Azure Bastion のトラブルシューティング
この記事では、Azure Bastion のトラブルシューティング方法について説明します。
AzureBastionSubnet 上で NSG を作成できない
質問: Azure Bastion サブネット上で NSG を作成しようとすると、"ネットワーク セキュリティ グループの <NSG 名> には、Azure Bastion サブネット AzureBastionSubnet に必要な規則がありません"というエラーが表示されます。
A: NSG を作成して AzureBastionSubnet に適用する場合は、NSG に必要な規則を追加済みであることを確認してください。 必要な規則の一覧については、「NSG アクセスと Azure Bastion を使用する」を参照してください。 これらの規則を追加しないと、NSG の作成/更新は失敗します。
NSG 規則の例については、クイックスタート テンプレートを参照してください。 詳細については、Azure Bastion の NSG のガイダンスに関する記事を参照してください。
Azure Bastion に SSH キーを使用できません
質問: SSH キー ファイルを参照しようとすると、次のエラーを受け取ります。 "SSH 秘密キーは、"-----BEGIN RSA/DSA/OPENSSH PRIVATE KEY-----" で始まり、"-----END RSA/DSA/OPENSSH PRIVATE KEY-----" で終わる必要があります" 。
回答:現在、Azure Bastion では RSA、DSA、および OPENSSH 秘密キーがサポートされています。 SSH 用の RSA、DSA、または OPENSSH 秘密キーであるキー ファイルの参照には、必ずターゲット VM 上にプロビジョニングされた公開キーを使用してください。
たとえば、次のコマンドを使用して新しい RSA SSH キーを作成できます。
ssh-keygen -t rsa -b 4096 -C "email@domain.com"
出力:
ashishj@dreamcatcher:~$ ssh-keygen -t rsa -b 4096 -C "email@domain.com"
Generating public/private rsa key pair.
Enter file in which to save the key (/home/ashishj/.ssh/id_rsa):
Enter passphrase (empty for no passphrase):
Enter same passphrase again:
Your identification has been saved in /home/ashishj/.ssh/id_rsa.
Your public key has been saved in /home/ashishj/.ssh/id_rsa.pub.
The key fingerprint is:
SHA256:c+SBciKXnwceaNQ8Ms8C4h46BsNosYx+9d+AUxdazuE email@domain.com
The key's randomart image is:
+---[RSA 4096]----+
| .o |
| .. ..oo+. + |
|=.o...B==.O o |
|==o =.*oO E |
|++ .. ..S = |
|oo.. + = |
|... o o |
| . . |
| |
+----[SHA256]-----+
Windows ドメインに参加している仮想マシンにサインインできません
質問: ドメイン参加済みの Windows 仮想マシンに接続できません。
A: Azure Bastion は、ドメイン参加 VM へのサインインには、ユーザー名とパスワードに基づくドメイン サインインのみをサポートしています。 Azure portal でドメインの資格情報を指定する場合は、サインインに domain\username 形式ではなく UPN (username@domain) 形式を使用します。 これは、ドメイン参加済みまたはハイブリッド参加済み (ドメイン参加と Microsoft Entra 参加の両方) 仮想マシンでサポートされています。 Microsoft Entra 参加のみの仮想マシンではサポートされていません。
仮想マシンに接続できません
質問: 仮想マシンに接続できません (上記の問題は発生していません)。
A: 接続の問題をトラブルシューティングするには、Azure portal 内で Azure Bastion リソースの [接続のトラブルシューティング] タブ ( [監視] セクション内) に移動します。 Network Watcher の接続のトラブルシューティングを使用すると、仮想マシン (VM) から VM、完全修飾ドメイン名 (FQDN)、URI、または IPv4 アドレスへの直接 TCP 接続を確認できます。 開始するには、接続を開始するソースと接続先を選択し、[チェック] を選択します。 詳細については、接続のトラブルシューティングに関するページを参照してください。
Just-In-Time (JIT) が有効になっている場合は、Bastion に接続するためにさらにロールの割り当てを追加することが必要になる可能性があります。 次のアクセス許可をユーザーに追加し、Bastion に再接続してみてください。 詳細については、「VM の Just-In-Time アクセスを有効にする」を参照してください。
設定 | 説明 |
---|---|
Microsoft.Security/locations/jitNetworkAccessPolicies/read | Just-In-Time ネットワーク アクセス ポリシーを取得します。 |
Microsoft.Security/locations/jitNetworkAccessPolicies/write | 新しい Just-In-Time ネットワーク アクセス ポリシーを作成するか、既存のポリシーを更新します。 |
ファイル転送に関する問題
質問: Azure Bastion ではファイル転送はサポートされていますか?
回答: 現時点では、ファイル転送はサポートされていません。 サポートの追加に取り組んでいます。
Azure portal の黒い画面
質問: Azure Bastion を使用して接続しようとすると、ターゲット VM に接続できず、Azure portal に黒い画面が表示されます。
回答: これは、ネットワーク接続の問題が Web ブラウザーと Azure Bastion 間 (クライアントのインターネット ファイアウォールによって WebSockets トラフィックがブロックされる場合など) または Azure Bastion とターゲット VM 間に存在する場合に発生します。 ほとんどの場合、AzureBastionSubnet、または仮想ネットワーク内の RDP/SSH トラフィックをブロックしているターゲット VM サブネットに適用された NSG が関わっています。 クライアントのインターネット ファイアウォールで WebSocket トラフィックを許可し、ターゲット VM サブネットで NSG を確認します。 接続のトラブルシューティングを使用して接続の問題をトラブルシューティングする方法については、「仮想マシンに接続できない」を参照してください。
次のステップ
詳細については、Bastion の FAQ に関する記事を参照してください。