次の方法で共有

Azure File Sync のマネージド ID に関する問題のトラブルシューティング

この記事は、Azure File Sync デプロイでマネージド ID を使用するときに発生する可能性がある問題のトラブルシューティングと解決に役立ちます。

ストレージ同期サービスでシステム割り当てマネージド ID が使用されているかどうかを確認する

ストレージ同期サービスでシステム割り当てマネージド ID が使用されているかどうかを確認するには、管理者特権の PowerShell ウィンドウから次のコマンドを実行します。

Get-AzStorageSyncService -ResourceGroupName <string> -StorageSyncServiceName <string>

UseIdentity プロパティの値がコマンド出力からTrueされていることを確認します。 値が Falseされている場合、ストレージ同期サービスは共有キーを使用して Azure ファイル共有に対する認証を行います。

登録済みサーバーがシステム割り当てマネージド ID を使用するように構成されているかどうかを確認する

登録サーバーがシステム割り当てマネージド ID を使用するように構成されているかどうかを確認するには、管理者特権の PowerShell ウィンドウから次のコマンドを実行します。

Get-AzStorageSyncServer -ResourceGroupName <string> -StorageSyncServiceName <string>

ApplicationId プロパティに、サーバーがシステム割り当てマネージド ID を使用するように構成されていることを示す GUID があることを確認します。 サーバーがシステム割り当てマネージド ID を使用すると、 ActiveAuthType プロパティの値が ManagedIdentityに更新されます。 値が Certificate場合、サーバーは共有キーを使用して Azure ファイル共有に対する認証を行います。

Note

システム割り当てマネージド ID を使用するようにサーバーが構成されると、サーバーがシステム割り当てマネージド ID を使用してストレージ同期サービスと Azure ファイル共有に対して認証されるまでに最大 15 分かかることがあります。

Set-AzStorageSyncServiceIdentity コマンドレットは、システム割り当てマネージド ID を使用するようにサーバーを構成しません

Set-AzStorageSyncServiceIdentity コマンドレットを実行しても、システム割り当てマネージド ID を使用するように登録済みサーバーが構成されていない場合は、サーバーにシステム割り当てマネージド ID がないためである可能性があります。

Azure File Sync v20 エージェントがインストールされている登録済みサーバーでシステム割り当てマネージド ID を有効にするには、次の手順を実行します。

登録済みサーバーにシステム割り当てマネージド ID があるかどうかを確認する

登録済みサーバーにシステム割り当てマネージド ID があるかどうかを確認するには、次の PowerShell コマンドを実行します。

Get-AzStorageSyncServer -ResourceGroupName <string> -StorageSyncServiceName <string>

LatestApplicationId プロパティに GUID があることを確認します。これは、サーバーにシステム割り当てマネージド ID が割り当てられているが、現在使用するように構成されていないことを示します。

LatestApplicationId プロパティに GUID がある場合は、Set-AzStorageSyncServiceIdentity コマンドレットをもう一度実行して、システム割り当てマネージド ID を使用するようにサーバーを構成します。 ApplicationId プロパティに、サーバーがマネージド ID を使用するように構成されていることを示す GUID があることを確認します。 サーバーがシステム割り当てマネージド ID を使用すると、 ActiveAuthType プロパティの値が ManagedIdentityに更新されます。

ストレージ同期サービスを削除できない

ストレージ同期サービスを削除しようとすると、次のエラーが発生する可能性があります。

リージョン <リージョン内のストレージ同期サービスを削除できません>。 ストレージ同期サービスは、不要になったスナップショットを削除しています。 数時間後にもう一度お試しください。

この問題は、ファイル共有に未使用の Azure File Sync スナップショットがある場合に発生します。 コストを削減するために、ストレージ同期サービスを削除する前に、未使用のスナップショットが削除されます。 スナップショットの数は、データセットのサイズによって異なります。 数時間後にストレージ同期サービスを削除できない場合は、翌日にもう一度お試しください。

ストレージ同期サービスの作成時にエラー "リソース ID 操作の実行に失敗しました"

ストレージ同期サービスを作成すると、次のエラーが発生する可能性があります。

リソース ID 操作を実行できませんでした。

この問題は、次のいずれかのシナリオで発生します。

  • ストレージ同期サービスを削除し、同じテナント内で同じ名前を使用して再作成を試みます。

  • 競合するサービス プリンシパル アプリが Microsoft Entra ID に存在する可能性があります。

    このアプリは、ストレージ同期サービスの初回プロビジョニング中に作成された可能性が高く、24 時間以内に自動的に削除されます。

この問題を解決するには、次の方法のいずれかを使用してください。

  • 以前に使用した名前とは異なる名前でストレージ同期サービスを作成します。

  • 競合するサービス プリンシパル アプリの自動クリーンアップが完了するまで待つか、手動で削除します。

    サービスが緊急に必要ない場合は、この自動クリーンアップが完了するまで待つことをお勧めします。 すぐに解決する必要がある場合は、競合するアプリを手動で削除できます。

    1. Microsoft Entra 管理センターに移動します。
    2. エンタープライズ アプリケーションに移動します。
    3. ストレージ同期サービスと一致するアプリ名を検索します。
    4. アプリを選択し、[削除] を選択 します

ストレージ アカウントと Azure ファイル共有にアクセスするために必要なアクセス許可

マネージド ID を使用するように Azure File Sync が構成されている場合、クラウドエンドポイントとサーバー エンドポイントは、ストレージ アカウントと Azure ファイル共有にアクセスするために次のアクセス許可を必要とします。

クラウド エンドポイント:

  • ストレージ同期サービスのマネージド ID は、ストレージ アカウントの Storage アカウント共同作成者 ロールのメンバーである必要があります。
  • ストレージ同期サービスのマネージド ID は、Azure ファイル共有の Storage File Data Privileged Contributor ロールのメンバーである必要があります。

サーバー エンドポイント:

  • 登録済みサーバーマネージド ID は、Azure ファイル共有の ストレージ ファイル データ特権共同作成者 ロールのメンバーである必要があります。

Set-AzStorageSyncServiceIdentity コマンドレットを実行するか、新しいクラウドおよびサーバー エンドポイントを作成すると、これらのアクセス許可が付与されます。 これらのアクセス許可が削除されると、次のセクションに示すエラーで操作が失敗します。

一般的な問題

このセクションでは、アクセス許可または構成設定が正しくない場合に発生する一般的な問題について説明します。

エラー 0x80c8305f (ECS_E_EXTERNAL_STORAGE_ACCOUNT_AUTHORIZATION_FAILED) で同期が失敗する

Error Code
HRESULT 0x80c8305f
HRESULT (10 進数) -2134364065
エラー文字列 ECS_E_EXTERNAL_STORAGE_ACCOUNT_AUTHORIZATION_FAILED
修復が必要 Yes

この問題は、ストレージ同期サービスのマネージド ID がストレージ アカウントにアクセスできない場合に発生します。

この問題を解決するには、次の PowerShell コマンドを実行します。

Set-AzStorageSyncCloudEndpointPermission -ResourceGroupName <string> -StorageSyncServiceName <string> -SyncGroupName <string> -Name <string>

Note

-Name パラメーターは、クラウド エンドポイントの名前です。 これは GUID であり、Azure portal に表示されるフレンドリ名ではありません。 クラウド エンドポイント名を取得するには、 Get-AzStorageSyncCloudEndpoint コマンドレットを 実行します。

エラー 0x80c86053 (ECS_E_AZURE_FILE_SHARE_NOT_ACCESSIBLE) で同期が失敗する

Error Code
HRESULT 0x80c86053
HRESULT (10 進数) -2134351789
エラー文字列 ECS_E_AZURE_FILE_SHARE_NOT_ACCESSIBLE
修復が必要 Yes

この問題は、ストレージ同期サービスのマネージド ID が Azure ファイル共有にアクセスできない場合に発生します。

この問題を解決するには、次の PowerShell コマンドを実行します。

Set-AzStorageSyncCloudEndpointPermission -ResourceGroupName <string> -StorageSyncServiceName <string> -SyncGroupName <string> -Name <string>

Note

-Name パラメーターは、クラウド エンドポイントの名前です。 これは GUID であり、Azure portal に表示されるフレンドリ名ではありません。 クラウド エンドポイント名を取得するには、 Get-AzStorageSyncCloudEndpoint コマンドレットを 実行します。

ファイルがエラー 0x80c86063 (ECS_E_AZURE_AUTHORIZATION_PERMISSION_MISMATCH) と同期できない

Error Code
HRESULT 0x80c86063
HRESULT (10 進数) -2134351773
エラー文字列 ECS_E_AZURE_AUTHORIZATION_PERMISSION_MISMATCH
修復が必要 Yes

この問題は、登録済みサーバーのマネージド ID が Azure ファイル共有にアクセスできない場合に発生します。

この問題を解決するには、次の PowerShell コマンドを実行します。

Set-AzStorageSyncServerEndpointPermission -ResourceGroupName <string> -StorageSyncServiceName <string> -SyncGroupName <string> -Name <string>

Note

-Name パラメーターは、サーバー エンドポイントの名前です。 これは GUID であり、Azure portal に表示されるフレンドリ名ではありません。 サーバー エンドポイント名を取得するには、 Get-AzStorageSyncServerEndpoint コマンドレットを 実行します。

ECS_E_AUTH_IDENTITY_NOT_FOUND エラーで同期セッションが失敗する

ECS_E_AUTH_IDENTITY_NOT_FOUND エラーは、Azure File Sync サービスとの通信に使用されるサーバーのマネージド ID が変更されたが、Azure File Sync サービスが以前の ID を想定しており、認証が失敗した場合に発生します。 このエラーは、テナント間のセットアップでマネージド ID が使用されている場合にも発生する可能性があります。 Azure File Sync はテナント間のマネージド ID をサポートしていないため、別のテナントのマネージド ID を使用して認証を試みると失敗し、ECS_E_AUTH_IDENTITY_NOT_FOUND エラーが返されます。

この問題を特定するには、イベント ビューアー内のテレメトリ イベント ログでイベント ID 9530 を確認します。 このイベントは、マネージド ID の applicationId が変更されたことを示します。

この問題は、多くの場合、次の状況で発生します。

  • Azure Arc リソースの削除と再作成。
  • Azure 仮想マシンでシステム割り当てマネージド ID をオフにしてから、再度有効にします。

マネージド ID が変更されると、ファイル同期エージェントは新しい ID の使用を試みますが、Azure File Sync サービスは以前の ID を承認するように構成されています。 この不一致により、要求が失敗し、 ECS_E_AUTH_IDENTITY_NOT_FOUND エラーが返されます。

この問題を解決するには、次の手順を実行します。

サーバーがマネージド ID を使用するように構成されていることを確認します。

この構成を確認するには:

  • ストレージ同期サービスの設定>管理 ID の詳細を確認します。
  • 次の PowerShell コマンドを実行します。
Get-AzStorageSyncServer -ResourceGroupName <ResourceGroupName> -StorageSyncServiceName <StorageSyncServiceName>

Note

このエラーは、サーバーがマネージド ID (MI) または証明書ベースの認証を使用しているかどうかに関係なく発生する可能性があります。 そのため、ID の種類を確認することが重要です。

サーバーがマネージド ID を使用していて、ID が変更された場合は、次のコマンドを実行してサーバーの登録を更新します。

Set-AzStorageSyncServer -ResourceGroupName <ResourceGroupName> -StorageSyncServiceName <StorageSyncServiceName> -Identity

Test-NetworkConnectivity コマンドレットがエラー 0x80190193で失敗する (HTTP_E_STATUS_FORBIDDEN)

この問題は、登録済みサーバーのマネージド ID が Azure ファイル共有にアクセスできない場合に発生します。

この問題を解決するには、次の PowerShell コマンドを実行します。

Set-AzStorageSyncServerEndpointPermission -ResourceGroupName <string> -StorageSyncServiceName <string> -SyncGroupName <string> -Name <string>

Note

-Name パラメーターは、サーバー エンドポイントの名前です。 これは GUID であり、Azure portal に表示されるフレンドリ名ではありません。 サーバー エンドポイント名を取得するには、 Get-AzStorageSyncServerEndpoint コマンドレットを 実行します。

Test-NetworkConnectivity コマンドレットがエラー 0x80131500で失敗する (COR_E_EXCEPTION)

この問題は、このストレージ アカウントにアクセスするために信頼されたサービスの一覧の Allow Azure サービス 例外がストレージ アカウントで有効になっていない場合に発生します。 この問題を解決するには、「 信頼された Azure サービスへのアクセスを許可し、ストレージ アカウントのパブリック エンドポイントへのアクセスを特定の仮想ネットワークに制限するの手順に従って、この例外を有効にします。

お問い合わせはこちらから

ご質問がある場合は、 Azure コミュニティサポートにお問い合わせください。 Azure フィードバック コミュニティに製品フィードバックを送信することもできます。

サポートされていないテナント間構成

サーバー リソース (Arc 対応サーバーまたは Azure VM) とストレージ同期サービスが 異なる Microsoft Entra テナント にあるテナント間トポロジはサポートされていません。 マネージド ID と Azure RBAC には、同じテナントによって発行されたトークンが必要です。このシナリオでは、テナント間承認が失敗します。 テナント間のセットアップを試みないでください。

緩和: ストレージ同期サービス、サーバー リソース ID、ストレージ アカウント RBAC の割り当て、マネージド ID を 同じテナントに合わせて、再試行します。

Note

この要件は、Arc 対応サーバーと Azure VM の 両方 に適用されます。

  • Last updated on