L'attivazione di Windows ha esito negativo in uno scenario di tunneling forzato

Si applica a: ✔️ macchine virtuali di Windows

Questo articolo descrive come risolvere il problema di attivazione del server di gestione delle chiavi che potrebbe verificarsi quando viene abilitato il tunneling forzato in una connessione VPN da sito a sito o in scenari ExpressRoute.

Sintomo

Viene abilitato il tunneling forzato nelle subnet della rete virtuale di Azure per indirizzare alla rete locale tutto il traffico associato a Internet. In questo scenario, le macchine virtuali di Azure che eseguono Windows non riescono ad attivare Windows.

Causa

Le macchine virtuali Windows di Azure devono connettersi al server di gestione delle chiavi di Azure per l'attivazione di Windows. Per l'attivazione è necessario che la richiesta provenga da un indirizzo IP pubblico di Azure. Nello scenario di tunneling forzato l'attivazione avrà esito negativo poiché la richiesta proviene dalla rete locale anziché da un indirizzo IP pubblico di Azure.

Soluzione

Per risolvere questo problema, usare il traffico di attivazione da route a route personalizzato di Azure verso il server di gestione delle chiavi di Azure.

Il primo nome DNS del server del Servizio di gestione delle chiavi per il cloud globale di Azure è azkms.core.windows.net costituito da due indirizzi IP: 20.118.99.224 e 40.83.235.53. Il secondo nome DNS del server del Servizio di gestione delle chiavi per il cloud globale di Azure è kms.core.windows.net con un indirizzo IP di 23.102.135.246. Se si usano altre piattaforme di Azure, ad esempio Azure Germania, è necessario usare l'indirizzo IP del server di gestione delle chiavi corrispondente. Per altre informazioni, vedere la tabella seguente:

Piattaforma	DNS del server di gestione delle chiavi	Indirizzo IP del server di gestione delle chiavi
Azure Global	azkms.core.windows.net kms.core.windows.net	20.118.99.224, 40.83.235.53 23.102.135.246
Azure Germania	kms.core.cloudapi.de	51.4.143.248
Azure Governo Statunitense	kms.core.usgovcloudapi.net azkms.core.usgovcloudapi.net	23.97.0.13 52.126.105.2
Azure Cina 21Vianet	azkms.core.chinacloudapi.cn kms.core.chinacloudapi.cn	159.27.28.100, 163.228.64.161 42.159.7.249

Nota

Tutti e tre gli indirizzi IP per il cloud globale di Azure e Azure Cina, nonché i due indirizzi IP per Azure US Government devono essere aggiunti alla route personalizzata.

Per aggiungere la route personalizzata, seguire questa procedura:

Per le macchine virtuali di Resource Manager

Nota

L'attivazione usa indirizzi IP pubblici e sarà interessata da una configurazione di Load Balancer SKU Standard. Esaminare attentamente le connessioni in uscita in Azure per informazioni sui requisiti.

1. Aprire Azure PowerShell e accedere alla propria sottoscrizione di Azure.

2. Eseguire i comandi seguenti:

   # First, get the virtual network that hosts the VMs that have activation problems. In this case, we get virtual network ArmVNet-DM in Resource Group ArmVNet-DM:
   $vnet = Get-AzVirtualNetwork -ResourceGroupName "ArmVNet-DM" -Name "ArmVNet-DM"
   
   # Next, create a route table:
   $RouteTable = New-AzRouteTable -Name "ArmVNet-DM-KmsDirectRoute" -ResourceGroupName "ArmVNet-DM" -Location "centralus"
   
   # Next, configure the route table:
   Add-AzRouteConfig -Name "DirectRouteToKMS" -AddressPrefix 23.102.135.246/32 -NextHopType Internet -RouteTable $RouteTable
   Add-AzRouteConfig -Name "DirectRouteToAZKMS01" -AddressPrefix 20.118.99.224/32 -NextHopType Internet -RouteTable $RouteTable
   Add-AzRouteConfig -Name "DirectRouteToAZKMS02" -AddressPrefix 40.83.235.53/32 -NextHopType Internet -RouteTable $RouteTable
   
   Set-AzRouteTable -RouteTable $RouteTable
   
   # Next, attach the route table to the subnet that hosts the VMs:
   Set-AzVirtualNetworkSubnetConfig -Name "Subnet01" -VirtualNetwork $vnet -AddressPrefix "10.0.0.0/24" -RouteTable $RouteTable
   
   Set-AzVirtualNetwork -VirtualNetwork $vnet
   

3. Passare alla macchina virtuale che presenta problemi di attivazione. Usare PsPing per verificare se sia possibile raggiungere il server KMS:

   psping kms.core.windows.net:1688
   psping azkms.core.windows.net:1688
   

4. Provare ad attivare Windows e verificare se il problema è stato risolto.

Passaggi successivi

• Chiavi di configurazione di client del Servizio di gestione delle chiavi
• Review and Select Activation Methods (Esaminare e selezionare i metodi di attivazione)

Contattaci per ricevere assistenza

In caso di domande o bisogno di assistenza, creare una richiesta di supporto tecnico oppure formula una domanda nel Supporto della community di Azure. È possibile anche inviare un feedback sul prodotto al feedback della community di Azure.