当我无法通过外部信任使用 FSx for Windows File Server 启动远程 PowerShell 会话时,如何进行故障排除?

上次更新时间:2021 年 3 月 17 日

我想在 Amazon FSx for Windows File Server 上配置卷影副本。但是,我无法执行此操作,因为在设置远程 PowerShell 会话时出现以下错误:

“enter-pssession:连接到远程服务器 <FSx_DNS_Name> 失败,并显示以下错误消息:WinRM 无法处理请求。使用 Kerberos 身份验证时出现以下错误:找不到计算机 <FSx_DNS_Name>。验证该计算机是否存在于网络上以及提供的名称是否拼写无误。有关更多信息,请参阅关于远程故障排查帮助主题。”

解决方法

首先,确认您的配置满足以下先决条件:

  • 您必须在本地 Microsoft Active Directory 与适用于 Microsoft Active Directory 的 Amazon Directory Service 之间创建信任关系
    注意:您必须至少具有两种单向信任关系。一种单向信任关系必须是 Amazon FSx 计算机对象所在的亚马逊云科技托管的 Microsoft AD 上的传出信任。另一种单向信任关系必须是本地 Microsoft AD 上的传入信任。
  • 在亚马逊云科技托管的 Microsoft AD 目录中,必须有一个属于 Amazon FSx 管理员组的本地 AD 用户。
  • 您的 Amazon FSx 安全组必须具有允许与 IP 地址或安全组 ID 进行通信的规则,这些 IP 地址或安全组 ID 与您希望用于管理 Amazon FSx 并从中启用卷影副本的客户端相关联。Amazon FSX 安全组必须允许以下端口上的入站和出站通信:
    TCP/UDP 445 (SMB)
    TCP 135 (RPC)
    TCP/UDP 1024-65535(RPC 的临时端口)

如果您的配置满足先决条件,但仍收到“Kerberos 身份验证:找不到计算机”错误,则该错误可能与 Microsoft 外部信任有关。为了使 Kerberos 身份验证与 Microsoft 外部信任一起工作,构建服务主体名称 (SPN) 的应用程序必须构建由三部分组成的 SPN。enter-pssession cmdlet 仅请求由两部分组成的 SPN,因此请求会失败。如果您在运行 PowerShell cmdlet 时运行网络跟踪,则请求将返回类似于“Kerberos: KRB_ERROR - KDC_ERR_S_PRINCIPAL_UNKNOWN”的错误消息。

要解决此错误并通过 Microsoft 外部信任启用 Kerberos 身份验证,请在本地 AD 域中为 Kerberos 客户端配置 Kerberos 林搜索顺序 (KFSO)。在使用林搜索顺序窗口中,对于要搜索的林,请为自行管理的 AD 和亚马逊云科技托管的 Microsoft AD 添加域名。请按以下格式和顺序添加域名:

selfmanaged.example.com;awsmanaged.example.com

在用于维护 Amazon FSX 的计算机上应用这些设置后,您可以继续启用 Amazon FSx 的卷影副本


这篇文章对您有帮助吗?


您是否需要账单或技术支持?