この記事では、リモート デスクトップ プロトコル (RDP) を使用して Azure Cloud Services (延長サポート) アプリケーションに接続しようとしたときに発生する断続的なエラーについて説明します。
現象
RDP を使用して Azure Cloud Services (延長サポート) に接続しようとすると、次のエラー メッセージが表示される場合があります。
リモート デスクトップ接続
このコンピューターはリモート コンピューターに接続できません。
接続を再試行してください。 問題が解決しない場合は、リモート コンピューターの所有者またはネットワーク管理者に問い合わせてください。
背景
RDP セッションは、テナントのロード バランサーに接続します。 ロード バランサーは、次のいずれかの方法を使用してターゲット ロール インスタンスに接続できます。
ポート 3389 を介して直接
ポート 3389 を介して中間ロール インスタンスに転送し、ポート 20000 を介して RDP 要求をターゲット ロール インスタンスに転送する
原因
Azure Cloud Services (延長サポート) の場合、ネットワーク セキュリティ グループ (NSG) の受信規則は、ポート 3389 経由の受信通信のみを許可するように構成されます。 これらの規則では、ポート 20000 を介したロール インスタンス間の通信は許可されません。 このような状況のため、ロード バランサーが最初の方法を介してトラフィックをルーティングする場合、RDP 通信は成功します。 ただし、ロード バランサーが 2 番目の方法を介してトラフィックをルーティングしようとすると失敗します。 詳細については、「 NSG サブネット内トラフィック」を参照してください。
NSG 受信規則を表示するには、次の手順に従います。
Azure ポータルでnetwork セキュリティ グループ検索して選択。
ネットワーク セキュリティ グループの一覧で、NSG の名前を選択します。
NSG のメニュー ウィンドウで、[ インバインド セキュリティ規則を選択します。
次の表に、断続的な RDP 接続エラーの原因となるクラウド サービスに接続された NSG の受信規則のサンプル一覧を示します。 AllowLocalRDP ルールの優先度は 300 です。 (優先順位の数値が小さい方が重要度が高いことを示します)。この規則により、ローカル IP アドレスへのポート 3389 と 20000 が開きます。 DenyAll ルールでは、異なるロール インスタンス間の内部通信は許可されません。 ただし、優先度は 400 です。
| Priority | 名前 | [ポート] | プロトコル | ソース | Destination (公開先) | アクション |
|---|---|---|---|---|---|---|
| 200 | AllowLB | Any | Any | AzureLoadBalancer | Any | Allow |
| 300 | AllowLocalRDP | 3389,20000 | TCP | 172.16.0.0 | 10.1.0.0/24 | Allow |
| 400 | DenyAll | Any | Any | Any | Any | 拒否 |
| 65000 | AllowVnetInBound | Any | Any | VirtualNetwork | VirtualNetwork | Allow |
| 65001 | AllowAzureLoadBalancerInBound | Any | Any | AzureLoadBalancer | Any | Allow |
| 65500 | DenyAllInBound | Any | Any | Any | Any | 拒否 |
ソリューション
次の動作を反映するように、ネットワーク セキュリティ グループ (NSG) の受信規則を構成します。
- ポート 3389 では、クライアント コンピューターとロール インスタンス間の通信が許可されます。
- ポート 20000 では、ロール インスタンス間の通信が許可されます。
次の表に、サンプル NSG 受信規則の更新された一覧を示します。 一覧には、新しい AllowInstances ルールが含まれています。 この規則により、ロール インスタンスは、
| Priority | 名前 | [ポート] | プロトコル | ソース | Destination (公開先) | アクション |
|---|---|---|---|---|---|---|
| 200 | AllowLB | Any | Any | AzureLoadBalancer | Any | Allow |
| 300 | AllowLocalRDP | 3389,20000 | TCP | 172.16.0.0 | 10.1.0.0/24 | Allow |
| 350 | AllowInstances | 3389,20000 | TCP | 10.1.0.0/24 | 10.1.0.0/24 | 許可 |
| 400 | DenyAll | Any | Any | Any | Any | 拒否 |
| 65000 | AllowVnetInBound | Any | Any | VirtualNetwork | VirtualNetwork | Allow |
| 65001 | AllowAzureLoadBalancerInBound | Any | Any | AzureLoadBalancer | Any | Allow |
| 65500 | DenyAllInBound | Any | Any | Any | Any | 拒否 |
お問い合わせはこちらから
質問がある場合やヘルプが必要な場合は、サポート要求を作成するか、Azure コミュニティ サポートにお問い合わせください。 Azure フィードバック コミュニティに製品フィードバックを送信することもできます。