Übersicht über die VPN-Problembehandlung

Artikel
12.09.2024

Virtuelle Netzwerkgateways stellen die Konnektivität zwischen lokalen Ressourcen und Azure Virtual Network-Instanzen bereit. Die Überwachung von virtuellen Netzwerkgateways und deren Verbindungen ist kritisch, um sicherzustellen, dass die Kommunikation nicht unterbrochen wird. Azure Network Watcher VPN-Problembehandlung bietet die Möglichkeit, Virtuelle Netzwerkgateways und deren Verbindungen zu beheben. VPN-Problembehandlung kann über das Azure-Portal, Azure PowerShell, Azure CLI oder REST-API aufgerufen werden. Bei Aufruf untersucht Network Watcher die Integrität des Gateways oder der Verbindung und gibt die Ergebnisse zurück. Die Anforderung ist eine lange andauernde Transaktion. Die Ergebnisse werden zurückgegeben, sobald die Diagnose abgeschlossen ist.

Screenshot der VPM-Problembehandlung für Azure Network Watcher im Azure-Portal.

Unterstützte Gatewaytypen

In der folgenden Tabelle sind die Gateways und Verbindungen aufgelistet, die von der Network Watcher-Problembehandlung unterstützt werden:

Gateway oder Verbindung	Unterstützt
Gatewaytypen
VPN	Unterstützt
ExpressRoute	Nicht unterstützt
VPN-Typen
Routenbasiert	Unterstützt
Richtlinienbasiert	Nicht unterstützt
Verbindungstypen
IPsec	Unterstützt
VNet2VNet	Unterstützt
ExpressRoute	Nicht unterstützt
VPNClient	Nicht unterstützt

Ergebnisse

Die vorab zurückgegebenen Ergebnisse bieten eine allgemeine Übersicht über die Integrität der Ressource. Es können auch ausführlichere Informationen für Ressourcen bereitgestellt werden, wie im folgenden Abschnitt gezeigt:

Die folgende Liste enthält die Werte, die von der VPN-Problembehandlungs-API zurückgegeben werden:

startTime: Dieser Wert ist die Startzeit des Aufrufs der Problembehandlungs-API.
endTime: Dieser Wert ist der Zeitpunkt, zu dem die Problembehandlung beendet wurde.
code – Dieser Wert ist UnHealthy, wenn ein einziger Diagnosefehler auftritt.
results: Dies ist eine Sammlung von Ergebnissen, die für die Verbindung oder das Virtual Network-Gateway zurückgegeben wurden.
- id: Dieser Wert ist der Fehlertyp.
- summary: Dieser Wert ist eine Zusammenfassung des Fehlers.
- detailed: Dieser Wert enthält eine ausführliche Beschreibung des Fehlers.
- recommendedActions: Diese Eigenschaft ist eine Sammlung von empfohlenen Maßnahmen.
  - actionText: Dieser Wert enthält die Beschreibung der erforderlichen Maßnahme.
  - actionUri: Dieser Wert enthält den URI zur Dokumentation der Maßnahme.
  - actionUriText: Dieser Wert gibt eine Kurzbeschreibung des Aktionstextes an.

Die folgenden Tabellen enthalten die verschiedenen verfügbaren Fehlertypen (ID unter den Ergebnissen der vorherigen Liste) und Informationen dazu, ob der Fehler Protokolle erstellt.

Gateway

Fehlertyp	`Reason`	Log
NoFault	Es wurde kein Fehler erkannt.	Ja
GatewayNotFound	Das Gateway kann nicht gefunden werden, oder es wurde nicht bereitgestellt	Nein
PlannedMaintenance	Die Gatewayinstanz wird zurzeit gewartet.	Nein
UserDrivenUpdate	Dieser Fehler tritt auf, wenn ein Benutzerupdate des Geräts durchgeführt wird. Das Update könnte z.B. eine Größenänderung sein.	Nein
VipUnResponsive	Dieser Fehler tritt auf, wenn die primäre Instanz des Gateways aufgrund eines Integritätstestfehlers nicht erreicht werden kann.	Nein
PlatformInActive	Es ist ein Problem mit der Plattform aufgetreten.	Nein
ServiceNotRunning	Der zugrunde liegende Dienst wird nicht ausgeführt.	Nein
NoConnectionsFoundForGateway	Es gibt keine Verbindungen auf dem Gateway. Dieser Fehler ist nur eine Warnung.	Nein
ConnectionsNotConnected	Verbindungen sind nicht verbunden. Dieser Fehler ist nur eine Warnung.	Ja
GatewayCPUUsageExceeded	Die aktuelle CPU-Auslastung auf dem Gateway liegt bei > 95 %.	Ja

Verbindung

Fehlertyp	`Reason`	Log
NoFault	Es wurde kein Fehler erkannt.	Ja
GatewayNotFound	Das Gateway kann nicht gefunden werden, oder es wurde nicht bereitgestellt	Nein
PlannedMaintenance	Die Gatewayinstanz wird zurzeit gewartet.	Nein
UserDrivenUpdate	Dieser Fehler tritt auf, wenn ein Benutzerupdate des Geräts durchgeführt wird. Das Update könnte z.B. eine Größenänderung sein.	Nein
VipUnResponsive	Dieser Fehler tritt auf, wenn die primäre Instanz des Gateways aufgrund eines Integritätstestfehlers nicht erreicht werden kann.	Nein
ConnectionEntityNotFound	Die Verbindungskonfiguration fehlt.	Nein
ConnectionIsMarkedDisconnected	Die Verbindung ist als „getrennt“ gekennzeichnet.	Nein
ConnectionNotConfiguredOnGateway	Für den zugrunde liegenden Dienst wurde die Verbindung nicht konfiguriert.	Ja
ConnectionMarkedStandby	Der zugrunde liegende Dienst ist als im Ruhezustand gekennzeichnet.	Ja
Authentifizierung	Der vorinstallierte Schlüssel stimmt nicht überein.	Ja
PeerReachability	Das Peergateway ist nicht erreichbar.	Ja
IkePolicyMismatch	Das Peergateway verfügt über IKE-Richtlinien, die von Azure nicht unterstützt werden.	Ja
WfpParse Error	Beim Analysieren des WFP-Protokolls ist ein Fehler aufgetreten.	Ja

Protokolldateien

Nach Abschluss der Problembehandlung werden die Protokolldateien zur Ressourcenproblembehandlung in einem Speicherkonto gespeichert. Die folgende Abbildung zeigt Beispielinhalte für einen Aufruf, der zu einem Fehler geführt hat.

Screenshot zeigt den Inhalt der heruntergeladenen gezippten Protokolldateien.

Hinweis

In einigen Fällen wird nur eine Teilmenge der Protokolldateien in den Speicher geschrieben.
Für neuere Gatewayversionen wurden die Dateien IkeErrors.txt, Scrubbed-wfpdiag.txt und wfpdiag.txt.sum durch eine Datei IkeLogs.txt ersetzt, welche die gesamte IKE-Aktivität (nicht nur Fehler) enthält.

Anweisungen zum Herunterladen von Dateien aus Azure-Speicherkonten finden Sie unter Herunterladen eines Blockblobs. Ein weiteres Tool, das verwendet werden kann, ist der Storage-Explorer. Informationen zu Azure Storage-Explorer finden Sie unter Verwenden von Azure Storage-Explorer zum Herunterladen von Blobs

ConnectionStats.txt

Die Datei ConnectionStats.txt enthält die gesamte Statistik der Verbindung, einschließlich der ein- und ausgehenden Bytes, des Verbindungsstatus und der Zeit, zu der die Verbindung hergestellt wurde.

Hinweis

Wenn der Aufruf der Problembehandlungs-API als Ergebnis die Integrität zurückgibt, ist der einzige Inhalt der zurückgegebenen ZIP-Datei die Datei ConnectionStats.txt.

Der Inhalt dieser Datei ähnelt folgendem Beispiel:

Connectivity State : Connected
Remote Tunnel Endpoint :
Ingress Bytes (since last connected) : 288 B
Egress Bytes (Since last connected) : 288 B
Connected Since : 2/1/2017 8:22:06 PM

CPUStats.txt

Die Datei CPUStats.txt enthält die CPU-Auslastung und den verfügbaren Arbeitsspeicher zum Zeitpunkt des Tests. Der Inhalt dieser Datei ähnelt folgendem Beispiel:

Current CPU Usage : 0 % Current Memory Available : 641 MBs

IKElogs.txt

Die Datei IKElogs.txt enthält alle IKE-Aktivitäten, die während der Überwachung festgestellt wurden.

Das folgende Beispiel zeigt den Inhalt einer IKElogs.txt-Datei.

Remote <IPaddress>:500: Local <IPaddress>:500: [RECEIVED][SA_AUTH] Received IKE AUTH message
Remote <IPaddress>:500: Local <IPaddress>:500: Received Traffic Selector payload request- [Tsid 0x729  ]Number of TSIs 2: StartAddress 10.20.0.0 EndAddress 10.20.255.255 PortStart 0 PortEnd 65535 Protocol 0, StartAddress 192.168.100.0 EndAddress 192.168.100.255 PortStart 0 PortEnd 65535 Protocol 0 Number of TSRs 1:StartAddress 0.0.0.0 EndAddress 255.255.255.255 PortStart 0 PortEnd 65535 Protocol 0
Remote <IPaddress>:500: Local <IPaddress>:500: [SEND] Proposed Traffic Selector payload will be (Final Negotiated) - [Tsid 0x729  ]Number of TSIs 2: StartAddress 10.20.0.0 EndAddress 10.20.255.255 PortStart 0 PortEnd 65535 Protocol 0, StartAddress 192.168.100.0 EndAddress 192.168.100.255 PortStart 0 PortEnd 65535 Protocol 0 Number of TSRs 1:StartAddress 0.0.0.0 EndAddress 255.255.255.255 PortStart 0 PortEnd 65535 Protocol 0
Remote <IPaddress>:500: Local <IPaddress>:500: [RECEIVED]Received IPSec payload: Policy1:Cipher=DESIntegrity=Md5
IkeCleanupQMNegotiation called with error 13868 and flags a
Remote <IPaddress>:500: Local <IPaddress>:500: [SEND][NOTIFY] Sending Notify Message - Policy Mismatch

IKEErrors.txt

Die Datei IKEErrors.txt enthält alle IKE-Fehler, die während der Überwachung gefunden wurden.

Das folgende Beispiel zeigt den Inhalt der Datei „IKEErrors.txt“. Ihre Fehler können je nach Problem unterschiedlich sein.

Error: Authentication failed. Check shared key. Check crypto. Check lifetimes. 
	 based on log : Peer failed with Windows error 13801(ERROR_IPSEC_IKE_AUTH_FAIL)
Error: On-prem device sent invalid payload. 
	 based on log : IkeFindPayloadInPacket failed with Windows error 13843(ERROR_IPSEC_IKE_INVALID_PAYLOAD)

Scrubbed-wfpdiag.txt

Die Protokolldatei Scrubbed-wfpdiag.txt enthält das WFP-Protokoll. Dieses Protokoll enthält die verloren gegangenen Pakete und die IKE-/AuthIP-Fehler.

Das folgende Beispiel zeigt den Inhalt der Datei „Scrubbed-wfpdiag.txt“. In diesem Beispiel war der vorgängig freigegebene Schlüssel einer Verbindung nicht korrekt, wie in der dritten Zeile von unten zu erkennen ist. Das folgende Beispiel ist ein Ausschnitt aus dem vollständigen Protokoll, da das Protokoll je nach Problem sehr lang werden kann.

...
[0]0368.03A4::02/02/2017-17:36:01.496 [ikeext] 3038|203.0.113.36| Deleted ICookie from the high priority thread pool list
[0]0368.03A4::02/02/2017-17:36:01.496 [ikeext] 3038|203.0.113.36| IKE diagnostic event:
[0]0368.03A4::02/02/2017-17:36:01.496 [ikeext] 3038|203.0.113.36| Event Header:
[0]0368.03A4::02/02/2017-17:36:01.496 [ikeext] 3038|203.0.113.36| Timestamp: 1601-01-01T00:00:00.000Z
[0]0368.03A4::02/02/2017-17:36:01.496 [ikeext] 3038|203.0.113.36| Flags: 0x00000106
[0]0368.03A4::02/02/2017-17:36:01.496 [ikeext] 3038|203.0.113.36| Local address field set
[0]0368.03A4::02/02/2017-17:36:01.496 [ikeext] 3038|203.0.113.36| Remote address field set
[0]0368.03A4::02/02/2017-17:36:01.496 [ikeext] 3038|203.0.113.36| IP version field set
[0]0368.03A4::02/02/2017-17:36:01.496 [ikeext] 3038|203.0.113.36| IP version: IPv4
[0]0368.03A4::02/02/2017-17:36:01.496 [ikeext] 3038|203.0.113.36| IP protocol: 0
[0]0368.03A4::02/02/2017-17:36:01.496 [ikeext] 3038|203.0.113.36| Local address: 203.0.113.92
[0]0368.03A4::02/02/2017-17:36:01.496 [ikeext] 3038|203.0.113.36| Remote address: 203.0.113.36
[0]0368.03A4::02/02/2017-17:36:01.496 [ikeext] 3038|203.0.113.36| Local Port: 0
[0]0368.03A4::02/02/2017-17:36:01.496 [ikeext] 3038|203.0.113.36| Remote Port: 0
[0]0368.03A4::02/02/2017-17:36:01.496 [ikeext] 3038|203.0.113.36| Application ID:
[0]0368.03A4::02/02/2017-17:36:01.496 [ikeext] 3038|203.0.113.36| User SID: <invalid>
[0]0368.03A4::02/02/2017-17:36:01.496 [ikeext] 3038|203.0.113.36| Failure type: IKE/Authip Main Mode Failure
[0]0368.03A4::02/02/2017-17:36:01.496 [ikeext] 3038|203.0.113.36| Type specific info:
[0]0368.03A4::02/02/2017-17:36:01.496 [ikeext] 3038|203.0.113.36| Failure error code:0x000035e9
[0]0368.03A4::02/02/2017-17:36:01.496 [ikeext] 3038|203.0.113.36| IKE authentication credentials are unacceptable
[0]0368.03A4::02/02/2017-17:36:01.496 [ikeext] 3038|203.0.113.36|
[0]0368.03A4::02/02/2017-17:36:01.496 [ikeext] 3038|203.0.113.36| Failure point: Remote
...

wfpdiag.txt.sum

Die Datei wfpdiag.txt.sum ist ein Protokoll mit den verarbeiteten Puffern und Ereignissen.

Das folgende Beispiel zeigt den Inhalt der Datei „wfpdiag.txt.sum“.

Files Processed:
	C:\Resources\directory\924336c47dd045d5a246c349b8ae57f2.GatewayTenantWorker.DiagnosticsStorage\2017-02-02T17-34-23\wfpdiag.etl
Total Buffers Processed 8
Total Events  Processed 2169
Total Events  Lost      0
Total Format  Errors    0
Total Formats Unknown   486
Elapsed Time            330 sec
+-----------------------------------------------------------------------------------+
|EventCount    EventName            EventType   TMF                                 |
+-----------------------------------------------------------------------------------+
|        36    ikeext               ike_addr_utils_c844  a0c064ca-d954-350a-8b2f-1a7464eef8b6|
|        12    ikeext               ike_addr_utils_c857  a0c064ca-d954-350a-8b2f-1a7464eef8b6|
|        96    ikeext               ike_addr_utils_c832  a0c064ca-d954-350a-8b2f-1a7464eef8b6|
|         6    ikeext               ike_bfe_callbacks_c133  1dc2d67f-8381-6303-e314-6c1452eeb529|
|         6    ikeext               ike_bfe_callbacks_c61  1dc2d67f-8381-6303-e314-6c1452eeb529|
|        12    ikeext               ike_sa_management_c5698  7857a320-42ee-6e90-d5d9-3f414e3ea2d3|
|         6    ikeext               ike_sa_management_c8447  7857a320-42ee-6e90-d5d9-3f414e3ea2d3|
|        12    ikeext               ike_sa_management_c494  7857a320-42ee-6e90-d5d9-3f414e3ea2d3|
|        12    ikeext               ike_sa_management_c642  7857a320-42ee-6e90-d5d9-3f414e3ea2d3|
|         6    ikeext               ike_sa_management_c3162  7857a320-42ee-6e90-d5d9-3f414e3ea2d3|
|        12    ikeext               ike_sa_management_c3307  7857a320-42ee-6e90-d5d9-3f414e3ea2d3|

Überlegungen

Es kann jeweils nur ein VPN-Problembehandlungsvorgang pro Abonnement ausgeführt werden. Warten Sie, bis der vorhandene VPN-Problembehandlungsvorgang beendet wurde, bevor Sie einen weiteren starten. Das Auslösen eines neuen Vorgangs, während ein vorheriger Vorgang nicht abgeschlossen wurde, führt dazu, dass die nachfolgenden Vorgänge fehlschlagen.
Wenn Sie Azure CLI verwenden, um den Befehl auszuführen, müssen sich das VPN Gateway und das Speicherkonto in derselben Ressourcengruppe befinden. Kunden mit den Ressourcen in verschiedenen Ressourcengruppen können stattdessen PowerShell oder das Azure-Portal verwenden.

Nächster Schritt

Diagnostizieren von Problemen mit der Kommunikation zwischen virtuellen Netzwerken

Zusätzliche Ressourcen

Dokumentation

Übersicht zur Paketerfassung - Azure Network Watcher

Erfahren Sie mehr über das Paketerfassungstool Azure Network Watcher, unterstützte Ressourcen, verfügbare Konfigurationen, Grenzwerte und Überlegungen.
Konfigurieren der Paketerfassung für VPN Gateways - Azure VPN Gateway

Erfahren Sie mehr über die Paketerfassungsfunktionen, die Sie für VPN Gateways verwenden können, um die Ursache eines Problems einzugrenzen.
Diagnose der lokalen VPN-Konnektivität mit Azure - Azure Network Watcher

Erfahren Sie, wie Sie die lokale VPN-Konnektivität mit Azure mithilfe des Azure Network Watcher VPN-Problembehandlungstools diagnostizieren.
Übersicht über nächsten Hop - Azure Network Watcher

Erfahren Sie mehr über die Azure Network Watcher-Funktion des nächsten Hops, die Sie zum Diagnostizieren von VM-Routingproblemen verwenden können.
Problembehandlung bei Azure VPN Gateway mithilfe von Diagnoseprotokollen

Hier erfahren Sie, wie Sie Probleme mit Azure VPN Gateway mithilfe von Diagnoseprotokollen beheben.
Verwalten der Paketerfassung - Azure Network Watcher

Hier erfahren Sie, wie Sie Azure-VM-Paketerfassungen mit dem Paketerfassungsfeature von Network Watcher starten, beenden, herunterladen und löschen.
Problembehandlung einer Azure S2S-VPN-Verbindung, die keine Verbindung herstellen kann - Azure VPN Gateway

In diesem Artikel erfahren Sie, wie Sie Probleme mit einer Site-to-Site-VPN-Verbindung behandeln, die plötzlich getrennt wird und nicht mehr hergestellt werden kann.
Geltende Sicherheitsregeln – Übersicht - Azure Network Watcher

Erfahren Sie mehr über das Azure Network Watcher-Feature für geltende Sicherheitsregeln, das Einblick in Sicherheits- und Administratorregeln bietet, die auf eine Netzwerkschnittstelle angewendet werden.

Training

Modul

Problembehandlung bei VPN-Gateways in Microsoft Azure - Training

Die Netzwerkkonfiguration und die Verwendung von virtuellen privaten Netzwerken (Virtual Private Networks, VPNs) sind ein wesentlicher Bestandteil für den Erfolg einer kooperativen Arbeit. In diesem Modul erfahren Sie, wie Sie Site-to-Site- und Point-to-Site-VPNs überwachen und damit zusammenhängende Probleme beheben können. AZ720 AZ-720 az-720 Networking

Freigeben über