本文為英文版的機器翻譯版本，如內容有任何歧義或不一致之處，概以英文版為準。

# Amazon FSx 故障診斷
<a name="troubleshooting"></a>

使用下列各節來協助您對 Amazon FSx 的問題進行疑難排解。

如果您在使用 Amazon FSx 時遇到以下未列出的問題，請嘗試在 [Amazon FSx 論壇](https://forums.aws.amazon.com/forum.jspa?forumID=308)中提出問題。

**Topics**
+ [您無法存取您的檔案系統](unable-to-access.md)
+ [建立新的 Amazon FSx 檔案系統失敗](unable-to-create-fs.md)
+ [檔案系統處於設定錯誤狀態](misconfigured-ad-config.md)
+ [您無法在多可用區或單一可用區 2 檔案系統上設定 DFS-R](dfs-r.md)
+ [儲存或輸送量容量更新失敗](admin-actions-ts.md)

# 您無法存取您的檔案系統
<a name="unable-to-access"></a>

有許多潛在原因導致無法存取您的檔案系統，每個系統都有自己的解決方案，如下所示。

**Topics**
+ [檔案系統彈性網路界面已修改或刪除](#eni-deleted)
+ [已刪除連接至檔案系統彈性網路界面的彈性 IP 地址](#eni-epi-removed)
+ [檔案系統安全群組缺少必要的傳入或傳出規則。](#sg-lacks-inbound-rules)
+ [運算執行個體的安全群組缺少必要的傳出規則](#compute-instance-lacks-inbound-rules)
+ [未加入 Active Directory 的運算執行個體](#fs-not-joined-to-ad)
+ [檔案共用不存在](#file-share-doesnt-exist)
+ [Active Directory 使用者缺少必要的許可](#ad-user-lacks-permission)
+ [允許移除完全控制 NTFS ACL 許可](#removed-allow-full-control)
+ [無法使用現場部署用戶端存取檔案系統](#non-private-ips-onprem)
+ [新的檔案系統未在 DNS 中註冊](#fs-dns-not-registered)
+ [無法使用 DNS 別名存取檔案系統](#cant-connect-using-dns-alias)
+ [無法使用 IP 地址存取檔案系統](#cant-connect-using-ip-address)

## 檔案系統彈性網路界面已修改或刪除
<a name="eni-deleted"></a>

您不得修改或刪除檔案系統的彈性網路界面。修改或刪除網路界面可能會導致 VPC 和檔案系統之間的連線永久中斷。建立新的檔案系統，請勿修改或刪除 Amazon FSx 彈性網路介面。如需詳細資訊，請參閱[使用 Amazon VPC 的檔案系統存取控制](limit-access-security-groups.md)。

## 已刪除連接至檔案系統彈性網路界面的彈性 IP 地址
<a name="eni-epi-removed"></a>

Amazon FSx 不支援從公有網際網路存取檔案系統。Amazon FSx 會自動分離任何彈性 IP 地址，這是可從網際網路連線的公有 IP 地址，連接到檔案系統的彈性網路界面。如需詳細資訊，請參閱[存取您的資料](supported-fsx-clients.md)。

## 檔案系統安全群組缺少必要的傳入或傳出規則。
<a name="sg-lacks-inbound-rules"></a>

檢閱 中指定的傳入規則[Amazon VPC 安全群組](limit-access-security-groups.md#fsx-vpc-security-groups)，並確認與您檔案系統相關聯的安全群組具有對應的傳入規則。

## 運算執行個體的安全群組缺少必要的傳出規則
<a name="compute-instance-lacks-inbound-rules"></a>

檢閱 中指定的傳出規則[Amazon VPC 安全群組](limit-access-security-groups.md#fsx-vpc-security-groups)，並確認與運算執行個體相關聯的安全群組具有對應的傳出規則。

## 未加入 Active Directory 的運算執行個體
<a name="fs-not-joined-to-ad"></a>

您的運算執行個體可能無法正確加入兩種 Active Directory 類型之一：
+ 檔案系統加入的 AWS Managed Microsoft AD 目錄。
+ 與目錄建立單向樹系信任關係的 AWS Managed Microsoft AD Microsoft Active Directory 目錄。

請確定您的運算執行個體已加入兩種目錄類型的其中之一。一種類型是您的檔案系統加入的 AWS Managed Microsoft AD 目錄。另一種類型是 Microsoft Active Directory 目錄，具有與 AWS Managed Microsoft AD 目錄建立的單向樹系信任關係。如需詳細資訊，請參閱[搭配 使用 Amazon FSx AWS Directory Service for Microsoft Active Directory](fsx-aws-managed-ad.md)。

## 檔案共用不存在
<a name="file-share-doesnt-exist"></a>

您嘗試存取的 Microsoft Windows 檔案共用不存在。

如果您使用的是現有的檔案共享，請確定檔案系統 DNS 名稱和共享名稱已正確指定。若要管理您的檔案共享，請參閱 [建立、更新、移除檔案共用](managing-file-shares.md)。

## Active Directory 使用者缺少必要的許可
<a name="ad-user-lacks-permission"></a>

您存取檔案共享的 Active Directory 使用者缺少必要的存取許可。

確定共用資料夾的檔案共用和 Windows 存取控制清單 ACLs) 的存取許可允許存取需要存取它的 Active Directory 使用者。

## 允許移除完全控制 NTFS ACL 許可
<a name="removed-allow-full-control"></a>

如果您在共用的資料夾上移除 SYSTEM 使用者的**允許完全控制** NTFS ACL 許可，該共用可能會變得無法存取，並且從該時間點起取得的任何檔案系統備份可能無法使用。

您需要重新建立受影響的檔案共享。如需詳細資訊，請參閱[建立、更新、移除檔案共用](managing-file-shares.md)。重新建立資料夾或共用之後，您可以從運算執行個體映射並使用 Windows 檔案共用。

## 無法使用現場部署用戶端存取檔案系統
<a name="non-private-ips-onprem"></a>

您使用 Direct Connect 或 VPN 從內部部署使用 Amazon FSx 檔案系統，並且使用內部部署用戶端的非私有 IP 地址範圍。

Amazon FSx 僅支援從在 2020 年 12 月 17 日之後建立的檔案系統上具有非私有 IP 地址的內部部署用戶端存取。

如果您需要使用非私有 IP 地址範圍存取 2020 年 12 月 17 日之前建立的 FSx for Windows File Server 檔案系統，您可以透過還原檔案系統的備份來建立新的檔案系統。如需詳細資訊，請參閱[使用備份保護您的資料](using-backups.md)。

## 新的檔案系統未在 DNS 中註冊
<a name="fs-dns-not-registered"></a>

對於加入自我管理 Active Directory 的檔案系統，Amazon FSx 不會在建立檔案系統 DNS 時註冊檔案系統 DNS，因為客戶網路不使用 Microsoft DNS。

如果您的網路使用第三方 DNS 服務而非 Microsoft DNS，Amazon FSx 不會在 DNS 中註冊檔案系統。您必須手動設定 Amazon FSx 檔案系統的 DNS A 項目。對於單一可用區 1 檔案系統，您需要新增一個 DNS A 項目；對於單一可用區 2 和多可用區檔案系統，您需要新增兩個 DNS A 項目。使用下列程序取得手動新增 DNS A 項目時要使用的檔案系統 IP 地址。

1. 在 [https://console.aws.amazon.com/fsx/](https://console.aws.amazon.com/fsx/) 中，選擇要取得 IP 地址的檔案系統，以顯示檔案系統詳細資訊頁面。

1. 在**網路與安全**索引標籤中，執行下列其中一項：
   + 對於單一可用區 1 檔案系統：
     + 在**子網路**面板中，選擇網路界面下方**顯示的彈性網路界面**，以在 Amazon EC2 中開啟**網路界面**頁面。
     + 要使用的單一可用區 1 檔案系統的 IP 地址會顯示在**主要私有 IPv4 IP** 欄中。
   + 對於單一可用區 2 或多可用區檔案系統：
     + 在**偏好的子網路**面板中，選擇網路界面下方顯示的彈性**網路界面**，以在 Amazon EC2 中開啟**網路界面**頁面。
     + 要使用之偏好子網路的 IP 地址會顯示在**次要私有 IPv4 IP** 欄中。
     + 在 Amazon FSx **待命子網路**面板中，選擇網路界面下方**顯示的彈性網路界面**，以在 Amazon EC2 主控台中開啟**網路界面**頁面。
     + 要使用的待命子網路 IP 地址會顯示在**次要私有 IPv4 IP** 欄中。

## 無法使用 DNS 別名存取檔案系統
<a name="cant-connect-using-dns-alias"></a>

如果您無法使用 DNS 別名存取檔案系統，請使用下列程序對問題進行疑難排解。

1. 執行下列其中一個步驟，確認別名與檔案系統相關聯：

   1. **使用 Amazon FSx 主控台** – 選擇您嘗試存取的檔案系統。在**檔案系統詳細資訊**頁面上，**DNS 別名**會顯示在**網路與安全**索引標籤上。

   1. **使用 CLI 或 API** – 使用 [https://awscli.amazonaws.com/v2/documentation/api/latest/reference/fsx/describe-file-system-aliases.html](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/fsx/describe-file-system-aliases.html) CLI 命令或 [DescribeFileSystemAliases](https://docs.aws.amazon.com/fsx/latest/APIReference/API_DescribeFileSystemAliases.html) API 操作來擷取目前與檔案系統相關聯的別名。

1. 如果未列出 DNS 別名，您必須將其與檔案系統建立關聯。如需詳細資訊，請參閱[管理現有檔案系統的 DNS 別名](manage-aliases-existing-fs.md)。

1. 如果 DNS 別名與檔案系統相關聯，請確認您已設定下列必要項目：
   + 建立與 Amazon FSx 檔案系統 Active Directory 電腦物件上 DNS 別名對應的服務主體名稱 (SPNs)。

     如需詳細資訊，請參閱[設定 Kerberos 的服務主體名稱 (SPNs)](step2-configure-spn-kerberos.md)。
   + 為解析為 Amazon FSx 檔案系統預設 DNS 名稱的 DNS 別名建立 DNS CNAME 記錄。

     如需詳細資訊，請參閱[更新或建立 DNS CNAME 記錄](step4-configure-dns-cname.md)。

1. 如果您建立了有效的 SPNs和 DNS CNAME 記錄，請確認用戶端的 DNS 具有解析為正確檔案系統的 DNS CNAME 記錄。

   1. 執行 `nslookup` 以確認記錄存在，並解析為檔案系統的預設 DNS 名稱。

   1. 如果 DNS CNAME 解析為另一個檔案系統，請等待用戶端的 DNS 快取重新整理，然後再次檢查 CNAME 記錄。您可以使用下列命令來排清用戶端的 DNS 快取，以加速程序。

      ```
      ipconfig /flushdns
      ```

1. 如果 DNS CNAME 記錄解析為 Amazon FSx 檔案系統的預設 DNS，且用戶端仍然無法存取檔案系統，請參閱 [您無法存取您的檔案系統](#unable-to-access) 以取得其他故障診斷步驟。

## 無法使用 IP 地址存取檔案系統
<a name="cant-connect-using-ip-address"></a>

如果您無法使用 IP 地址存取檔案系統，請嘗試改用 DNS 名稱或相關聯的 DNS 別名。

您可以選擇 **Windows File Server**、**Network & Security**，在 [Amazon FSx 主控台](https://console.aws.amazon.com/fsx)上尋找檔案系統的 DNS 名稱和任何相關聯的 DNS 別名。或者，您可以在 [CreateFileSystem](https://docs.aws.amazon.com/fsx/latest/APIReference/API_CreateFileSystem.html) 或 [DescribeFileSystems](https://docs.aws.amazon.com/fsx/latest/APIReference/API_DescribeFileSystems.html) API 操作的回應中找到它們。如需使用 DNS 別名的詳細資訊，請參閱 [管理 DNS 別名](managing-dns-aliases.md)。
+ 對於加入 AWS 受管 Microsoft Active Directory 的單一可用區檔案系統，DNS 名稱如下所示。

  ```
  fs-0123456789abcdef0.ad-domain.com
  ```
+ 對於加入自我管理 Active Directory 的所有多可用區域檔案系統和單一可用區域檔案系統，DNS 名稱如下所示。

  ```
  amznfsxaa11bb22.ad-domain.com
  ```

# 建立新的 Amazon FSx 檔案系統失敗
<a name="unable-to-create-fs"></a>

當檔案系統建立請求失敗時，有許多潛在原因，如下節所述。

**Topics**
+ [設定錯誤的 VPC 安全群組和網路 ACLs](#network-acls-sg-config)
+ [重複的檔案系統管理員群組名稱](#w2aac37c11c15)
+ [無法連線 DNS 伺服器或網域控制站](#w2aac37c11c17)
+ [無效的服務帳戶登入資料](#w2aac37c11c19)
+ [Amazon FSx 無法存取 中的 Active Directory 服務帳戶登入資料 AWS Secrets Manager](#fsx-cant-access-ad-account-creds)
+ [服務帳戶許可不足](#w2aac37c11c23)
+ [超過服務帳戶容量](#w2aac37c11c25)
+ [Amazon FSx 無法存取組織單位 (OU)](#w2aac37c11c27)
+ [服務帳戶無法存取管理員群組](#w2aac37c11c29)
+ [網域中的 Amazon FSx 連線中斷](#w2aac37c11c31)
+ [服務帳戶沒有正確的許可](#w2aac37c11c33)
+ [用於建立參數的 Unicode 字元](#w2aac37c11c35)
+ [在還原備份時切換儲存體類型至 HDD 失敗](#create-fs-from-backup-fails)

## 設定錯誤的 VPC 安全群組和網路 ACLs
<a name="network-acls-sg-config"></a>

確保使用建議的安全群組組態來設定 VPC 安全群組和網路 ACLs。如需詳細資訊，請參閱[建立安全群組](limit-access-security-groups.md#vpc-sg-step6)。

## 重複的檔案系統管理員群組名稱
<a name="w2aac37c11c15"></a>

建立加入自我管理 Active Directory 的檔案系統失敗，並顯示下列錯誤訊息：

```
File system creation failed. Amazon FSx is unable to apply your Microsoft Active Directory configuration with the 
specified file system administrators group. Please ensure that your Active Directory does not contain multiple domain 
groups with the name: domain_group.
```

Amazon FSx 未建立檔案系統，因為網域中有多個管理員群組具有相同的名稱。

如果您未指定群組名稱，Amazon FSx 會嘗試使用預設值「網域管理員」做為管理員群組。如果有一個以上的群組使用預設的「網域管理員」名稱，則請求將會失敗。

使用下列步驟來解決問題。

1. 檢閱將檔案系統加入自我管理 Active Directory 的[先決條件](self-managed-AD.md#self-manage-prereqs)。

1. 在建立加入自我管理 Active Directory 的 FSx for Windows File Server 檔案系統之前，請使用 [Amazon FSx Active Directory 驗證工具](validate-ad-config.md)來驗證您的自我管理 Active Directory 組態。

1. 使用 AWS 管理主控台 或 建立新的檔案系統 AWS CLI。如需詳細資訊，請參閱[將 Amazon FSx 檔案系統加入自我管理的 Microsoft Active Directory 網域](creating-joined-ad-file-systems.md)。

1. 針對自我管理 Active Directory，提供網域中唯一的檔案系統管理員群組名稱。

## 無法連線 DNS 伺服器或網域控制站
<a name="w2aac37c11c17"></a>

建立加入自我管理 Active Directory 的檔案系統失敗，並顯示下列錯誤訊息：

```
Amazon FSx can't reach the DNS servers provided or the domain controllers for your self-managed directory in Microsoft Active Directory. 
File system creation failed. Amazon FSx is unable to communicate with your Microsoft Active Directory domain controllers. 
This is because Amazon FSx can't reach the DNS servers provided or domain controllers for your domain. 
To fix this problem, delete your file system and create a new one with valid DNS servers and networking configuration that allows 
traffic from the file system to the domain controller.
```

使用下列步驟來疑難排解和解決問題。

1. 確認您已遵循在建立 Amazon FSx 檔案系統的子網路與自我管理 Active Directory 之間建立網路連線和路由的先決條件。如需詳細資訊，請參閱[先決條件](self-managed-AD.md#self-manage-prereqs)。

   使用 [Amazon FSx Active Directory 驗證工具](validate-ad-config.md)來測試和驗證這些網路設定。
**注意**  
如果您定義了多個 Active Directory 站點，請確保與 Amazon FSx 檔案系統相關聯的 VPC 中的子網路在 Active Directory 站點中定義，並且 VPC 中的子網路與其他站點中的子網路之間不存在 IP 衝突。您可以使用 Active Directory Sites and Services MMC Snap-in 檢視和變更這些設定。

1. 確認您已設定與 Amazon FSx 檔案系統相關聯的 VPC 安全群組，以及任何 VPC 網路 ACLs，以允許所有連接埠上的傳出網路流量。
**注意**  
如果您想要實作最低權限，您只能允許傳出流量到與 Active Directory 網域控制站通訊所需的特定連接埠。如需詳細資訊，請參閱 [Microsoft Active Directory 文件](https://support.microsoft.com/en-us/help/179442/how-to-configure-a-firewall-for-domains-and-trusts)。

1. 確認 Microsoft Windows 檔案伺服器或網路管理屬性的值不包含non-Latin-1 字元。例如，如果您使用 `Domänen-Admins`做為檔案系統管理員群組的名稱，則檔案系統建立會失敗。

1.  確認 Active Directory 網域的 DNS 伺服器和網域控制站處於作用中狀態，並且能夠回應所提供網域的請求。

1.  請確定 Active Directory 網域的功能層級是 Windows Server 2008 R2 或更高版本。

1.  請確定 Active Directory 網域網域控制站上的防火牆規則允許來自 Amazon FSx 檔案系統的流量。如需詳細資訊，請參閱 [Microsoft Active Directory 文件](https://support.microsoft.com/en-us/help/179442/how-to-configure-a-firewall-for-domains-and-trusts)。

## 無效的服務帳戶登入資料
<a name="w2aac37c11c19"></a>

建立加入自我管理 Active Directory 的檔案系統失敗，並顯示下列錯誤訊息：

```
Amazon FSx is unable to establish a connection with your Microsoft Active Directory domain controllers 
because the service account credentials provided are invalid. To fix this problem, delete your file 
system and create a new one using a valid service account.
```

使用下列步驟來疑難排解和解決問題。

**案例 1：如果您使用 AWS Secrets Manager 秘密來存放 Active Directory 登入資料**

1. 檢閱 [使用 存放 Active Directory 登入資料 AWS Secrets Manager](self-managed-AD.md#bp-store-ad-creds-using-secret-manager-windows)。

1. 秘密 ARN 的 是正確的，並遵循正確的格式：`arn:aws:secretsmanager:region:account-id:secret:secret-name-6chars`。

1. 確認秘密包含具有非空白值的兩個必要欄位：
   + `CUSTOMER_MANAGED_ACTIVE_DIRECTORY_USERNAME` – 您的 AD 服務帳戶使用者名稱。
   + `CUSTOMER_MANAGED_ACTIVE_DIRECTORY_PASSWORD` – 您的 AD 服務帳戶密碼。

1. 確認秘密和金鑰具有以資源為基礎的政策，授予 Amazon FSx 服務主體擷取秘密值的`fsx.amazonaws.com`許可。

**案例 2：如果您使用純文字登入資料來加入 Active Directory**

1. 確認您在自我管理 Active Directory 組態`ServiceAcct`中僅輸入使用者名稱做為**服務帳戶使用者名稱**的輸入，例如 。
**重要**  
輸入服務帳戶使用者名稱時，請勿包含網域字首 (`corp.com\ServiceAcct`) 或網域尾碼 (`ServiceAcct@corp.com`)。  
輸入服務帳戶使用者名稱 (CN=ServiceAcct，OU=example，DC=corp，DC=com) 時，請勿使用辨別名稱 (DN)。

1. 確認您提供的服務帳戶存在於 Active Directory 網域中。

1. 請確定您已將所需的許可委派給您提供的服務帳戶。服務帳戶必須能夠在您加入檔案系統的網域中建立和刪除 OU 中的電腦物件。服務帳戶至少也需要具有執行下列動作的許可：
   +  重設密碼 
   +  限制帳戶讀取和寫入資料 
   +  驗證寫入 DNS 主機名稱的能力 
   +  已驗證能夠寫入服務主體名稱 

    如需建立具有正確許可之服務帳戶的詳細資訊，請參閱 [Amazon FSx 服務帳戶](self-managed-AD.md#self-managed-AD-service-account)。

## Amazon FSx 無法存取 中的 Active Directory 服務帳戶登入資料 AWS Secrets Manager
<a name="fsx-cant-access-ad-account-creds"></a>

下列各節說明常見問題以及如何解決這些問題。

**將檔案系統加入自我管理 Active Directory 失敗，並顯示下列錯誤訊息：**

 `You can't provide both username/password and a domain join service account secret to connect to your Active Directory. Provide only one set of credentials.` 

**解決此問題**

1. 選擇您要提供存放在 Secrets Manager 秘密還是純文字中的登入資料。

1. 加入 Active Directory 時，僅提供其中一個參數，不提供兩者。

**將檔案系統加入自我管理 Active Directory 失敗，並顯示下列錯誤訊息：**

 `The domain join service account secret ARN format you entered isn't valid. Use the format: arn:partition:secretsmanager:region:account-id:secret:secret-name-6chars` 

**解決此問題**

1. 檢閱 [使用 存放 Active Directory 登入資料 AWS Secrets Manager](self-managed-AD.md#bp-store-ad-creds-using-secret-manager-windows)。

1. 確認您輸入的 ARN 格式正確。正確的格式範例為 `arn:aws:secretsmanager:us-east-1:123456789012:secret:MyDatabaseSecret-Ab3d5f`。

**將檔案系統加入自我管理 Active Directory 失敗，並顯示下列錯誤訊息：**

 `Amazon FSx can't access the domain join service account secret [ARN]. Add a resource permission to the secret that grants the FSx service principal (fsx.amazonaws.com) permission to access it.` 

**解決此問題**

1. 檢閱 [使用 存放 Active Directory 登入資料 AWS Secrets Manager](self-managed-AD.md#bp-store-ad-creds-using-secret-manager-windows)。

1. 確認您提供的 Secrets Manager 秘密具有允許 Amazon FSx 使用秘密的正確政策。

**將檔案系統加入自我管理 Active Directory 失敗，並顯示下列錯誤訊息：**

 `You don't have permission to access the domain join service account secret [ARN]. A resource permission needs to be added to the secret to grant you access.` 

**解決此問題**
+ Secrets Manager 秘密擁有者或管理員需要授予您的帳戶使用此秘密的存取權。如需詳細資訊，請參閱[身分型政策](https://docs.aws.amazon.com/secretsmanager/latest/userguide/auth-and-access_iam-policies.html)。

**將檔案系統加入自我管理 Active Directory 失敗，並顯示下列錯誤訊息：**

 `The domain join service account secret format or content isn't valid. Make sure the secret includes both CUSTOMER_MANAGED_ACTIVE_DIRECTORY_USERNAME and CUSTOMER_MANAGED_ACTIVE_DIRECTORY_PASSWORD fields with non-empty values.`

**解決此問題**

1. 檢閱 [使用 存放 Active Directory 登入資料 AWS Secrets Manager](self-managed-AD.md#bp-store-ad-creds-using-secret-manager-windows)。

1. 確認您提供的 Secrets Manager 秘密具有兩個必要欄位。

## 服務帳戶許可不足
<a name="w2aac37c11c23"></a>

 建立加入自我管理 Active Directory 的檔案系統失敗，並顯示下列錯誤訊息：

```
Amazon FSx is unable to establish a connection with your
Microsoft Active Directory domain controllers. This is because the service account provided does not 
have permission to join the file system to the domain with the specified organizational unit. 
To fix this problem, delete your file system and create a new one using a service account with 
permission to join the file system to the domain with the specified organizational unit.
```

使用下列程序來疑難排解和解決問題。
+ 請確定您已將所需的許可委派給您提供的服務帳戶。服務帳戶必須能夠在您加入檔案系統的網域中建立和刪除 OU 中的電腦物件。服務帳戶至少也需要具有執行下列動作的許可：
  +  重設密碼 
  +  限制帳戶讀取和寫入資料 
  +  驗證寫入 DNS 主機名稱的能力 
  +  已驗證能夠寫入服務主體名稱 

   如需建立具有正確許可之服務帳戶的詳細資訊，請參閱 [Amazon FSx 服務帳戶](self-managed-AD.md#self-managed-AD-service-account)。

## 超過服務帳戶容量
<a name="w2aac37c11c25"></a>

 建立加入自我管理 Active Directory 的檔案系統失敗，並顯示下列錯誤訊息：

```
Amazon FSx can't establish a connection with your Microsoft Active Directory
domain controllers. This is because the service account provided has reached the
maximum number of computers that it can join to the domain. To fix this problem,
delete your file system and create a new one, supplying a service account that
is able to join new computers to the domain.
```

若要解決此問題，請確認您提供的服務帳戶已達到可加入網域的電腦數量上限。如果已達到上限，請建立具有正確許可的新服務帳戶。使用新的服務帳戶並建立新的檔案系統。如需詳細資訊，請參閱[Amazon FSx 服務帳戶](self-managed-AD.md#self-managed-AD-service-account)。

## Amazon FSx 無法存取組織單位 (OU)
<a name="w2aac37c11c27"></a>

建立加入自我管理 Active Directory 的檔案系統失敗，並顯示下列錯誤訊息：

```
Amazon FSx can't establish a connection with your Microsoft Active Directory domain controller(s). 
This is because the organizational unit you specified either doesn't exist or isn't accessible 
to the service account provided. To fix this problem, delete your file system and create a new one specifying an 
organizational unit to which the service account can join the file system.
```

 使用下列步驟來疑難排解和解決問題。

1.  確認您提供的 OU 位於 Active Directory 網域中。

1. 請確定您已將必要的許可委派給您提供的服務帳戶。服務帳戶必須能夠在您加入檔案系統的網域中，在 OU 中建立和刪除電腦物件。服務帳戶至少也需要具有執行下列動作的許可：
   +  重設密碼 
   +  限制帳戶讀取和寫入資料 
   +  驗證寫入 DNS 主機名稱的能力 
   +  已驗證能夠寫入服務主體名稱 
   + 委派控制來建立和刪除電腦物件
   + 驗證讀取和寫入帳戶限制的能力

    如需建立具有正確許可之服務帳戶的詳細資訊，請參閱 [Amazon FSx 服務帳戶](self-managed-AD.md#self-managed-AD-service-account)。

## 服務帳戶無法存取管理員群組
<a name="w2aac37c11c29"></a>

建立加入自我管理 Active Directory 的檔案系統失敗，並顯示下列錯誤訊息：

```
Amazon FSx is unable to apply your Microsoft Active Directory configuration. This is because the file system 
administrators group you provided either doesn't exist or isn't accessible to the service account you 
provided. To fix this problem, delete your file system and create a new one specifying a file 
system administrators group in the domain that is accessible to the service account 
provided.
```

使用下列步驟來疑難排解和解決問題。

1.  請確定您只提供群組的名稱做為管理員群組參數的字串。
**重要**  
 提供群組名稱參數時，請勿包含網域字首 (`corp.com\FSxAdmins`) 或網域尾碼 (`FSxAdmins@corp.com`)。  
 請勿對群組使用辨別名稱 (DN)。辨別名稱的範例為 CN=FSxAdmins，OU=example，DC=corp，DC=com。

1. 確定提供的管理員群組與您要加入檔案系統的目標位於相同的 Active Directory 網域中。

1.  如果您未提供管理員群組參數，Amazon FSx 會嘗試在 Active Directory 網域中使用`Builtin Domain Admins`群組。如果此群組的名稱已變更，或者如果您使用不同的群組進行網域管理，則需要為群組提供該名稱。

## 網域中的 Amazon FSx 連線中斷
<a name="w2aac37c11c31"></a>

建立加入自我管理 Active Directory 的檔案系統失敗，並顯示下列錯誤訊息：

```
Amazon FSx is unable to apply your Microsoft Active Directory configuration. To fix this problem, delete your file system and create a new one 
meeting the pre-requisites described in the Amazon FSx user guide.
```

 建立檔案系統時，Amazon FSx 能夠連線到 Active Directory 網域的 DNS 伺服器和網域控制站，並將檔案系統成功加入 Active Directory 網域。不過，在完成檔案系統建立時，Amazon FSx 失去與您網域中 或 成員資格的連線。使用下列步驟來疑難排解和解決問題。

1.  確保您的 Amazon FSx 檔案系統和 Active Directory 之間持續存在網路連線。此外，透過使用路由規則、VPC 安全群組規則、VPC 網路 ACLs 和網域控制站防火牆規則，確保網路流量在其之間持續受到允許。

1.  請確定 Amazon FSx 為您 Active Directory 網域中的檔案系統建立的電腦物件仍處於作用中狀態，且未被刪除或以其他方式操作。

## 服務帳戶沒有正確的許可
<a name="w2aac37c11c33"></a>

建立加入自我管理 Active Directory 的檔案系統失敗，並顯示下列錯誤訊息：

```
File system creation failed. Amazon FSx is unable to establish a connection with your Microsoft Active Directory domain controller(s). 
This is because the service account provided does not have permission to join the file system to the domain with the specified 
organizational unit (OU). To fix this problem, delete your file system and create a new one using a service account with permission 
to create computer objects and reset passwords within the specified organizational unit.
```

請確定您已將所需的許可委派給您提供的服務帳戶。使用下列步驟來疑難排解和解決問題。

 服務帳戶至少需要具有下列許可：
+ 受委派控制，以建立和刪除您聯結檔案系統的目標 OU 中的電腦物件
+ 在您加入檔案系統的 OU 中擁有下列許可：
  + 能夠重設密碼
  + 限制帳戶讀取和寫入資料的能力
  + 驗證寫入 DNS 主機名稱的能力 
  + 已驗證能夠寫入服務主體名稱 
  + 能夠 （可委派） 建立和刪除電腦物件
  + 驗證讀取和寫入帳戶限制的能力
  + 修改許可的能力

  如需建立具有正確許可的服務帳戶的詳細資訊，請參閱 [Amazon FSx 服務帳戶](self-managed-AD.md#self-managed-AD-service-account)。

## 用於建立參數的 Unicode 字元
<a name="w2aac37c11c35"></a>

 建立加入自我管理 Active Directory 的檔案系統失敗，並顯示下列錯誤訊息：

```
File system creation failed. Amazon FSx is unable to create a file system within the specified
Microsoft Active Directory. To fix this problem, please delete your file system and create a new one
meeting the pre-requisites described in the FSx for ONTAP User Guide.
```

Amazon FSx 不支援 Unicode 字元。確認沒有任何建立參數具有 Unicode 字元，例如重音標記。這包括可以保留空白的參數，其中會自動填入預設值。請確定 Active Directory 中的對應預設值也不包含 Unicode 字元。

## 在還原備份時切換儲存體類型至 HDD 失敗
<a name="create-fs-from-backup-fails"></a>

從備份建立檔案系統失敗，並顯示下列錯誤訊息：

`Switching storage type to HDD while creating a file system from backup backup_id is not supported because a storage scaling activity was still under way on the source file system to increase storage capacity from less than 2000 GiB when the backup backup_id was taken, and the minimum storage capacity for HDD storage is 2000 GiB.`

還原備份時發生此問題，而且您已將儲存類型從 SSD 變更為 HDD。從備份還原失敗，因為在原始檔案系統上儲存容量增加時，已進行您還原的備份。在增加請求之前，檔案系統的 SSD 儲存容量小於 2000 GiB，這是建立 HDD 檔案系統所需的最低儲存容量。

請使用下列程序來解決此問題。

1. 等待儲存容量增加請求完成，且檔案系統至少具有 2000 GiB 的 SSD 儲存容量。如需詳細資訊，請參閱[監控儲存容量增加](monitoring-storage-capacity-increase.md)。

1. 對檔案系統進行使用者起始的備份。如需詳細資訊，請參閱[使用使用者啟動的備份](using-backups.md#user-initiated-backups)。

1. 使用 HDD 儲存將使用者啟動的備份還原至新的檔案系統。如需詳細資訊，請參閱[將備份還原至新的檔案系統](using-backups.md#restoring-backups)。

# 檔案系統處於設定錯誤狀態
<a name="misconfigured-ad-config"></a>

由於 Active Directory 環境中的變更，FSx for Windows File Server 檔案系統可能會進入**設定錯誤的**狀態。在此狀態下，您的檔案系統目前無法使用，或有失去可用性的風險，而且備份可能無法成功。

**設定錯誤**狀態包含錯誤訊息，以及您可以使用 Amazon FSx 主控台、API 或 存取的建議修正動作 AWS CLI。採取修正動作後，請確認檔案系統的狀態最終會變更為 `Available`- 請注意，此變更可能需要幾分鐘才能完成。

您的檔案系統可能因多種原因而進入**設定錯誤**狀態，例如：
+ DNS 伺服器 IP 地址不再有效。
+ 服務帳戶登入資料不再有效，或缺少必要的許可。
+ 由於網路連線問題，例如無效的 VPC 安全群組、VPC 網路 ACL 或路由表組態，或網域控制器防火牆設定，無法連線到 Active Directory 網域控制器。

**重要**  
建立檔案系統後，請勿移動 Amazon FSx 在 OU 中建立的電腦物件。這樣做會導致您的檔案系統設定錯誤。

（如需 Active Directory 需求的完整清單，請參閱 [先決條件](self-managed-AD.md#self-manage-prereqs)。 您也可以使用 [Amazon FSx Active Directory 驗證工具](validate-ad-config.md#test-ad-network-config)，驗證 Active Directory 環境是否已正確設定以符合這些要求。)

解決其中一些問題需要直接更新檔案系統 [Active Directory 組態](https://docs.aws.amazon.com/fsx/latest/APIReference/API_SelfManagedActiveDirectoryConfigurationUpdates.html)中的一或多個參數，例如變更 DNS 伺服器 IP 地址，或變更服務帳戶使用者名稱或密碼。在這些情況下，您的修正動作必然涉及使用 Amazon FSx 主控台、API 或 AWS CLI 來更新必要的組態參數。

其他問題可能不需要變更任何 Active Directory 組態參數，例如變更網域控制器防火牆設定或 VPC 安全群組。不過，在這些情況下，您將需要採取進一步的動作，檔案系統才能成為 `Available`。確保 Active Directory 環境設定正確後，請在 Amazon FSx 主控台中選取**錯誤設定**狀態旁的**嘗試復原**按鈕，或在 Amazon FSx 主控台、API 或 中使用 `StartMisconfiguredStateRecovery`命令 AWS CLI。

**Topics**
+ [設定錯誤的檔案系統：Amazon FSx 無法連接網域的 DNS 伺服器或網域控制站。](#w2aac37c13c21)
+ [設定錯誤的檔案系統：服務帳戶登入資料無效](#w2aac37c13c23)
+ [設定錯誤的檔案系統：未正確設定 AWS Secrets Manager 秘密或 KMS 金鑰](#w2aac37c13c25)
+ [設定錯誤的檔案系統：提供的服務帳戶沒有將檔案系統加入網域的許可](#w2aac37c13c27)
+ [設定錯誤的檔案系統：服務帳戶無法再將任何電腦加入網域](#w2aac37c13c29)
+ [設定錯誤的檔案系統：服務帳戶無法存取 OU](#w2aac37c13c31)

## 設定錯誤的檔案系統：Amazon FSx 無法連接網域的 DNS 伺服器或網域控制站。
<a name="w2aac37c13c21"></a>

當 Amazon FSx 無法與您的 Microsoft Active Directory 網域控制站或控制站通訊時，檔案系統將進入 `Misconfigured` 狀態。

若要解決這種情況，請執行下列動作：

1. 請確定您的聯網組態允許從檔案系統到網域控制器的流量。

1. 使用 [ Amazon FSx Active Directory 驗證工具](validate-ad-config.md)來測試和驗證自我管理 Active Directory 的網路設定。如需詳細資訊，請參閱[使用自我管理的 Microsoft Active Directory](self-managed-AD.md)。

1. 在 Amazon FSx 主控台中檢閱檔案系統的自我管理 Active Directory 組態。

1. 若要更新檔案系統的自我管理 Active Directory 組態，您可以使用 Amazon FSx 主控台。

   1. 在導覽窗格中，選擇**檔案系統**，然後選擇要更新的檔案系統；**檔案系統詳細資訊**頁面隨即出現。

   1. 在**檔案系統詳細資訊**頁面上，選擇**網路和安全性**索引標籤上的**更新**。

   您也可以使用 Amazon FSx CLI `update-file-system`命令或 API 操作 [UpdateFileSystem](https://docs.aws.amazon.com/fsx/latest/APIReference/API_UpdateFileSystem.html)。

## 設定錯誤的檔案系統：服務帳戶登入資料無效
<a name="w2aac37c13c23"></a>

Amazon FSx 無法與您的 Microsoft Active Directory 網域控制站或控制站建立連線。這是因為所提供的服務帳戶登入資料無效。如需詳細資訊，請參閱[使用自我管理的 Microsoft Active Directory](self-managed-AD.md)。

若要解決組態錯誤，請執行下列動作：

1. 確認您使用的是正確的服務帳戶，而且您使用該帳戶的正確登入資料。

1. 然後使用 Amazon FSx 主控台，使用正確的服務帳戶或帳戶登入資料來更新檔案系統的組態。

   1. 在導覽窗格中，選擇**檔案系統**，然後選擇設定錯誤的檔案系統進行更新。

   1. 在**檔案系統詳細資訊**頁面上，選擇**網路和安全性**索引標籤中的**更新**。

   您也可以使用 Amazon FSx API 操作 `update-file-system`。若要進一步了解，請參閱《Amazon FSx API 參考》中的 [UpdateFileSystem](https://docs.aws.amazon.com/fsx/latest/APIReference/API_UpdateFileSystem.html)。

## 設定錯誤的檔案系統：未正確設定 AWS Secrets Manager 秘密或 KMS 金鑰
<a name="w2aac37c13c25"></a>

Amazon FSx 無法與您的 Microsoft Active Directory 網域控制站或控制站建立連線。這是因為您的 AWS Secrets Manager 秘密 AWS KMS key 或未正確設定。如需詳細資訊，請參閱[使用 存放 Active Directory 登入資料 AWS Secrets Manager](self-managed-AD.md#bp-store-ad-creds-using-secret-manager-windows)。

若要解決組態錯誤，請執行下列動作：

1. 驗證秘密 ARN 是否正確，並遵循正確的格式：`arn:aws:secretsmanager:region:account-id:secret:secret-name-6chars`。

1. 確認秘密包含具有非空白值的兩個必要欄位：
   + `CUSTOMER_MANAGED_ACTIVE_DIRECTORY_USERNAME` – 您的 AD 服務帳戶使用者名稱。
   + `CUSTOMER_MANAGED_ACTIVE_DIRECTORY_PASSWORD` – 您的 AD 服務帳戶密碼。
   + 確認秘密和金鑰具有以資源為基礎的政策，授予 Amazon FSx 服務主體擷取秘密值的`fsx.amazonaws.com`許可。

## 設定錯誤的檔案系統：提供的服務帳戶沒有將檔案系統加入網域的許可
<a name="w2aac37c13c27"></a>

Amazon FSx 無法建立與 Microsoft Active Directory 網域控制站的連線。這是因為所提供的服務帳戶沒有使用指定 OU 將檔案系統加入網域的許可。

若要解決組態錯誤，請執行下列動作：

1. 將所需的許可新增至 Amazon FSx 服務帳戶，或建立具有所需許可的新服務帳戶。如需執行此作業的詳細資訊，請參閱 [Amazon FSx 服務帳戶](self-managed-AD.md#self-managed-AD-service-account)。

1. 然後使用新的服務帳戶憑證更新檔案系統的自我管理 Active Directory 組態。若要更新組態，您可以使用 Amazon FSx 主控台。

   1. 在導覽窗格中，選擇**檔案系統**，然後選擇要更新的檔案系統；**檔案系統詳細資訊**頁面隨即出現。

   1. 在**檔案系統詳細資訊**頁面上，選擇**網路和安全性**索引標籤上的**更新**。

   您也可以使用 Amazon FSx API 操作 `update-file-system`。若要進一步了解，請參閱《Amazon FSx API 參考》中的 [UpdateFileSystem](https://docs.aws.amazon.com/fsx/latest/APIReference/API_UpdateFileSystem.html)。

## 設定錯誤的檔案系統：服務帳戶無法再將任何電腦加入網域
<a name="w2aac37c13c29"></a>

Amazon FSx 無法建立與 Microsoft Active Directory 網域控制站的連線。在此情況下，這是因為提供的服務帳戶已達到可加入網域的電腦數量上限。

若要解決組態錯誤，請執行下列動作：

1. 識別另一個服務帳戶或建立新的服務帳戶，以將新電腦加入網域。

1. 然後使用 Amazon FSx 主控台，使用新的服務帳戶登入資料更新檔案系統的自我管理 Active Directory 組態。

   1. 在導覽窗格中，選擇**檔案系統**，然後選擇要更新的檔案系統；**檔案系統詳細資訊**頁面隨即出現。

   1. 在**檔案系統詳細資訊**頁面上，選擇**網路和安全性**索引標籤上的**更新**。

   您也可以使用 Amazon FSx API 操作 `update-file-system`。若要進一步了解，請參閱《Amazon FSx API 參考》中的 [UpdateFileSystem](https://docs.aws.amazon.com/fsx/latest/APIReference/API_UpdateFileSystem.html)。

## 設定錯誤的檔案系統：服務帳戶無法存取 OU
<a name="w2aac37c13c31"></a>

Amazon FSx 無法建立與 Microsoft Active Directory 網域控制站的連線，因為提供的服務帳戶無法存取指定的 OU。

若要解決組態錯誤，請執行下列動作：

1.  識別另一個服務帳戶或建立新的可存取 OU 的服務帳戶。

1. 然後使用新的服務帳戶憑證更新檔案系統的自我管理 Active Directory 組態。

   1. 在導覽窗格中，選擇**檔案系統**，然後選擇要更新的檔案系統；**檔案系統詳細資訊**頁面隨即出現。

   1. 在**檔案系統詳細資訊**頁面上，選擇**網路和安全性**索引標籤上的**更新**。

   您也可以使用 Amazon FSx API 操作 `update-file-system`。若要進一步了解，請參閱《Amazon FSx API 參考》中的 [UpdateFileSystem](https://docs.aws.amazon.com/fsx/latest/APIReference/API_UpdateFileSystem.html)。

# 您無法在多可用區或單一可用區 2 檔案系統上設定 DFS-R
<a name="dfs-r"></a>

多可用區域和單一可用區域 2 檔案系統不支援 Microsoft 分散式檔案系統複寫 (DFS-R)。

異地同步備份檔案系統已設定為原生跨多個存取區域的備援。使用異地同步備份部署類型，在多個可用區域中實現高可用性。如需詳細資訊，請參閱[可用性和耐久性：單一可用區和多可用區檔案系統](high-availability-multiAZ.md)。

# 儲存或輸送量容量更新失敗
<a name="admin-actions-ts"></a>

有許多潛在原因會導致檔案系統儲存和輸送量容量更新請求失敗，每個請求都有自己的解決方案。

## 儲存容量增加失敗，因為 Amazon FSx 無法存取檔案系統的 AWS KMS key
<a name="w2aac37c17b5"></a>

儲存容量增加請求失敗，因為 Amazon FSx 無法存取用來加密檔案系統的 KMS 金鑰。

您需要確保 Amazon FSx 可以存取用來加密檔案系統的 KMS 金鑰，以執行管理動作。使用下列資訊來解決金鑰存取問題。
+ 如果已刪除 KMS 金鑰，則無法復原使用已刪除 KMS 金鑰的檔案系統和其任何備份。如需詳細資訊，請參閱[AWS KMS key《 開發人員指南》中的刪除](https://docs.aws.amazon.com/kms/latest/developerguide/deleting-keys.html) 。 AWS Key Management Service 
+ 如果 KMS 金鑰已停用，且它是客戶受管金鑰，您將需要重新啟用它，然後重試儲存容量增加請求。如需詳細資訊，請參閱《 AWS Key Management Service 開發人員指南》中的[啟用和停用金鑰](https://docs.aws.amazon.com/kms/latest/developerguide/enabling-keys.html)。
+ 如果金鑰因為待刪除而無效，您必須在金鑰仍處於 `PendingDeletion` 狀態時[取消金鑰刪除](https://docs.aws.amazon.com/kms/latest/developerguide/deleting-keys-scheduling-key-deletion.html)。一旦 KMS 金鑰為 ，您就可以重試請求`Enabled`。
+ 如果金鑰因為待匯入而無效，您必須等到匯入完成，然後重試儲存增加請求。
+ 如果超過金鑰的授予限制，您必須請求增加金鑰的授予數量。如需詳細資訊，請參閱《 AWS Key Management Service 開發人員指南》中的[資源配額](https://docs.aws.amazon.com/kms/latest/developerguide/resource-limits.html)。授予配額增加時，請重試儲存增加請求。

## 儲存或輸送量容量更新失敗，因為自我管理 Active Directory 設定錯誤
<a name="w2aac37c17b7"></a>

儲存容量或輸送量容量更新請求失敗，因為您檔案系統的自我管理 Active Directory 處於設定錯誤的狀態。

若要解決特定設定錯誤的狀態，請參閱 [檔案系統處於設定錯誤狀態](misconfigured-ad-config.md)。

## 由於輸送量容量不足，儲存容量增加失敗
<a name="w2aac37c17b9"></a>

儲存容量增加請求失敗，因為檔案系統的輸送量容量設定為 8 MBps。

將檔案系統的輸送量容量提高到至少 16 MBps，然後重試請求。如需詳細資訊，請參閱[管理輸送量容量](managing-throughput-capacity.md)。

## 傳輸量容量更新至 8 MBps 失敗
<a name="w2aac37c17c11"></a>

將檔案系統的輸送量容量修改為 8 MBps 的請求失敗。

當儲存容量增加請求處於待定狀態或進行中時，可能會發生這種情況。增加儲存容量需要至少 16 MBps 的輸送量。等待儲存容量增加請求完成，然後重試輸送量容量修改請求。