Comment puis-je résoudre des problèmes liés à la jonction de ma passerelle de fichiers Storage Gateway à un domaine pour l'authentification Microsoft Active Directory ?

Date de la dernière mise à jour : 03/02/2020

J'ai créé une passerelle de fichiers sur AWS Storage Gateway et je souhaite utiliser Microsoft Active Directory (AD) pour l'authentification. Pourtant, lorsque j'essaie de joindre ma passerelle de fichiers au domaine Microsoft AD, je reçois l'un des messages d'erreurs suivants :

  • « The specified request timed out » (Le délai de demande spécifié a expiré)
  • « The gateway cannot connect to the specified domain » (La passerelle ne peut pas se connecter au domaine spécifié)
  • « Invalid domain name/DNS name cannot be resolved » (Le nom de domaine/nom DNS non valide ne peut être résolu)

Comment puis-je résoudre ces erreurs pour enfin joindre ma passerelle au domaine ?

Résolution

Pour résoudre ces erreurs, essayez les vérifications ou configurations suivantes :

1.    Exécutez un test ping pour vous assurer que la passerelle peut atteindre le contrôleur de domaine. Vous devez exécuter le test ping à partir d'un système ayant la même configuration réseau que la passerelle de fichiers qui conduit à l'adresse IP du contrôleur de domaine :

Remarque : remplacez DomainControllerIP par l'adresse IP du contrôleur de domaine.

ping DomainControllerIP

2.    Vérifiez que vous avez ouvert les ports requis dans votre pare-feu. Confirmez cette ouverture en exécutant la commande telnet à partir d'un serveur qui se trouve dans le même sous-réseau que la passerelle de fichiers qui mène à l'adresse IP du contrôleur de domaine sur le port 389 (TCP LDAP) ou 636 (TCP LDAPS) :

Remarque : remplacez DomainControllerIP par l'adresse IP du contrôleur de domaine.

telnet DomainControllerIP 389
telnet DomainControllerIP 636

3.    Si la passerelle de fichiers est en cours d'exécution sur une instance Amazon Elastic Compute Cloud (Amazon EC2), vous devez créer un jeu d'options DHCP, puis attacher le jeu à l'Amazon Virtual Private Cloud (VPC) dans lequel se trouve l'instance. Votre passerelle de fichiers pourra alors trouver le domaine que vous souhaitez joindre. Une fois que vous avez créé et attaché le jeu d'options DHCP au VPC, il est recommandé d'arrêter puis de redémarrer l'instance sur laquelle la passerelle de fichiers s'exécute.

La modification du jeu d'options DHCP est impossible si vous joignez l'instance de passerelle de fichiers à un contrôleur de domaine sur site et que l'instance de passerelle de fichiers est l'une des nombreuses instances qui utilisent AmazonProvidedDNS. Pour ce cas d'utilisation, vous pouvez :

Remarque : pour chaque point de terminaison sortant, vous devez disposer soit d'une connexion AWS Direct Connect à votre réseau, soit d'une connexion VPN.

4.    Assurez-vous que le domaine peut être résolu par la passerelle de fichiers. Vous ne pourrez pas joindre le domaine s'il n'est pas résolu par l'appliance de passerelle. Quand il s'agit d'une passerelle de fichiers déployée sur une instance EC2 Linux, vous pouvez faire le test en vous connectant à toute autre instance qui fait partie du même VPC que l'ordinateur virtuel de la passerelle. Interrogez ensuite le DNS en exécutant la commande nslookup. Pour une passerelle sur site, exécutez la commande nslookup à partir d'un système ayant la même configuration réseau que la passerelle de fichiers.

Ajoutez l'enregistrement nécessaire au DNS si le domaine n'est pas en cours de résolution.

5.    Vérifiez que le contrôleur de domaine n'est pas défini sur « Lecture seule » et que le contrôleur de domaine dispose de suffisamment de rôles pour qu'il y ait jonction des ordinateurs. Pour effectuer cette vérification, essayez de joindre d'autres serveurs dans le même sous-réseau VPC que l'ordinateur virtuel de la passerelle au domaine.

6.    Il est recommandé de joindre la passerelle de fichiers à un contrôleur de domaine géographiquement plus proche de la passerelle. Le processus peut expirer si l'appliance de passerelle ne parvient pas à atteindre ou à interroger le contrôleur de domaine dans les 20 secondes. Par exemple, le processus de jonction de domaine peut expirer si l'appliance de passerelle se trouve dans la région USA Est (Virginie du Nord) tandis que le contrôleur de domaine se trouve dans la région Asie-Pacifique (Singapour).

Remarque : pour augmenter la valeur du délai d'expiration par défaut de 20 secondes, vous pouvez exécuter la commande joint-domain sur l'interface de ligne de commande AWS (AWS CLI), puis inclure l'option --timeout-in-seconds. Vous pouvez également utiliser l'appel d'API JoinDomain et inclure le paramètre TimeoutInSeconds pour augmenter le délai d'expiration. Le délai d'expiration maximum est de 3 600 secondes.

Si vous recevez des erreurs lors de l'exécution de commandes depuis AWS CLI, assurez-vous que vous utilisez la version d'AWS CLI la plus récente.

7.    Vérifiez si l'unité d'organisation (UO) de Microsoft AD comporte des objets de stratégie de groupe qui créent un nouvel objet ordinateur dans un emplacement autre que l'UO par défaut. Pour ce cas d'utilisation, il doit nécessairement y avoir un nouvel objet ordinateur dans l'unité d'organisation avant toute jonction du domaine à la passerelle de fichiers. Certains environnements sont personnalisés pour avoir différentes unités d'organisation pour les objets nouvellement créés. Pour vous assurer qu'un objet d'ordinateur (pour la machine virtuelle de la passerelle) dans une unité d'organisation donnée rejoint le domaine, essayez de créer l'objet d'ordinateur sur votre contrôleur de domaine avant de joindre la passerelle de fichiers au domaine. Vous pouvez également exécuter la commande joint-domain à l'aide d'AWS CLI et spécifier l'option pour --organizational-unit.

Remarque : le processus de création de l'objet d'ordinateur est appelé pré-intermédiaire.

8.    Si vous ne pouvez toujours pas joindre la passerelle au domaine après avoir essayé les vérifications et configurations précédentes, vérifiez s'il existe des journaux d'événements pour la jonction au domaine. Recherchez les erreurs dans la visionneuse d'événements du contrôleur de domaine. Vérifiez si la requête de passerelle a atteint le contrôleur de domaine.</p


Cet article vous a-t-il été utile ?


Besoin d'aide pour une question technique ou de facturation ?