Azure Bastion のトラブルシューティング

この記事では、Azure Bastion のトラブルシューティング方法について説明します。

AzureBastionSubnet 上で NSG を作成できない

質問: Azure Bastion サブネット上で NSG を作成しようとすると、"ネットワーク セキュリティ グループの <NSG 名> には、Azure Bastion サブネット AzureBastionSubnet に必要な規則がありません"というエラーが表示されます。

A: NSG を作成して AzureBastionSubnet に適用する場合は、NSG に必要な規則を追加済みであることを確認してください。 必要な規則の一覧については、「NSG アクセスと Azure Bastion を使用する」を参照してください。 これらの規則を追加しないと、NSG の作成/更新は失敗します。

NSG 規則の例については、クイックスタート テンプレートを参照してください。 詳細については、Azure Bastion の NSG のガイダンスに関する記事を参照してください。

Azure Bastion に SSH キーを使用できません

質問: SSH キー ファイルを参照しようとすると、次のエラーを受け取ります。 "SSH 秘密キーは、"-----BEGIN RSA/DSA/OPENSSH PRIVATE KEY-----" で始まり、"-----END RSA/DSA/OPENSSH PRIVATE KEY-----" で終わる必要があります"

回答:現在、Azure Bastion では RSA、DSA、および OPENSSH 秘密キーがサポートされています。 SSH 用の RSA、DSA、または OPENSSH 秘密キーであるキー ファイルの参照には、必ずターゲット VM 上にプロビジョニングされた公開キーを使用してください。

たとえば、次のコマンドを使用して新しい RSA SSH キーを作成できます。

ssh-keygen -t rsa -b 4096 -C "email@domain.com"

出力:

ashishj@dreamcatcher:~$ ssh-keygen -t rsa -b 4096 -C "email@domain.com"
Generating public/private rsa key pair.
Enter file in which to save the key (/home/ashishj/.ssh/id_rsa):
Enter passphrase (empty for no passphrase):
Enter same passphrase again:
Your identification has been saved in /home/ashishj/.ssh/id_rsa.
Your public key has been saved in /home/ashishj/.ssh/id_rsa.pub.
The key fingerprint is:
SHA256:c+SBciKXnwceaNQ8Ms8C4h46BsNosYx+9d+AUxdazuE email@domain.com
The key's randomart image is:
+---[RSA 4096]----+
|      .o         |
| .. ..oo+. +     |
|=.o...B==.O o    |
|==o  =.*oO E     |
|++ .. ..S =      |
|oo..   + =       |
|...     o o      |
|         . .     |
|                 |
+----[SHA256]-----+

Windows ドメインに参加している仮想マシンにサインインできません

質問: ドメイン参加済みの Windows 仮想マシンに接続できません。

A: Azure Bastion は、ドメイン参加 VM へのサインインには、ユーザー名とパスワードに基づくドメイン サインインのみをサポートしています。 Azure portal でドメインの資格情報を指定する場合は、サインインに domain\username 形式ではなく UPN (username@domain) 形式を使用します。 これは、ドメイン参加済みまたはハイブリッド参加済み (ドメイン参加と Microsoft Entra 参加の両方) 仮想マシンでサポートされています。 Microsoft Entra 参加のみの仮想マシンではサポートされていません。

仮想マシンに接続できません

質問: 仮想マシンに接続できません (上記の問題は発生していません)。

A: 接続の問題をトラブルシューティングするには、Azure portal 内で Azure Bastion リソースの [接続のトラブルシューティング] タブ ( [監視] セクション内) に移動します。 Network Watcher の接続のトラブルシューティングを使用すると、仮想マシン (VM) から VM、完全修飾ドメイン名 (FQDN)、URI、または IPv4 アドレスへの直接 TCP 接続を確認できます。 開始するには、接続を開始するソースと接続先を選択し、[チェック] を選択します。 詳細については、接続のトラブルシューティングに関するページを参照してください。

Just-In-Time (JIT) が有効になっている場合は、Bastion に接続するためにロールの割り当てを追加することが必要になる場合があります。 次のアクセス許可をユーザーに追加し、Bastion に再接続してみてください。 詳細については、「VM で Just-In-Time アクセスを有効にする」を参照してください

設定 説明
Microsoft.Security/locations/jitNetworkAccessPolicies/read Just-In-Time ネットワーク アクセス ポリシーを取得します。
Microsoft.Security/locations/jitNetworkAccessPolicies/write 新しい Just-In-Time ネットワーク アクセス ポリシーを作成するか、既存のポリシーを更新します。

ファイル転送に関する問題

質問: Azure Bastion ではファイル転送はサポートされていますか?

回答: 現時点では、ファイル転送はサポートされていません。 サポートの追加に取り組んでいます。

Azure portal の黒い画面

質問: Azure Bastion を使用して接続しようとすると、ターゲット VM に接続できず、Azure portal に黒い画面が表示されます。

A: これは、 Web ブラウザーと Azure Bastion の間にネットワーク接続の問題がある場合 (クライアントのインターネット ファイアウォールが WebSocket のトラフィックをブロックしている可能性がある、または同様の場合)、または Azure Bastion とターゲット VM の間で発生します。 ほとんどの場合、AzureBastionSubnet、または仮想ネットワーク内の RDP/SSH トラフィックをブロックしているターゲット VM サブネットに適用された NSG が関わっています。 クライアントのインターネット ファイアウォールで WebSocket トラフィックを許可し、ターゲット VM サブネットで NSG を確認します。 接続のトラブルシューティングを使用して接続の問題をトラブルシューティングする方法については、「仮想マシンに接続できない」を参照してください。

次のステップ

詳細については、Bastion の FAQ に関する記事を参照してください。