Amazon FSx File Gateway ist für Neukunden nicht mehr verfügbar. Bestandskunden von FSx File Gateway können den Service weiterhin normal nutzen. Informationen zu Funktionen, die FSx File Gateway ähneln, finden Sie in [diesem Blogbeitrag](https://aws.amazon.com/blogs/storage/switch-your-file-share-access-from-amazon-fsx-file-gateway-to-amazon-fsx-for-windows-file-server/).

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

# Fehlerbehebung: Probleme beim Verbinden des Gateways mit Active Directory
<a name="troubleshooting-active-directory"></a>

Verwenden Sie die folgenden Informationen zur Problembehandlung, um zu ermitteln, was zu tun ist, wenn Sie Fehlermeldungen wie`NETWORK_ERROR`,`TIMEOUT`, oder erhalten, `ACCESS_DENIED` wenn Sie versuchen, Ihr File Gateway mit einer Microsoft Active Directory-Domäne zu verbinden.

Führen Sie die folgenden Prüfungen und Konfigurationen durch, um diese Fehler zu beheben.

## Stellen Sie sicher, dass das Gateway den Domänencontroller erreichen kann, indem Sie einen NPING-Test ausführen
<a name="w2ab1c54c15b7"></a>

**So führen Sie einen NPING-Test durch:**

1. Stellen Sie mit Ihrer Hypervisor-Verwaltungssoftware (VMware, Hyper-V oder KVM) für lokale Gateways oder mit SSH für Amazon EC2 EC2-Gateways eine Connect zur lokalen Gateway-Konsole her.

1. Geben Sie die entsprechende Zahl ein, um die **Gateway-Konsole** auszuwählen, und geben Sie dann die Eingabetaste ein, um alle verfügbaren Befehle aufzulisten. `h` Führen Sie den folgenden Befehl aus, um die Konnektivität zwischen der virtuellen Storage Gateway Gateway-Maschine und der Domäne zu testen:

   `nping -d corp.domain.com -p 389 -c 1 -t tcp`
**Anmerkung**  
`corp.domain.com`Ersetzen Sie es durch den DNS-Namen Ihrer Active Directory-Domäne und `389` ersetzen Sie es durch den LDAP-Port für Ihre Umgebung.  
Stellen Sie sicher, dass Sie die erforderlichen Ports innerhalb Ihrer Firewall geöffnet haben.

Im Folgenden finden Sie ein Beispiel für einen erfolgreichen NPING-Test, bei dem das Gateway den Domänencontroller erreichen konnte:

```
nping -d corp.domain.com -p 389 -c 1 -t tcp

Starting Nping 0.6.40 ( http://nmap.org/nping ) at 2022-06-30 16:24 UTC
SENT (0.0553s) TCP 10.10.10.21:9783 > 10.10.10.10:389 S ttl=64 id=730 iplen=40  seq=2597195024 win=1480 
RCVD (0.0556s) TCP 10.10.10.10:389 > 10.10.10.21:9783 SA ttl=128 id=22332 iplen=44  seq=4170716243 win=8192 <mss 8961>

Max rtt: 0.310ms | Min rtt: 0.310ms | Avg rtt: 0.310ms
Raw packets sent: 1 (40B) | Rcvd: 1 (44B) | Lost: 0 (0.00%)
Nping done: 1 IP address pinged in 1.09 seconds<br>
```

Im Folgenden finden Sie ein Beispiel für einen NPING-Test, bei dem keine Konnektivität zum Ziel besteht oder keine Antwort vom `corp.domain.com` Ziel erfolgt:

```
nping -d corp.domain.com -p 389 -c 1 -t tcp

Starting Nping 0.6.40 ( http://nmap.org/nping ) at 2022-06-30 16:26 UTC
SENT (0.0421s) TCP 10.10.10.21:47196 > 10.10.10.10:389  S ttl=64 id=30318 iplen=40 seq=1762671338 win=1480

Max rtt: N/A | Min rtt: N/A | Avg rtt: N/A
Raw packets sent: 1 (40B) | Rcvd: 0 (0B) | Lost: 1 (100.00%)
Nping done: 1 IP address pinged in 1.07 seconds
```

## Überprüfen Sie die für die VPC Ihrer Amazon EC2 EC2-Gateway-Instance festgelegten DHCP-Optionen.
<a name="w2ab1c54c15b9"></a>

Wenn das File Gateway auf einer Amazon EC2 EC2-Instance läuft, müssen Sie sicherstellen, dass ein DHCP-Optionssatz ordnungsgemäß konfiguriert und an die Amazon Virtual Private Cloud (VPC) angehängt ist, die die Gateway-Instance enthält. Weitere Informationen finden Sie unter [DHCP-Optionssätze in Amazon VPC](https://docs.aws.amazon.com/vpc/latest/userguide/VPC_DHCP_Options.html).

## Vergewissern Sie sich, dass das Gateway die Domain auflösen kann, indem Sie eine Dig-Abfrage ausführen
<a name="w2ab1c54c15c11"></a>

Wenn die Domäne vom Gateway nicht aufgelöst werden kann, kann das Gateway der Domäne nicht beitreten.

**Um eine Dig-Abfrage auszuführen:**

1. Stellen Sie mit Ihrer Hypervisor-Verwaltungssoftware (VMware, Hyper-V oder KVM) für lokale Gateways oder mit SSH für Amazon EC2 EC2-Gateways eine Connect zur lokalen Gateway-Konsole her.

1. Geben Sie die entsprechende Zahl ein, um die **Gateway-Konsole** auszuwählen, und geben Sie dann die Eingabetaste ein, um alle verfügbaren Befehle aufzulisten. `h` Führen Sie den folgenden Befehl aus, um zu testen, ob das Gateway die Domäne auflösen kann:

   `dig -d corp.domain.com`
**Anmerkung**  
`corp.domain.com`Ersetzen Sie es durch den DNS-Namen Ihrer Active Directory-Domäne.

Im Folgenden finden Sie ein Beispiel für eine erfolgreiche Antwort:

```
; <<>> DiG 9.11.4-P2-RedHat-9.11.4-26.P2.amzn2.5.2 <<>> corp.domain.com
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 24817
;; flags: qr aa rd ra; QUERY: 1, ANSWER: 2, AUTHORITY: 0, ADDITIONAL: 1

;; OPT PSEUDOSECTION:
; EDNS: version: 0, flags:; udp: 4000
;; QUESTION SECTION:
;corp.domain.com.        IN    A

;; ANSWER SECTION:
corp.domain.com.    600    IN    A    10.10.10.10
corp.domain.com.    600    IN    A    10.10.20.10
            
;; Query time: 0 msec
;; SERVER: 10.10.20.228#53(10.10.20.228)
;; WHEN: Thu Jun 30 16:36:32 UTC 2022
;; MSG SIZE  rcvd: 78
```

## Überprüfen Sie die Einstellungen und Rollen des Domänencontrollers
<a name="w2ab1c54c15c13"></a>

Vergewissern Sie sich, dass der Domänencontroller nicht schreibgeschützt ist und dass der Domänencontroller über genügend Rollen verfügt, sodass Computer diesem beitreten können. Um dies zu testen, versuchen Sie, andere Server aus demselben VPC-Subnetz wie die Gateway-VM mit der Domäne zu verbinden.

## Stellen Sie sicher, dass das Gateway mit dem nächstgelegenen Domänencontroller verbunden ist
<a name="w2ab1c54c15c15"></a>

Als bewährte Methode empfehlen wir, Ihr Gateway mit einem Domänencontroller zu verbinden, der sich geografisch in der Nähe des Gatewaygeräts befindet. Wenn das Gatewaygerät aufgrund der Netzwerklatenz nicht innerhalb von 20 Sekunden mit dem Domänencontroller kommunizieren kann, kann es beim Domänenbeitritt zu einem Timeout kommen. Beispielsweise kann es bei dem Vorgang zu einem Timeout kommen, wenn sich die Gateway-Appliance im Osten der USA (Nord-Virginia) AWS-Region und der Domänencontroller im asiatisch-pazifischen Raum (Singapur) befindet AWS-Region.

**Anmerkung**  
Um den standardmäßigen Timeoutwert von 20 Sekunden zu erhöhen, können Sie den [Befehl join-domain](https://docs.aws.amazon.com/cli/latest/reference/storagegateway/join-domain.html) in AWS Command Line Interface (AWS CLI) ausführen und die `--timeout-in-seconds` Option zur Verlängerung der Zeit hinzufügen. Sie können auch den [JoinDomain API-Aufruf](https://amazonaws.com/storagegateway/latest/APIReference/API_JoinDomain.html) verwenden und den `TimeoutInSeconds` Parameter hinzufügen, um die Zeit zu verlängern. Der maximale Timeout-Wert beträgt 3.600 Sekunden.  
Wenn Sie beim Ausführen von AWS CLI Befehlen Fehler erhalten, stellen Sie sicher, dass Sie die neueste AWS CLI Version verwenden.

## Vergewissern Sie sich, dass Active Directory neue Computerobjekte in der Standard-Organisationseinheit (OU) erstellt
<a name="w2ab1c54c15c17"></a>

Stellen Sie sicher, dass Microsoft Active Directory über keine Gruppenrichtlinienobjekte verfügt, die neue Computerobjekte an einem anderen Ort als der Standardorganisationseinheit erstellen. Bevor Sie Ihr Gateway der Active Directory-Domäne hinzufügen können, muss in der Standard-OU ein neues Computerobjekt vorhanden sein. Einige Active Directory-Umgebungen sind so angepasst, dass sie OUs für neu erstellte Objekte unterschiedlich sind. Um sicherzustellen, dass ein neues Computerobjekt für die Gateway-VM in der Standard-OU vorhanden ist, versuchen Sie, das Computerobjekt manuell auf Ihrem Domänencontroller zu erstellen, bevor Sie das Gateway der Domäne hinzufügen. Sie können den [Befehl join-domain auch mit dem ausführen](https://docs.aws.amazon.com/cli/latest/reference/storagegateway/join-domain.html). AWS CLI Geben Sie dann die Option für an. `--organizational-unit`

**Anmerkung**  
Der Prozess der Erstellung des Computerobjekts wird als Pre-Staging bezeichnet.

## Überprüfen Sie die Ereignisprotokolle Ihres Domänencontrollers
<a name="w2ab1c54c15c19"></a>

Wenn Sie das Gateway nicht mit der Domäne verbinden können, nachdem Sie alle anderen in den vorherigen Abschnitten beschriebenen Prüfungen und Konfigurationen ausprobiert haben, empfehlen wir, Ihre Domänencontroller-Ereignisprotokolle zu überprüfen. Suchen Sie in der Ereignisanzeige des Domänencontrollers nach Fehlern. Stellen Sie sicher, dass die Gatewayabfragen den Domänencontroller erreicht haben.