或 10.0.7.254 的結束位址，則這會導致 CloudAgent 損毀。

若要解決此問題，請執行 New-AksHciNetworkSetting，併為 VIP 集區和 Kubernetes 節點集區使用任何其他有效的 IP 位址範圍。 請確定您所使用的值不會在位址範圍的開頭或結尾關閉 1。

在單一節點安裝程式上執行 Install-AksHci 時，安裝運作正常，但在設定故障轉移叢集時，安裝會失敗並出現錯誤訊息。 不過，Ping 雲端代理程序顯示 CloudAgent 已連線。

為了確保所有節點都可以解析 CloudAgent 的 DNS，請在每個節點上執行下列命令：

Resolve-DnsName <FQDN of cloudagent>

當上述步驟在節點上成功時，請確定節點可以連線到 CloudAgent 埠，以確認 Proxy 未嘗試封鎖此連線，且埠已開啟。 若要這樣做，請在每個節點上執行下列命令：

Test-NetConnection  <FQDN of cloudagent> -Port <Cloudagent port - default 65000>

錯誤源於下載錯誤。

如果您收到此錯誤，您應該使用最新版的 Microsoft Edge 或 Google Chrome，然後再試一次。

在 Azure 本機安裝的 AKS 中執行 Set-AksHciRegistration 之後，會出現此錯誤。 錯誤指出 Kubernetes 資源提供者未針對目前登入的租用戶註冊。

若要解決此問題，請執行 Azure CLI 或下列 PowerShell 步驟：

az provider register --namespace Microsoft.Kubernetes
az provider register --namespace Microsoft.KubernetesConfiguration

Register-AzResourceProvider -ProviderNamespace Microsoft.Kubernetes
Register-AzResourceProvider -ProviderNamespace Microsoft.KubernetesConfiguration

註冊大約需要 10 分鐘才能完成。 若要監視註冊程式，請使用下列命令。

az provider show -n Microsoft.Kubernetes -o table
az provider show -n Microsoft.KubernetesConfiguration -o table

Get-AzResourceProvider -ProviderNamespace Microsoft.Kubernetes
Get-AzResourceProvider -ProviderNamespace Microsoft.KubernetesConfiguration

Install-AksHci 會在 Waiting for azure-arc-onboarding to complete 逾時前停止回應：

• 服務主體用於 Azure 本機註冊上的 AKS（Set-AksHciRegistration）。
• 已安裝 Az.Accounts PowerShell 模組版本（2.7.x）。

Az.Accounts 2.7.x 版本會移除 中的 ServicePrincipalSecret 和 CertificatePassword PSAzureRmAccount，而 AKS 在 Azure Local for Azure Arc 上線時會使用。

若要重現：

1. 安裝 Az.Accounts PowerShell 模組版本 （>= 2.7.0）。
2. Set-AksHciRegistration 使用服務主體。
3. Install-AksHci.

預期的行為：

1. Azure 本機安裝的 AKS 會在 Waiting for azure-arc-onboarding to complete停止回應。
2. Azure-arc-onboarding Pod 進入損毀迴圈。
3. Azure-arc-onboarding Pod 錯誤，並出現下列錯誤：
   Starting onboarding process ERROR: variable CLIENT_SECRET is required

若要解決此問題：

使用 2.7.x 版卸載 Az.Accounts 模組。請執行下列 Cmdlet：

Uninstall-Module -Name Az.Accounts -RequiredVersion 2.7.0 -Force

當 Azure 本機原則不足時，就會發生此錯誤。 叢集上的連線狀態可能會顯示已連線，但事件記錄檔會顯示警告訊息。Azure Local's subscription is expired, run Sync-AzureStackHCI to renew the subscription

若要解決此錯誤，請使用您計算機上可用的 PowerShell Cmdlet，確認叢集已向 Azure Get-AzureStackHCI 註冊。 Windows Admin Center 儀表板也會顯示叢集的 Azure 註冊狀態資訊。

如果已註冊叢集，則您應檢視 Get-AzureStackHCI 輸出中的 LastConnected 欄位。 如果欄位顯示超過 30 天，您應該嘗試使用 Sync-AzureStackHCI Cmdlet 來解決這種情況。

您也可以使用下列 Cmdlet 來驗證叢集的每個節點是否具有必要的授權：

Get-ClusterNode | % { Get-AzureStackHCISubscriptionStatus -ComputerName $_ }

Computer Name Subscription Name           Status   Valid To
------------- -----------------           ------   --------
MS-HCIv2-01   Azure Local             Active   12/23/2021 12:00:14 AM
MS-HCIv2-01   Windows Server Subscription Inactive

MS-HCIv2-02   Azure Local             Active   12/23/2021 12:00:14 AM
MS-HCIv2-02   Windows Server Subscription Inactive

MS-HCIv2-03   Azure Local             Active   12/23/2021 12:00:14 AM
MS-HCIv2-03   Windows Server Subscription Inactive

如果在執行 Sync-AzureStackHCI Cmdlet 之後無法解決問題，您應該連絡Microsoft支援。

發生此問題的原因是安裝失敗可能會導致必須清除的資源流失，才能再次安裝。

如果您的安裝使用 Install-AksHci 失敗，您應該先執行 Uninstall-AksHci，然後再Install-AksHci執行一次。

您可以在執行 Install-AksHci 時觸發這些錯誤，而不先執行 Set-AksHciConfig 。

若要解決錯誤，請執行 uninstall-akshci 並關閉所有 PowerShell 視窗。 開啟新的 PowerShell 會話，然後使用 PowerShell 在 Azure 本機上安裝 AKS，在 Azure 本機安裝程式上重新啟動您的 AKS。

Set-AksHciConfig PowerShell Cmdlet 失敗，並出現錯誤：

GetCatalog error returned by API call: ... proxyconnect tcp: tls: first record does not look like a TLS Handshake

如果您使用 AKS 搭配 Proxy 伺服器，則設定必要的 HTTPS Proxy URL 值時，可能會使用錯誤的 URL。 使用 Proxy 伺服器設定 AKS 時，需要 HTTP Proxy URL 和 HTTPS Proxy URL 值，但通常需要這兩個值來共用相同的 HTTP 前置詞 URL。

如果您的環境中可能發生這種情況，請嘗試下列風險降低步驟：

1. 關閉 PowerShell 視窗並開啟新的視窗。
2. New-AksHciNetworkSetting再次執行和 New-AksHciProxySetting Cmdlet。 執行 New-AksHciProxySetting時，請使用您為 -http設定的相同 HTTP 前置 URL 值來設定 -https 參數。
3. 執行 Set-AksHciConfig 並繼續。

當您在 Azure 本機上部署 AKS 時，部署可能會因設定錯誤發生的位置而在不同的程式時間點逾時。 您應該檢閱錯誤訊息，以判斷原因及其發生位置。

例如，在下列錯誤中，發生錯誤設定的點在 Get-DownloadSdkRelease -Name "mocstack-stable"中：

$vnet = New-AksHciNetworkSettingSet-AksHciConfig -vnet $vnetInstall-AksHciVERBOSE: 
Initializing environmentVERBOSE: [AksHci] Importing ConfigurationVERBOSE: 
[AksHci] Importing Configuration Completedpowershell : 
GetRelease - error returned by API call: 
Post "https://msk8s.api.cdp.microsoft.com/api/v1.1/contents/default/namespaces/default/names/mocstack-stable/versions/0.9.7.0/files?action=generateDownloadInfo&ForegroundPriority=True": 
dial tcp 52.184.220.11:443: connectex: 
A connection attempt failed because the connected party did not properly
respond after a period of time, or established connection failed because
connected host has failed to respond.At line:1 char:1+ powershell -command
{ Get-DownloadSdkRelease -Name "mocstack-stable"}

這表示實體 Azure 本機節點可以解析下載 URL 的名稱， msk8s.api.cdp.microsoft.com但節點無法連線到目標伺服器。

若要解決此問題，您必須判斷連線流程中發生明細的位置。 以下是嘗試從實體叢集節點解決問題的一些步驟：

1. Ping 目的地 DNS 名稱：ping msk8s.api.cdp.microsoft.com。
2. 如果您收到回應，且沒有逾時，則基本網路路徑會正常運作。
3. 如果連線逾時，則數據路徑可能會中斷。 如需詳細資訊，請參閱 檢查 Proxy 設定。 或者，傳回路徑可能會中斷，因此您應該檢查防火牆規則。

執行 Set-AksHciConfig 時，可能會遇到下列錯誤：

WinRM service is already running on this machine.
WinRM is already set up for remote management on this computer.
Powershell remoting to TK5-3WP08R0733 was not successful.
At C:\Program Files\WindowsPowerShell\Modules\Moc\0.2.23\Moc.psm1:2957 char:17
+ ...             throw "Powershell remoting to "+$env:computername+" was n ...
+                 ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
    + CategoryInfo          : OperationStopped: (Powershell remo...not successful.:String) [], RuntimeException
    + FullyQualifiedErrorId : Powershell remoting to TK5-3WP08R0733 was not successful.

此錯誤通常是因為使用者的安全性令牌變更而發生（因為群組成員資格變更）、密碼變更或過期密碼。 在大部分情況下，您可以從計算機註銷並重新登入，以補救問題。 如果仍然失敗，您可以在 GitHub AKS Azure 本機問題提出 問題。

Moc 代理程式應該只會保留最後 100 個代理程序記錄。 它們應該刪除較舊的記錄。 不過，記錄輪替並未發生，記錄會持續累積耗用磁碟空間。

若要重現： Install AksHci 並讓叢集啟動並執行，直到代理程序記錄數目超過 100 為止。 在建立第 n 個記錄檔時，如果代理程式存在，則代理程式應該會刪除第 n-100 個記錄檔。

若要解決問題：

1. 修改雲端代理程式和節點代理程式的logconf檔案。 雲端代理程式 logconfig 位於：
   (Get-MocConfig).cloudConfigLocation+"\log\logconf".
   節點代理程式 logconfig 位於：
   (Get-MocConfig).cloudConfigLocation+"\log\logconf".

2. 將 [限制] 的值變更為 100，並將 [位置] 變更為 100，然後儲存組態檔。

3. 重新啟動雲端代理程式和節點代理程式以註冊這些變更。

只有在從代理程式重新啟動產生100個新記錄之後，這些步驟才會啟動記錄輪替。 如果重新啟動時已經有 n 個代理程式記錄，記錄輪替只會在產生 n+100 記錄之後啟動。

使用 Set-AksHciConfig 來指定 -imageDir、 -workingDir、 -cloudConfigLocation或 -nodeConfigLocation 參數與包含空格字元的路徑名稱，例如 D:\Cloud Share\AKS HCI，雲端代理程式叢集服務將無法以下列 （或類似的） 錯誤訊息開頭：

Failed to start the cloud agent generic cluster service in failover cluster. The cluster resource group os in the 'failed' state. Resources in 'failed' or 'pending' states: 'MOC Cloud Agent Service'

若要解決此問題，請使用不包含空白的路徑，例如 C:\CloudShare\AKS-HCI。

基礎結構設定錯誤時，可能會發生此錯誤。

若要解決此錯誤，請使用下列步驟：

1. 檢查主機 DNS 伺服器組態和閘道設定：

   1. 確認 DNS 伺服器已正確設定。 若要檢查主機的 DNS 伺服器位址，請執行下列命令：

      ((Get-NetIPConfiguration).DNSServer | ?{ $_.AddressFamily -ne 23}).ServerAddresses
      

   2. 若要檢查您的IP位址和閘道組態是否正確，請執行 命令 ipconfig/all。
   3. 嘗試偵測 IP 閘道和 DNS 伺服器。

2. 檢查 CloudAgent 服務以確定其正在執行：

   1. 偵測 CloudAgent 服務以確定可連線。
   2. 請確定所有節點都可以在每個節點上執行下列命令來解析 CloudAgent 的 DNS：

      Resolve-DnsName <FQDN of cloudagent>
      

   3. 當上一個步驟在節點上成功執行時，請確認節點可以連線到 CloudAgent 連接埠，以驗證 Proxy 並未嘗試封鎖此連線且連接埠已開啟。 若要這樣做，請在每個節點上執行下列命令：

      Test-NetConnection <FQDN of cloudagent> -Port <Cloudagent port - default 65000>
      

   4. 若要檢查叢集服務是否正在針對故障轉移叢集執行，您也可以執行下列命令：

      Get-ClusterGroup -Name (Get-AksHciConfig).Moc['clusterRoleName']
      

這通常表示在 Active Directory 網域服務 （AD DS） 中代表基礎故障轉移叢集的叢集名稱物件 （CNO） 沒有權限在組織單位 （OU） 或叢集所在的容器中建立虛擬計算機物件 （VCO）。

如果您不是網域系統管理員，您可以要求他們 授與 CNO 許可權給 OU ，或 預先設置雲端代理程式泛型叢集服務的 VCO。

如果您是網域系統管理員，您的 OU 或容器仍可能沒有必要的許可權。 例如，在 active Directory 中可能會啟用 KB5008383 中引進的強制模式。 嘗試重新安裝之前，請先嘗試下列專案。

1. 流覽至 [Active Directory 使用者和電腦]。
2. 以滑鼠右鍵按下叢集所在的 OU 或容器。
3. 選取 [委派控件... ]，以開啟 [控件委派精靈]。
4. 按 [下一步> 按下 新增... ] 以開啟 [ 選取使用者、計算機或群組 ] 視窗。
5. 選取您想要委派控件 > 的群組或用戶選擇，按兩下 [ 確定]。
6. 選取 [建立自定義工作] 以委派 > [下一步] 以移至 [Active Directory 物件類型] 頁面。
7. 選取 [僅選取計算機物件>] 資料夾中>的下列物件 選取 [在此資料夾中建立選取的物件] 和 [刪除此資料夾中>選取的物件]，按兩下一步] 以移至 [許可權] 頁面。
8. 從權限清單中選取 [建立所有子物件] 和 [刪除所有子物件] 按兩下一步>完成]>

如果重新安裝失敗，請重試上述步驟 7 和 8 的下列變更：

• 步驟 7：選取 此資料夾、此資料夾中的現有物件，以及在此資料夾中> 建立新物件，按 [下一步]。
• 步驟 8：選取 [讀取]、[寫入]、[建立所有子物件] 和 [從許可權>清單中刪除所有子物件]，按 [下一步>按完成]。

執行 Install-AksHci 時，您可能會收到此錯誤。

您可以執行 $error = Install-AksHci ，然後 $error[0].Exception.InnerException取得詳細資訊。

Aks-Hci PowerShell 命令在建立 Kubernetes 節點之前，不會驗證主機伺服器上的可用記憶體。 此問題可能會導致記憶體耗盡，以及未啟動的虛擬機。 此失敗目前未正常處理，且部署將會停止回應，而不會顯示明確的錯誤訊息。

如果您有停止回應的部署，請開啟 事件檢視器，並檢查 Hyper-V 相關的錯誤訊息，指出沒有足夠的記憶體啟動 VM。

當您在 Azure 帳戶上有多個租使用者時，就會發生此錯誤。

使用 $tenantId = (Get-AzContext).Tenant.Id 來設定正確的租使用者。 然後，在執行 Set-AksHciRegistration 時，將此租用戶納入參數。

嘗試在 Azure VM 上部署 AKS 叢集時，安裝停滯在 Waiting for pod 'Cloud Operator' to be ready...，然後在兩小時後失敗並逾時。 藉由檢查閘道和 DNS 伺服器來嘗試進行疑難解答，顯示它們是否正常運作。 檢查找不到IP或MAC位址衝突。 記錄未顯示VIP集區。 使用 提取容器映像的限制，該映射會傳 sudo docker pull ecpacr.azurecr.io/kube-vip:0.3.4 回傳輸層安全性 （TLS） 逾時，而不是 未經授權。

若要解決此問題，請執行下列步驟：

1. 開始部署叢集。
2. 部署叢集時，請透過 SSH 連線到您的管理叢集 VM，如下所示：

ssh -i (Get-MocConfig)['sshPrivateKey'] clouduser@<IP Address>

3. 變更最大傳輸單位 （MTU） 設定。 請毫不猶豫地進行變更;如果您變更太晚，則部署會失敗。 修改 MTU 設定有助於解除封鎖容器映像提取。

sudo ifconfig eth0 mtu 1300

4. 若要檢視容器的狀態，請執行下列命令：

sudo docker ps -a

執行這些步驟之後，容器映像提取應該會解除封鎖。

此錯誤表示雲端服務的IP位址不是叢集網路的一部分，且不符合任何已啟用 client and cluster communication 角色的叢集網路。

若要解決此問題，請執行 Get-ClusterNetwork ，其中 Role 等於 ClusterAndClient。 然後，在其中一個叢集節點上，選取名稱、位址和位址掩碼，以確認為 New-AksHciNetworkSetting 參數提供的 -cloudServiceIP IP 位址符合其中一個顯示的網路。

Enable-AksHciArcConnection 可以將 AKS 叢集連線至 Azure，但當客戶使用服務主體進行驗證時，會顯示下列警告：

WARNING: Error occurred while executing GetServicePrincipals
Code: Authorization_RequestDenied
Message: Insufficient privileges to complete the operation.
RequestId: <removed>
DateTimeStamp: <removed>
HttpStatusCode: Forbidden
HttpStatusDescription: Forbidden
HttpResponseStatus: Completed
WARNING: Custom locations has not been enabled on the AKS on Azure Local cluster. To enable custom locations manually, visit aka.ms/enable-custom-location

Arc 上線的目前行為是預設啟用自定義位置。 若要啟用自定義位置， GetServicePrincipals 動作會在登入的 Azure 使用者內容中執行。 如果使用者 （或 SPN） 沒有足夠的許可權可執行此動作，命令會發出警告，指出這些許可權不存在，因此不會啟用自定義位置功能。

如果您不想要啟用自定義位置，您可以放心地忽略此警告，因為這不會影響叢集上線至 Arc。另一方面，如果您需要啟用自定義位置，您必須將必要的許可權授與使用者（或SPN）。

下一步

• 疑難排解概觀
• Windows Admin Center 已知問題
• 針對 Kubernetes 叢集進行疑難排解

如果您在使用 AKS Arc 時繼續遇到問題，您可以透過 GitHub 提出 Bug。