Behandeln von Verbindungsproblemen für einen privaten Endpunkt
Wenn Sie eine Verbindung mit einem Azure Machine Learning-Arbeitsbereich herstellen, der mit einem privaten Endpunkt konfiguriert ist, tritt möglicherweise ein 403 Fehler auf oder eine Meldung, die besagt, dass der Zugriff verboten ist. In diesem Artikel erfahren Sie, wie Sie nach allgemeinen Konfigurationsproblemen suchen können, die diesen Fehler verursachen.
Tipp
Verwenden Sie zuerst die Arbeitsbereichsdiagnose-API von Azure Machine Learning, bevor Sie die Schritte in diesem Artikel ausführen. Sie kann beim Ermitteln von Konfigurationsproblemen für Ihren Arbeitsbereich hilfreich sein. Weitere Informationen finden Sie unter Verwenden der Arbeitsbereichsdiagnose.
DNS-Konfiguration
Die Problembehandlungsschritte für die DNS-Konfiguration sind abhängig davon, ob Sie Azure DNS oder ein benutzerdefiniertes DNS verwenden. Führen Sie die folgenden Schritte aus, um zu ermitteln, welche Variante Sie verwenden:
Wählen Sie im Azure-Portal den privaten Endpunkt für Ihren Azure Machine Learning-Arbeitsbereich aus.
Wählen Sie auf der Seite Übersicht den Link Netzwerkschnittstelle aus.
Wählen Sie unter Einstellungen die Option IP-Konfigurationen und anschließend den Link Virtuelles Netzwerk aus.
Wählen Sie links auf der Seite im Abschnitt Einstellungen den Eintrag DNS-Server aus.
- Wenn dieser Wert Standard (von Azure bereitgestellt) oder 168.63.129.16 lautet, verwendet das virtuelle Netzwerk Azure DNS. Fahren Sie mit dem Abschnitt Problembehandlung für Azure DNS fort.
- Ist eine andere IP-Adresse angegeben, verwendet das virtuelle Netzwerk eine benutzerdefinierte DNS-Lösung. Fahren Sie mit dem Abschnitt Problembehandlung für benutzerdefiniertes DNS fort.
Problembehandlung für benutzerdefiniertes DNS
Verwenden Sie die folgenden Schritte, um zu überprüfen, ob Ihre benutzerdefinierte DNS-Lösung Namen ordnungsgemäß in IP-Adressen auflöst:
Öffnen über einen virtuellen Computer, über einen Laptop, über einen Desktopcomputer oder über eine andere Compute-Ressource, die über eine funktionierende Verbindung mit dem privaten Endpunkt verfügt, einen Webbrowser. Verwenden Sie in dem Browser die URL für Ihre Azure-Region:
Azure-Region URL Azure Government https://portal.azure.us/?feature.privateendpointmanagedns=false Microsoft Azure von 21Vianet https://portal.azure.cn/?feature.privateendpointmanagedns=false Alle anderen Regionen https://portal.azure.com/?feature.privateendpointmanagedns=false Wählen Sie im Portal den privaten Endpunkt für den Arbeitsbereich aus. Erstellen Sie eine Liste der FQDNs, die für den privaten Endpunkt aufgeführt sind.
Öffnen Sie eine Eingabeaufforderung, eine PowerShell-Instanz oder eine andere Befehlszeile, und führen Sie für jeden FQDN aus dem vorherigen Schritt den folgenden Befehl aus. Vergewissern Sie sich bei jeder Befehlsausführung, dass die zurückgegebene IP-Adresse der IP-Adresse entspricht, die im Portal für den FQDN angegeben ist:
nslookup <fqdn>Wenn Sie beispielsweise den Befehl
nslookup 29395bb6-8bdb-4737-bf06-848a6857793f.workspace.eastus.api.azureml.msausführen, sieht die Rückgabe in etwa wie folgt aus:Server: yourdnsserver Address: yourdnsserver-IP-address Name: 29395bb6-8bdb-4737-bf06-848a6857793f.workspace.eastus.api.azureml.ms Address: 10.3.0.5Wenn der Befehl
nslookupeinen Fehler oder eine IP-Adresse zurückgibt, die sich von der IP-Adresse im Portal unterscheidet, ist die benutzerdefinierte DNS-Lösung nicht ordnungsgemäß konfiguriert. Weitere Informationen finden Sie unter Verwenden Ihres Arbeitsbereichs mit einem benutzerdefinierten DNS-Server.
Problembehandlung für Azure DNS
Wenn Sie Azure DNS für die Namensauflösung verwenden, gehen Sie wie folgt vor, um sich zu vergewissern, dass die Integration von privatem DNS ordnungsgemäß konfiguriert ist:
Wählen Sie auf dem privaten Endpunkt DNS-Konfiguration aus. Für jeden Eintrag in der Spalte Private DNS-Zone sollte auch ein Eintrag in der Spalte DNS-Zonengruppe vorhanden sein.
Wenn ein Eintrag für die private DNS-Zone aber kein Eintrag für die DNS-Zonengruppe vorhanden ist, löschen Sie den privaten Endpunkt und erstellen Sie ihn neu. Achten Sie darauf, dass beim erneuten Erstellen des privaten Endpunkts die Integration der privaten DNS-Zone aktivieren.
Wenn DNS-Zonengruppe nicht leer ist, wählen Sie den Link für den Eintrag Private DNS-Zone aus.
Wählen Sie in der privaten DNS-Zone Verknüpfungen virtueller Netzwerke aus. Es sollte eine Verknüpfung mit dem virtuellen Netzwerk vorhanden sein. Falls nicht, löschen Sie den privaten Endpunkt, und erstellen Sie ihn neu. Wählen Sie bei der Neuerstellung eine private DNS-Zone aus, die mit dem virtuellen Netzwerk verknüpft ist, oder erstellen Sie eine neue Zone mit entsprechender Verknüpfung.
Wiederholen Sie die vorherigen Schritte für die restlichen Einträge unter „Private DNS-Zone“.
Browserkonfiguration (DNS über HTTPS)
Überprüfen Sie, ob DNS über HTTP im Webbrowser aktiviert ist. DNS über HTTP verhindert unter Umständen, dass Azure DNS mit der IP-Adresse des privaten Endpunkts antwortet.
- Mozilla Firefox: Weitere Informationen finden Sie unter DNS über HTTPS in Firefox.
- Microsoft Edge:
Wählen Sie ... oben rechts und dann Einstellungen aus.
Suchen Sie in den Einstellungen nach DNS und deaktivieren Sie die Option Verwenden Sie sicheres DNS, um anzugeben, wie die Netzwerkadresse für Websites nachzuschlagen ist.
Proxykonfiguration
Bei Verwendung eines Proxys wird unter Umständen die Kommunikation mit einem geschützten Arbeitsbereich verhindert. Dies kann mithilfe einer der folgenden Optionen getestet werden:
- Deaktivieren Sie vorübergehend die Proxyeinstellung, und prüfen Sie, ob Sie eine Verbindung herstellen können.
- Erstellen Sie eine Datei für die automatische Proxykonfiguration (Proxy Auto-Config, PAC), die Direktzugriff auf die FQDNs ermöglicht, die auf dem privaten Endpunkt angegeben sind. Dadurch sollte auch der Direktzugriff auf den FQDN beliebiger Compute-Instanzen möglich sein.
- Konfigurieren Sie Ihren Proxyserver so, dass DNS-Anforderungen an Azure DNS weitergeleitet werden.