A VPN hibaelhárításának áttekintése

  • Cikk

A virtuális hálózati átjárók kapcsolatot biztosítanak a helyszíni erőforrások és az Azure Virtual Networks között. A virtuális hálózati átjárók és kapcsolataik monitorozása kritikus fontosságú annak biztosítása érdekében, hogy a kommunikáció ne legyen megszakadva. Az Azure Network Watcher lehetővé teszi a virtuális hálózati átjárók és azok kapcsolatainak hibaelhárítását. A funkció az Azure Portalon, az Azure PowerShellen, az Azure CLI-vel vagy a REST API-val hívható meg. Hívás esetén a Network Watcher diagnosztizálja az átjáró vagy a kapcsolat állapotát, és visszaadja a megfelelő eredményeket. A kérés egy hosszú ideig futó tranzakció. Az eredmények a diagnózis befejezése után lesznek visszaadva.

Screenshot of Azure Network Watcher VPN troubleshoot in the Azure portal.

Támogatott átjárótípusok

Az alábbi táblázat felsorolja, hogy mely átjárók és kapcsolatok támogatottak a Network Watcher hibaelhárításával:

Átjáró vagy kapcsolat Támogatott
Átjárótípusok
VPN Támogatott
ExpressRoute Nem támogatott
VPN-típusok
Útvonalalapú Támogatott
Szabályzatalapú Nem támogatott
Csatlakozás ion-típusok
IPsec Támogatott
VNet2VNet Támogatott
ExpressRoute Nem támogatott
VPNClient Nem támogatott

EREDMÉNY

A visszaadott előzetes eredmények átfogó képet adnak az erőforrás állapotáról. Az erőforrásokról részletesebb információkat az alábbi szakaszban talál:

Az alábbi lista a hibaelhárítási API-val visszaadott értékeket tartalmazza:

  • startTime – Ez az érték a hibaelhárítási API-hívás indításának időpontja.
  • endTime – Ez az az idő, amikor a hibaelhárítás befejeződött.
  • kód – Ez az érték nem kifogástalan, ha egyetlen diagnózishiba áll fenn.
  • eredmények – Az eredmények a Csatlakozás vagy a virtuális hálózati átjárón visszaadott eredmények gyűjteménye.
    • id – Ez az érték a hiba típusa.
    • összegzés – Ez az érték a hiba összegzése.
    • részletes – Ez az érték a hiba részletes leírását tartalmazza.
    • recommendedActions – Ez a tulajdonság az ajánlott műveletek gyűjteménye.
      • actionText – Ez az érték a végrehajtandó műveletet leíró szöveget tartalmazza.
      • actionUri – Ez az érték biztosítja az URI-t a működéssel kapcsolatos dokumentációhoz.
      • actionUriText – Ez az érték a művelet szövegének rövid leírása.

Az alábbi táblázatok az elérhető különböző hibatípusokat (az előző lista eredményei alatt található azonosítót ) mutatják be, és ha a hiba naplókat hoz létre.

Gateway

Hibatípus Ok Napló
NoFault Ha nem észlelhető hiba Igen
GatewayNotFound Nem található az átjáró vagy az átjáró nincs kiépítve Nem
PlannedMaintenance Az átjárópéldány karbantartás alatt áll Nem
UserDrivenUpdate Ez a hiba akkor lép fel, ha felhasználói frissítés van folyamatban. A frissítés lehet átméretezési művelet. Nem
VipUnResponsive Ez a hiba akkor jelentkezik, ha az átjáró elsődleges példánya az állapotadat-mintavétel hibája miatt nem elérhető. Nem
PlatformInActive A platformmal kapcsolatos probléma áll fenn. Nem
ServiceNotRunning A mögöttes szolgáltatás nem fut. Nem
Nem Csatlakozás ionsFoundForGateway Az átjárón nincs kapcsolat. Ez a hiba csak figyelmeztetés. Nem
Csatlakozás ionsNot Csatlakozás ed Csatlakozás nem csatlakoznak. Ez a hiba csak figyelmeztetés. Igen
GatewayCPUUsageExceeded Az átjáró aktuális processzorhasználata > 95%. Igen

Kapcsolat

Hibatípus Ok Napló
NoFault Ha nem észlelhető hiba Igen
GatewayNotFound Nem található az átjáró vagy az átjáró nincs kiépítve Nem
PlannedMaintenance Az átjárópéldány karbantartás alatt áll Nem
UserDrivenUpdate Ez a hiba akkor lép fel, ha felhasználói frissítés van folyamatban. A frissítés lehet átméretezési művelet. Nem
VipUnResponsive Ez a hiba akkor jelentkezik, ha az átjáró elsődleges példánya az állapotadat-mintavétel hibája miatt nem elérhető. Nem
Csatlakozás ionEntityNotFound hiányzik a Csatlakozás ion-konfiguráció Nem
Csatlakozás ionIsMarkedDisconnected A kapcsolat "leválasztva" jelöléssel van el jelölve Nem
Csatlakozás ionNotConfiguredOnGateway A mögöttes szolgáltatáshoz nincs konfigurálva a kapcsolat. Igen
Csatlakozás ionMarkedStandby A mögöttes szolgáltatás készenlétiként van megjelölve. Igen
Authentication Az előmegosztott kulcs eltérése Igen
PeerReachability A társátjáró nem érhető el. Igen
IkePolicyMismatch A társátjáró olyan IKE-szabályzatokkal rendelkezik, amelyeket az Azure nem támogat. Igen
WfpParse hiba Hiba történt a WFP-napló elemzésekor. Igen

Naplófájlok

Az erőforrás-hibaelhárítási naplófájlok tárolása egy tárfiókban történik az erőforrás-hibaelhárítás befejezése után. Az alábbi képen egy olyan hívás mintatartalma látható, amely hibát eredményezett.

Screenshot shows the content of the downloaded zipped log files.

Megjegyzés:

  1. Bizonyos esetekben a rendszer csak a naplófájlok egy részhalmazát írja a tárolóba.
  2. Az újabb átjáróverziók esetében az IkeErrors.txt, a Scrubbed-wfpdiag.txt és a wfpdiag.txt.sum fájl helyébe egy olyan IkeLogs.txt fájl került, amely a teljes IKE-tevékenységet tartalmazza (nem csak hibákat).

A fájlok Azure Storage-fiókokból való letöltésével kapcsolatos utasításokért lásd : Blokkblob letöltése. Egy másik használható eszköz a Storage Explorer. További információ az Azure Storage Explorerről: Blobok letöltése az Azure Storage Explorerrel

Csatlakozás ionStats.txt

A Csatlakozás ionStats.txt fájl a Csatlakozás általános statisztikáit tartalmazza, beleértve a bejövő és kimenő bájtokat, a Csatlakozás ion állapotát és a Csatlakozás ion létrehozásának idejét.

Megjegyzés:

Ha a hibaelhárítási API hívása kifogástalan állapotba kerül, a zip-fájlban csak egy Csatlakozás ionStats.txt fájl található.

A fájl tartalma a következő példához hasonló:

Connectivity State : Connected
Remote Tunnel Endpoint :
Ingress Bytes (since last connected) : 288 B
Egress Bytes (Since last connected) : 288 B
Connected Since : 2/1/2017 8:22:06 PM

CPUStats.txt

A CPUStats.txt fájl a teszteléskor rendelkezésre álló processzorhasználatot és memóriát tartalmazza. A fájl tartalma hasonló a következő példához:

Current CPU Usage : 0 % Current Memory Available : 641 MBs

IKElogs.txt

Az IKElogs.txt fájl tartalmazza a figyelés során talált IKE-tevékenységeket.

Az alábbi példa egy IKElogs.txt fájl tartalmát mutatja be.

Remote <IPaddress>:500: Local <IPaddress>:500: [RECEIVED][SA_AUTH] Received IKE AUTH message
Remote <IPaddress>:500: Local <IPaddress>:500: Received Traffic Selector payload request- [Tsid 0x729  ]Number of TSIs 2: StartAddress 10.20.0.0 EndAddress 10.20.255.255 PortStart 0 PortEnd 65535 Protocol 0, StartAddress 192.168.100.0 EndAddress 192.168.100.255 PortStart 0 PortEnd 65535 Protocol 0 Number of TSRs 1:StartAddress 0.0.0.0 EndAddress 255.255.255.255 PortStart 0 PortEnd 65535 Protocol 0
Remote <IPaddress>:500: Local <IPaddress>:500: [SEND] Proposed Traffic Selector payload will be (Final Negotiated) - [Tsid 0x729  ]Number of TSIs 2: StartAddress 10.20.0.0 EndAddress 10.20.255.255 PortStart 0 PortEnd 65535 Protocol 0, StartAddress 192.168.100.0 EndAddress 192.168.100.255 PortStart 0 PortEnd 65535 Protocol 0 Number of TSRs 1:StartAddress 0.0.0.0 EndAddress 255.255.255.255 PortStart 0 PortEnd 65535 Protocol 0
Remote <IPaddress>:500: Local <IPaddress>:500: [RECEIVED]Received IPSec payload: Policy1:Cipher=DESIntegrity=Md5
IkeCleanupQMNegotiation called with error 13868 and flags a
Remote <IPaddress>:500: Local <IPaddress>:500: [SEND][NOTIFY] Sending Notify Message - Policy Mismatch

IK Enterprise kiadás rrors.txt

Az IK Enterprise kiadás rrors.txt fájl tartalmazza a figyelés során észlelt IKE-hibákat.

Az alábbi példa egy IK Enterprise kiadás rrors.txt fájl tartalmát mutatja be. A hibák a problémától függően eltérőek lehetnek.

Error: Authentication failed. Check shared key. Check crypto. Check lifetimes. 
	 based on log : Peer failed with Windows error 13801(ERROR_IPSEC_IKE_AUTH_FAIL)
Error: On-prem device sent invalid payload. 
	 based on log : IkeFindPayloadInPacket failed with Windows error 13843(ERROR_IPSEC_IKE_INVALID_PAYLOAD)

Scrubbed-wfpdiag.txt

A Scrubbed-wfpdiag.txt naplófájl tartalmazza a wfp naplót. Ez a napló tartalmazza a csomagok elvetésének naplózását és az IKE/AuthIP-hibák naplózását.

Az alábbi példa a Scrubbed-wfpdiag.txt fájl tartalmát mutatja be. Ebben a példában egy Csatlakozás ion előre megosztott kulcsa nem volt helyes, ahogy az alulról a harmadik sorból látható. Az alábbi példa csak a teljes napló egy részlete, mivel a napló hosszadalmas lehet a probléma függvényében.

...
[0]0368.03A4::02/02/2017-17:36:01.496 [ikeext] 3038|52.161.24.36|Deleted ICookie from the high priority thread pool list
[0]0368.03A4::02/02/2017-17:36:01.496 [ikeext] 3038|52.161.24.36|IKE diagnostic event:
[0]0368.03A4::02/02/2017-17:36:01.496 [ikeext] 3038|52.161.24.36|Event Header:
[0]0368.03A4::02/02/2017-17:36:01.496 [ikeext] 3038|52.161.24.36|  Timestamp: 1601-01-01T00:00:00.000Z
[0]0368.03A4::02/02/2017-17:36:01.496 [ikeext] 3038|52.161.24.36|  Flags: 0x00000106
[0]0368.03A4::02/02/2017-17:36:01.496 [ikeext] 3038|52.161.24.36|    Local address field set
[0]0368.03A4::02/02/2017-17:36:01.496 [ikeext] 3038|52.161.24.36|    Remote address field set
[0]0368.03A4::02/02/2017-17:36:01.496 [ikeext] 3038|52.161.24.36|    IP version field set
[0]0368.03A4::02/02/2017-17:36:01.496 [ikeext] 3038|52.161.24.36|  IP version: IPv4
[0]0368.03A4::02/02/2017-17:36:01.496 [ikeext] 3038|52.161.24.36|  IP protocol: 0
[0]0368.03A4::02/02/2017-17:36:01.496 [ikeext] 3038|52.161.24.36|  Local address: 13.78.238.92
[0]0368.03A4::02/02/2017-17:36:01.496 [ikeext] 3038|52.161.24.36|  Remote address: 52.161.24.36
[0]0368.03A4::02/02/2017-17:36:01.496 [ikeext] 3038|52.161.24.36|  Local Port: 0
[0]0368.03A4::02/02/2017-17:36:01.496 [ikeext] 3038|52.161.24.36|  Remote Port: 0
[0]0368.03A4::02/02/2017-17:36:01.496 [ikeext] 3038|52.161.24.36|  Application ID:
[0]0368.03A4::02/02/2017-17:36:01.496 [ikeext] 3038|52.161.24.36|  User SID: <invalid>
[0]0368.03A4::02/02/2017-17:36:01.496 [ikeext] 3038|52.161.24.36|Failure type: IKE/Authip Main Mode Failure
[0]0368.03A4::02/02/2017-17:36:01.496 [ikeext] 3038|52.161.24.36|Type specific info:
[0]0368.03A4::02/02/2017-17:36:01.496 [ikeext] 3038|52.161.24.36|  Failure error code:0x000035e9
[0]0368.03A4::02/02/2017-17:36:01.496 [ikeext] 3038|52.161.24.36|    IKE authentication credentials are unacceptable
[0]0368.03A4::02/02/2017-17:36:01.496 [ikeext] 3038|52.161.24.36|
[0]0368.03A4::02/02/2017-17:36:01.496 [ikeext] 3038|52.161.24.36|  Failure point: Remote
...

wfpdiag.txt.sum

A wfpdiag.txt.sum fájl egy napló, amely a feldolgozott puffereket és eseményeket mutatja.

Az alábbi példa egy wfpdiag.txt.sum fájl tartalmát szemlélteti.

Files Processed:
	C:\Resources\directory\924336c47dd045d5a246c349b8ae57f2.GatewayTenantWorker.DiagnosticsStorage\2017-02-02T17-34-23\wfpdiag.etl
Total Buffers Processed 8
Total Events  Processed 2169
Total Events  Lost      0
Total Format  Errors    0
Total Formats Unknown   486
Elapsed Time            330 sec
+-----------------------------------------------------------------------------------+
|EventCount    EventName            EventType   TMF                                 |
+-----------------------------------------------------------------------------------+
|        36    ikeext               ike_addr_utils_c844  a0c064ca-d954-350a-8b2f-1a7464eef8b6|
|        12    ikeext               ike_addr_utils_c857  a0c064ca-d954-350a-8b2f-1a7464eef8b6|
|        96    ikeext               ike_addr_utils_c832  a0c064ca-d954-350a-8b2f-1a7464eef8b6|
|         6    ikeext               ike_bfe_callbacks_c133  1dc2d67f-8381-6303-e314-6c1452eeb529|
|         6    ikeext               ike_bfe_callbacks_c61  1dc2d67f-8381-6303-e314-6c1452eeb529|
|        12    ikeext               ike_sa_management_c5698  7857a320-42ee-6e90-d5d9-3f414e3ea2d3|
|         6    ikeext               ike_sa_management_c8447  7857a320-42ee-6e90-d5d9-3f414e3ea2d3|
|        12    ikeext               ike_sa_management_c494  7857a320-42ee-6e90-d5d9-3f414e3ea2d3|
|        12    ikeext               ike_sa_management_c642  7857a320-42ee-6e90-d5d9-3f414e3ea2d3|
|         6    ikeext               ike_sa_management_c3162  7857a320-42ee-6e90-d5d9-3f414e3ea2d3|
|        12    ikeext               ike_sa_management_c3307  7857a320-42ee-6e90-d5d9-3f414e3ea2d3|

Considerations

  • Előfizetésenként egyszerre csak egy VPN-hibaelhárítási művelet futtatható. Egy másik VPN-hibaelhárítási művelet futtatásához várja meg, amíg az előző befejeződik. Ha egy új műveletet aktivál, miközben az előző még nem fejeződött be, a következő műveletek meghiúsulnak.
  • CLI-hiba: Ha az Azure CLI-t használja a parancs futtatásához, a VPN Gatewaynek és a Storage-fióknak ugyanabban az erőforráscsoportban kell lennie. A különböző erőforráscsoportokban lévő erőforrásokkal rendelkező ügyfelek használhatják helyette a PowerShellt vagy az Azure Portalt.

Következő lépés

A virtuális hálózati átjáróval vagy átjárókapcsolattal kapcsolatos problémák diagnosztizálásához tekintse meg a virtuális hálózatok közötti kommunikációs problémák diagnosztizálása című témakört.