Gambaran umum pemecahan masalah VPN
Gateway jaringan virtual menyediakan konektivitas antara sumber daya lokal dan Azure Virtual Networks. Memantau gateway jaringan virtual dan koneksinya sangat penting untuk memastikan komunikasi tidak rusak. Azure Network Watcher menyediakan kemampuan untuk memecahkan masalah gateway jaringan virtual dan koneksinya. Kemampuan ini dapat dipanggil melalui portal Azure, Azure PowerShell, Azure CLI, atau REST API. Saat digunakan, Network Watcher mendiagnosis kesehatan gateway atau koneksi, dan menampilkan hasil yang sesuai. Permintaan berupa transaksi yang berjalan lama. Hasil ini ditampilkan saat diagnosis selesai.
Jenis Gateway yang didukung
Tabel berikut ini mencantumkan gateway dan koneksi yang didukung dengan pemecahan masalah Network Watcher:
| Gateway atau koneksi | Didukung |
|---|---|
| Jenis gateway | |
| VPN | Didukung |
| ExpressRoute | Tidak Didukung |
| Jenis VPN | |
| Berbasis Rute | Didukung |
| Berbasis Kebijakan | Tidak Didukung |
| Jenis koneksi | |
| IPSec | Didukung |
| VNet2VNet | Didukung |
| ExpressRoute | Tidak Didukung |
| VPNClient | Tidak Didukung |
Hasil
Hasil awal yang ditampilkan memberikan gambaran keseluruhan tentang kesehatan sumber daya. Informasi yang lebih mendalam dapat disediakan untuk sumber daya seperti yang ditunjukkan di bagian berikut:
Daftar berikut adalah nilai yang ditampilkan dengan API pemecahan masalah:
- startTime - Nilai ini adalah waktu saat pemanggilan API pemecahan masalah dimulai.
- endTime - Nilai ini adalah waktu saat pemecahan masalah berakhir.
- code - Nilai ini Tidak Sehat, jika ada satu kegagalan diagnosis.
- results - Results adalah kumpulan hasil yang ditampilkan pada Koneksi atau gateway jaringan virtual.
- id - Nilai ini adalah jenis kesalahan.
- summary - Nilai ini adalah ringkasan kesalahan.
- detailed - Nilai ini memberikan deskripsi mendetail kesalahan.
- recommendedActions - Properti ini adalah kumpulan tindakan yang direkomendasikan untuk dilakukan.
- actionText - Nilai ini berisi teks yang menjelaskan tindakan apa yang akan diambil.
- actionUri - Nilai ini memberikan URI ke dokumentasi tentang cara bertindak.
- actionUriText - Nilai ini adalah deskripsi singkat dari teks tindakan.
Tabel berikut menunjukkan berbagai jenis kesalahan (id di bawah hasil dari daftar sebelumnya) yang tersedia dan jika kesalahan membuat log.
Gateway
| Jenis Kesalahan | Alasan | Log |
|---|---|---|
| NoFault | Ketika tidak ada kesalahan yang terdeteksi | Ya |
| GatewayNotFound | Tidak dapat menemukan gateway atau gateway tidak disediakan | Tidak |
| PemeliharaanTerencana | Instans gateway sedang dalam pemeliharaan | Tidak |
| UserDrivenUpdate | Kesalahan ini terjadi saat pembaruan pengguna sedang berlangsung. Pembaruan bisa berupa operasi mengubah ukuran. | Tidak |
| VipUnResponsive | Kesalahan ini terjadi saat instans utama gateway tidak dapat dicapai karena kegagalan pemeriksaan kesehatan. | Tidak |
| PlatformInActive | Ada masalah dengan platform. | Tidak |
| ServiceNotRunning | Layanan yang mendasar tidak berjalan. | Tidak |
| NoConnectionsFoundForGateway | Tidak ada koneksi di gateway. Kesalahan ini hanya peringatan. | Tidak |
| ConnectionsNotConnected | Koneksi tidak tersambung. Kesalahan ini hanya peringatan. | Ya |
| GatewayCPUUsageExceeded | Penggunaan CPU gateway saat ini > 95%. | Ya |
Koneksi
| Jenis Kesalahan | Alasan | Log |
|---|---|---|
| NoFault | Ketika tidak ada kesalahan yang terdeteksi | Ya |
| GatewayNotFound | Tidak dapat menemukan gateway atau gateway tidak disediakan | Tidak |
| PemeliharaanTerencana | Instans gateway sedang dalam pemeliharaan | Tidak |
| UserDrivenUpdate | Kesalahan ini terjadi saat pembaruan pengguna sedang berlangsung. Pembaruan bisa berupa operasi mengubah ukuran. | Tidak |
| VipUnResponsive | Kesalahan ini terjadi saat instans utama gateway tidak dapat dicapai karena kegagalan pemeriksaan kesehatan. | Tidak |
| ConnectionEntityNotFound | Tidak ada konfigurasi koneksi | Tidak |
| ConnectionIsMarkedDisconnected | Koneksi ditandai "terputus" | Tidak |
| ConnectionNotConfiguredOnGateway | Layanan yang mendasar tidak memiliki koneksi yang dikonfigurasi. | Ya |
| ConnectionMarkedStandby | Layanan yang mendasarinya ditandai sebagai siaga. | Ya |
| Autentikasi | Ketidakcocokan kunci yang dibagikan sebelumnya | Ya |
| PeerReachability | Gateway serekan tidak dapat dijangkau. | Ya |
| IkePolicyMismatch | Gateway serekan memiliki kebijakan IKE yang tidak didukung oleh Azure. | Ya |
| WfpParse Error | Terjadi kesalahan saat mengurai log WFP. | Ya |
File log
File log pemecahan masalah sumber daya disimpan di akun penyimpanan setelah pemecahan masalah sumber daya selesai. Gambar berikut memperlihatkan contoh konten panggilan yang mengakibatkan kesalahan.
Catatan
- Dalam beberapa kasus, hanya subset file log yang ditulis ke penyimpanan.
- Untuk versi gateway yang lebih baru, IkeErrors.txt, Scrubbed-wfpdiag.txt dan wfpdiag.txt.sum telah digantikan oleh file IkeLogs.txt yang berisi seluruh aktivitas IKE (bukan hanya kesalahan).
Untuk petunjuk tentang mengunduh file dari akun penyimpanan Azure, lihat Mengunduh blob blok. Alat lain yang dapat digunakan adalah Penjelajah Penyimpanan. Untuk informasi tentang Azure Storage Explorer, lihat Menggunakan Azure Storage Explorer untuk mengunduh blob
ConnectionStats.txt
File ConnectionStats.txt berisi keseluruhan statistik Koneksi, termasuk byte masuk dan keluar, status Koneksi, dan waktu Koneksi dibuat.
Catatan
Jika panggilan ke API pemecahan masalah menampilkan sehat, satu-satunya hal yang ditampilkan dalam file zip adalah file ConnectionStats.txt.
Isinya file ini sama dengan contoh berikut:
Connectivity State : Connected
Remote Tunnel Endpoint :
Ingress Bytes (since last connected) : 288 B
Egress Bytes (Since last connected) : 288 B
Connected Since : 2/1/2017 8:22:06 PM
CPUStats.txt
File CPUStats.txt berisi penggunaan CPU dan memori yang tersedia pada saat pengujian. Isi file ini sama dengan contoh berikut:
Current CPU Usage : 0 % Current Memory Available : 641 MBs
IKElogs.txt
File IKElogs.txt berisi aktivitas IKE apa pun yang ditemukan selama pemantauan.
Contoh berikut menunjukkan konten file IKElogs.txt.
Remote <IPaddress>:500: Local <IPaddress>:500: [RECEIVED][SA_AUTH] Received IKE AUTH message
Remote <IPaddress>:500: Local <IPaddress>:500: Received Traffic Selector payload request- [Tsid 0x729 ]Number of TSIs 2: StartAddress 10.20.0.0 EndAddress 10.20.255.255 PortStart 0 PortEnd 65535 Protocol 0, StartAddress 192.168.100.0 EndAddress 192.168.100.255 PortStart 0 PortEnd 65535 Protocol 0 Number of TSRs 1:StartAddress 0.0.0.0 EndAddress 255.255.255.255 PortStart 0 PortEnd 65535 Protocol 0
Remote <IPaddress>:500: Local <IPaddress>:500: [SEND] Proposed Traffic Selector payload will be (Final Negotiated) - [Tsid 0x729 ]Number of TSIs 2: StartAddress 10.20.0.0 EndAddress 10.20.255.255 PortStart 0 PortEnd 65535 Protocol 0, StartAddress 192.168.100.0 EndAddress 192.168.100.255 PortStart 0 PortEnd 65535 Protocol 0 Number of TSRs 1:StartAddress 0.0.0.0 EndAddress 255.255.255.255 PortStart 0 PortEnd 65535 Protocol 0
Remote <IPaddress>:500: Local <IPaddress>:500: [RECEIVED]Received IPSec payload: Policy1:Cipher=DESIntegrity=Md5
IkeCleanupQMNegotiation called with error 13868 and flags a
Remote <IPaddress>:500: Local <IPaddress>:500: [SEND][NOTIFY] Sending Notify Message - Policy Mismatch
IKEErrors.txt
File IKEErrors.txt memuat semua kesalahan IKE yang ditemukan selama pemantauan.
Contoh berikut memperlihatkan isi file IKEErrors.txt. Kesalahan Anda mungkin berbeda tergantung pada masalahnya.
Error: Authentication failed. Check shared key. Check crypto. Check lifetimes.
based on log : Peer failed with Windows error 13801(ERROR_IPSEC_IKE_AUTH_FAIL)
Error: On-prem device sent invalid payload.
based on log : IkeFindPayloadInPacket failed with Windows error 13843(ERROR_IPSEC_IKE_INVALID_PAYLOAD)
Scrubbed-wfpdiag.txt
File log Scrubbed-wfpdiag.txt berisi log wfp. Log ini berisi pengelogan penurunan paket dan kegagalan IKE/AuthIP.
Contoh berikut memperlihatkan konten file Scrubbed-wfpdiag.txt. Dalam contoh ini, kunci yang dibagikan sebelumnya dari Koneksi ion tidak benar seperti yang dapat dilihat dari baris ketiga dari bawah. Contoh berikut hanyalah cuplikan dari seluruh log, karena log bisa panjang bergantung pada masalahnya.
...
[0]0368.03A4::02/02/2017-17:36:01.496 [ikeext] 3038|52.161.24.36|Deleted ICookie from the high priority thread pool list
[0]0368.03A4::02/02/2017-17:36:01.496 [ikeext] 3038|52.161.24.36|IKE diagnostic event:
[0]0368.03A4::02/02/2017-17:36:01.496 [ikeext] 3038|52.161.24.36|Event Header:
[0]0368.03A4::02/02/2017-17:36:01.496 [ikeext] 3038|52.161.24.36| Timestamp: 1601-01-01T00:00:00.000Z
[0]0368.03A4::02/02/2017-17:36:01.496 [ikeext] 3038|52.161.24.36| Flags: 0x00000106
[0]0368.03A4::02/02/2017-17:36:01.496 [ikeext] 3038|52.161.24.36| Local address field set
[0]0368.03A4::02/02/2017-17:36:01.496 [ikeext] 3038|52.161.24.36| Remote address field set
[0]0368.03A4::02/02/2017-17:36:01.496 [ikeext] 3038|52.161.24.36| IP version field set
[0]0368.03A4::02/02/2017-17:36:01.496 [ikeext] 3038|52.161.24.36| IP version: IPv4
[0]0368.03A4::02/02/2017-17:36:01.496 [ikeext] 3038|52.161.24.36| IP protocol: 0
[0]0368.03A4::02/02/2017-17:36:01.496 [ikeext] 3038|52.161.24.36| Local address: 13.78.238.92
[0]0368.03A4::02/02/2017-17:36:01.496 [ikeext] 3038|52.161.24.36| Remote address: 52.161.24.36
[0]0368.03A4::02/02/2017-17:36:01.496 [ikeext] 3038|52.161.24.36| Local Port: 0
[0]0368.03A4::02/02/2017-17:36:01.496 [ikeext] 3038|52.161.24.36| Remote Port: 0
[0]0368.03A4::02/02/2017-17:36:01.496 [ikeext] 3038|52.161.24.36| Application ID:
[0]0368.03A4::02/02/2017-17:36:01.496 [ikeext] 3038|52.161.24.36| User SID: <invalid>
[0]0368.03A4::02/02/2017-17:36:01.496 [ikeext] 3038|52.161.24.36|Failure type: IKE/Authip Main Mode Failure
[0]0368.03A4::02/02/2017-17:36:01.496 [ikeext] 3038|52.161.24.36|Type specific info:
[0]0368.03A4::02/02/2017-17:36:01.496 [ikeext] 3038|52.161.24.36| Failure error code:0x000035e9
[0]0368.03A4::02/02/2017-17:36:01.496 [ikeext] 3038|52.161.24.36| IKE authentication credentials are unacceptable
[0]0368.03A4::02/02/2017-17:36:01.496 [ikeext] 3038|52.161.24.36|
[0]0368.03A4::02/02/2017-17:36:01.496 [ikeext] 3038|52.161.24.36| Failure point: Remote
...
wfpdiag.txt.sum
File wfpdiag.txt.sum adalah log yang menunjukkan buffer dan peristiwa yang diproses.
Contoh berikut adalah konten file wfpdiag.txt.sum.
Files Processed:
C:\Resources\directory\924336c47dd045d5a246c349b8ae57f2.GatewayTenantWorker.DiagnosticsStorage\2017-02-02T17-34-23\wfpdiag.etl
Total Buffers Processed 8
Total Events Processed 2169
Total Events Lost 0
Total Format Errors 0
Total Formats Unknown 486
Elapsed Time 330 sec
+-----------------------------------------------------------------------------------+
|EventCount EventName EventType TMF |
+-----------------------------------------------------------------------------------+
| 36 ikeext ike_addr_utils_c844 a0c064ca-d954-350a-8b2f-1a7464eef8b6|
| 12 ikeext ike_addr_utils_c857 a0c064ca-d954-350a-8b2f-1a7464eef8b6|
| 96 ikeext ike_addr_utils_c832 a0c064ca-d954-350a-8b2f-1a7464eef8b6|
| 6 ikeext ike_bfe_callbacks_c133 1dc2d67f-8381-6303-e314-6c1452eeb529|
| 6 ikeext ike_bfe_callbacks_c61 1dc2d67f-8381-6303-e314-6c1452eeb529|
| 12 ikeext ike_sa_management_c5698 7857a320-42ee-6e90-d5d9-3f414e3ea2d3|
| 6 ikeext ike_sa_management_c8447 7857a320-42ee-6e90-d5d9-3f414e3ea2d3|
| 12 ikeext ike_sa_management_c494 7857a320-42ee-6e90-d5d9-3f414e3ea2d3|
| 12 ikeext ike_sa_management_c642 7857a320-42ee-6e90-d5d9-3f414e3ea2d3|
| 6 ikeext ike_sa_management_c3162 7857a320-42ee-6e90-d5d9-3f414e3ea2d3|
| 12 ikeext ike_sa_management_c3307 7857a320-42ee-6e90-d5d9-3f414e3ea2d3|
Pertimbangan
- Hanya satu operasi pemecahan masalah VPN yang dapat dijalankan pada satu waktu per langganan. Untuk menjalankan operasi pemecahan masalah VPN lain, tunggu hingga operasi sebelumnya selesai. Memicu operasi baru saat operasi sebelumnya belum selesai menyebabkan operasi berikutnya gagal.
- Bug CLI: Jika Anda menggunakan Azure CLI untuk menjalankan perintah, VPN Gateway dan akun Penyimpanan harus berada dalam grup sumber daya yang sama. Pelanggan dengan sumber daya dalam grup sumber daya yang berbeda dapat menggunakan PowerShell atau portal Azure.
Langkah selanjutnya
Untuk mempelajari cara mendiagnosis masalah dengan gateway jaringan virtual atau koneksi gateway, lihat Mendiagnosis masalah komunikasi antar jaringan virtual.