はじめに
最近検証のためにFSx for Windows File ServerへEC2をマウントしようとしたのですが、ほとんど初めて触ったため、初歩的なミスで時間を無駄にしました。
その際に調べたトラブルシューティングをいくつか紹介します。
今回の構成
今回は、AWS Managed Microsoft ADをADとして利用し、FSx for Windows File Serverを作成しました。
FSx for Windows File Serverへのマウントまでは順調に進んでいたのですが、マネージドコンソールに記載されている以下の手順2で躓きました。
アタッチ手順 - デフォルトの DNS 名を使用
1.コマンドプロンプトを開きます。
2.次のコマンドを実行します (「Z:」は、使用可能な他のドライブ文字に置き換えることができます)。
net use Z: \(FSxのDNS名)\share
コマンドを入力すると、以下の様に
System error 53 has occurred. The network path was not found.
と返ってきます。
さあ、トラブルシュート開始です。
ネットワークの確認
TCP 445(SMB)での疎通確認
EC2インスタンスで以下のPowerShellコマンドを実行し、疎通確認を行います。
Test-NetConnection (FSxのDNS名).test.fsx.com -port 445
成功すると以下の様に返ってきます。
失敗すると以下の様に返ってくるため、この後のトラブルシュートを続けましょう。
セキュリティグループ・NACLの確認
EC2とFSx for Windows File Serverのセキュリティグループ・NACLの設定内容を確認してください。
ファイルシステムとクライアントの間では TCP 445(SMB)での通信が必要です。
EC2側とFSx側のセキュリティグループ・NACLでそれぞれ、インバウンド・アウトバウンドでTCP 445が許可されているか確認してください。
FSx for Windows File Serverは、ENI(ネットワークインタフェース)にセキュリティグループがアタッチされるため、注意してください。
※筆者はこれを考慮しておらず、これ以降のすべての調査を行うことになりました。
VPCの確認
EC2とFSxが同じVPC内に存在するか、異なるVPCの場合は正しくVPCピアリングやTransit Gatewayを設定しているか確認してください。
名前解決ができているか確認する
名前解決ができているか確認
DNSサーバによる名前解決ができているか、以下のコマンドで確認しましょう。
nslookup (FSxのDNS名)
成功した場合は、以下の様にFSxのIPアドレスが返ってきます。
失敗した場合は、(DNSサーバ) can't find (FSxのDNS名):Non-existent domainと返ってくるため、この後のトラブルシュートを続けましょう。
DNSの参照先の確認
DNSの参照先が「AWS Managed Microsoft ADが提供するDNS」に設定されているか確認します。
Managed Microsoft ADのDNSアドレスは、マネジメントコンソール>Directory Service>ディレクトリの、ネットワークとセキュリティにおけるDNSアドレスから確認できます。
EC2にて、「インターネットプロトコル バージョン4 (TCP/IPv4) のプロパティ」を開いて、Managed Microsoft ADのDNSアドレスが設定されているか確認します。
また、DNSサフィックスの設定についても確認します。
「TCP/IP詳細設定」にて「DNS」タブを選択し、「非修飾名の解決に使用するオプション」で「プライマリおよび接続専用のDNSサフィックスを追加する」となっているか確認します。
DNSサーバの設定を確認
DNSサーバを確認し、FSx for Windows File Serverのレコードが登録されているか確認しましょう。
ちなみに、フォワーダーとして登録されているIPアドレスは、「AmazonProvidedDNS」のIPアドレスで、Managed Microsoft ADのDNSで解決することができない名前解決の要求を転送するためのものです。
EC2(Windows Server)の設定の確認
Windows Serverの設定についても確認しましょう。
Windows ファイアウォールの確認
Windowsファイアウォールによって、EC2・FSx間のSMBトラフィックがブロックされていないか確認してください。
netsh firewall show stateコマンドを利用することで、ファイアウォールによってブロックされているポート等の設定を確認することができます。
もし、SMBトラフィックがブロックされている場合は、「Windows セキュリティ」から「ファイアウォールとネットワーク保護」を選択し、各種設定を行ってください。
ネットワーク共有設定の確認
ネットワークのファイルとプリンターの共有が無効になっている場合や、インストールされていない場合にはファイルシステムをマウントすることができません。
共有が無効になっていると、以下の様に表示されます。
今回私は無効になっていたので、「コントロールパネル」の「ネットワークと共有センター」から「共有の詳細設定」において、「ネットワーク探索を有効にする」にチェックを入れました。
有効化できると以下の様に表示されます。
レジストリエディターの確認
レジストリエディターの設定によって、System Error 53が発生することがあるようです。
レジストリエディターの以下の項目が正しく設定されているか確認ください。
- HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\NetworkProvider\HwOrder
- HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\NetworkProvider\Order
詳しくは以下のリンクを参考にしてください。
おわりに
このほかにも調査する内容はあると思いますが、セキュリティグループや名前解決周りが原因となることが多いと考えます。
皆さんはうっかりしないよう気を付けてください。