Notes
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de vous connecter ou de modifier des répertoires.
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de modifier des répertoires.
Cet article traite des défaillances intermittentes qui se produisent lorsque vous essayez de vous connecter à une application Azure Services cloud (support étendu) à l’aide du protocole RDP (Remote Desktop Protocol).
Symptômes
Lorsque vous utilisez RDP pour essayer de vous connecter à Azure Services cloud (support étendu), vous recevez occasionnellement le message d’erreur suivant :
Connexion Bureau à distance
Cet ordinateur ne peut pas se connecter à l’ordinateur distant.
Réessayez de vous connecter. Si le problème persiste, contactez le propriétaire de l’ordinateur distant ou votre administrateur réseau.
Background
La session RDP se connecte à l’équilibreur de charge du locataire. L’équilibreur de charge peut ensuite se connecter à une instance de rôle cible à l’aide de l’une des méthodes suivantes :
Directement via le port 3389
Via le port 3389 vers une instance de rôle intermédiaire qui transfère ensuite la requête RDP via le port 20000 à l’instance de rôle cible
Cause
Pour Azure Services cloud (support étendu), les règles de trafic entrant du groupe de sécurité réseau (NSG) sont configurées pour autoriser uniquement la communication entrante via le port 3389. Ces règles n’autorisent pas la communication entre les instances de rôle via le port 20000. En raison de cette situation, la communication RDP réussit si l’équilibreur de charge achemine le trafic via la première méthode. Toutefois, elle échoue si l’équilibreur de charge tente d’acheminer le trafic via la deuxième méthode. Pour plus d’informations, consultez le trafic intra-sous-réseau NSG.
Pour afficher les règles de trafic entrant du groupe de sécurité réseau, procédez comme suit :
Dans le Portail Azure, recherchez et sélectionnez Groupes de sécurité réseau.
Dans la liste des groupes de sécurité réseau, sélectionnez le nom de votre groupe de sécurité réseau.
Dans le volet de menu de votre groupe de sécurité réseau, sélectionnez Règles de sécurité entrantes.
Le tableau suivant contient une liste d’exemples de règles de trafic entrant pour votre groupe de sécurité réseau connecté au service cloud qui provoquent les défaillances de connexion RDP intermittentes. La règle AllowLocalRDP a un nombre de priorité de 300. (Un numéro de priorité plus petit indique une plus grande importance.) Cette règle ouvre les ports 3389 et 20000 à vos adresses IP locales. La règle DenyAll n’autorise pas la communication interne entre différentes instances de rôle. Toutefois, elle a un nombre prioritaire de 400.
| Priorité | Nom | Port | Protocole | Source | Destination | Action |
|---|---|---|---|---|---|---|
| 200 | AllowLB | Quelconque | Quelconque | AzureLoadBalancer | Quelconque | Allow |
| 300 | AllowLocalRDP | 3389,20000 | TCP | 172.16.0.0 | 10.1.0.0/24 | Autoriser |
| 400 | DenyAll | Quelconque | Quelconque | Quelconque | Quelconque | Deny |
| 65 000 | AllowVnetInBound | Quelconque | Quelconque | VirtualNetwork | VirtualNetwork | Allow |
| 65 001 | AllowAzureLoadBalancerInBound | Quelconque | Quelconque | AzureLoadBalancer | Quelconque | Allow |
| 65 500 | DenyAllInBound | Quelconque | Quelconque | Quelconque | Quelconque | Deny |
Solution
Configurez les règles de trafic entrant du groupe de sécurité réseau (NSG) pour refléter le comportement suivant :
- Le port 3389 autorise la communication entre un ordinateur client et une instance de rôle.
- Le port 20000 autorise la communication entre les instances de rôle.
Le tableau suivant montre la liste mise à jour des exemples de règles de trafic entrant du groupe de sécurité réseau. La liste contient une nouvelle règle AllowInstances . Cette règle permet aux instances de rôle de communiquer via les ports 3389 et 20000 sur le protocole TCP à l’aide de la plage 10.1.0.0/24 d’adresses IP. Étant donné que la règle AllowInstances a un numéro de priorité de 350, elle est évaluée comme inférieure à la règle AllowLocalRDP , mais plus importante que la règle DenyAll .
| Priorité | Nom | Port | Protocole | Source | Destination | Action |
|---|---|---|---|---|---|---|
| 200 | AllowLB | Quelconque | Quelconque | AzureLoadBalancer | Quelconque | Allow |
| 300 | AllowLocalRDP | 3389,20000 | TCP | 172.16.0.0 | 10.1.0.0/24 | Autoriser |
| 350 | AllowInstances | 3389,20000 | TCP | 10.1.0.0/24 | 10.1.0.0/24 | Autoriser |
| 400 | DenyAll | Quelconque | Quelconque | Quelconque | Quelconque | Deny |
| 65 000 | AllowVnetInBound | Quelconque | Quelconque | VirtualNetwork | VirtualNetwork | Allow |
| 65 001 | AllowAzureLoadBalancerInBound | Quelconque | Quelconque | AzureLoadBalancer | Quelconque | Allow |
| 65 500 | DenyAllInBound | Quelconque | Quelconque | Quelconque | Quelconque | Deny |
Contactez-nous pour obtenir de l’aide
Pour toute demande ou assistance, créez une demande de support ou posez une question au support de la communauté Azure. Vous pouvez également soumettre des commentaires sur les produits à la communauté de commentaires Azure.