Panoramica della risoluzione dei problemi di VPN
I gateway di rete virtuale offrono connettività tra le risorse locali e le Rete virtuale di Azure. Il monitoraggio dei gateway di rete virtuale e delle relative connessioni è fondamentale per garantire che la comunicazione non venga interrotta. Azure Network Watcher offre la possibilità di risolvere i problemi relativi ai gateway di rete virtuale e alle relative connessioni. La funzionalità può essere chiamata tramite portale di Azure, Azure PowerShell, l'interfaccia della riga di comando di Azure o l'API REST. Quando viene chiamato, Network Watcher esegue la diagnostica dell'integrità del gateway o della connessione e restituisce i risultati appropriati. La richiesta è una transazione con esecuzione prolungata. I risultati vengono restituiti dopo aver completato la diagnosi.
Tipi di gateway supportati
L'elenco tabella seguente mostra i gateway e le connessioni supportate con la risoluzione dei problemi di Network Watcher:
| Gateway o connessione | Supportato |
|---|---|
| Tipi di gateway | |
| Connessione | Supportato |
| ExpressRoute | Non supportato |
| Tipi di VPN | |
| Basato su route | Supportato |
| Basata su criteri | Non supportato |
| Tipi di connessione | |
| IPsec | Supportato |
| VNet2VNet | Supportato |
| ExpressRoute | Non supportato |
| VPNClient | Non supportato |
Risultati
I risultati preliminari restituiti offrono un quadro complessivo dell'integrità della risorsa. È possibile ottenere informazioni più approfondite per le risorse, come illustrato nella sezione seguente:
L'elenco seguente include i valori restituiti con l'API di risoluzione dei problemi:
- startTime: questo valore indica l'ora di inizio della chiamata all'API di risoluzione dei problemi.
- endTime: questo valore indica l'ora di fine della risoluzione dei problemi.
- code : questo valore è UnHealthy, se si verifica un singolo errore di diagnosi.
- results: indica una raccolta di risultati restituiti relativi alla connessione o al gateway di rete virtuale.
- id: questo valore è il tipo di errore.
- summary: questo valore è un riepilogo dell'errore.
- detailed: questo valore fornisce una descrizione dettagliata dell'errore.
- recommendedActions: questa proprietà è una raccolta di azioni consigliate da eseguire.
- actionText: questo valore contiene il testo che descrive l'azione da eseguire.
- actionUri: questo valore fornisce l'URI per la documentazione relativa all'azione da eseguire.
- actionUriText: questo valore è una breve descrizione del testo dell'azione.
Le tabelle seguenti mostrano i diversi tipi di errore (ID nei risultati dell'elenco precedente) disponibili e se l'errore crea i log.
Gateway
| Tipo di errore | Motivo | Log |
|---|---|---|
| NoFault | Nessun errore rilevato | Sì |
| GatewayNotFound | Non è possibile trovare il gateway o il gateway non è sottoposto a provisioning | No |
| PlannedMaintenance | L'istanza del gateway è in fase di manutenzione | No |
| UserDrivenUpdate | Questo errore si verifica quando è in corso l'aggiornamento utente. L'aggiornamento potrebbe essere un'operazione di ridimensionamento. | No |
| VipUnResponsive | Questo errore si verifica quando l'istanza primaria del gateway non può essere raggiunta a causa di un errore del probe di integrità. | No |
| PlatformInActive | Si è verificato un errore con la piattaforma. | No |
| ServiceNotRunning | Il servizio sottostante non è in esecuzione. | No |
| NoConnectionsFoundForGateway | Nessuna connessione sul gateway. Questo errore è solo un avviso. | No |
| ConnectionsNotConnected | Connessione ions non sono connesse. Questo errore è solo un avviso. | Sì |
| GatewayCPUUsageExceeded | L'utilizzo corrente della CPU del gateway è > del 95%. | Sì |
Connessione
| Tipo di errore | Motivo | Log |
|---|---|---|
| NoFault | Nessun errore rilevato | Sì |
| GatewayNotFound | Non è possibile trovare il gateway o il gateway non è sottoposto a provisioning | No |
| PlannedMaintenance | L'istanza del gateway è in fase di manutenzione | No |
| UserDrivenUpdate | Questo errore si verifica quando è in corso l'aggiornamento utente. L'aggiornamento potrebbe essere un'operazione di ridimensionamento. | No |
| VipUnResponsive | Questo errore si verifica quando l'istanza primaria del gateway non può essere raggiunta a causa di un errore del probe di integrità. | No |
| ConnectionEntityNotFound | Configurazione della connessione non presente | No |
| ConnectionIsMarkedDisconnected | La connessione viene contrassegnata come "disconnected" | No |
| ConnectionNotConfiguredOnGateway | Il servizio sottostante non dispone della connessione configurata. | Sì |
| ConnectionMarkedStandby | Il servizio sottostante viene contrassegnato come "standby". | Sì |
| Authentication | Mancata corrispondenza della chiave precondivisa | Sì |
| PeerReachability | Il gateway peer non è raggiungibile. | Sì |
| IkePolicyMismatch | Il gateway peer ha criteri IKE non supportati da Azure. | Sì |
| WfpParse Error | Si è verificato un errore durante l'analisi del log WFP. | Sì |
File di registro
I file di log della risoluzione dei problemi delle risorse vengono archiviati in un account di archiviazione al termine della risoluzione dei problemi delle risorse. L'immagine seguente mostra i contenuti di esempio di una chiamata che ha generato un errore.
Nota
- In alcuni casi, solo un sottoinsieme di file di log viene scritto nella risorsa di archiviazione.
- Per le versioni più recenti del gateway, i file IkeErrors.txt, Scrubbed-wfpdiag.txt e wfpdiag.txt.sum sono stati sostituiti da un file IkeLogs.txt che contiene l'intera attività IKE (non solo errori).
Per istruzioni sul download dei file dagli account di archiviazione di Azure, vedere Scaricare un BLOB in blocchi. Un altro strumento che può essere usato è Storage Explorer. Per informazioni su Archiviazione di Azure Explorer, vedere Usare Esplora Archiviazione di Azure per scaricare i BLOB
ConnectionStats.txt
Il file ConnectionStats.txt contiene lo stato complessivo della connessione, inclusi i byte in ingresso e in uscita e l'ora in cui è stata stabilita la connessione.
Nota
Se la chiamata all'API di risoluzione dei problemi restituisce uno stato integro, l'unico elemento restituito nel file ZIP è un file ConnectionStats.txt.
I contenuti di questo file sono simili all'esempio seguente:
Connectivity State : Connected
Remote Tunnel Endpoint :
Ingress Bytes (since last connected) : 288 B
Egress Bytes (Since last connected) : 288 B
Connected Since : 2/1/2017 8:22:06 PM
CPUStats.txt
Il file CPUStats.txt contiene l'utilizzo della CPU e la memoria disponibile in fase di test. I contenuti di questo file sono simili all'esempio seguente:
Current CPU Usage : 0 % Current Memory Available : 641 MBs
IKElogs.txt
Il file IKElogs.txt contiene qualsiasi attività IKE trovata durante il monitoraggio.
L'esempio seguente mostra il contenuto di un file IKElogs.txt.
Remote <IPaddress>:500: Local <IPaddress>:500: [RECEIVED][SA_AUTH] Received IKE AUTH message
Remote <IPaddress>:500: Local <IPaddress>:500: Received Traffic Selector payload request- [Tsid 0x729 ]Number of TSIs 2: StartAddress 10.20.0.0 EndAddress 10.20.255.255 PortStart 0 PortEnd 65535 Protocol 0, StartAddress 192.168.100.0 EndAddress 192.168.100.255 PortStart 0 PortEnd 65535 Protocol 0 Number of TSRs 1:StartAddress 0.0.0.0 EndAddress 255.255.255.255 PortStart 0 PortEnd 65535 Protocol 0
Remote <IPaddress>:500: Local <IPaddress>:500: [SEND] Proposed Traffic Selector payload will be (Final Negotiated) - [Tsid 0x729 ]Number of TSIs 2: StartAddress 10.20.0.0 EndAddress 10.20.255.255 PortStart 0 PortEnd 65535 Protocol 0, StartAddress 192.168.100.0 EndAddress 192.168.100.255 PortStart 0 PortEnd 65535 Protocol 0 Number of TSRs 1:StartAddress 0.0.0.0 EndAddress 255.255.255.255 PortStart 0 PortEnd 65535 Protocol 0
Remote <IPaddress>:500: Local <IPaddress>:500: [RECEIVED]Received IPSec payload: Policy1:Cipher=DESIntegrity=Md5
IkeCleanupQMNegotiation called with error 13868 and flags a
Remote <IPaddress>:500: Local <IPaddress>:500: [SEND][NOTIFY] Sending Notify Message - Policy Mismatch
IKEErrors.txt
Il file IKEErrors.txt contiene eventuali errori IKE trovati durante il monitoraggio.
L'esempio seguente mostra i contenuti di un file IKEErrors.txt. Gli errori potrebbero essere diversi a seconda del problema.
Error: Authentication failed. Check shared key. Check crypto. Check lifetimes.
based on log : Peer failed with Windows error 13801(ERROR_IPSEC_IKE_AUTH_FAIL)
Error: On-prem device sent invalid payload.
based on log : IkeFindPayloadInPacket failed with Windows error 13843(ERROR_IPSEC_IKE_INVALID_PAYLOAD)
Scrubbed-wfpdiag.txt
Il file di log Scrubbed-wfpdiag.txt contiene il log WFP. Questo log contiene la registrazione del pacchetto ignorato e degli errori IKE/AuthIP.
L'esempio seguente mostra i contenuti del file Scrubbed-wfpdiag.txt. In questo esempio, la chiave precondi shared di un Connessione ion non è corretta, come si può vedere dalla terza riga dal basso. L'esempio seguente è solo un frammento di codice dell'intero log, ma il log può essere lungo, a seconda del problema specifico.
...
[0]0368.03A4::02/02/2017-17:36:01.496 [ikeext] 3038|52.161.24.36|Deleted ICookie from the high priority thread pool list
[0]0368.03A4::02/02/2017-17:36:01.496 [ikeext] 3038|52.161.24.36|IKE diagnostic event:
[0]0368.03A4::02/02/2017-17:36:01.496 [ikeext] 3038|52.161.24.36|Event Header:
[0]0368.03A4::02/02/2017-17:36:01.496 [ikeext] 3038|52.161.24.36| Timestamp: 1601-01-01T00:00:00.000Z
[0]0368.03A4::02/02/2017-17:36:01.496 [ikeext] 3038|52.161.24.36| Flags: 0x00000106
[0]0368.03A4::02/02/2017-17:36:01.496 [ikeext] 3038|52.161.24.36| Local address field set
[0]0368.03A4::02/02/2017-17:36:01.496 [ikeext] 3038|52.161.24.36| Remote address field set
[0]0368.03A4::02/02/2017-17:36:01.496 [ikeext] 3038|52.161.24.36| IP version field set
[0]0368.03A4::02/02/2017-17:36:01.496 [ikeext] 3038|52.161.24.36| IP version: IPv4
[0]0368.03A4::02/02/2017-17:36:01.496 [ikeext] 3038|52.161.24.36| IP protocol: 0
[0]0368.03A4::02/02/2017-17:36:01.496 [ikeext] 3038|52.161.24.36| Local address: 13.78.238.92
[0]0368.03A4::02/02/2017-17:36:01.496 [ikeext] 3038|52.161.24.36| Remote address: 52.161.24.36
[0]0368.03A4::02/02/2017-17:36:01.496 [ikeext] 3038|52.161.24.36| Local Port: 0
[0]0368.03A4::02/02/2017-17:36:01.496 [ikeext] 3038|52.161.24.36| Remote Port: 0
[0]0368.03A4::02/02/2017-17:36:01.496 [ikeext] 3038|52.161.24.36| Application ID:
[0]0368.03A4::02/02/2017-17:36:01.496 [ikeext] 3038|52.161.24.36| User SID: <invalid>
[0]0368.03A4::02/02/2017-17:36:01.496 [ikeext] 3038|52.161.24.36|Failure type: IKE/Authip Main Mode Failure
[0]0368.03A4::02/02/2017-17:36:01.496 [ikeext] 3038|52.161.24.36|Type specific info:
[0]0368.03A4::02/02/2017-17:36:01.496 [ikeext] 3038|52.161.24.36| Failure error code:0x000035e9
[0]0368.03A4::02/02/2017-17:36:01.496 [ikeext] 3038|52.161.24.36| IKE authentication credentials are unacceptable
[0]0368.03A4::02/02/2017-17:36:01.496 [ikeext] 3038|52.161.24.36|
[0]0368.03A4::02/02/2017-17:36:01.496 [ikeext] 3038|52.161.24.36| Failure point: Remote
...
wfpdiag.txt.sum
Il file wfpdiag.txt.sum è un log che mostra i buffer e gli eventi elaborati.
L'esempio seguente illustra i contenuti di un file wfpdiag.txt.sum.
Files Processed:
C:\Resources\directory\924336c47dd045d5a246c349b8ae57f2.GatewayTenantWorker.DiagnosticsStorage\2017-02-02T17-34-23\wfpdiag.etl
Total Buffers Processed 8
Total Events Processed 2169
Total Events Lost 0
Total Format Errors 0
Total Formats Unknown 486
Elapsed Time 330 sec
+-----------------------------------------------------------------------------------+
|EventCount EventName EventType TMF |
+-----------------------------------------------------------------------------------+
| 36 ikeext ike_addr_utils_c844 a0c064ca-d954-350a-8b2f-1a7464eef8b6|
| 12 ikeext ike_addr_utils_c857 a0c064ca-d954-350a-8b2f-1a7464eef8b6|
| 96 ikeext ike_addr_utils_c832 a0c064ca-d954-350a-8b2f-1a7464eef8b6|
| 6 ikeext ike_bfe_callbacks_c133 1dc2d67f-8381-6303-e314-6c1452eeb529|
| 6 ikeext ike_bfe_callbacks_c61 1dc2d67f-8381-6303-e314-6c1452eeb529|
| 12 ikeext ike_sa_management_c5698 7857a320-42ee-6e90-d5d9-3f414e3ea2d3|
| 6 ikeext ike_sa_management_c8447 7857a320-42ee-6e90-d5d9-3f414e3ea2d3|
| 12 ikeext ike_sa_management_c494 7857a320-42ee-6e90-d5d9-3f414e3ea2d3|
| 12 ikeext ike_sa_management_c642 7857a320-42ee-6e90-d5d9-3f414e3ea2d3|
| 6 ikeext ike_sa_management_c3162 7857a320-42ee-6e90-d5d9-3f414e3ea2d3|
| 12 ikeext ike_sa_management_c3307 7857a320-42ee-6e90-d5d9-3f414e3ea2d3|
Considerazioni
- È possibile eseguire una sola operazione di risoluzione dei problemi VPN alla volta per sottoscrizione. Per eseguire un'altra operazione di risoluzione dei problemi VPN, attendere il completamento di quello precedente. L'attivazione di una nuova operazione mentre una precedente non è stata completata causa l'esito negativo delle operazioni successive.
- Bug dell'interfaccia della riga di comando: se si usa l'interfaccia della riga di comando di Azure per eseguire il comando, il Gateway VPN e l'account Archiviazione devono trovarsi nello stesso gruppo di risorse. I clienti con le risorse in gruppi di risorse diversi possono usare PowerShell o il portale di Azure.
Passaggio successivo
Per informazioni su come diagnosticare un problema con un gateway di rete virtuale o una connessione gateway, vedere Diagnosticare i problemi di comunicazione tra reti virtuali.