Veelgestelde vragen over Azure Bastion
Veelgestelde vragen over Bastion-service en -implementatie
Welke browsers worden ondersteund?
De browser moet HTML 5 ondersteunen. Gebruik Microsoft Edge of Google Chrome in Windows. Voor Apple Mac gebruikt u Google Chrome. Microsoft Edge Chromium wordt ook ondersteund voor zowel Windows als Mac.
Hoe worden de prijzen berekend?
Azure Bastion-prijzen zijn een combinatie van uurprijzen op basis van SKU en exemplaren (schaaleenheden), plus tarieven voor gegevensoverdracht. De prijzen per uur beginnen vanaf het moment dat Bastion wordt geïmplementeerd, ongeacht het uitgaande gegevensgebruik. Zie de pagina met prijzen van Azure Bastion voor de meest recente prijsinformatie.
Wordt IPv6 ondersteund?
Op dit moment wordt IPv6 niet ondersteund. Azure Bastion ondersteunt alleen IPv4. Dit betekent dat u alleen een openbaar IPv4-IP-adres kunt toewijzen aan uw Bastion-resource en dat u uw Bastion kunt gebruiken om verbinding te maken met IPv4-doel-VM's. U kunt uw Bastion ook gebruiken om verbinding te maken met vm's met dubbele stack, maar u kunt alleen IPv4-verkeer verzenden en ontvangen via Azure Bastion.
Waar worden klantgegevens opgeslagen door Azure Bastion?
Azure Bastion verplaatst of slaat klantgegevens niet op uit de regio waarin deze is geïmplementeerd.
Biedt Azure Bastion ondersteuning voor beschikbaarheidszones?
Sommige regio's ondersteunen de mogelijkheid om Azure Bastion te implementeren in een beschikbaarheidszone (of meerdere, voor zoneredundantie). Als u zonegebonden wilt implementeren, kunt u de beschikbaarheidszones selecteren die u wilt implementeren onder exemplaardetails wanneer u Bastion implementeert met behulp van handmatig opgegeven instellingen. U kunt de zonegebonden beschikbaarheid niet wijzigen nadat Bastion is geïmplementeerd. Als u geen zone kunt selecteren, hebt u mogelijk een Azure-regio geselecteerd die nog geen beschikbaarheidszones ondersteunt. Zie Beschikbaarheidszones voor meer informatie over beschikbaarheidszones.
Biedt Azure Bastion ondersteuning voor Virtual WAN?
Ja, u kunt Azure Bastion gebruiken voor Virtual WAN-implementaties. Het implementeren van Azure Bastion in een Virtual WAN-hub wordt echter niet ondersteund. U kunt Azure Bastion implementeren in een virtueel spoke-netwerk en de verbindingsfunctie op basis van IP gebruiken om verbinding te maken met virtuele machines die zijn geïmplementeerd in een ander virtueel netwerk via de Virtual WAN-hub. Als de Azure Virtual WAN-hub wordt geïntegreerd met Azure Firewall als een beveiligde virtuele hub, moet het AzureBastionSubnet zich in een virtueel netwerk bevinden waarin de standaardroute-doorgifte van 0.0.0.0/0 op het niveau van de virtuele netwerkverbinding is uitgeschakeld.
Kan ik Azure Bastion gebruiken als ik internetverkeer afdwingen naar mijn on-premises locatie?
Nee, als u een standaardroute (0.0.0.0/0) adverteert via ExpressRoute of VPN, en deze route wordt opgenomen in uw virtuele netwerken, wordt hierdoor de Azure Bastion-service verbroken.
Azure Bastion moet kunnen communiceren met bepaalde interne eindpunten om verbinding te kunnen maken met doelbronnen. Daarom kunt u Azure Bastion gebruiken met Azure Privé-DNS Zones, zolang de zonenaam die u selecteert, niet overlapt met de naamgeving van deze interne eindpunten. Voordat u uw Azure Bastion-resource implementeert, moet u ervoor zorgen dat het virtuele hostnetwerk niet is gekoppeld aan een privé-DNS-zone met de volgende exacte namen:
- management.azure.com
- blob.core.windows.net
- core.windows.net
- vaultcore.windows.net
- vault.azure.net
- azure.com
U kunt een privé-DNS-zone gebruiken die eindigt op een van de namen in de vorige lijst (bijvoorbeeld: privatelink.blob.core.windows.net).
Azure Bastion wordt niet ondersteund met Azure Privé-DNS Zones in nationale clouds.
Mijn privatelink.azure.com kan het niet oplossen om management.privatelink.azure.com
Dit kan worden veroorzaakt door de privé-DNS-zone voor privatelink.azure.com die zijn gekoppeld aan het virtuele Bastion-netwerk, waardoor management.azure.com CNAMEs achter de schermen worden omgezet in management.privatelink.azure.com. Maak een CNAME-record in de privatelink.azure.com zone om management.privatelink.azure.com arm-frontdoor-prod.trafficmanager.net om een geslaagde DNS-omzetting mogelijk te maken.
Biedt Azure Bastion ondersteuning voor Private Link?
Nee, Azure Bastion biedt momenteel geen ondersteuning voor Azure Private Link.
Waarom krijg ik de foutmelding 'Kan subnet niet toevoegen' bij het gebruik van Bastion implementeren in de portal?
Op dit moment moet u voor de meeste adresruimten een subnet met de naam AzureBastionSubnet toevoegen aan uw virtuele netwerk voordat u Deploy Bastion selecteert.
Zijn speciale machtigingen vereist om Bastion te implementeren in het AzureBastionSubnet?
Als u Bastion wilt implementeren in het AzureBastionSubnet, zijn schrijfmachtigingen vereist. Voorbeeld: Microsoft.Network/virtualNetworks/write.
Kan ik een Azure Bastion-subnet van grootte /27 of kleiner hebben (/28, /29, enzovoort)?
Voor Azure Bastion-resources die zijn geïmplementeerd op of na 2 november 2021, is de minimale grootte van AzureBastionSubnet /26 of groter (/25, /24, enzovoort). Alle Azure Bastion-resources die vóór deze datum zijn geïmplementeerd in subnetten van grootte /27, worden niet beïnvloed door deze wijziging en blijven werken. We raden u echter ten zeerste aan om de grootte van een bestaand AzureBastionSubnet te vergroten naar /26 voor het geval u ervoor kiest om in de toekomst te profiteren van het schalen van de host.
Kan ik meerdere Azure-resources implementeren in mijn Azure Bastion-subnet?
Nee Het Azure Bastion-subnet (AzureBastionSubnet) is alleen gereserveerd voor de implementatie van uw Azure Bastion-resource.
Wordt door de gebruiker gedefinieerde routering (UDR) ondersteund in een subnet van Azure Bastion?
Nee UDR wordt niet ondersteund in een Azure Bastion-subnet.
Voor scenario's met zowel Azure Bastion als Azure Firewall/Network Virtual Appliance (NVA) in hetzelfde virtuele netwerk, hoeft u verkeer van een Azure Bastion-subnet niet om te leiden naar Azure Firewall omdat de communicatie tussen Azure Bastion en uw VM's privé is. Zie voor meer informatie het artikel over toegang tot VM's achter Azure Firewall met Bastion.
Welke SKU moet ik gebruiken?
Azure Bastion heeft meerdere SKU's. U moet een SKU selecteren op basis van uw verbindings- en functievereisten. Zie het artikel Configuratie-instellingen voor een volledige lijst met SKU-lagen en ondersteunde verbindingen en functies.
Kan ik een upgrade uitvoeren voor een SKU?
Ja. Zie Een SKU upgraden voor stappen. Zie het artikel Configuratie-instellingen voor meer informatie over SKU's.
Kan ik een SKU downgraden?
Nee Het downgraden van een SKU wordt niet ondersteund. Zie het artikel Configuratie-instellingen voor meer informatie over SKU's.
Biedt Bastion ondersteuning voor connectiviteit met Azure Virtual Desktop?
Nee, Bastion-connectiviteit met Azure Virtual Desktop wordt niet ondersteund.
Hoe ga ik om met implementatiefouten?
Bekijk de foutberichten goed en dien een ondersteuningsaanvraag in de Azure-portal in, als dat nog nodig is. Implementatiefouten kunnen het gevolg zijn van limieten, quota en beperkingen van Azure-abonnementen. Klanten kunnen met name een limiet tegenkomen voor het aantal openbare IP-adressen dat per abonnement is toegestaan, waardoor de Azure Bastion-implementatie mislukt.
Hoe neem ik Azure Bastion op in mijn plan voor herstel na noodgevallen?
Azure Bastion wordt geïmplementeerd in virtuele netwerken of gekoppelde virtuele netwerken en is gekoppeld aan een Azure-regio. U bent verantwoordelijk voor het implementeren van Azure Bastion in een virtueel dr-sitenetwerk (Disaster Recovery). Als er een azure-regiofout optreedt, voert u een failoverbewerking uit voor uw VM's naar de dr-regio. Vervolgens gebruikt u de Azure Bastion-host die is geïmplementeerd in de regio voor herstel na noodgevallen om verbinding te maken met de VM's die daar nu zijn geïmplementeerd.
Biedt Bastion ondersteuning voor het verplaatsen van een VNet naar een andere resourcegroep?
Nee Als u uw virtuele netwerk naar een andere resourcegroep verplaatst (zelfs als het zich in hetzelfde abonnement bevindt), moet u Bastion eerst verwijderen uit het virtuele netwerk en vervolgens doorgaan met het verplaatsen van het virtuele netwerk naar de nieuwe resourcegroep. Zodra het virtuele netwerk zich in de nieuwe resourcegroep bevindt, kunt u Bastion implementeren in het virtuele netwerk.
Ondersteunt Bastion zoneredundantie?
Op dit moment bieden nieuwe Bastion-implementaties standaard geen ondersteuning voor zoneredundantie. Eerder geïmplementeerde bastions zijn mogelijk zone-redundant. De uitzonderingen zijn Bastion-implementaties in Korea - centraal en Azië - zuidoost, die wel zoneredundantie ondersteunen.
Biedt Bastion ondersteuning voor Microsoft Entra-gastaccounts?
Ja, Microsoft Entra-gastaccounts kunnen toegang krijgen tot Bastion en kunnen verbinding maken met virtuele machines. Gastgebruikers van Microsoft Entra kunnen echter geen verbinding maken met Azure-VM's via Microsoft Entra-verificatie. Niet-gastgebruikers worden ondersteund via Microsoft Entra-verificatie. Zie Aanmelden bij een virtuele Windows-machine in Azure met behulp van Microsoft Entra-id voor meer informatie over Microsoft Entra-verificatie voor Azure-VM's (voor niet-gastgebruikers).
Worden aangepaste domeinen ondersteund met deelbare Bastion-koppelingen?
Nee, aangepaste domeinen worden niet ondersteund met deelbare Bastion-koppelingen. Gebruikers ontvangen een certificaatfout bij het toevoegen van specifieke domeinen in de CN/SAN van het Bastion-hostcertificaat.
Veelgestelde vragen over VM-verbindingen en beschikbare functies
Zijn er rollen vereist voor toegang tot een virtuele machine?
De volgende rollen zijn vereist om verbinding te maken:
- De lezerrol op de virtuele machine.
- De lezerrol op de NIC met het privé-IP-adres van de virtuele machine.
- De rol van Lezer in de Azure Bastion-resource.
- Lezerrol in het virtuele netwerk van de doel-VM (als de Bastion-implementatie zich in een gekoppeld virtueel netwerk bevindt).
Daarnaast moet de gebruiker beschikken over de rechten (indien nodig) om verbinding te maken met de virtuele machine. Als de gebruiker bijvoorbeeld via RDP verbinding maakt met een Windows-VM en geen lid is van de lokale groep Beheer istrators, moet deze lid zijn van de groep Gebruikers van extern bureaublad.
Waarom krijg ik een foutbericht dat mijn sessie is verlopen voordat de Bastion-sessie is gestart?
Als u rechtstreeks vanuit een andere sessie of ander tabblad in de browser naar de URL gaat, is deze fout te verwachten. De fout helpt ervoor te zorgen dat uw sessie veiliger is en dat de sessie alleen via de Azure-portal kan worden geopend. Meld u aan bij de Azure-portal en start de sessie opnieuw.
Heb ik een openbare IP nodig in mijn virtuele machine om verbinding te maken met Azure Bastion?
Nee Wanneer u verbinding maakt met een virtuele machine met behulp van Azure Bastion, hebt u geen openbaar IP-adres nodig op de virtuele Azure-machine waarmee u verbinding maakt. De Bastion-service opent de RDP-/SSH-sessie/-verbinding met uw virtuele machine via het privé-IP-adres van uw virtuele machine, binnen uw virtuele netwerk.
Heb ik een RDP- of SSH-client nodig?
Nee U kunt uw virtuele machine openen vanuit Azure Portal met behulp van uw browser. Zie Over VM-verbindingen en -functies voor beschikbare verbindingen en methoden.
Hebben gebruikers specifieke rechten nodig op een doel-VM voor RDP-verbindingen?
Wanneer een gebruiker via RDP verbinding maakt met een Windows-VM, moet deze rechten hebben op de doel-VM. Als de gebruiker geen lokale beheerder is, voegt u de gebruiker toe aan de groep Extern bureaublad-gebruikers op de doel-VM.
Kan ik verbinding maken met mijn VIRTUELE machine met behulp van een systeemeigen client?
Ja. U kunt vanaf uw lokale computer verbinding maken met een virtuele machine met behulp van een systeemeigen client. Zie Verbinding maken naar een VIRTUELE machine met behulp van een systeemeigen client.
Heb ik een agent nodig die wordt uitgevoerd op de virtuele Azure-machine?
Nee U hoeft geen agent of software te installeren in uw browser of op uw virtual Azure-machine. De Bastion-service werkt zonder agenten en er is geen aanvullende software vereist voor RDP/SSH.
Welke functies worden ondersteund voor VM-sessies?
Zie Over VM-verbindingen en -functies voor ondersteunde functies.
Is het wachtwoord opnieuw instellen beschikbaar voor lokale gebruikers die verbinding maken via een deelbare koppeling?
Nee Sommige organisaties hebben bedrijfsbeleid dat wachtwoordherstel vereist wanneer een gebruiker zich voor het eerst aanmeldt bij een lokaal account. Wanneer u deelbare koppelingen gebruikt, kan de gebruiker het wachtwoord niet wijzigen, ook al wordt er mogelijk een knop Wachtwoord opnieuw instellen weergegeven.
Is externe audio beschikbaar voor VM's?
Ja. Zie Over VM-verbindingen en -functies.
Biedt Azure Bastion ondersteuning voor bestandsoverdracht?
Azure Bastion biedt ondersteuning voor bestandsoverdracht tussen uw doel-VM en lokale computer met behulp van Bastion en een systeemeigen RDP- of SSH-client. Op dit moment kunt u geen bestanden uploaden of downloaden met behulp van PowerShell of via Azure Portal. Zie Bestanden uploaden en downloaden met behulp van de systeemeigen client voor meer informatie.
Werkt Bastion-versterking samen met AADJ-extensies die aan de virtuele machine zijn gekoppeld?
Deze functie werkt niet met AADJ VM-extensie-gekoppelde machines met behulp van Microsoft Entra-gebruikers. Zie Aanmelden bij een virtuele Windows-machine in Azure met behulp van Microsoft Entra-id voor meer informatie.
Is Bastion compatibel met VM's die zijn ingesteld als RDS-sessiehosts?
Bastion biedt geen ondersteuning voor het maken van verbinding met een VIRTUELE machine die is ingesteld als een RDS-sessiehost.
Welke toetsenbordindelingen worden ondersteund tijdens de externe sessie met Bastion?
Azure Bastion ondersteunt momenteel de volgende toetsenbordindelingen in de VIRTUELE machine:
- en-us-qwerty
- en-gb-qwerty
- de-ch-qwertz
- de-de-qwertz
- fr-be-azerty
- fr-fr-azerty
- fr-ch-qwertz
- hu-hu-qwertz
- it-it-qwerty
- ja-jp-qwerty
- pt-br-qwerty
- es-es-qwerty
- es-latam-qwerty
- sv-se-qwerty
- tr-tr-qwerty
Als u de juiste sleuteltoewijzingen voor uw doeltaal wilt instellen, moet u de toetsenbordindeling op uw lokale computer instellen op uw doeltaal en de toetsenbordindeling in de doel-VM op uw doeltaal. Beide toetsenborden moeten worden ingesteld op uw doeltaal om de juiste sleuteltoewijzingen in de doel-VM tot stand te brengen.
Als u de doeltaal wilt instellen als toetsenbordindeling op een Windows-werkstation, gaat u naar Instellingen > Time & Language > Language & Region. Selecteer onder Voorkeurstalen de optie 'Een taal toevoegen' en voeg uw doeltaal toe. Vervolgens kunt u de toetsenbordindelingen op de werkbalk zien. Als u Engels (Verenigde Staten) als toetsenbordindeling wilt instellen, selecteert u 'ENG' op de werkbalk of klikt u op Windows + spatiebalk om toetsenbordindelingen te openen.
Is er een toetsenbordoplossing om de focus te verplaatsen tussen een virtuele machine en een browser?
Gebruikers kunnen Ctrl+Shift+Alt gebruiken om effectief te schakelen tussen de virtuele machine en de browser.
Hoe kan ik de focus van het toetsenbord of de muis van een instantie terughalen?
Klik tweemaal achter elkaar op de Windows-toets om de focus terug te zetten in het Bastion-venster.
Wat wordt de maximale schermresolutie ondersteund via Bastion?
Momenteel is 1920x1080 (1080p) de maximale ondersteunde resolutie.
Biedt Azure Bastion ondersteuning voor tijdzoneconfiguratie of omleiding van tijdzones voor doel-VM's?
Azure Bastion biedt momenteel geen ondersteuning voor omleiding van tijdzones en is niet configureerbaar voor tijdzones. Tijdzone-instellingen voor een virtuele machine kunnen handmatig worden bijgewerkt nadat verbinding is gemaakt met het gastbesturingssystemen.
Wordt een bestaande sessie verbroken tijdens onderhoud op de Bastion-host?
Ja, bestaande sessies op de bastiondoelresource worden verbroken tijdens onderhoud op de Bastion-resource.
Ik maak verbinding met een VIRTUELE machine met behulp van een JIT-beleid, heb ik aanvullende machtigingen nodig?
Als de gebruiker verbinding maakt met een VIRTUELE machine met behulp van een JIT-beleid, zijn er geen extra machtigingen nodig. Zie Just-In-Time-toegang inschakelen op VM's voor meer informatie over het maken van verbinding met een VIRTUELE machine met behulp van een JIT-beleid.
Veelgestelde vragen over VNet-peering
Kan ik nog steeds meerdere Bastion-hosts implementeren in gekoppelde virtuele netwerken?
Ja. Standaard ziet een gebruiker de Bastion-host die is geïmplementeerd in hetzelfde virtuele netwerk waarin de VM zich bevindt. In het menu Verbinding maken kan een gebruiker echter meerdere Bastion-hosts zien die zijn gedetecteerd in gekoppelde netwerken. Ze kunnen de Bastion-host selecteren die ze liever gebruiken om verbinding te maken met de VM die in het virtuele netwerk is geïmplementeerd.
Als mijn gekoppelde VNets in verschillende abonnementen zijn geïmplementeerd, werkt de connectiviteit via Bastion?
Ja, connectiviteit via Bastion blijft werken voor gekoppelde virtuele netwerken in verschillende abonnementen voor één tenant. Abonnementen in twee verschillende tenants worden niet ondersteund. Als u Bastion wilt zien in de vervolgkeuzelijst Verbinding maken, moet de gebruiker de subs selecteren waartoe ze toegang hebben in het globale abonnement van het > abonnement.
Ik heb toegang tot het gekoppelde VNet, maar de VM die daar is geïmplementeerd, kan ik niet zien.
Zorg ervoor dat de gebruiker leestoegang heeft tot zowel de virtuele machine als het gekoppelde virtuele netwerk. Controleer ook onder IAM of de gebruiker leestoegang heeft tot de volgende resources:
- De lezerrol op de virtuele machine.
- De lezerrol op de NIC met het privé-IP-adres van de virtuele machine.
- De rol van Lezer in de Azure Bastion-resource.
- Lezerrol in het virtuele netwerk (niet nodig als er geen gekoppeld virtueel netwerk is).
| Machtigingen | Beschrijving | Machtigingstype |
|---|---|---|
| Microsoft.Network/bastionHosts/read | Hiermee haalt u een Bastion-host op | Actie |
| Microsoft.Network/virtualNetworks/BastionHosts/action | Hiermee haalt u bastionhostverwijzingen op in een virtueel netwerk. | Actie |
| Microsoft.Network/virtualNetworks/bastionHosts/default/action | Hiermee haalt u bastionhostverwijzingen op in een virtueel netwerk. | Actie |
| Microsoft.Network/networkInterfaces/read | Hiermee haalt u een netwerkinterfacedefinitie op. | Actie |
| Microsoft.Network/networkInterfaces/ipconfigurations/read | Hiermee haalt u een IP-configuratiedefinitie voor de netwerkinterface op. | Actie |
| Microsoft.Network/virtualNetworks/read | De definitie van het virtuele netwerk ophalen | Actie |
| Microsoft.Network/virtualNetworks/subnetten/virtualMachines/read | Hiermee haalt u verwijzingen op naar alle virtuele machines in een subnet van een virtueel netwerk | Actie |
| Microsoft.Network/virtualNetworks/virtualMachines/read | Hiermee haalt u verwijzingen op naar alle virtuele machines in een virtueel netwerk | Actie |
Volgende stappen
Zie Wat is Azure Bastion voor meer informatie.