Delen via


Naslaginformatie voor Microsoft Tunnel Gateway

De informatie in deze referentie voor Microsoft Tunnel Gateway wordt verstrekt ter ondersteuning van de installatie en het onderhoud van de tunnelinstallatie in uw omgeving.

opdrachtregelprogramma mst-cli voor Microsoft Tunnel Gateway

Mst-cli is een opdrachtregelprogramma voor gebruik met Microsoft Tunnel Gateway. Dit hulpprogramma is beschikbaar op de Linux-server nadat de installatie van de tunnel is voltooid en is te vinden op /usr/sbin/mst-cli. Enkele taken die u met dit hulpprogramma kunt uitvoeren, zijn onder andere:

  • Informatie over de tunnelserver ophalen.
  • De configuratie van de tunnelserver instellen of bijwerken.
  • Start de tunnelserver opnieuw op.
  • Verwijder de tunnelserver.

Hier volgen veelvoorkomende opdrachtregels van het hulpprogramma.

Opdrachtregelinterface:

  • mst-cli –help - Gebruik: mst-cli [opdracht]

    Opdrachten:

    • agent - Gebruik het agentonderdeel.
    • server - Werken op het serveronderdeel.
    • uninstall - Verwijder de Microsoft Tunnel.
    • eula - De gebruiksrechtovereenkomst weergeven.
    • import_cert - Importeer of werk het TLS-certificaat bij.
  • mst-cli agent –help - Gebruik: mst-cli agent [opdracht]

    Opdrachten:

    • logs - De agentlogboeken weergeven (-h voor meer informatie).
    • status - De agentstatus weergeven.
    • start - Start de agentservice.
    • stop - Stop de agentservice.
    • restart - Start de agentservice opnieuw.
  • mst-cli agent logs help - Gebruik: mst-cli agentlogboeken [vlaggen]

    Vlaggen:

    • -f, --follow - Volg logboekuitvoer. De standaardwaarde is false.
    • --since string - Logboeken weergeven sinds TIMESTAMP.
    • --tail uint - Voer het opgegeven aantal LIJNEN uit aan het einde van de logboeken. De standaardinstelling is nul (0), waarmee alle regels worden afgedrukt.
    • -t, --timestamps - Voer de tijdstempels in het logboek uit.
  • mst-cli agent status - De volgende resultaten zijn voorbeelden van resultaten die u kunt zien:

    • Status: wordt uitgevoerd
    • Gezondheid: gezond
  • mst-cli agent start - Hiermee wordt de agent gestart als deze is gestopt.

  • mst-cli agent stop - Stopt de agent. Moet handmatig worden gestart nadat deze is gestopt.

  • mst-cli agent restart - Start de agent opnieuw op.

  • mst-cli server --help - Gebruik: mst-cli server [opdracht]

    Opdrachten:

    • logs - De serverlogboeken weergeven. Gebruik -h voor meer informatie.
    • status - De serverstatus weergeven.
    • start - Start de serverservice.
    • stop - Stop de serverservice.
    • restart - Start de serverservice opnieuw op.
    • show - Verschillende serverstatistieken weergeven. Gebruik -h voor meer informatie.
  • mst-cli server logs –help - Gebruik: mst-cli-serverlogboeken [vlaggen]

    Vlaggen:

    • -f, --follow - Volg logboekuitvoer. De standaardwaarde is false.
    • --since string - Logboeken weergeven sinds TIMESTAMP
    • --tail uint - Voer het opgegeven aantal LIJNEN uit aan het einde van de logboeken. De standaardinstelling is nul (0), waarmee alle regels worden afgedrukt.
    • -t, --timestamps - Voer de tijdstempels in het logboek uit.
  • mst-cli server status - De volgende resultaten zijn voorbeelden van resultaten die u kunt zien:

    • Status: wordt uitgevoerd
    • Gezondheid: gezond
  • mst-cli server start - Hiermee wordt de server gestart als deze is gestopt.

  • mst-cli server stop - Stopt de server. Moet handmatig worden gestart nadat deze is gestopt.

  • mst-cli server restart - Start de server opnieuw op.

  • mst-cli server show

    • show status - Hiermee worden de status en statistieken van de server afgedrukt.
    • show users - Hiermee worden de verbonden gebruikers afgedrukt.
    • show ip bans - Hiermee worden de verboden IP-adressen afgedrukt.
    • show ip ban points - Hiermee worden alle bekende IP-adressen met punten afgedrukt.
    • show iroutes - Hiermee worden de routes afgedrukt die door gebruikers van de server zijn opgegeven.
    • show sessions all - Hiermee worden alle sessie-id's afgedrukt.
    • show sessions valid - Hiermee worden alle geldige sessies voor opnieuw verbinden afgedrukt.
    • show session [SID] - Hiermee wordt informatie over de opgegeven sessie afgedrukt.
    • show user [NAME] - Hiermee wordt informatie over de opgegeven gebruiker afgedrukt.
    • show id [ID] - Hiermee wordt informatie afgedrukt op de opgegeven id.
    • show events - Biedt informatie over het verbinden van gebruikers.
    • show cookies all - Alias voor alle sessies weergeven.
    • show cookies valid - Alias voor showsessies geldig.

Omgevingsvariabelen

Hieronder vindt u omgevingsvariabelen die u mogelijk wilt configureren wanneer u de Microsoft Tunnel Gateway-software op de Linux-server installeert. Deze variabelen vindt u in het omgevingsbestand /etc/mstunnel/env.sh:

  • http_proxy=[adres] : het HTTP-adres voor uw proxyserver.
  • https_proxy=[address] - Het HTTPs-adres voor uw proxyserver.

Gegevenspaden

Pad/bestand Beschrijving Machtigingen
/.../mstunnel De hoofdmap voor alle configuraties. Hoofdmap eigenaar, groep mstunnel
/.../mstunnel/admin-settings.json Bevat de instellingen voor de serverinstallatie.  Dit bestand wordt beheerd door Intune en mag niet handmatig worden bewerkt.
/.../mstunnel/certs De map waarin het TLS-certificaat is opgeslagen.  Hoofdmap eigenaar, groep mstunnel
/.../mstunnel/private De map waarin het Certificaat van de Intune-agent en de persoonlijke TLS-sleutel zijn opgeslagen.  Hoofdmap eigenaar, groep mstunnel

Bestanden toevoegen tijdens de installatie van de server

/etc/mstunnel:

  • admin-settings.json:

    • Bevat de geserialiseerde serverconfiguratie van Intune.
    • Gemaakt nadat de server is ingeschreven.
  • agent-info.json:

    • Gemaakt wanneer de inschrijving is voltooid.
    • AgentId, IntuneTenantId, AADTenantId en de agentcertificaat RenewalDate.
    • Bijgewerkt bij het verlengen van het agentcertificaat.
  • private/agent.p12:

    • PFX-certificaat dat wordt gebruikt voor agentverificatie bij Intune.
    • Automatisch vernieuwd.
  • version-info.json:

    • Bevat versie-informatie voor de verschillende onderdelen.
    • ConfigVersion, DockerVersion, AgentImageHash, AgentCreateDate, ServerImageHash, ServerCreateDate.
  • ocserv.conf:

    • Serverconfiguratie
  • Images_configured

De Docker-installatiekopieën die worden gebruikt om de containers te maken:

  • agentImageDigest
  • serverImageDigest

Voorbeeld van admin-settings.json

{
"PolicyName": "Auto Generated Policy for rh7vm",
   "DisplayName": "rh7vm Policy",
   "Description": "This policy was auto generated for rh7vm",  
   "Network": "169.100.0.0/16",
   "DNSServers": ["168.63.129.16"],
   "DefaultDomainSuffix": "nmqjwlanybmubp4imht0k2b4qd.xx.internal.cloudapp.net",
   "RoutesInclude": ["default"],
   "RoutesExclude": [],
   "ListenPort": 443
}
Beheerdersinstelling Beschrijving
PolicyName De naam van het instellingenbeleid. U kunt de naam kiezen.
DisplayName De korte weergavenaam. U kunt de naam kiezen.
Beschrijving De beschrijving van het beleid. U kunt de beschrijving kiezen.
Netwerk Het netwerk en masker dat wordt gebruikt om virtuele adressen van clients toe te wijzen. Dit hoeft niet te worden gewijzigd, tenzij u een conflict hebt. Deze instelling ondersteunt maximaal 64.000 clients.
DNSServers De lijst met DNS-servers die de client moet gebruiken. Deze servers kunnen de adressen van interne resources omzetten.
DefaultDomainSuffix Het domeinachtervoegsel dat een client toevoegt aan de hostnaam bij het omzetten van resources.
RoutesInclude De lijst met routes die worden gerouteerd via het VPN. De standaardwaarde is alle routes.
RoutesExclude De lijst met routes die de VPN moeten omzeilen.
ListenPort De poort waarop de VPN-server verkeer ontvangt.

Docker-opdrachten

Hieronder vindt u veelvoorkomende opdrachten voor Docker die nuttig kunnen zijn als u problemen op een tunnelserver moet onderzoeken.

Opmerking

De meeste Linux-distributies gebruiken Docker. Sommigen, zoals Red Hat Enterprise Linux (RHEL) 8.4 , bieden echter geen ondersteuning voor Docker. In plaats daarvan gebruiken deze distributies Podman. Zie Linxu-servers voor meer informatie over ondersteunde distributies en de Docker- of Podman-vereisten van elke distributie.

De verwijzingen en opdrachtregels die voor Docker zijn geschreven, kunnen met Podman worden gebruikt door docker te vervangen door podman.

Opdrachtregelinterface:

  • docker ps –a – Alle containers weergeven.

    • mstunnel-server : deze container voert de onderdelen van de ocserv-server uit en gebruikt binnenkomende poort 443 (standaard) of een aangepaste poortconfiguratie.
    • mstunnel-agent : deze container voert de Intune-connector uit en maakt gebruik van uitgaande poort 443.
  • Docker opnieuw starten:

    • systemctl restart docker
  • Ga als volgt te werk om iets in een container uit te voeren:

    • docker exec –it mstunnel-server bash
    • docker exec –it mstunnel-agent bash

Podman-opdrachten

Hieronder vindt u opdrachten voor Podman die nuttig kunnen zijn als u problemen op een tunnelserver moet onderzoeken. Zie Docker-opdrachten voor meer opdrachten die u met Podman kunt gebruiken.

  • sudo podman images - Alle actieve containers weergeven.
  • sudo podman stats - Cpu-gebruik van containers, MEM-gebruik, netwerk en blok-IO weergeven.
  • sudo podman port mstunnel-server - Vermeld de poorttoewijzingen van de tunnelserver naar de lokale Linux-host.

Linux-opdrachten

Hieronder vindt u algemene Linux-opdrachten die u kunt gebruiken met een tunnelserver.

  • sudo su – Maakt je root op de doos. Gebruik deze opdracht voordat u de volgende opdrachten uitvoert en voordat u mstunnel-setup uitvoert.

  • ls – de inhoud van de map weergeven.

  • ls – l – Lijst van de inhoud van de map, inclusief tijdstempels.

  • cd – overschakelen naar een andere map. Wijzigt u bijvoorbeeld cd /etc/test/stuff van de hoofdmap in de submap >etc in de submap> test en vervolgens in de map Stuff.

  • cp <source> <destination> - Handig voor het kopiëren van de certificaten naar de juiste locatie.

  • ln –s <source> <target> - Maak een softlink.

  • curl <URL> – Controleert de toegang tot een website. Bijvoorbeeld:curl https://microsoft.com

  • ./<filename> - Voer een script uit.

Handmatig ip_tables laden

Gebruik de volgende opdrachten om te controleren op en indien nodig handmatig te laden ip_tables in de Linux-serverkernel. Gebruik de sudo-context:

  • Valideer de aanwezigheid van ip_tables op de server: lsmod |grep ip_tables

  • Maak een configuratiebestand dat de ip_tables in de kernel laadt wanneer de server wordt opgestart: echo ip_tables > /etc/modules-load.d/mstunnel_iptables.conf

  • Ga als volgende te werk om ip_tables onmiddellijk in de kernel te laden: /sbin/modprobe ip_tables