本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
# 排查 Storage Gateway 部署问题
接下来,您可以找到与网关、主机平台、文件共享、高可用性、数据恢复和安全性相关的最佳实践以及问题故障排除的信息。本地网关故障排除信息涵盖部署在支持的虚拟化平台上的网关。高可用性问题的故障排除信息涵盖在 VMware vSphere 高可用性 (HA) 平台上运行的网关。
**主题**
+ [故障排除:网关离线问题](troubleshooting-gateway-offline.md):了解如何诊断可能导致网关在 Storage Gateway 控制台中显示为离线的问题。
+ [故障排除:Active Directory 问题](troubleshooting-active-directory.md):了解在尝试将文件网关加入到 Microsoft Active Directory 域时,如果收到错误消息(例如 `NETWORK_ERROR`、`TIMEOUT` 或 `ACCESS_DENIED`)该怎么做。
+ [故障排除:网关激活问题](troubleshooting-gateway-activation.md):了解在尝试激活 Storage Gateway 时收到内部错误消息的情况下该怎么做。
+ [故障排除:本地网关问题](troubleshooting-on-premises-gateway-issues.md)-了解在使用本地网关时可能遇到的典型问题,以及如何允许 支持 连接到网关以帮助进行故障排除。
+ [故障排除:Microsoft Hyper-V 设置问题](troubleshooting-hyperv-setup.md):了解您在 Microsoft Hyper-V 平台上部署 Storage Gateway 时可能遇到的典型问题。
+ [故障排除:Amazon EC2 网关问题](troubleshooting-EC2-gateway-issues.md):查找有关在使用部署到 Amazon EC2 上的网关时可能遇到的典型问题的信息。
+ [故障排除:硬件设备问题](troubleshooting-hardware-appliance-issues.md)-了解如何解决在使用 AWS Storage Gateway 硬件设备时可能遇到的问题。
+ [故障排除:文件网关问题](troubleshooting-file-gateway-issues.md)-查找可帮助您了解 File Gateway CloudWatch 日志中出现的错误和运行状况通知的原因的信息。
+ [故障排除:文件共享问题](troubleshooting-file-share-issues.md):了解在文件共享出现意外问题时可以采取的措施。
+ [故障排除:高可用性问题](troubleshooting-ha-issues.md)-了解在 VMware HA 环境中部署的网关遇到问题时该怎么做。
# 故障排除:Storage Gateway 控制台中网关离线
使用以下故障排除信息,来确定当 AWS Storage Gateway 控制台显示网关处于离线状态时该怎么做。
网关可能由于以下一个或多个原因而显示为离线:
+ 网关无法到达 Storage Gateway 服务端点。
+ 网关意外关闭。
+ 与网关关联的缓存磁盘已断开连接或经过修改,或者出现故障。
要使网关恢复在线,请确定并解决导致网关离线的问题。
## 检查关联的防火墙或代理
如果您将网关配置为使用代理,或者将网关置于防火墙后面,请查看代理或防火墙的访问规则。代理或防火墙必须可让流量进出 Storage Gateway 所需的网络端口和服务端点。有关更多信息,请参阅 [Network and firewall requirements](https://docs.aws.amazon.com/filegateway/latest/files3/Requirements.html#networks)。
## 检查是否正在对网关的流量进行 SSL 检查或深度数据包检查
如果当前正在对网关与之间的网络流量执行 SSL 或深度数据包检查 AWS,则您的网关可能无法与所需的服务端点通信。要使网关恢复在线,必须禁用检查。
## 在重新启动或软件更新后检查 IOWait百分比指标
在重启或软件更新后,检查以了解文件网关的 `IOWaitPercent` 指标是否为 10 或更高。这可能会导致网关在将索引缓存重建到 RAM 时响应缓慢。有关更多信息,请参阅[疑难解答:使用 CloudWatch 指标](https://docs.aws.amazon.com/filegateway/latest/files3/troubleshooting-file-gateway-issues.html#gateway-not-responding)。
## 检查虚拟机监控程序主机上是否出现停电或硬件故障
网关的虚拟机监控程序主机出现停电或硬件故障,可能会导致网关意外关闭且无法访问。在恢复电源和网络连接后,网关将再次变为可访问。
网关恢复在线后,请务必采取措施来恢复数据。有关更多信息,请参阅 [Best practices: recovering your data](https://docs.aws.amazon.com/filegateway/latest/files3/recover-data-from-gateway.html)。
## 检查关联的缓存磁盘是否有问题
如果与网关关联的缓存磁盘中至少有一个被移除、更改或调整大小,或者它已损坏,则网关可能会进入离线状态。
**如果从虚拟机监控程序主机上移除了正常工作的缓存磁盘:**
1. 关闭网关。
1. 重新添加该磁盘。
**注意**
确保将磁盘添加到同一个磁盘节点。
1. 重新启动网关。
**如果缓存磁盘损坏、被更换或调整大小:**
+ 按照[使用新实例替换现有 S3 文件网关](https://docs.aws.amazon.com/filegateway/latest/files3/migrate-data.html#replace-instance-file-gateway)中描述的**方法 2** 步骤来设置新网关并从 AWS 云重新下载缓存磁盘信息。
# 故障排除:将网关加入 Active Directory 时出现的问题
使用以下故障排除信息,确定在尝试将文件网关加入 Microsoft Active Directory 域时如果收到错误消息(例如 `NETWORK_ERROR`、`TIMEOUT` 或 `ACCESS_DENIED`)该怎么做。
要解决这些错误,请执行以下检查和配置。
## 通过运行 nping 测试来确认网关可以访问域控制器
**要运行 nping 测试,请执行以下操作:**
1. 使用虚拟机监控程序管理软件(VMware、Hyper-V 或 KVM)(用于本地网关)或使用 ssh(用于 Amazon EC2 网关),连接到网关本地控制台。
1. 输入相应的数字来选择**网关控制台**,然后输入 `h` 以列出所有可用命令。要测试 Storage Gateway 虚拟机与域之间的连接,请运行以下命令:
`nping -d corp.domain.com -p 389 -c 1 -t tcp`
**注意**
将 `corp.domain.com` 替换为 Active Directory 域 DNS 名称,并将 `389` 替换为您的环境的 LDAP 端口。
确认已在防火墙内打开所需的端口。
以下示例说明 nping 测试成功,网关能够访问域控制器:
```
nping -d corp.domain.com -p 389 -c 1 -t tcp
Starting Nping 0.6.40 ( http://nmap.org/nping ) at 2022-06-30 16:24 UTC
SENT (0.0553s) TCP 10.10.10.21:9783 > 10.10.10.10:389 S ttl=64 id=730 iplen=40 seq=2597195024 win=1480
RCVD (0.0556s) TCP 10.10.10.10:389 > 10.10.10.21:9783 SA ttl=128 id=22332 iplen=44 seq=4170716243 win=8192
Max rtt: 0.310ms | Min rtt: 0.310ms | Avg rtt: 0.310ms
Raw packets sent: 1 (40B) | Rcvd: 1 (44B) | Lost: 0 (0.00%)
Nping done: 1 IP address pinged in 1.09 seconds
```
以下 nping 测试示例表明没有与 `corp.domain.com` 目标建立连接,或者目标没有响应:
```
nping -d corp.domain.com -p 389 -c 1 -t tcp
Starting Nping 0.6.40 ( http://nmap.org/nping ) at 2022-06-30 16:26 UTC
SENT (0.0421s) TCP 10.10.10.21:47196 > 10.10.10.10:389 S ttl=64 id=30318 iplen=40 seq=1762671338 win=1480
Max rtt: N/A | Min rtt: N/A | Avg rtt: N/A
Raw packets sent: 1 (40B) | Rcvd: 0 (0B) | Lost: 1 (100.00%)
Nping done: 1 IP address pinged in 1.07 seconds
```
## 检查 Amazon EC2 网关实例 VPC 的 DHCP 选项集
如果文件网关在 Amazon EC2 实例上运行,则必须确保已正确配置 DHCP 选项集,并连接到包含此网关实例的 Amazon Virtual Private Cloud(VPC)。有关更多信息,请参阅 [Amazon VPC 中的 DHCP 选项集](https://docs.aws.amazon.com/vpc/latest/userguide/VPC_DHCP_Options.html)。
## 通过运行 dig 查询来确认网关可以解析域
如果网关无法解析域,则网关无法加入域。
**要运行 dig 查询,请执行以下操作:**
1. 使用虚拟机监控程序管理软件(VMware、Hyper-V 或 KVM)(用于本地网关)或使用 ssh(用于 Amazon EC2 网关),连接到网关本地控制台。
1. 输入相应的数字来选择**网关控制台**,然后输入 `h` 以列出所有可用命令。要测试网关能否解析域,请运行以下命令:
`dig -d corp.domain.com`
**注意**
将 `corp.domain.com` 替换为您的 Active Directory 域 DNS 名称。
以下是成功响应的示例:
```
; <<>> DiG 9.11.4-P2-RedHat-9.11.4-26.P2.amzn2.5.2 <<>> corp.domain.com
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 24817
;; flags: qr aa rd ra; QUERY: 1, ANSWER: 2, AUTHORITY: 0, ADDITIONAL: 1
;; OPT PSEUDOSECTION:
; EDNS: version: 0, flags:; udp: 4000
;; QUESTION SECTION:
;corp.domain.com. IN A
;; ANSWER SECTION:
corp.domain.com. 600 IN A 10.10.10.10
corp.domain.com. 600 IN A 10.10.20.10
;; Query time: 0 msec
;; SERVER: 10.10.20.228#53(10.10.20.228)
;; WHEN: Thu Jun 30 16:36:32 UTC 2022
;; MSG SIZE rcvd: 78
```
## 检查域控制器设置和角色
确认域控制器未设置为只读,并且域控制器的角色具有必要的权限,可让计算机加入域。要对此进行测试,请尝试将网关 VM 所在的 VPC 子网中的其他服务器加入域。
## 检查网关是否已加入最近的域控制器
作为最佳实践,建议将网关加入在地理位置上靠近网关设备的域控制器。如果由于存在网络延迟,网关设备无法在 20 秒内与域控制器通信,则域加入过程会超时。例如,如果网关设备位于美国东部(弗吉尼亚北部), AWS 区域 而域控制器位于亚太地区(新加坡),则该过程可能会超时 AWS 区域。
**注意**
要增加 20 秒的默认超时值,您可以在 AWS Command Line Interface (AWS CLI) 中运行 [join-domain 命令](https://docs.aws.amazon.com/cli/latest/reference/storagegateway/join-domain.html)并添加延长时间的`--timeout-in-seconds`选项。您也可以使用 [JoinDomain API 调用](https://amazonaws.com/storagegateway/latest/APIReference/API_JoinDomain.html)并添加`TimeoutInSeconds`参数来延长时间。最大超时值为 3600 秒。
如果您在运行 AWS CLI 命令时收到错误,请确保您使用的是最新 AWS CLI 版本。
## 确认 Active Directory 在默认组织单元(OU)中创建了新的计算机对象
确保 Microsoft Active Directory 没有任何组策略对象会在默认 OU 以外的任何位置创建新的计算机对象。将网关加入 Active Directory 域之前,默认 OU 中必须有新的计算机对象。某些 Active Directory 环境经过自定义 OUs,新创建的对象会有所不同。为确保默认 OU 中有网关 VM 的新计算机对象,请在将网关加入域之前,尝试在域控制器上手动创建计算机对象。您也可以使用 AWS CLI运行 [join-domain 命令](https://docs.aws.amazon.com/cli/latest/reference/storagegateway/join-domain.html)。然后,指定 `--organizational-unit` 选项。
**注意**
创建计算机对象的过程称为预配置。
## 查看域控制器事件日志
如果在尝试了前几节中描述的所有其他检查和配置后仍无法将网关加入域,建议检查域控制器事件日志。在域控制器的事件查看器中检查是否有任何错误。确认网关查询已到达域控制器。
# 故障排除:网关激活期间的内部错误
Storage Gateway 激活请求会经过两条网络路径。客户端发送的传入激活请求通过端口 80 连接到网关的虚拟机(VM)或 Amazon Elastic Compute Cloud(Amazon EC2)实例。如果网关成功收到激活请求,则网关将与 Storage Gateway 端点通信来接收激活密钥。如果网关无法到达 Storage Gateway 端点,则网关会以一则内部错误消息响应客户端。
使用以下故障排除信息,来确定在尝试激活 AWS Storage Gateway的过程中收到内部错误消息时该怎么做。
**注意**
确保使用最新的虚拟机映像文件或亚马逊机器映像(AMI)版本部署新的网关。如果您尝试激活使用过时 AMI 的网关,则会收到内部错误消息。
在下载 AMI 之前,请务必选择要部署的正确网关类型。每种网关类型的.ova 文件都不同,并且不可互换。 AMIs
## 解决使用公有端点激活网关时出现的错误
要解决使用公有端点激活网关时的激活错误,请执行以下检查和配置。
### 检查所需的端口
对于本地部署的网关,请检查本地防火墙上的端口是否为打开状态。对于部署在 Amazon EC2 实例上的网关,请检查实例安全组上的端口是否为打开状态。要确认端口为打开状态,请从服务器上对公有端点运行 telnet 命令。此服务器必须与网关位于同一子网中。例如,以下 telnet 命令测试与端口 443 的连接:
```
telnet d4kdq0yaxexbo.cloudfront.net 443
telnet storagegateway.region.amazonaws.com 443
telnet dp-1.storagegateway.region.amazonaws.com 443
telnet proxy-app.storagegateway.region.amazonaws.com 443
telnet client-cp.storagegateway.region.amazonaws.com 443
telnet anon-cp.storagegateway.region.amazonaws.com 443
```
要确认网关本身是否可以到达端点,请访问网关的本地 VM 控制台(适用于本地部署的网关)。或者,可以通过 SSH 连接到网关的实例(适用于部署在 Amazon EC2 上的网关)。然后,运行网络连接测试。确认测试返回 `[PASSED]`。有关更多信息,请参阅 [Testing your gateway's network connectivity](https://docs.aws.amazon.com/filegateway/latest/files3/manage-on-premises-fgw.html#MaintenanceTestGatewayConnectivity-fgw)。
**注意**
网关控制台的默认登录用户名为 `admin`,默认密码为 `password`。
### 确保防火墙安全性不会修改从网关发送到公有端点的数据包
SSL 检查、深度数据包检查或其它形式的防火墙安全性可能会干扰从网关发送的数据包。如果 SSL 证书的修改结果与激活端点所预期的情况不同,则 SSL 握手失败。要确认没有正在进行的 SSL 检查,请在端口 443 上的主激活端点 (`anon-cp.storagegateway.region.amazonaws.com`) 上运行 OpenSSL 命令。必须从与网关位于同一子网中的计算机上运行此命令:
```
$ openssl s_client -connect anon-cp.storagegateway.region.amazonaws.com:443 -servername anon-cp.storagegateway.region.amazonaws.com
```
**注意**
*region*用你的 AWS 区域.
如果没有正在进行的 SSL 检查,则该命令将返回类似于以下内容的响应:
```
$ openssl s_client -connect anon-cp.storagegateway.us-east-2.amazonaws.com:443 -servername anon-cp.storagegateway.us-east-2.amazonaws.com
CONNECTED(00000003)
depth=2 C = US, O = Amazon, CN = Amazon Root CA 1
verify return:1
depth=1 C = US, O = Amazon, OU = Server CA 1B, CN = Amazon
verify return:1
depth=0 CN = anon-cp.storagegateway.us-east-2.amazonaws.com
verify return:1
---
Certificate chain
0 s:/CN=anon-cp.storagegateway.us-east-2.amazonaws.com
i:/C=US/O=Amazon/OU=Server CA 1B/CN=Amazon
1 s:/C=US/O=Amazon/OU=Server CA 1B/CN=Amazon
i:/C=US/O=Amazon/CN=Amazon Root CA 1
2 s:/C=US/O=Amazon/CN=Amazon Root CA 1
i:/C=US/ST=Arizona/L=Scottsdale/O=Starfield Technologies, Inc./CN=Starfield Services Root Certificate Authority - G2
3 s:/C=US/ST=Arizona/L=Scottsdale/O=Starfield Technologies, Inc./CN=Starfield Services Root Certificate Authority - G2
i:/C=US/O=Starfield Technologies, Inc./OU=Starfield Class 2 Certification Authority
---
```
如果正在进行 SSL 检查,则响应将显示更改的证书链,类似于以下内容:
```
$ openssl s_client -connect anon-cp.storagegateway.ap-southeast-1.amazonaws.com:443 -servername anon-cp.storagegateway.ap-southeast-1.amazonaws.com
CONNECTED(00000003)
depth=0 DC = com, DC = amazonaws, OU = AWS, CN = anon-cp.storagegateway.ap-southeast-1.amazonaws.com
verify error:num=20:unable to get local issuer certificate
verify return:1
depth=0 DC = com, DC = amazonaws, OU = AWS, CN = anon-cp.storagegateway.ap-southeast-1.amazonaws.com
verify error:num=21:unable to verify the first certificate
verify return:1
---
Certificate chain
0 s:/DC=com/DC=amazonaws/OU=AWS/CN=anon-cp.storagegateway.ap-southeast-1.amazonaws.com
i:/C=IN/O=Company/CN=Admin/ST=KA/L=New town/OU=SGW/emailAddress=admin@company.com
---
```
激活端点仅在识别 SSL 证书时才接受 SSL 握手。这意味着,网关到端点的出站流量必须免受网络中防火墙执行的检查。这些检查可能是 SSL 检查或深度数据包检查。
### 检查网关时间同步
时间偏差过大可能会导致 SSL 握手错误。对于本地网关,可以使用网关的本地 VM 控制台来检查网关的时间同步。时间偏差应不大于 60 秒。有关更多信息,请参阅 [Synchronizing Your Gateway VM Time](https://docs.aws.amazon.com/filegateway/latest/files3/MaintenanceTimeSync-hyperv.html)。
**系统时间管理**选项在托管于 Amazon EC2 实例上的网关中不可用。为确保 Amazon EC2 网关能够正确地同步时间,请确认 Amazon EC2 实例可以通过端口 UDP 和 TCP 123 连接到以下 NTP 服务器池列表:
+ time.aws.com
+ 0.amazon.pool.ntp.org
+ 1.amazon.pool.ntp.org
+ 2.amazon.pool.ntp.org
+ 3.amazon.pool.ntp.org
## 解决使用 Amazon VPC 端点激活网关时出现的错误
要解决使用 Amazon Virtual Private Cloud(Amazon VPC)端点激活网关时出现的激活错误,请执行以下检查和配置。
### 检查所需的端口
确保本地防火墙(对于本地部署的网关)或安全组(对于部署在 Amazon EC2 中的网关)中的所需端口处于打开状态。将网关连接到 Storage Gateway VPC 端点所需的端口与将网关连接到公有端点时所需的端口不同。连接到 Storage Gateway VPC 端点需要以下端口:
+ TCP 443
+ TCP 1026
+ TCP 1027
+ TCP 1028
+ TCP 1031
+ TCP 2222
有关更多信息,请参阅 [Creating a VPC endpoint for Storage Gateway](https://docs.aws.amazon.com/filegateway/latest/files3/gateway-private-link.html#create-vpc-endpoint)。
此外,请检查连接到 Storage Gateway VPC 端点的安全组。连接到端点的默认安全组可能不支持所需的端口。创建一个新的安全组,让来自网关 IP 地址范围的流量通过所需端口。然后,将该安全组连接到 VPC 端点。
**注意**
使用 [Amazon VPC 控制台](https://console.aws.amazon.com//vpc/)来验证连接到 VPC 端点的安全组。从控制台查看 Storage Gateway VPC 端点,然后选择**安全组**选项卡。
要确认所需端口处于打开状态,可以在 Storage Gateway VPC 端点上运行 telnet 命令。必须从与网关位于同一子网中的服务器上运行这些命令。可以对第一个未指定可用区的 DNS 名称运行测试。例如,以下 telnet 命令使用 DNS 名称 vpce-1234567e1c24a1fe9-62qntt8k.storagegateway.us-east-1.vpce.amazonaws.com 测试所需的端口连接:
```
telnet vpce-1234567e1c24a1fe9-62qntt8k.storagegateway.us-east-1.vpce.amazonaws.com 443
telnet vpce-1234567e1c24a1fe9-62qntt8k.storagegateway.us-east-1.vpce.amazonaws.com 1026
telnet vpce-1234567e1c24a1fe9-62qntt8k.storagegateway.us-east-1.vpce.amazonaws.com 1027
telnet vpce-1234567e1c24a1fe9-62qntt8k.storagegateway.us-east-1.vpce.amazonaws.com 1028
telnet vpce-1234567e1c24a1fe9-62qntt8k.storagegateway.us-east-1.vpce.amazonaws.com 1031
telnet vpce-1234567e1c24a1fe9-62qntt8k.storagegateway.us-east-1.vpce.amazonaws.com 2222
```
### 确保防火墙安全性不会修改从网关发送到 Storage Gateway Amazon VPC 端点的数据包
SSL 检查、深度数据包检查或其它形式的防火墙安全性可能会干扰从网关发送的数据包。如果 SSL 证书的修改结果与激活端点所预期的情况不同,则 SSL 握手失败。要确认没有正在进行的 SSL 检查,请在 Storage Gateway VPC 端点上运行 OpenSSL 命令。必须从与网关位于同一子网中的计算机上运行此命令。针对每个必需的端口运行命令:
```
$ openssl s_client -connect vpce-1234567e1c24a1fe9-62qntt8k.storagegateway.us-east-1.vpce.amazonaws.com:443 -servername vpce-1234567e1c24a1fe9-62qntt8k.storagegateway.us-east-1.vpce.amazonaws.com
$ openssl s_client -connect vpce-1234567e1c24a1fe9-62qntt8k.storagegateway.us-east-1.vpce.amazonaws.com:1026 -servername vpce-1234567e1c24a1fe9-62qntt8k.storagegateway.us-east-1.vpce.amazonaws.com
$ openssl s_client -connect vpce-1234567e1c24a1fe9-62qntt8k.storagegateway.us-east-1.vpce.amazonaws.com:1027 -servername vpce-1234567e1c24a1fe9-62qntt8k.storagegateway.us-east-1.vpce.amazonaws.com
$ openssl s_client -connect vpce-1234567e1c24a1fe9-62qntt8k.storagegateway.us-east-1.vpce.amazonaws.com:1028 -servername vpce-1234567e1c24a1fe9-62qntt8k.storagegateway.us-east-1.vpce.amazonaws.com
$ openssl s_client -connect vpce-1234567e1c24a1fe9-62qntt8k.storagegateway.us-east-1.vpce.amazonaws.com:1031 -servername vpce-1234567e1c24a1fe9-62qntt8k.storagegateway.us-east-1.vpce.amazonaws.com
$ openssl s_client -connect vpce-1234567e1c24a1fe9-62qntt8k.storagegateway.us-east-1.vpce.amazonaws.com:2222 -servername vpce-1234567e1c24a1fe9-62qntt8k.storagegateway.us-east-1.vpce.amazonaws.com
```
如果没有正在进行的 SSL 检查,则该命令将返回类似于以下内容的响应:
```
openssl s_client -connect vpce-1234567e1c24a1fe9-62qntt8k.storagegateway.us-east-1.vpce.amazonaws.com:1027 -servername vpce-1234567e1c24a1fe9-62qntt8k.storagegateway.us-east-1.vpce.amazonaws.com
CONNECTED(00000005)
depth=2 C = US, O = Amazon, CN = Amazon Root CA 1
verify return:1
depth=1 C = US, O = Amazon, OU = Server CA 1B, CN = Amazon
verify return:1
depth=0 CN = anon-cp.storagegateway.us-east-1.amazonaws.com
verify return:1
---
Certificate chain
0 s:CN = anon-cp.storagegateway.us-east-1.amazonaws.com
i:C = US, O = Amazon, OU = Server CA 1B, CN = Amazon
1 s:C = US, O = Amazon, OU = Server CA 1B, CN = Amazon
i:C = US, O = Amazon, CN = Amazon Root CA 1
2 s:C = US, O = Amazon, CN = Amazon Root CA 1
i:C = US, ST = Arizona, L = Scottsdale, O = "Starfield Technologies, Inc.", CN = Starfield Services Root Certificate Authority - G2
3 s:C = US, ST = Arizona, L = Scottsdale, O = "Starfield Technologies, Inc.", CN = Starfield Services Root Certificate Authority - G2
i:C = US, O = "Starfield Technologies, Inc.", OU = Starfield Class 2 Certification Authority
---
```
如果正在进行 SSL 检查,则响应将显示更改的证书链,类似于以下内容:
```
openssl s_client -connect vpce-1234567e1c24a1fe9-62qntt8k.storagegateway.us-east-1.vpce.amazonaws.com:1027 -servername vpce-1234567e1c24a1fe9-62qntt8k.storagegateway.us-east-1.vpce.amazonaws.com
CONNECTED(00000005)
depth=2 C = US, O = Amazon, CN = Amazon Root CA 1
verify return:1
depth=1 C = US, O = Amazon, OU = Server CA 1B, CN = Amazon
verify return:1
depth=0 DC = com, DC = amazonaws, OU = AWS, CN = anon-cp.storagegateway.us-east-1.amazonaws.com
verify error:num=21:unable to verify the first certificate
verify return:1
---
Certificate chain
0 s:/DC=com/DC=amazonaws/OU=AWS/CN=anon-cp.storagegateway.us-east-1.amazonaws.com
i:/C=IN/O=Company/CN=Admin/ST=KA/L=New town/OU=SGW/emailAddress=admin@company.com
---
```
激活端点仅在识别 SSL 证书时才接受 SSL 握手。这意味着,网关通过所需端口到 VPC 端点的出站流量免受由网络防火墙执行的检查。这些检查可能是 SSL 检查或深度数据包检查。
### 检查网关时间同步
时间偏差过大可能会导致 SSL 握手错误。对于本地网关,可以使用网关的本地 VM 控制台来检查网关的时间同步。时间偏差应不大于 60 秒。有关更多信息,请参阅 [Synchronizing Your Gateway VM Time](https://docs.aws.amazon.com/filegateway/latest/files3/MaintenanceTimeSync-hyperv.html)。
**系统时间管理**选项在托管于 Amazon EC2 实例上的网关中不可用。为确保 Amazon EC2 网关能够正确地同步时间,请确认 Amazon EC2 实例可以通过端口 UDP 和 TCP 123 连接到以下 NTP 服务器池列表:
+ 0.amazon.pool.ntp.org
+ 1.amazon.pool.ntp.org
+ 2.amazon.pool.ntp.org
+ 3.amazon.pool.ntp.org
### 检查 HTTP 代理并确认关联的安全组设置
在激活之前,请检查您是否在本地网关 VM 上将 Amazon EC2 上的 HTTP 代理配置为端口 3128 上的 Squid 代理。在此情况下,确认以下事项:
+ 连接到 Amazon EC2 上 HTTP 代理的安全组必须具有入站规则。此入站规则必须在端口 3128 上支持来自网关 VM 的 IP 地址的 Squid 代理流量。
+ 连接到 Amazon EC2 VPC 端点的安全组必须具有入站规则。这些入站规则必须在端口 1026-1028、1031、2222 和 443 上支持来自 Amazon EC2 上 HTTP 代理的 IP 地址的流量。
## 解决使用公有端点激活网关且同一 VPC 中有 Storage Gateway VPC 端点时出现的错误
要解决在同一 VPC 中有 Amazon Virtual Private Cloud(Amazon VPC)端点的情况下使用公有端点激活网关时出现的错误,请执行以下检查和配置。
### 确认 Storage Gateway VPC 端点上**启用私有 DNS 名称**设置未处于启用状态
如果**启用私有 DNS 名称**处于启用状态,则无法激活从该 VPC 到公有端点的任何网关。
**要禁用 DNS 名称选项,请执行以下操作:**
1. 打开 [Amazon VPC 控制台](https://console.aws.amazon.com//vpc/)。
1. 在导航窗格中,选择**端点**。
1. 选择 Storage Gateway VPC 端点。
1. 选择**操作**。
1. 选择**管理私有 DNS 名称**。
1. 对于**启用私有 DNS 名称**,清除**为此端点启用**。
1. 选择**修改私有 DNS 名称**来保存设置。
# 故障排除:本地网关问题
您可以在下面找到有关在使用本地网关时可能遇到的典型问题以及如何允许 支持 连接到网关以帮助进行故障排除的信息。
下表列出了您在使用场内网关时可能遇到的典型问题。
| 问题 | 要采取的操作 |
| --- | --- |
| 您找不到网关的 IP 地址。 | 请使用管理程序客户端连接主机,以便查找网关 IP 地址。 [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_cn/filegateway/latest/files3/troubleshooting-on-premises-gateway-issues.html) 如果您仍然难以找到网关 IP 地址: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_cn/filegateway/latest/files3/troubleshooting-on-premises-gateway-issues.html) |
| 您遇到了网络或防火墙问题。 | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_cn/filegateway/latest/files3/troubleshooting-on-premises-gateway-issues.html) |
| 当您单击 Storage Gateway 管理控制台中的**继续激活**按钮时,网关的激活过程会失败。 | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_cn/filegateway/latest/files3/troubleshooting-on-premises-gateway-issues.html) |
| 您需要提高网关和 AWS之间的带宽。 | 您可以将互联网连接设置为 AWS 与连接应用程序和网关 VM 的网卡 (NIC) 分开的网络适配器 (NIC),从而 AWS 改善从网关到的带宽。如果您有高带宽连接, AWS 并且想要避免带宽争用,尤其是在快照还原期间,则采用这种方法很有用。对于高吞吐量工作负载需求,您可以使用 [Direct Connect](https://aws.amazon.com/directconnect/) 在本地网关和 AWS间建立专用网络连接。要测量从您的网关到的连接带宽 AWS,请使用网关的`CloudBytesDownloaded`和`CloudBytesUploaded`指标。有关本主题的更多信息,请参阅 [性能和优化](Performance.md)。提高 Internet 连接性能有助于确保您的上传缓冲区不被填满。 |
| 往返您网关的吞吐量将为零。 | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_cn/filegateway/latest/files3/troubleshooting-on-premises-gateway-issues.html) 您可以从 Amazon CloudWatch 控制台查看进出网关的吞吐量。有关测量进出网关的吞吐量的更多信息 AWS,请参阅[性能和优化](Performance.md)。 |
| 在 Microsoft Hyper-V 中导入(部署)Storage Gateway 时遇到问题。 | 请参阅 [故障排除:Microsoft Hyper-V 设置](troubleshooting-hyperv-setup.md),其中对您在 Microsoft Hyper-V 上部署网关时遇到的部分常见问题进行了说明。 |
| 您收到一条消息,指出“已写入网关卷中的数据未安全存储在 AWS中”。 | 如果您的网关虚拟机是从另一个网关虚拟机的克隆或快照创建的,则您会收到此消息。如果不是这种情况,请联系 支持。 |
## 故障排除:安全扫描显示 NFS 端口处于开放状态
默认情况下,某些 NFS 端口处于启用状态,即使在仅用于 SMB 文件共享的网关上也是如此。如果您使用第三方安全软件(例如 Qualys)扫描部署了文件网关的网络,则扫描结果可能会将这些开放的 NFS 端口报告为潜在的安全漏洞。如果您仅将网关用于 SMB 文件共享,并且出于安全原因想要禁用未使用的 NFS 端口,请按照以下步骤操作:
**要在文件网关上禁用 NFS 端口,请执行以下操作:**
1. 使用 [在本地控制台上运行 Storage Gateway 命令](MaintenanceGatewayConsole-fgw.md) 中概述的步骤访问网关本地控制台命令提示。
1. 要禁用 NFS 流量,请输入以下命令:
**IPv4**
```
iptables -I INPUT -p udp -m udp --dport 111 -j DROP
iptables -I INPUT -p udp -m udp --dport 2049 -j DROP
iptables -I INPUT -p udp -m udp --dport 20048 -j DROP
iptables -I INPUT -p tcp -m tcp --dport 111 -j DROP
iptables -I INPUT -p tcp -m tcp --dport 2049 -j DROP
iptables -I INPUT -p tcp -m tcp --dport 20048 -j DROP
```
**IPv6**
```
ip6tables -I INPUT -p udp -m udp --dport 111 -j DROP
ip6tables -I INPUT -p udp -m udp --dport 2049 -j DROP
ip6tables -I INPUT -p udp -m udp --dport 20048 -j DROP
ip6tables -I INPUT -p tcp -m tcp --dport 111 -j DROP
ip6tables -I INPUT -p tcp -m tcp --dport 2049 -j DROP
ip6tables -I INPUT -p tcp -m tcp --dport 20048 -j DROP
```
1. 输入以下命令以确认 IP 表中显示了已阻止的 NFS 端口:
**IPv4**
```
iptables -n -L -v --line-numbers
```
**IPv6**
```
ip6tables -n -L -v --line-numbers
```
## 开启 支持 访问权限以帮助对本地托管的网关进行故障排除
Storage Gateway 提供了一个本地控制台,您可以使用它 支持 来执行多项维护任务,包括允许访问网关以帮助您解决网关问题。默认情况下,对您的网关的 支持 访问处于关闭状态。您可通过主机的本地控制台启用此访问权限。要 支持 访问您的网关,请先登录主机的本地控制台,导航到 Storage Gateway 的控制台,然后连接到支持服务器。
**开启对网关的 支持 访问权限**
1. 登录到主机的本地控制台。
+ VMware ESXi — 有关更多信息,请参阅[使用访问网关本地控制台 VMware ESXi](accessing-local-console.md#MaintenanceConsoleWindowVMware-common)。
+ Microsoft Hyper-V - 有关更多信息,请参阅[使用 Microsoft Hyper-V 访问网关本地控制台](accessing-local-console.md#MaintenanceConsoleWindowHyperV-common)。
1. 在提示符处输入相应的数字来选择**网关控制台**。
1. 输入 **h** 打开可用命令的列表。
1.
请执行以下操作之一:
+ 如果网关使用的是公有端点,请在**可用命令**窗口中,输入 **open-support-channel** 来连接到 Storage Gateway 的客户支持。允许 TCP 端口 22,以便您可以打开 AWS的支持通道。在连接到客户支持时,Storage Gateway 将为您分配支持编号。请记下您的支持编号。
+ 如果网关使用的是 VPC 端点,请在 **AVAILABLE COMMANDS** 窗口中,输入 **open-support-channel**。如果未激活网关,请提供要连接到 Storage Gateway 客户支持的 VPC 端点或 IP 地址。允许 TCP 端口 22,以便您可以打开 AWS的支持通道。在连接到客户支持时,Storage Gateway 将为您分配支持编号。请记下您的支持编号。
**注意**
信道号不是(传输控制Protocol/User Datagram Protocol (TCP/UDP)端口号。相反,网关会与 Storage Gateway 服务器建立 Secure Shell (SSH) (TCP 22) 连接,并提供用于连接的支持通道。
1. 建立支持渠道后,请向提供您的支持服务号码, 支持 支持 以便提供故障排除帮助。
1. 在支持会话完成后,输入 **q** 以将其结束。在 Amazon Web Services Support 通知您支持会话完成之前,请勿关闭该会话。
1. 输入 **exit** 来注销 Storage Gateway 控制台。
1. 按照提示操作退出本地控制台。
# 故障排除:Microsoft Hyper-V 设置
下表列出了您在 Microsoft Hyper-V 平台上部署 Storage Gateway 时可能遇到的典型问题。
| 问题 | 要采取的操作 |
| --- | --- |
| 您尝试导入网关并收到以下错误消息: “尝试导入虚拟机时发生服务器错误。导入失败。在位置 […] 下找不到虚拟机导入文件。仅当使用 Hyper-V 创建和导出虚拟机时,才能导入虚拟机。” | 出现此错误的原因如下: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_cn/filegateway/latest/files3/troubleshooting-hyperv-setup.html) |
| 您尝试导入网关并收到以下错误消息: “尝试导入虚拟机时发生服务器错误。导入失败。导入任务无法从 [...] 复制文件:文件存在。(0x80070050)” | 如果您已经部署网关且试图重新使用存储了虚拟硬盘文件和虚拟机配置文件的默认文件夹,那么会出现此错误。要修复此问题,请在 **Hyper-V 设置**对话框左侧面板的**服务器**下方指定新位置。 |
| 您尝试导入网关并收到以下错误消息: “尝试导入虚拟机时发生服务器错误。导入失败。Import failed because the virtual machine must have a new identifier。Select a new identifier and try the import again.” | 导入网关时,请确保在**导入虚拟机**对话框中选择**复制虚拟机**选项并选中**复制所有文件**框,来为 VM 创建新的唯一 ID。 |
| 您尝试启动网关 VM 并收到以下错误消息: “尝试启动选定的虚拟机时出错。子分区处理器设置与父分区不兼容。‘AWS-Storage-Gateway’无法初始化。(虚拟机 ID [...])” | 此错误可能是由于网关所需的 CPU 与主机 CPUs 上可用 CPUs 的 CPU 差异造成的。确保 VM 的 CPU 个数获得了底层管理程序的支持。 有关 Storage Gateway 要求的更多信息,请参阅[文件网关设置要求](Requirements.md)。 |
| 您尝试启动网关 VM 并收到以下错误消息: “尝试启动选定的虚拟机时出错。‘AWS-Storage-Gateway’无法初始化。(虚拟机 ID [...])无法创建分区:系统资源不足,无法完成所请求的服务。(0x800705AA)” | 此错误很可能是该网关所需的 RAM 和主机上可用的 RAM 之间的差异导致的。 有关 Storage Gateway 要求的更多信息,请参阅[文件网关设置要求](Requirements.md)。 |
| 您的快照和网关软件更新的出现时间会与预计的稍有不同。 | 网关 VM 的时钟可能会偏离实际的时间,这称为时钟漂移。使用本地网关控制台的时间同步选项,校验和纠正 VM 的时间。有关更多信息,请参阅 [配置网关的网络时间协议(NTP)服务器](MaintenanceTimeSync-fgw.md)。 |
| 您需要将解压缩的 Microsoft Hyper-V Storage Gateway 文件放入主机文件系统中。 | 按照访问典型 Microsoft Windows 服务器的方式访问主机。例如,如果虚拟机监控程序主机名为 `hyperv-server`,则可使用以下 UNC 路径 `\\hyperv-server\c$`,其中假定可解析名称 `hyperv-server`,或在本地 hosts 文件中定义了该名称。 |
| 在连接管理程序时,系统会提示您输入证书。 | 以本地管理员的身份使用 Sconfig.cmd 工具给管理程序主机添加用户证书。 |
| 如果对使用 Broadcom 网络适配器的 Hyper-V 主机开启虚拟机队列(VMQ),则可能会注意到网络性能不佳。 | 有关解决方法的信息,请参阅 Microsoft 文档:[Poor network performance on virtual machines on a Windows Server 2012 Hyper-V host if VMQ is turned on](https://learn.microsoft.com/en-us/troubleshoot/windows-server/networking/poor-network-performance-hyper-v-host-vm)。 |
# 故障排除:Amazon EC2 网关问题
在以下部分中,您可以找到在使用部署到 Amazon EC2 的网关时可能遇到的典型问题。若要详细了解本地网关和 Amazon EC2 中部署的网关之间的区别,请参阅 [为 S3 文件网关部署默认 Amazon EC2 主机为 S3 文件网关部署自定义的 Amazon EC2 主机](ec2-gateway-file.md)。
有关使用短暂存储的更多信息,请参阅[将临时存储与 EC2 网关结合使用](ephemeral-disk-cache.md)。
**Topics**
+ [过了一会儿您的网关并未激活](#activation-issues)
+ [您在实例列表中找不到 EC2 网关实例](#find-instance)
+ [您需要使用 Amazon EC2 Serial Console 连接到您的网关实例](#ec2-serial-console)
+ [你 支持 想帮忙排查你的 Amazon EC2 网关的问题](#EC2-EnableAWSSupportAccess)
## 过了一会儿您的网关并未激活
在 Amazon EC2 控制台中检查以下项:
+ 已在与实例关联的安全组中启用端口 80。有关添加安全组规则的更多信息,请参阅《Amazon EC2 用户指南》**中的[添加安全组规则](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/ec2-security-groups.html#adding-security-group-rule)。
+ 网关实例会标记为“running”。在 Amazon EC2 控制台中,实例的**状态**应该是“正在运行”。
+ 确保您的 Amazon EC2 实例类型满足最低要求,如[存储需求](Requirements.md#requirements-storage)中所述。
纠正该问题后,请尝试重新激活网关。为此,请打开 Storage Gateway 控制台,选择**在 Amazon EC2 上部署新网关**,然后重新输入实例的 IP 地址。
## 您在实例列表中找不到 EC2 网关实例
如果您没有为您的实例赋予资源标签,并且有很多实例在运行,则很难分辨哪个实例是您启动的。在这种情况下,可执行以下操作来查找网关实例:
+ 检查实例**说明**选项卡上的 Amazon 系统映像 (AMI) 名称。基于 Storage Gateway AMI 的实例应以 **aws-storage-gateway-ami** 文本开头。
+ 如果您有几个实例基于 Storage Gateway AMI,请查看实例启动时间来找到正确的实例。
## 您需要使用 Amazon EC2 Serial Console 连接到您的网关实例
您可以使用 Amazon EC2 Serial Console 来排查引导、网络配置和其他问题。有关说明和故障排除提示,请参阅《Amazon Elastic Compute Cloud 用户指南》**中的 [Amazon EC2 Serial Console](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/ec2-serial-console.html)。
## 你 支持 想帮忙排查你的 Amazon EC2 网关的问题
Storage Gateway 提供了一个本地控制台,您可以使用它 支持 来执行多项维护任务,包括允许访问网关以帮助您解决网关问题。默认情况下,对您的网关的 支持 访问处于关闭状态。通过 Amazon EC2 本地控制台启用此访问。通过 Secure Shell (SSH) 登录到 Amazon EC2 本地控制台。要通过 SSH 成功登录,您的实例的安全组必须具有开放 TCP 端口 22 的规则。
**注意**
如果将新规则添加到现有安全组,则新规则适用于使用该安全组的所有实例。有关安全组以及如何添加安全组规则的更多信息,请参阅**《Amazon EC2 用户指南》中的 [Amazon EC2 安全组](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/using-network-security.html)。
要 支持 连接您的网关,您需要先登录 Amazon EC2 实例的本地控制台,导航到存储网关的控制台,然后提供访问权限。
**为部署在 Amazon EC2 实例上的网关开启 支持 访问权限**
1. 登录到 Amazon EC2 实例的本地控制台。有关说明,请转到**《Amazon EC2 用户指南》中的[连接到您的实例](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/AccessingInstances.html)。
您可使用以下命令登录到 EC2 实例的本地控制台。
```
ssh –i PRIVATE-KEY admin@INSTANCE-PUBLIC-DNS-NAME
```
**注意**
*PRIVATE-KEY*是包含您用于启动 Amazon EC2 实例的 EC2 密钥对的私有证书的`.pem`文件。有关更多信息,请参阅**《Amazon EC2 用户指南》中的[检索密钥对的公有密钥](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/ec2-key-pairs.html#retriving-the-public-key)。
*INSTANCE-PUBLIC-DNS-NAME*是运行网关的 Amazon EC2 实例的公有域名系统 (DNS) 名称。可通过在 EC2 控制台中选择 Amazon EC2 实例并单击**说明**选项卡来获取此公有 DNS 名称。
1. 在提示符处,输入 **6 - Command Prompt** 来打开 支持 通道控制台。
1. 输入 **h** 以打开 **AVAILABLE COMMANDS** 窗口。
1. 请执行以下操作之一:
+ 如果网关使用的是公有端点,请在**可用命令**窗口中,输入 **open-support-channel** 来连接到 Storage Gateway 的客户支持。允许 TCP 端口 22,以便您可以打开 AWS的支持通道。在连接到客户支持时,Storage Gateway 将为您分配支持编号。请记下您的支持编号。
+ 如果网关使用的是 VPC 端点,请在 **AVAILABLE COMMANDS** 窗口中,输入 **open-support-channel**。如果未激活网关,请提供要连接到 Storage Gateway 客户支持的 VPC 端点或 IP 地址。允许 TCP 端口 22,以便您可以打开 AWS的支持通道。在连接到客户支持时,Storage Gateway 将为您分配支持编号。请记下您的支持编号。
**注意**
信道号不是(传输控制Protocol/User Datagram Protocol (TCP/UDP)端口号。相反,网关会与 Storage Gateway 服务器建立 Secure Shell (SSH) (TCP 22) 连接,并提供用于连接的支持通道。
1. 建立支持渠道后,请向提供您的支持服务号码, 支持 支持 以便提供故障排除帮助。
1. 在支持会话完成后,输入 **q** 以将其结束。在 Amazon Web Services Support 通知您支持会话完成之前,请勿关闭该会话。
1. 输入 **exit** 来退出 Storage Gateway 控制台。
1. 通过控制台菜单操作来注销 Storage Gateway 实例。
# 故障排除:硬件设备问题
**注意**
终止上市通知:自 2025 年 5 月 12 日起,将不再提供 AWS Storage Gateway 硬件设备。使用 AWS Storage Gateway 硬件设备的现有客户可以继续使用并获得支持,直到 2028 年 5 月。作为替代方案,您可以使用该 AWS Storage Gateway 服务为本地和云端应用程序提供对几乎无限的云存储的访问权限。
以下主题讨论了您在使用 AWS Storage Gateway 硬件设备时可能遇到的问题,以及解决这些问题的建议。
**Topics**
+ [您无法确定服务 IP 地址](#service_ip_address)
+ [如何执行出厂重置?](#factory_reset)
+ [如何执行远程重启?](#remote-restart)
+ [您在何处获得 Dell iDRAC 支持?](#iDRAC_support)
+ [您找不到硬件设备序列号](#appliance_serial_number)
+ [在何处获得硬件设备支持](#appliance_support)
## 您无法确定服务 IP 地址
当尝试连接到您的服务时,请确保您使用的是该服务的 IP 地址,而不是主机的 IP 地址。在服务控制台中配置服务 IP 地址,并在硬件控制台中配置主机 IP 地址。您将在启动硬件设备时看到硬件控制台。要从硬件控制台转到服务控制台,请选择 **Open Service Console (打开服务控制台)**。
## 如何执行出厂重置?
如果您需要对设备执行出厂重置,请按以下支持部分所述联系 AWS Storage Gateway硬件设备团队寻求支持。
## 如何执行远程重启?
如果您需要远程重启设备,可以使用 Dell iDRAC 管理界面执行此操作。有关更多信息,请参阅 Dell Technologies InfoHub 网站上的 [i DRAC9 虚拟电源循环:远程重启 Dell EMC PowerEdge 服务器](https://infohub.delltechnologies.com/en-us/p/idrac9-virtual-power-cycle-remotely-power-cycle-dell-emc-poweredge-servers/)。
## 您在何处获得 Dell iDRAC 支持?
戴尔 PowerEdge 服务器配有戴尔iDRAC管理接口。我们建议执行下列操作:
+ 如果您使用 iDRAC 管理界面,则应更改默认密码。有关iDRAC凭证的更多信息,[请参阅 PowerEdge 戴尔——iDRAC的默认登录凭据是什么?](https://www.dell.com/support/article/en-us/sln306783/dell-poweredge-what-is-the-default-username-and-password-for-idrac?lang=en) 。
+ 确保固件是 up-to-date为了防止安全漏洞。
+ 将 iDRAC 网络接口移动到正常的 (`em`) 端口可能会导致性能问题或阻止设备正常运行。
## 您找不到硬件设备序列号
你可以使用 Storage Gateway 控制台找到 AWS Storage Gateway 硬件设备的序列号。
**查找硬件设备序列号:**
1. 在[https://console.aws.amazon.com/storagegateway/家](https://console.aws.amazon.com/storagegateway/)中打开 Storage Gateway 控制台。
1. 从页面左侧的导航菜单中选择**硬件**。
1. 从列表中选择硬件设备。
1. 在设备的**详细信息**选项卡上找到**序列号**字段。
## 在何处获得硬件设备支持
AWS 要联系您的硬件设备的技术支持,请参阅[支持](https://aws.amazon.com/contact-us)。
该 支持 团队可能会要求您激活支持渠道,以远程解决您的网关问题。您无需打开此端口即可实现网关的正常操作,但在进行问题排查时需要打开。您可以从硬件控制台激活支持通道,如下面的过程所示。
**要打开支持频道 AWS**
1. 打开硬件控制台。
1. 选择硬件控制台主页底部的**打开支持渠道**,然后按 `Enter`。
如果没有网络连接或防火墙问题,分配的端口号应该在 30 秒内出现。例如:
**状态:在端口 19599 上打开**
1. 记下端口号并将其提供给 支持。
# 故障排除:文件网关问题
您可以将文件网关配置为将日志条目写入 Amazon CloudWatch 日志组。配置好之后,您会收到有关网关的运行状况以及有关网关遇到的任何错误的通知。您可以在 CloudWatch 日志中找到有关这些错误和运行状况通知的信息。
在以下部分中,您可以找到相关信息来帮助您理解每个错误的原因、运行状况通知以及如何解决问题。
**Topics**
+ [错误:1344 (0x00000540)](#troubleshoot-copying-files-to-s3)
+ [错误: GatewayClockOutOfSync](#troubleshoot-logging-errors-gatewayclockoutofsync)
+ [错误: InaccessibleStorageClass](#troubleshoot-logging-errors-inaccessiblestorageclass)
+ [错误: InvalidObjectState](#troubleshoot-logging-errors-invalidobjectstate)
+ [错误: ObjectMissing](#troubleshoot-logging-errors-objectmissing)
+ [错误: RoleTrustRelationshipInvalid](#misconfig-trust)
+ [错误:S3 AccessDenied](#troubleshoot-logging-errors-s3accessdenied)
+ [错误: DroppedNotifications](#troubleshoot-logging-errors-droppednotifications)
+ [通知: HardReboot](#troubleshoot-hardreboot-notification)
+ [通知:重启](#troubleshoot-reboot-notification)
+ [故障排除:安全扫描显示 NFS 端口处于开放状态](#troubleshoot-open-nfs-ports)
+ [疑难解答:使用 CloudWatch 指标](#troubleshooting-with-cw-metrics)
## 错误:1344 (0x00000540)
在将文件迁移到 Amazon S3 时,`ERROR 1344 (0x00000540)`如果您正在尝试将包含超过 10 个访问控制条目 (ACEs) 的文件复制到 Amazon S3 中,则可能会遇到问题。访问控制列表(ACL)中列出了访问控制条目。
Amazon S3 文件网关只能为每个给定文件或文件夹保留 10 个 ACE 条目。
**要解决错误 1344:将 NTFS 安全设置复制到目标目录。**
减少文件或文件夹的 Windows 权限条目数量,特别是当其权限列表包含超过 10 个条目时。一种常见的方法是创建一个包含完整条目列表的组,然后用这个组替换条目列表。当条目数小于 10 时,可以重试将文件或文件夹复制到网关。
## 错误: GatewayClockOutOfSync
当网关检测到本地系统时间与 AWS Storage Gateway 服务器报告的时间之间有 5 分钟或更长时间的差异时,您可能会收到`GatewayClockOutOfSync`错误消息。时钟同步问题可能会对网关和之间的连接产生负面影响 AWS。如果网关时钟不同步,NFS 和 SMB 连接可能会出现 I/O 错误,并且 SMB 用户可能会遇到身份验证错误。
**要解决 GatewayClockOutOfSync 错误**
+ 检查网关和 NTP 服务器之间的网络配置。有关同步网关 VM 时间和更新 NTP 服务器配置的更多信息,请参阅[为网关配置网络时间协议(NTP)服务器](https://docs.aws.amazon.com/filegateway/latest/files3/manage-on-premises-fgw.html#MaintenanceTimeSync-fgw)。
## 错误: InaccessibleStorageClass
当对象从 Amazon S3 Standard 存储类别中移出时,会出现 `InaccessibleStorageClass` 错误。
当文件网关尝试将对象上传到 Amazon S3 存储桶或从其中读取对象时,通常会遇到此错误。通常,此错误表示对象已移至 Amazon Glacier,并且位于 S3 Glacier Flexible Retrieval 或 S3 Glacier Deep Archive 存储类别中。
S3 文件网关会生成缓存报告,其中列出了网关缓存中由于此错误而目前无法上传到 Amazon S3 的所有文件。此报告中的信息可以帮助您解决网关、A 支持 mazon S3 或 IAM 配置方面的问题。有关更多信息,请参阅[创建缓存报告](https://docs.aws.amazon.com/filegateway/latest/files3/create-cache-report.html)。
**要解决 InaccessibleStorageClass 错误**
+ 将对象从 S3 Glacier Flexible Retrieval 或 S3 Glacier Deep Archive 存储类别恢复为 S3 中的原始存储类别。
如果将对象恢复到 S3 存储桶来纠正上传错误,则最终将上传文件。如果通过恢复对象纠正读取错误,则文件网关的 SMB 或 NFS 客户端随后可以读取该文件。
## 错误: InvalidObjectState
当指定文件网关以外的写入器修改指定的 Amazon S3 存储桶中的指定文件时,会出现 `InvalidObjectState` 错误。因此,文件网关的文件状态与其在 Amazon S3 中的状态不匹配。任何后续的文件上传到 Amazon S3 或从 Amazon S3 检索文件都会失败。
S3 文件网关会生成缓存报告,其中列出了网关缓存中由于此错误而目前无法上传到 Amazon S3 的所有文件。此报告中的信息可以帮助您解决网关、A 支持 mazon S3 或 IAM 配置方面的问题。有关更多信息,请参阅[创建缓存报告](https://docs.aws.amazon.com/filegateway/latest/files3/create-cache-report.html)。
**要解决 InvalidObjectState 错误**
如果修改文件的操作为 `S3Upload` 或 `S3GetObject`,请执行以下操作:
1. 将文件的最新副本保存到 SMB 或 NFS 客户端的本地文件系统中(需要在步骤 4 中复制此文件)。如果该文件在 Amazon S3 中的版本是最新的,请下载该版本。你可以使用 AWS 管理控制台 或来做到这一点 AWS CLI。
1. 使用 AWS 管理控制台 或删除 Amazon S3 中的文件 AWS CLI。
1. 使用 SMB 或 NFS 客户端从文件网关中删除文件。
1. 使用 SMB 或 NFS 客户端将步骤 1 中保存的文件的最新版本复制到 Amazon S3。通过文件网关执行此操作。
## 错误: ObjectMissing
当指定文件网关以外的写入器从 S3 存储桶中删除指定文件时,会出现 `ObjectMissing` 错误。任何后续的上传到 Amazon S3 或从 Amazon S3 检索对象都会失败。
S3 文件网关会生成缓存报告,其中列出了网关缓存中由于此错误而目前无法上传到 Amazon S3 的所有文件。此报告中的信息可以帮助您解决网关、A 支持 mazon S3 或 IAM 配置方面的问题。有关更多信息,请参阅[创建缓存报告](https://docs.aws.amazon.com/filegateway/latest/files3/create-cache-report.html)。
**要解决 ObjectMissing 错误**
如果修改文件的操作为 `S3Upload` 或 `S3GetObject`,请执行以下操作:
1. 将文件的最新副本保存到 SMB 或 NFS 客户端的本地文件系统中(需要在步骤 3 中复制此文件)。
1. 使用 SMB 或 NFS 客户端从文件网关中删除文件。
1. 使用 SMB 或 NFS 客户端复制步骤 1 中保存的文件的最新版本。通过文件网关执行此操作。
## 错误: RoleTrustRelationshipInvalid
当文件共享的 IAM 角色具有配置错误的 IAM 信任关系(即,IAM 角色不信任名为 `storagegateway.amazonaws.com` 的 Storage Gateway 主体)时,会出现此错误。因此,文件网关将无法获得凭证来对支持文件共享的 S3 存储桶运行任何操作。
**要解决 RoleTrustRelationshipInvalid错误**
+ 使用 IAM 控制台或 IAM API 将`storagegateway.amazonaws.com`文件共享信任的委托人列为委托人 IAMrole。有关 IAM 角色的信息,请参阅[教程:使用 IAM 角色跨 AWS 账户委派访问权限](https://docs.aws.amazon.com/IAM/latest/UserGuide/tutorial_cross-account-with-roles.html)。
## 错误:S3 AccessDenied
文件共享的 Amazon S3 存储桶访问 AWS Identity and Access Management (IAM) 角色可能会`S3AccessDenied`出现错误。在此情况下,错误中的 `roleArn` 所指定的 S3 存储桶访问 IAM 角色不允许相关操作。受 Amazon S3 前缀指定的目录中的对象的权限所限,不允许执行操作。
S3 文件网关会生成缓存报告,其中列出了网关缓存中由于此错误而目前无法上传到 Amazon S3 的所有文件。此报告中的信息可以帮助您解决网关、A 支持 mazon S3 或 IAM 配置方面的问题。有关更多信息,请参阅[创建缓存报告](https://docs.aws.amazon.com/filegateway/latest/files3/create-cache-report.html)。
**解决 S3 AccessDenied 错误**
+ 修改附加到文件网关运行状况日志中的 `roleArn` 的 Amazon S3 访问策略,以允许执行 Amazon S3 操作所需的权限。请确保访问策略允许针对导致错误的操作的权限。此外,允许针对 `prefix` 的日志中指定的目录的权限。有关 Amazon S3 权限的信息,请参阅《Amazon Simple Storage Service 用户指南》**中的[在策略中指定权限](https://docs.aws.amazon.com/AmazonS3/latest/dev/using-with-s3-actions.html)。
这些操作可能会导致出现 `S3AccessDenied` 错误。
+ `S3HeadObject`
+ `S3GetObject`
+ `S3ListObjects`
+ `S3DeleteObject`
+ `S3PutObject`
## 错误: DroppedNotifications
如果网关根磁盘上的可用存储空间小于 1 GB,或者在 1 分钟间隔内生成的运行状况通知超过 100 个,则可能会看到`DroppedNotifications`错误而不是其他预期类型的 CloudWatch 日志条目。在这种情况下,作为预防措施,网关会停止生成详细的 CloudWatch 日志通知。
**要解决 DroppedNotifications 错误**
1. 在 Storage Gateway 控制台的**监控**选项卡上查看您的网关的 `Root Disk Usage` 指标,以便确定可用的根磁盘空间是否不足。
1. 如果可用空间小于 1 GB,请增加网关根存储磁盘的大小。有关说明,请参阅您的虚拟机监控程序的文档。
要增加 Amazon EC2 网关的根磁盘大小,请参阅《Amazon Elastic Compute Cloud 用户指南》**中的[请求对您的 EBS 卷进行修改](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/requesting-ebs-volume-modifications.html)。
**注意**
无法增加 AWS Storage Gateway 硬件设备的根磁盘大小。
1. 重新启动您的网关。
## 通知: HardReboot
当网关 VM 意外重启时,您会收到 `HardReboot` 通知。此类重启可能是因断电、硬件故障或其他事件导致的。对于 VMware 网关,vSphere 高可用性应用程序监控的重置可能会导致此事件。
当您的网关在这样的环境中运行时,请检查`HealthCheckFailure`通知是否存在,并查阅虚拟机 VMware 的事件日志。
## 通知:重启
在重新启动网关 VM 时,您会收到重启通知。您可以使用 VM 管理程序管理控制台或 Storage Gateway 控制台重新启动网关 VM。您也可以在网关维护周期内使用网关软件来重新启动。
如果重启时间在网关的已配置[维护开始时间](MaintenanceManagingUpdate-common.md)的 10 分钟内,则此重启可能是正常的,并不指示任何问题。如果重启发生在维护时段之外,请检查是否已手动重新启动网关。
## 故障排除:安全扫描显示 NFS 端口处于开放状态
默认情况下,某些 NFS 端口处于启用状态,即使在仅用于 SMB 文件共享的网关上也是如此。如果您使用第三方安全软件(例如 Qualys)扫描部署了文件网关的网络,则扫描结果可能会将这些开放的 NFS 端口报告为潜在的安全漏洞。如果您仅将网关用于 SMB 文件共享,并且出于安全原因想要禁用未使用的 NFS 端口,请按照以下步骤操作:
**要在文件网关上禁用 NFS 端口,请执行以下操作:**
1. 使用 [在本地控制台上运行 Storage Gateway 命令](MaintenanceGatewayConsole-fgw.md) 中概述的步骤访问网关本地控制台命令提示。
1. 要禁用 NFS 流量,请输入以下命令:
**IPv4**
```
iptables -I INPUT -p udp -m udp --dport 111 -j DROP
iptables -I INPUT -p udp -m udp --dport 2049 -j DROP
iptables -I INPUT -p udp -m udp --dport 20048 -j DROP
iptables -I INPUT -p tcp -m tcp --dport 111 -j DROP
iptables -I INPUT -p tcp -m tcp --dport 2049 -j DROP
iptables -I INPUT -p tcp -m tcp --dport 20048 -j DROP
```
**IPv6**
```
ip6tables -I INPUT -p udp -m udp --dport 111 -j DROP
ip6tables -I INPUT -p udp -m udp --dport 2049 -j DROP
ip6tables -I INPUT -p udp -m udp --dport 20048 -j DROP
ip6tables -I INPUT -p tcp -m tcp --dport 111 -j DROP
ip6tables -I INPUT -p tcp -m tcp --dport 2049 -j DROP
ip6tables -I INPUT -p tcp -m tcp --dport 20048 -j DROP
```
1. 输入以下命令以确认 IP 表中显示了已阻止的 NFS 端口:
**IPv4**
```
iptables -n -L -v --line-numbers
```
**IPv6**
```
ip6tables -n -L -v --line-numbers
```
## 疑难解答:使用 CloudWatch 指标
您可以在下面找到有关使用亚马逊 CloudWatch指标和 Storage Gateway 来解决问题的操作的信息。
**Topics**
+ [浏览目录时,您的网关反应缓慢](#slow-gateway)
+ [您的网关未响应](#gateway-not-responding)
+ [您的网关向 Amazon S3 传输数据的速度较慢](#slow-data-transfer-to-S3)
+ [您的网关执行的 Amazon S3 操作比预期的要多](#gateway-performing-more-s3-operations)
+ [在 Amazon S3 存储桶中看不到文件](#files-missing-s3-bucket)
+ [您的网关备份作业失败,或在对网关进行写入时出现错误](#backup-job-fails)
### 浏览目录时,您的网关反应缓慢
如果您的 File Gateway 在运行**ls**命令或浏览目录时反应缓慢,请检查`IndexFetch`和`IndexEviction` CloudWatch 指标:
+ 如果您在运行`ls`命令或浏览目录时该`IndexFetch`指标大于 0,则您的文件网关启动时没有有关受影响目录内容的信息,因此必须访问的 Amazon S3。后续列出该目录内容的工作应更快地进行。
+ 如果 `IndexEviction` 指标大于 0,则表示文件网关已达到当时可在其缓存中管理的内容的最大值。在此情况下,文件网关必须从最近访问最少的目录中释放一些存储空间以便列出新目录。如果这种情况经常发生并且会影响性能,请与联系 支持。
根据您的用 支持 例讨论相关 S3 存储桶的内容和提高性能的建议。
### 您的网关未响应
如果您的文件网关未响应,请执行以下操作:
+ 如果存在最近重启或软件更新,请检查 `IOWaitPercent` 指标。此指标显示磁盘 I/O 请求未完成时 CPU 处于空闲状态的时间百分比。在某些情况下,此值可能会很高(10 或更高),并且可能会在服务器重启或更新后增大。在这些情况下,文件网关在将索引缓存重新构建到 RAM 时,可能会因根磁盘速度过慢而出现性能瓶颈。您可以通过为根磁盘使用更快的物理磁盘来解决此问题。
+ 如果 `MemUsedBytes` 指标与 `MemTotalBytes` 指标相同或几乎相同,则文件网关将耗尽可用 RAM。确保您的文件网关至少具有所需的最小 RAM。如果您的文件网关已达到此要求,则可考虑根据工作负载和使用案例向网关添加更多 RAM。
如果文件共享是 SMB,则问题可能也是因连接到文件共享的 SMB 客户端的数量导致的。要查看在任何给定时间连接的客户端数量,请检查 `SMBV(1/2/3)Sessions` 指标。如果连接了多个客户端,您可能需要向文件网关添加更多 RAM。
### 您的网关向 Amazon S3 传输数据的速度较慢
如果您的文件网关向 Amazon S3 传输数据的速度较慢,请执行以下操作:
+ 如果 `CachePercentDirty` 指标为 80 或更大,则文件网关将数据写入磁盘的速度快于将数据上传到 Amazon S3 的速度。考虑增加从文件网关上传的带宽、添加一个或多个缓存磁盘或减慢客户端写入速度。
+ 如果 `CachePercentDirty` 指标较低,请检查 `IoWaitPercent` 指标。如果 `IoWaitPercent` 大于 10,您的文件网关可能会受到本地缓存磁盘速度的限制。我们建议使用本地固态硬盘 (SSD) 磁盘作为缓存,最好是 NVM Express (NVMe)。如果此类磁盘不可用,请尝试使用来自单独物理磁盘的多个缓存磁盘来提高性能。
+ 如果 `S3PutObjectRequestTime`、`S3UploadPartRequestTime` 或 `S3GetObjectRequestTime` 很高,则可能存在网络瓶颈。尝试分析您的网络以确认网关具有预期的带宽。
### 您的网关执行的 Amazon S3 操作比预期的要多
如果您的文件网关执行的 Amazon S3 操作比预期的要多,请检查 `FilesRenamed` 指标。在 Amazon S3 中运行重命名操作的成本很高。优化您的工作流,尽量减少重命名操作的次数。
### 在 Amazon S3 存储桶中看不到文件
如果您发现网关上的文件未出现在 Amazon S3 存储桶中,请检查 `FilesFailingUpload` 指标。如果该指标报告某些文件上传失败,请查看运行状况通知。文件上传失败时,网关会生成运行状况通知,其中包含有关该问题的更多详细信息。
### 您的网关备份作业失败,或在对网关进行写入时出现错误
如果文件网关备份作业失败,或在对文件网关进行写入时出现错误,请执行以下操作:
+ 如果 `CachePercentDirty` 指标为 90% 或更高,则因为缓存磁盘上的可用空间不足,文件网关无法接受对磁盘的新写入操作。要查看您的文件网关上传到 Amazon S3 for 速度有多快,请查看该`CloudBytesUploaded`指标。将该指标与 `WriteBytes` 指标进行比较,这将显示客户端将文件写入文件网关的速度。如果 SMB 客户端写入您的文件网关的速度超过了上传到 Amazon S3 FSx for 的速度,请添加更多的缓存磁盘以至少满足备份任务的大小。或者,增加上传带宽。
+ 如果大文件复制(例如,备份作业)失败,但 `CachePercentDirty` 指标低于 80%,则您的文件网关可能会达到客户端会话超时。对于 SMB,您可以使用 PowerShell 命令`Set-SmbClientConfiguration -SessionTimeout 300`延长此超时时间。运行此命令会将超时设置为 300 秒。
对于 NFS,请确保使用硬装载而非软装载来装载客户端。
# 故障排除:文件共享问题
您可以在下面找到有关您遇到文件共享意外问题时要采取的措施的信息。
**Topics**
+ [文件共享停留在 “创建”、“更新” 或 “删除” 状态](#troubleshooting-file-share-stuck-states)
+ [无法创建文件共享](#create-file-troubleshoot)
+ [SMB 文件共享不允许使用多个不同的访问方法](#smb-fileshare-troubleshoot)
+ [多个文件共享无法写入到映射的 S3 存储桶](#multiwrite)
+ [使用审核日志时的已删除日志组通知](#multiwrite)
+ [无法将文件上传到您的 S3 存储桶](#access-s3bucket)
+ [无法更改默认加密以使用 SSE-KMS 来加密存储在我的 S3 存储桶中的对象](#encryption-issues)
+ [在开启对象版本控制的情况下直接在 S3 存储桶中进行更改可能会影响在文件共享中看到的内容](#s3-object-versioning-file-share-issue)
+ [在开启版本控制的情况下写入 S3 存储桶时,Amazon S3 文件网关可能会创建多个版本的 Amazon S3 对象](#s3-object-versioning-file-gateway-issue)
+ [对 S3 存储桶的更改未反映在 Storage Gateway 中](#s3-changes-issue)
+ [ACL 权限未按预期运行](#smb-acl-issues)
+ [执行递归操作后,网关性能下降](#recursive-operation-issues)
## 文件共享停留在 “创建”、“更新” 或 “删除” 状态
文件共享状态汇总了文件共享的运行状况。如果您的 S3 File Gateway 文件共享处于`CREATING``UPDATING`、或`DELETING`状态,请使用以下故障排除步骤来识别并解决问题。
### 确认 IAM 角色权限和信任关系
与您的文件共享关联的 AWS Identity and Access Management (IAM) 角色必须拥有足够的权限才能访问 Amazon S3 存储桶。此外,角色的信任策略必须向 Storage Gateway 服务授予代入该角色的权限。
**要验证 IAM 角色权限,请执行以下操作:**
1. 使用 [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/) 打开 IAM 控制台。
1. 在导航窗格中,选择**角色**。
1. 选择与您的文件共享关联的 IAM 角色。
1. 选择**信任关系**选项卡。
1. 确认 Storage Gateway 已列为可信实体。如果 Storage Gateway 不是可信实体,请选择**编辑信任关系**,然后添加以下策略:
```
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "",
"Effect": "Allow",
"Principal": {
"Service": "storagegateway.amazonaws.com"
},
"Action": "sts:AssumeRole"
}
]
}
```
1. 验证 IAM 角色是否具有正确的权限,并且 Amazon S3 存储桶是否已在 IAM 策略中列为资源。有关更多信息,请参阅 [授予对 Amazon S3 存储桶的访问权限](grant-access-s3.md)。
**注意**
为避免跨服务混淆副手预防问题,请使用包含条件上下文密钥的信任关系策略。有关更多信息,请参阅 [防止跨服务混淆代理](cross-service-confused-deputy-prevention.md)。
### 验证 AWS STS 已在您所在的地区激活
如果在您所在的 AWS 地区停用 AWS Security Token Service (AWS STS),则文件共享可能会停留在`CREATING`或`UPDATING`状态。
**要验证 AWS STS 状态,请执行以下操作:**
1. 打开 AWS Identity and Access Management 控制台,网址为[https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/)。
1. 在导航窗格中,选择 **Account settings**(账户设置)。
1. 在 “**安全令牌服务 (STS)**” 部分,确认要创建文件共享的 AWS 区域的**状态**是否为 “**活动**”。
1. 如果状态为 “**非活动**”,请选择 “**激活**” 以 AWS STS 在该区域启用。
### 验证 S3 存储桶是否存在并遵循命名规则
您的文件共享需要一个遵循亚马逊 S3 命名约定的有效 Amazon S3 存储桶。
**要验证您的 S3 存储桶:**
1. 打开 Amazon S3 控制台,网址为 [https://console.aws.amazon.com/s3/](https://console.aws.amazon.com/s3/)。
1. 确认映射到您的文件共享的 Amazon S3 存储桶存在。如果存储桶不存在,请创建它。创建存储桶后,文件共享状态应更改为`AVAILABLE`。有关更多信息,请参阅 *Amazon Simple Storage Service 用户指南*中的[创建存储桶](https://docs.aws.amazon.com/AmazonS3/latest/gsg/CreatingABucket.html)。
1. 确认您的存储桶名称符合《*亚马逊简单存储服务用户指南》中的存储*[桶命名规则](https://docs.aws.amazon.com/AmazonS3/latest/dev/BucketRestrictions.html#bucketnamingrules)。
**注意**
S3 文件网关不支持存储桶名称中带有句点 (`.`) 的 Amazon S3 存储桶。
### 强制删除停留在 “删除” 状态的文件共享
当您删除文件共享时,网关会从关联的 Amazon S3 存储桶中删除该共享。但是,在删除完成之前,当前正在上传的数据会继续上传。在此过程中,文件共享会显示`DELETING`状态。
**重要**
检查您的网关`CachePercentDirty`的 Amazon CloudWatch 指标,以确定有多少数据有待上传。有关 Storage Gateway 指标的更多信息,请参阅[监控您的 S3 文件网关FSx](monitoring-file-gateway.md)。
如果您不想等待所有正在进行的上传完成,则可以强制删除文件共享。
**要强制删除文件共享,请执行以下操作:**
1. 打开 Storage Gateway 控制台,网址为[https://console.aws.amazon.com/storagegateway/](https://console.aws.amazon.com/storagegateway/)。
1. 在导航窗格中,选择**文件共享**。
1. 选择要删除的文件共享。
1. 选择 “**详细信息**” 选项卡,然后查看 “**正在删除此文件共享**” 消息。
1. 在消息中验证文件共享的 ID,然后选中确认框。
**注意**
您无法撤消强制删除操作。
1. 选择 “**立即强制删除”**。
或者,您可以使用`--force-delete`参数设置为的 AWS CLI [delete-file-share](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/storagegateway/delete-file-share.html)命令`true`。
**重要**
在强制删除文件共享之前,请确认您的网关未处于`OFFLINE`状态。如果网关处于离线状态,请先解决离线问题。有关更多信息,请参阅 [故障排除:Storage Gateway 控制台中网关离线](troubleshooting-gateway-offline.md)。
如果网关虚拟机 (VM) 已被删除,则必须从 Storage Gateway 控制台中删除网关,才能移除所有关联的文件共享,包括那些停留在`DELETING`状态下的文件共享。有关更多信息,请参阅 [删除网关和移除关联的资源](deleting-gateway-common.md)。
### 对网络连接问题进行故障排除
网络问题可能会使您的文件共享无法从`CREATING``UPDATING`、或`DELETING`状态过渡出来。常见的网络问题包括:
+ 您的网关处于离线状态或网关 VM 已删除。
+ Storage Gateway 和 Amazon S3 服务终端节点之间的网络访问被阻止。
+ 网关用于与亚马逊 S3 通信的 Amazon S3 亚马逊 VPC 终端节点已删除。
+ 所需的网络端口未打开或网络路由配置不正确。
#### 通过网关本地控制台测试 S3 连接
**要测试 S3 连接,请执行以下操作:**
1. 登录到网关的本地控制台。有关更多信息,请参阅 [登录到文件网关本地控制台](LocalConsole-login-fgw.md)。
1. 在 **Storage Gateway-配置**主菜单中,输入与**测试 S3 连接**对应的数字。
1. 选择 Amazon S3 终端节点类型:
+ 对于流经互联网网关、NAT 网关、Transit Gateway 或 Amazon S3 网关亚马逊 VPC 终端节点的 Amazon S3 流量,请选择**公开**。
+ 对于流经亚马逊 S3 接口亚马逊 VPC 终端节点的 Amazon S3 流量,请选择 **VPC (PrivateLink)**。
+ 对于 FIPS 端点,请选择 FIPS 选项。
1. 输入 Amazon S3 存储桶区域。
1. 如果使用亚马逊 VPC 终端节点,请输入 Amazon S3 亚马逊 VPC 终端节点 DNS 名称(例如`vpce-0329c2790456f2d01-0at85l34`)。
网关会自动执行连接测试,以验证网络连接和 SSL 连接。如果测试失败:
+ **网络测试失败**-通常由防火墙规则、安全组配置或不正确的网络路由引起。验证所需的端口是否已打开且网络路由配置正确。
+ **SSL 测试失败**-表示您的网关 VM 和 Amazon S3 服务终端节点之间正在进行 SSL 检查或深度数据包检查。对 Storage Gateway 流量禁用 SSL 和深度数据包检查。
#### 验证代理配置
如果您的网关使用代理服务器,请确认代理没有阻止网络通信。
**要检查代理配置,请执行以下操作:**
1. 在 **Storage Gateway-配置**主菜单中,输入与 **HTTP/SOCKS 代理**配置对应的数字。
1. 选择该选项可查看当前的网络代理配置。
1. 如果配置了代理,请验证 Amazon S3 流量是否可以通过端口 3128(或您配置的侦听器端口)从 Storage Gateway 流向代理服务器,然后通过端口 443 流向 Amazon S3 终端节点。
1. 确认代理或防火墙允许进出 Storage Gateway 所需的网络端口和服务端点的流量。有关更多信息,请参阅所需的网络端口。
如果问题仍然存在,则可以暂时删除代理配置,以确定问题是否由代理引起。
#### 验证安全组和网络路由
+ **对于 Amazon EC2 上的网关**-确认安全组已向 Amazon S3 终端节点开放端口 443。验证 Amazon EC2 子网的路由表是否正确地将 Amazon S3 流量路由到亚马逊 S3 终端节点。有关更多信息,请参阅所需的网络端口。
+ **对于本地网关**-确认防火墙规则允许所需的端口,以及本地路由表是否正确将 Amazon S3 流量路由到 Amazon S3 终端节点。有关更多信息,请参阅所需的网络端口。
+ **VPC 终端节点**-验证网关使用的 Amazon S3 亚马逊 VPC 终端节点是否未被删除。如果 Amazon VPC 终端节点被删除且网关没有公有 IP 地址,则该网关将无法与 Amazon S3 通信。
## 无法创建文件共享
1. 如果由于文件共享陷入 CREATING 状态而无法创建文件共享,请验证文件共享映射的 S3 存储桶是否存在。有关如何执行此操作的信息,请参阅上述的 [文件共享停留在 “创建”、“更新” 或 “删除” 状态](#troubleshooting-file-share-stuck-states)。
1. 如果 S3 存储桶存在,请确认 AWS Security Token Service 该存储桶已在您创建文件共享的区域中激活。如果安全令牌未激活,则应将其激活。有关如何使用激活令牌的信息 AWS Security Token Service,请参阅 *IAM 用户指南*中的在[AWS 区域中激活和停用 AWS STS](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_temp_enable-regions.html)。
## SMB 文件共享不允许使用多个不同的访问方法
SMB 文件共享具有以下限制:
1. 当同一客户端尝试安装 Active Directory 和来宾访问 SMB 文件共享时,将显示以下错误消息:`Multiple connections to a server or shared resource by the same user, using more than one user name, are not allowed. Disconnect all previous connections to the server or shared resource and try again.`
1. 一个 Windows 用户不能保持与两个来宾访问 SMB 文件共享的连接,并且在新的来宾访问连接建立后可能会断开连接。
1. Windows 客户端无法同时安装由同一网关导出的来宾访问和 Active Directory SMB 文件共享。
## 多个文件共享无法写入到映射的 S3 存储桶
我们不建议将 S3 存储桶配置为允许多个文件共享写入到一个 S3 存储桶。此方法可能导致无法预测的结果。
相反,我们建议您只允许一个文件共享写入到每个 S3 存储桶。您可以创建存储桶策略,仅允许与文件共享相关联的角色写入到存储桶。有关更多信息,请参阅[文件网关的最佳实践](https://docs.aws.amazon.com/filegateway/latest/files3/best-practices.html)。
## 使用审核日志时的已删除日志组通知
如果日志组不存在,则用户可以点击该消息下方的日志组链接,前往创建一个新的日志组,或使用现有的日志组,作为审核日志的目标
## 无法将文件上传到您的 S3 存储桶
如果无法将文件上传到 S3 存储桶,请执行以下操作:
1. 确保您已为 Amazon S3 文件网关授予必要的访问权限,以将文件上传到 S3 存储桶。有关更多信息,请参阅 [授予对 Amazon S3 存储桶的访问权限](grant-access-s3.md)。
1. 确保创建存储桶的角色有权写入到 S3 存储桶。有关更多信息,请参阅[文件网关的最佳实践](https://docs.aws.amazon.com/filegateway/latest/files3/best-practices.html)。
1. ***如果您的文件网关使用 SSE-KMS 或 DSSE-KMS 进行加密,请确保与文件共享关联的 IAM 角色包括 *kms: encrypt、kms: decrypt、kms:* *\$1、kms: 和* kms: 权限。ReEncrypt GenerateDataKey DescribeKey***有关更多信息,请参阅[为 Storage Gateway 使用基于身份的策略(IAM 策略)](https://docs.aws.amazon.com/filegateway/latest/files3/using-identity-based-policies.html)。
## 无法更改默认加密以使用 SSE-KMS 来加密存储在我的 S3 存储桶中的对象
如果您更改默认加密并将 SSE-KMS(使用 AWS KMS托管密钥进行服务器端加密)设为 S3 存储桶的默认加密方式,则 Amazon S3 文件网关在存储桶中存储的对象不会使用 SSE-KMS 进行加密。默认情况下,S3 文件网关在将数据写入 S3 存储桶时使用 Amazon S3 托管的服务器端加密(SSE-S3)。更改默认值不会自动更改您的加密。
要将加密更改为使用带有您自己的密 AWS KMS 钥的 SSE-KMS,必须打开 SSE-KMS 加密。为此,您需要在创建文件共享时提供 KMS 密钥的 Amazon 资源名称 (ARN)。您也可以通过使用 `UpdateNFSFileShare` 或 `UpdateSMBFileShare` API 操作来更新文件共享的 KMS 设置。更新后,此更新应用于存储在 S3 存储桶中的对象。有关更多信息,请参阅 [使用数据加密 AWS KMS](encryption.md)。
## 在开启对象版本控制的情况下直接在 S3 存储桶中进行更改可能会影响在文件共享中看到的内容
如果您的 S3 存储桶中有其他客户端向其写入的对象,则您对 S3 存储桶的视图可能 up-to-date不是由 S3 存储桶对象版本控制产生的。您应始终先刷新缓存,然后再查看感兴趣的文件。
*对象版本控制* 是一项可选的 S3 存储桶功能,通过存储同名对象的多个副本来帮助保护数据。每个副本都具有单独的 ID 值,例如 `file1.jpg`: `ID="xxx"` 和 `file1.jpg`: `ID="yyy"`。同名对象数及其生命周期由 Amazon S3 生命周期策略控制。有关这些 Amazon S3 概念的更多详细信息,请参阅《Amazon S3 开发人员指南》**中的[使用版本控制](https://docs.aws.amazon.com/AmazonS3/latest/dev/Versioning.html)和[对象生命周期管理](https://docs.aws.amazon.com/AmazonS3/latest/dev/object-lifecycle-mgmt.html)。
在删除受版本控制的对象时,会使用删除标记来标记该对象,但保留该对象。只有 S3 存储桶拥有者才能永久删除启用了版本控制的对象。
在 S3 文件网关中,所显示的文件是获取对象或刷新缓存时 S3 存储桶中的对象的最新版本。S3 文件网关会忽略任何较旧版本或标记为删除的任何对象。在读取文件时,您从最新版本读取数据。当您在文件共享中写入文件时,S3 文件网关会利用您的更改,为同名对象创建一个新版本,并且该版本将成为最新版本。
如果在您的应用程序之外向 S3 存储桶添加了新版本,则您的 S3 文件网关将继续从较早版本读取,并且您所做的更新将基于较早版本。要读取对象的最新版本,请使用 [RefreshCache](https://docs.aws.amazon.com/storagegateway/latest/APIReference/API_RefreshCache.html)API 操作或从控制台刷新,如中所述[刷新 Amazon S3 存储桶对象缓存](refresh-cache.md)。
**重要**
我们不建议从文件共享之外将对象或文件写入 S3 文件网关 S3 存储桶。
## 在开启版本控制的情况下写入 S3 存储桶时,Amazon S3 文件网关可能会创建多个版本的 Amazon S3 对象
启用对象版本控制后,每次从 NFS 或 SMB 客户端更新文件时,您可能会在 Amazon S3 中创建多个版本的对象。以下场景会导致在 S3 存储桶中创建多个版本的对象:
+ 将一个文件上传到 Amazon S3 后,当 NFS 或 SMB 客户端在 Amazon S3 文件网关中对其进行修改时,S3 文件网关会上传新的或修改过的数据,而不是上传整个文件。文件修改会导致创建 Amazon S3 对象的新版本。
+ 当 NFS 或 SMB 客户端将文件写入 S3 文件网关时,S3 文件网关会将文件的数据上传到 Amazon S3,然后上传其元数据(所有权、时间戳等)。上传文件数据会创建 Amazon S3 对象,上传文件的元数据会更新 Amazon S3 对象的元数据。此过程会创建对象的另一个版本,从而生成一个对象的两个版本。
+ 当 S3 文件网关上传较大的文件时,可能需要在客户端完成对文件网关的写入之前上传较小的文件块。造成这种现象的一些原因包括:为了释放缓存空间,或对某个文件进行高频写入。这可能会导致 S3 存储桶中的对象有多个版本。
在设置生命周期策略将对象移动到不同存储类别之前,您应监控您的 S3 存储桶,以确定对象存在多少个版本。您应为旧版本配置生命周期过期时间,以最大限度地减少 S3 存储桶中对象的版本数。在 S3 存储桶之间使用同区域复制(SRR)或跨区域复制(CRR)将增加使用的存储空间。有关复制的更多信息,请参阅[复制](https://docs.aws.amazon.com/AmazonS3/latest/dev/replication.html)。
**重要**
在您弄清楚开启对象版本控制后会占用多少存储空间之前,不要配置 S3 存储桶之间的复制。
使用受版本控制的 S3 存储桶会大大增加 Amazon S3 中的存储量,因为对文件进行的每项修改都会创建 S3 对象的一个新版本。默认情况下,Amazon S3 会继续存储所有这些版本,除非您专门创建策略来覆盖此行为并限制保留的版本数。如果您注意到开启对象版本控制后存储使用量异常大,请检查您是否正确设置了存储策略。浏览器请求的 `HTTP 503-slow down` 响应数的增加也可能是由于对象版本控制问题。
如果您在安装 S3 文件网关后开启了对象版本控制,则将保留所有唯一对象(`ID=”NULL”`),且您可以在文件系统中查看所有对象。将为对象的新版本分配唯一 ID(保留较旧版本)。基于对象的时间戳,仅最新版本的对象可在 NFS 文件系统中查看。
在开启对象版本控制后,您的 S3 存储桶将无法返回到不受版本控制的状态。但是,您可以暂停版本控制。在暂停版本控制时,会为新对象分配一个 ID。如果存在具有 `ID=”NULL”` 值的同名对象,则将覆盖较旧版本。但是,将保留包含非 `NULL` ID 的任何版本。时间戳将新对象标识为最新对象,并且这是显示在 NFS 文件系统中的对象。
## 对 S3 存储桶的更改未反映在 Storage Gateway 中
当您使用文件共享在本地向缓存写入文件时,Storage Gateway 会自动更新文件共享缓存。但是,当您将文件直接上传到 Amazon S3 时,Storage Gateway 不会自动更新缓存。执行此操作时,必须执行 `RefreshCache` 操作才能查看文件共享上的更改。如果您有多个文件共享,则必须对每个文件共享运行 `RefreshCache` 操作。
您可以使用 Storage Gateway 控制台和 AWS Command Line Interface (AWS CLI)刷新缓存:
+ 要使用 Storage Gateway 控制台刷新缓存,请参阅“刷新 Amazon S3 存储桶中的对象”。
+ 要使用 AWS CLI刷新缓存,请执行以下操作:
1. 运行命令 `aws storagegateway list-file-shares`
1. 将文件共享的 Amazon 资源编号(ARN)复制到您要刷新的缓存。
1. 使用您的 ARN 作为 `--file-share-arn` 的值来运行 `refresh-cache` 命令:
`aws storagegateway refresh-cache --file-share-arn arn:aws:storagegateway:eu-west-1:12345678910:share/share-FFDEE12`
要自动执行`RefreshCache`操作,请参阅[如何在 Storage Gateway 上自动执行 RefreshCache 操作?](https://aws.amazon.com/premiumsupport/knowledge-center/storage-gateway-automate-refreshcache/)
## ACL 权限未按预期运行
如果访问控制列表 (ACL) 权限未按预期与 SMB 文件共享一起运行,则您可以执行测试。
为此,请首先测试 Microsoft Windows 文件服务器或本地 Windows 文件共享上的权限。然后,将行为与您网关的文件共享进行比较。
## 执行递归操作后,网关性能下降
在某些情况下,您可能会执行递归操作(例如重命名目录或开启 ACL 的继承),并强制沿树向下执行递归操作。如果您这样做,S3 文件网关通过递归方式将该操作应用于文件共享中的所有对象。
例如,假设您将继承应用于 S3 存储桶中的现有对象。您的 S3 文件网关通过递归方式将继承应用于存储桶中的所有对象。此类操作可能会导致网关性能下降。
## 高可用性运行状况通知
在 VMware vSphere 高可用性 (HA) 平台上运行网关时,您可能会收到运行状况通知。有关运行状况通知的更多信息,请参阅[故障排除:高可用性问题](troubleshooting-ha-issues.md)。
# 故障排除:高可用性问题
如果您遇到可用性问题,则可在下面查找有关要采取的操作的信息。
**Topics**
+ [运行状况通知](#ha-health-notifications)
+ [指标](#ha-health-notification-metrics)
## 运行状况通知
当您在 VMware vSphere HA 上运行网关时,所有网关都会向您配置的 Amazon CloudWatch 日志组生成以下运行状况通知。这些通知将转至名为 `AvailabilityMonitor` 的日志流中。
**Topics**
+ [通知:重启](#troubleshoot-reboot-notification)
+ [通知: HardReboot](#troubleshoot-hardreboot-notification)
+ [通知: HealthCheckFailure](#troubleshoot-healthcheckfailure-notification)
+ [通知: AvailabilityMonitorTest](#troubleshoot-availabilitymonitortest-notification)
### 通知:重启
在重新启动网关 VM 时,您会收到重启通知。您可以使用 VM 管理程序管理控制台或 Storage Gateway 控制台重新启动网关 VM。您也可以在网关维护周期内使用网关软件来重新启动。
**措施**
如果重启时间在网关的已配置[维护开始时间](MaintenanceManagingUpdate-common.md)的 10 分钟内,则此情况可能是正常的,并不指示任何问题。如果重启发生在维护时段之外,请检查是否已手动重新启动网关。
### 通知: HardReboot
当网关 VM 意外重启时,您会收到 `HardReboot` 通知。此类重启可能是因断电、硬件故障或其他事件导致的。对于 VMware 网关,vSphere 高可用性应用程序监控的重置可能会导致此事件。
**措施**
当您的网关在这样的环境中运行时,请检查`HealthCheckFailure`通知是否存在,并查阅虚拟机 VMware 的事件日志。
### 通知: HealthCheckFailure
对于 VMware vSphere HA 上的网关,当运行状况检查失败并请求重启虚拟机时,您可以收到`HealthCheckFailure`通知。此事件也会在测试期间发生来监控可用性(由 `AvailabilityMonitorTest` 通知指示)。在此情况下,应会有 `HealthCheckFailure` 通知。
**注意**
此通知仅适用于 VMware 网关。
**措施**
如果此事件重复发生,但没有 `AvailabilityMonitorTest` 通知,请检查您的 VM 基础设施是否存在问题(存储、内存等)。如果您需要其他帮助,请联系 支持。
### 通知: AvailabilityMonitorTest
对于 VMware vSphere HA 上的网关,当您在中[运行[可用性和应用程序监控](https://docs.aws.amazon.com/storagegateway/latest/APIReference/API_StartAvailabilityMonitorTest.html)系统测试](vmware-ha.md#vmware-ha-test-failover)时,您会`AvailabilityMonitorTest`收到通知。 VMware
## 指标
`AvailabilityNotifications` 指标适用于所有网关。此指标是网关生成的与可用性相关的运行状况通知数。使用 `Sum` 统计数据可观察网关是否遇到了任何与可用性相关的事件。有关事件的详细信息,请咨询您配置的 CloudWatch 日志组。