A VPN hibaelhárításának áttekintése
A virtuális hálózati átjárók kapcsolatot biztosítanak a helyszíni erőforrások és az Azure Virtual Networks között. A virtuális hálózati átjárók és kapcsolataik monitorozása kritikus fontosságú annak biztosítása érdekében, hogy a kommunikáció ne legyen megszakadva. Az Azure Network Watcher lehetővé teszi a virtuális hálózati átjárók és azok kapcsolatainak hibaelhárítását. A funkció az Azure Portalon, az Azure PowerShellen, az Azure CLI-vel vagy a REST API-val hívható meg. Hívás esetén a Network Watcher diagnosztizálja az átjáró vagy a kapcsolat állapotát, és visszaadja a megfelelő eredményeket. A kérés egy hosszú ideig futó tranzakció. Az eredmények a diagnózis befejezése után lesznek visszaadva.
Támogatott átjárótípusok
Az alábbi táblázat felsorolja, hogy mely átjárók és kapcsolatok támogatottak a Network Watcher hibaelhárításával:
Átjáró vagy kapcsolat | Támogatott |
---|---|
Átjárótípusok | |
VPN | Támogatott |
ExpressRoute | Nem támogatott |
VPN-típusok | |
Útvonalalapú | Támogatott |
Szabályzatalapú | Nem támogatott |
Csatlakozás ion-típusok | |
IPsec | Támogatott |
VNet2VNet | Támogatott |
ExpressRoute | Nem támogatott |
VPNClient | Nem támogatott |
EREDMÉNY
A visszaadott előzetes eredmények átfogó képet adnak az erőforrás állapotáról. Az erőforrásokról részletesebb információkat az alábbi szakaszban talál:
Az alábbi lista a hibaelhárítási API-val visszaadott értékeket tartalmazza:
- startTime – Ez az érték a hibaelhárítási API-hívás indításának időpontja.
- endTime – Ez az az idő, amikor a hibaelhárítás befejeződött.
- kód – Ez az érték nem kifogástalan, ha egyetlen diagnózishiba áll fenn.
- eredmények – Az eredmények a Csatlakozás vagy a virtuális hálózati átjárón visszaadott eredmények gyűjteménye.
- id – Ez az érték a hiba típusa.
- összegzés – Ez az érték a hiba összegzése.
- részletes – Ez az érték a hiba részletes leírását tartalmazza.
- recommendedActions – Ez a tulajdonság az ajánlott műveletek gyűjteménye.
- actionText – Ez az érték a végrehajtandó műveletet leíró szöveget tartalmazza.
- actionUri – Ez az érték biztosítja az URI-t a működéssel kapcsolatos dokumentációhoz.
- actionUriText – Ez az érték a művelet szövegének rövid leírása.
Az alábbi táblázatok az elérhető különböző hibatípusokat (az előző lista eredményei alatt található azonosítót ) mutatják be, és ha a hiba naplókat hoz létre.
Gateway
Hibatípus | Ok | Napló |
---|---|---|
NoFault | Ha nem észlelhető hiba | Igen |
GatewayNotFound | Nem található az átjáró vagy az átjáró nincs kiépítve | Nem |
PlannedMaintenance | Az átjárópéldány karbantartás alatt áll | Nem |
UserDrivenUpdate | Ez a hiba akkor lép fel, ha felhasználói frissítés van folyamatban. A frissítés lehet átméretezési művelet. | Nem |
VipUnResponsive | Ez a hiba akkor jelentkezik, ha az átjáró elsődleges példánya az állapotadat-mintavétel hibája miatt nem elérhető. | Nem |
PlatformInActive | A platformmal kapcsolatos probléma áll fenn. | Nem |
ServiceNotRunning | A mögöttes szolgáltatás nem fut. | Nem |
Nem Csatlakozás ionsFoundForGateway | Az átjárón nincs kapcsolat. Ez a hiba csak figyelmeztetés. | Nem |
Csatlakozás ionsNot Csatlakozás ed | Csatlakozás nem csatlakoznak. Ez a hiba csak figyelmeztetés. | Igen |
GatewayCPUUsageExceeded | Az átjáró aktuális processzorhasználata > 95%. | Igen |
Kapcsolat
Hibatípus | Ok | Napló |
---|---|---|
NoFault | Ha nem észlelhető hiba | Igen |
GatewayNotFound | Nem található az átjáró vagy az átjáró nincs kiépítve | Nem |
PlannedMaintenance | Az átjárópéldány karbantartás alatt áll | Nem |
UserDrivenUpdate | Ez a hiba akkor lép fel, ha felhasználói frissítés van folyamatban. A frissítés lehet átméretezési művelet. | Nem |
VipUnResponsive | Ez a hiba akkor jelentkezik, ha az átjáró elsődleges példánya az állapotadat-mintavétel hibája miatt nem elérhető. | Nem |
Csatlakozás ionEntityNotFound | hiányzik a Csatlakozás ion-konfiguráció | Nem |
Csatlakozás ionIsMarkedDisconnected | A kapcsolat "leválasztva" jelöléssel van el jelölve | Nem |
Csatlakozás ionNotConfiguredOnGateway | A mögöttes szolgáltatáshoz nincs konfigurálva a kapcsolat. | Igen |
Csatlakozás ionMarkedStandby | A mögöttes szolgáltatás készenlétiként van megjelölve. | Igen |
Authentication | Az előmegosztott kulcs eltérése | Igen |
PeerReachability | A társátjáró nem érhető el. | Igen |
IkePolicyMismatch | A társátjáró olyan IKE-szabályzatokkal rendelkezik, amelyeket az Azure nem támogat. | Igen |
WfpParse hiba | Hiba történt a WFP-napló elemzésekor. | Igen |
Naplófájlok
Az erőforrás-hibaelhárítási naplófájlok tárolása egy tárfiókban történik az erőforrás-hibaelhárítás befejezése után. Az alábbi képen egy olyan hívás mintatartalma látható, amely hibát eredményezett.
Megjegyzés:
- Bizonyos esetekben a rendszer csak a naplófájlok egy részhalmazát írja a tárolóba.
- Az újabb átjáróverziók esetében az IkeErrors.txt, a Scrubbed-wfpdiag.txt és a wfpdiag.txt.sum fájl helyébe egy olyan IkeLogs.txt fájl került, amely a teljes IKE-tevékenységet tartalmazza (nem csak hibákat).
A fájlok Azure Storage-fiókokból való letöltésével kapcsolatos utasításokért lásd : Blokkblob letöltése. Egy másik használható eszköz a Storage Explorer. További információ az Azure Storage Explorerről: Blobok letöltése az Azure Storage Explorerrel
Csatlakozás ionStats.txt
A Csatlakozás ionStats.txt fájl a Csatlakozás általános statisztikáit tartalmazza, beleértve a bejövő és kimenő bájtokat, a Csatlakozás ion állapotát és a Csatlakozás ion létrehozásának idejét.
Megjegyzés:
Ha a hibaelhárítási API hívása kifogástalan állapotba kerül, a zip-fájlban csak egy Csatlakozás ionStats.txt fájl található.
A fájl tartalma a következő példához hasonló:
Connectivity State : Connected
Remote Tunnel Endpoint :
Ingress Bytes (since last connected) : 288 B
Egress Bytes (Since last connected) : 288 B
Connected Since : 2/1/2017 8:22:06 PM
CPUStats.txt
A CPUStats.txt fájl a teszteléskor rendelkezésre álló processzorhasználatot és memóriát tartalmazza. A fájl tartalma hasonló a következő példához:
Current CPU Usage : 0 % Current Memory Available : 641 MBs
IKElogs.txt
Az IKElogs.txt fájl tartalmazza a figyelés során talált IKE-tevékenységeket.
Az alábbi példa egy IKElogs.txt fájl tartalmát mutatja be.
Remote <IPaddress>:500: Local <IPaddress>:500: [RECEIVED][SA_AUTH] Received IKE AUTH message
Remote <IPaddress>:500: Local <IPaddress>:500: Received Traffic Selector payload request- [Tsid 0x729 ]Number of TSIs 2: StartAddress 10.20.0.0 EndAddress 10.20.255.255 PortStart 0 PortEnd 65535 Protocol 0, StartAddress 192.168.100.0 EndAddress 192.168.100.255 PortStart 0 PortEnd 65535 Protocol 0 Number of TSRs 1:StartAddress 0.0.0.0 EndAddress 255.255.255.255 PortStart 0 PortEnd 65535 Protocol 0
Remote <IPaddress>:500: Local <IPaddress>:500: [SEND] Proposed Traffic Selector payload will be (Final Negotiated) - [Tsid 0x729 ]Number of TSIs 2: StartAddress 10.20.0.0 EndAddress 10.20.255.255 PortStart 0 PortEnd 65535 Protocol 0, StartAddress 192.168.100.0 EndAddress 192.168.100.255 PortStart 0 PortEnd 65535 Protocol 0 Number of TSRs 1:StartAddress 0.0.0.0 EndAddress 255.255.255.255 PortStart 0 PortEnd 65535 Protocol 0
Remote <IPaddress>:500: Local <IPaddress>:500: [RECEIVED]Received IPSec payload: Policy1:Cipher=DESIntegrity=Md5
IkeCleanupQMNegotiation called with error 13868 and flags a
Remote <IPaddress>:500: Local <IPaddress>:500: [SEND][NOTIFY] Sending Notify Message - Policy Mismatch
IK Enterprise kiadás rrors.txt
Az IK Enterprise kiadás rrors.txt fájl tartalmazza a figyelés során észlelt IKE-hibákat.
Az alábbi példa egy IK Enterprise kiadás rrors.txt fájl tartalmát mutatja be. A hibák a problémától függően eltérőek lehetnek.
Error: Authentication failed. Check shared key. Check crypto. Check lifetimes.
based on log : Peer failed with Windows error 13801(ERROR_IPSEC_IKE_AUTH_FAIL)
Error: On-prem device sent invalid payload.
based on log : IkeFindPayloadInPacket failed with Windows error 13843(ERROR_IPSEC_IKE_INVALID_PAYLOAD)
Scrubbed-wfpdiag.txt
A Scrubbed-wfpdiag.txt naplófájl tartalmazza a wfp naplót. Ez a napló tartalmazza a csomagok elvetésének naplózását és az IKE/AuthIP-hibák naplózását.
Az alábbi példa a Scrubbed-wfpdiag.txt fájl tartalmát mutatja be. Ebben a példában egy Csatlakozás ion előre megosztott kulcsa nem volt helyes, ahogy az alulról a harmadik sorból látható. Az alábbi példa csak a teljes napló egy részlete, mivel a napló hosszadalmas lehet a probléma függvényében.
...
[0]0368.03A4::02/02/2017-17:36:01.496 [ikeext] 3038|52.161.24.36|Deleted ICookie from the high priority thread pool list
[0]0368.03A4::02/02/2017-17:36:01.496 [ikeext] 3038|52.161.24.36|IKE diagnostic event:
[0]0368.03A4::02/02/2017-17:36:01.496 [ikeext] 3038|52.161.24.36|Event Header:
[0]0368.03A4::02/02/2017-17:36:01.496 [ikeext] 3038|52.161.24.36| Timestamp: 1601-01-01T00:00:00.000Z
[0]0368.03A4::02/02/2017-17:36:01.496 [ikeext] 3038|52.161.24.36| Flags: 0x00000106
[0]0368.03A4::02/02/2017-17:36:01.496 [ikeext] 3038|52.161.24.36| Local address field set
[0]0368.03A4::02/02/2017-17:36:01.496 [ikeext] 3038|52.161.24.36| Remote address field set
[0]0368.03A4::02/02/2017-17:36:01.496 [ikeext] 3038|52.161.24.36| IP version field set
[0]0368.03A4::02/02/2017-17:36:01.496 [ikeext] 3038|52.161.24.36| IP version: IPv4
[0]0368.03A4::02/02/2017-17:36:01.496 [ikeext] 3038|52.161.24.36| IP protocol: 0
[0]0368.03A4::02/02/2017-17:36:01.496 [ikeext] 3038|52.161.24.36| Local address: 13.78.238.92
[0]0368.03A4::02/02/2017-17:36:01.496 [ikeext] 3038|52.161.24.36| Remote address: 52.161.24.36
[0]0368.03A4::02/02/2017-17:36:01.496 [ikeext] 3038|52.161.24.36| Local Port: 0
[0]0368.03A4::02/02/2017-17:36:01.496 [ikeext] 3038|52.161.24.36| Remote Port: 0
[0]0368.03A4::02/02/2017-17:36:01.496 [ikeext] 3038|52.161.24.36| Application ID:
[0]0368.03A4::02/02/2017-17:36:01.496 [ikeext] 3038|52.161.24.36| User SID: <invalid>
[0]0368.03A4::02/02/2017-17:36:01.496 [ikeext] 3038|52.161.24.36|Failure type: IKE/Authip Main Mode Failure
[0]0368.03A4::02/02/2017-17:36:01.496 [ikeext] 3038|52.161.24.36|Type specific info:
[0]0368.03A4::02/02/2017-17:36:01.496 [ikeext] 3038|52.161.24.36| Failure error code:0x000035e9
[0]0368.03A4::02/02/2017-17:36:01.496 [ikeext] 3038|52.161.24.36| IKE authentication credentials are unacceptable
[0]0368.03A4::02/02/2017-17:36:01.496 [ikeext] 3038|52.161.24.36|
[0]0368.03A4::02/02/2017-17:36:01.496 [ikeext] 3038|52.161.24.36| Failure point: Remote
...
wfpdiag.txt.sum
A wfpdiag.txt.sum fájl egy napló, amely a feldolgozott puffereket és eseményeket mutatja.
Az alábbi példa egy wfpdiag.txt.sum fájl tartalmát szemlélteti.
Files Processed:
C:\Resources\directory\924336c47dd045d5a246c349b8ae57f2.GatewayTenantWorker.DiagnosticsStorage\2017-02-02T17-34-23\wfpdiag.etl
Total Buffers Processed 8
Total Events Processed 2169
Total Events Lost 0
Total Format Errors 0
Total Formats Unknown 486
Elapsed Time 330 sec
+-----------------------------------------------------------------------------------+
|EventCount EventName EventType TMF |
+-----------------------------------------------------------------------------------+
| 36 ikeext ike_addr_utils_c844 a0c064ca-d954-350a-8b2f-1a7464eef8b6|
| 12 ikeext ike_addr_utils_c857 a0c064ca-d954-350a-8b2f-1a7464eef8b6|
| 96 ikeext ike_addr_utils_c832 a0c064ca-d954-350a-8b2f-1a7464eef8b6|
| 6 ikeext ike_bfe_callbacks_c133 1dc2d67f-8381-6303-e314-6c1452eeb529|
| 6 ikeext ike_bfe_callbacks_c61 1dc2d67f-8381-6303-e314-6c1452eeb529|
| 12 ikeext ike_sa_management_c5698 7857a320-42ee-6e90-d5d9-3f414e3ea2d3|
| 6 ikeext ike_sa_management_c8447 7857a320-42ee-6e90-d5d9-3f414e3ea2d3|
| 12 ikeext ike_sa_management_c494 7857a320-42ee-6e90-d5d9-3f414e3ea2d3|
| 12 ikeext ike_sa_management_c642 7857a320-42ee-6e90-d5d9-3f414e3ea2d3|
| 6 ikeext ike_sa_management_c3162 7857a320-42ee-6e90-d5d9-3f414e3ea2d3|
| 12 ikeext ike_sa_management_c3307 7857a320-42ee-6e90-d5d9-3f414e3ea2d3|
Considerations
- Előfizetésenként egyszerre csak egy VPN-hibaelhárítási művelet futtatható. Egy másik VPN-hibaelhárítási művelet futtatásához várja meg, amíg az előző befejeződik. Ha egy új műveletet aktivál, miközben az előző még nem fejeződött be, a következő műveletek meghiúsulnak.
- CLI-hiba: Ha az Azure CLI-t használja a parancs futtatásához, a VPN Gatewaynek és a Storage-fióknak ugyanabban az erőforráscsoportban kell lennie. A különböző erőforráscsoportokban lévő erőforrásokkal rendelkező ügyfelek használhatják helyette a PowerShellt vagy az Azure Portalt.
Következő lépés
A virtuális hálózati átjáróval vagy átjárókapcsolattal kapcsolatos problémák diagnosztizálásához tekintse meg a virtuális hálózatok közötti kommunikációs problémák diagnosztizálása című témakört.