Overzicht van VPN-problemen oplossen
Virtuele netwerkgateways bieden connectiviteit tussen on-premises resources en virtuele Azure-netwerken. Het bewaken van virtuele netwerkgateways en hun verbindingen is essentieel om ervoor te zorgen dat de communicatie niet wordt verbroken. Azure Network Watcher biedt de mogelijkheid om problemen met virtuele netwerkgateways en hun verbindingen op te lossen. De mogelijkheid kan worden aangeroepen via Azure Portal, Azure PowerShell, Azure CLI of REST API. Wanneer deze wordt aangeroepen, diagnosticeert Network Watcher de status van de gateway of verbinding en retourneert de juiste resultaten. De aanvraag is een langlopende transactie. De resultaten worden geretourneerd zodra de diagnose is voltooid.
Ondersteunde gatewaytypen
In de volgende tabel ziet u welke gateways en verbindingen worden ondersteund met problemen met Network Watcher:
| Gateway of verbinding | Ondersteund |
|---|---|
| Gatewaytypen | |
| VPN | Ondersteund |
| ExpressRoute | Niet ondersteund |
| VPN-typen | |
| Op route gebaseerd | Ondersteund |
| Op basis van beleid | Niet ondersteund |
| Verbinding maken iontypen | |
| IPsec | Ondersteund |
| Vnet2Vnet | Ondersteund |
| ExpressRoute | Niet ondersteund |
| VPNClient | Niet ondersteund |
Resultaten
De geretourneerde voorlopige resultaten geven een algemeen beeld van de status van de resource. Meer informatie kan worden verstrekt voor resources, zoals wordt weergegeven in de volgende sectie:
De volgende lijst bevat de waarden die worden geretourneerd met de API voor probleemoplossing:
- startTime : deze waarde is het tijdstip waarop de aanroep voor het oplossen van problemen met de API is gestart.
- endTime : deze waarde is het tijdstip waarop de probleemoplossing is beëindigd.
- code : deze waarde is UnHealthy, als er één diagnosefout is.
- resultaten: resultaten zijn een verzameling resultaten die worden geretourneerd op de Verbinding maken ion of de gateway van het virtuele netwerk.
- id : deze waarde is het fouttype.
- samenvatting : deze waarde is een samenvatting van de fout.
- gedetailleerd : deze waarde geeft een gedetailleerde beschrijving van de fout.
- recommendedActions : deze eigenschap is een verzameling aanbevolen acties die moeten worden uitgevoerd.
- actionText : deze waarde bevat de tekst waarin wordt beschreven welke actie moet worden ondernomen.
- actionUri : deze waarde biedt de URI aan documentatie over hoe u moet handelen.
- actionUriText : deze waarde is een korte beschrijving van de actietekst.
In de volgende tabellen ziet u de verschillende fouttypen (id onder resultaten uit de voorgaande lijst) die beschikbaar zijn en of de fout logboeken maakt.
Gateway
| Fouttype | Reden | Logboek |
|---|---|---|
| NoFault | Wanneer er geen fout wordt gedetecteerd | Ja |
| GatewayNotFound | Kan gateway of gateway niet vinden is niet ingericht | Nee |
| PlannedMaintenance | Gatewayexemplaren worden onderhouden | Nee |
| UserDrivenUpdate | Deze fout treedt op wanneer een gebruikersupdate wordt uitgevoerd. De update kan een wijziging van het formaat zijn. | Nee |
| VipUnResponsive | Deze fout treedt op wanneer het primaire exemplaar van de gateway niet kan worden bereikt als gevolg van een fout in de statustest. | Nee |
| PlatformInActive | Er is een probleem met het platform. | Nee |
| ServiceNotRunning | De onderliggende service wordt niet uitgevoerd. | Nee |
| Nee Verbinding maken ionsFoundForGateway | Er zijn geen verbindingen op de gateway. Deze fout is alleen een waarschuwing. | Nee |
| Verbinding maken ionsNot Verbinding maken ed | Verbinding maken ionen zijn niet verbonden. Deze fout is alleen een waarschuwing. | Ja |
| GatewayCPUUsageExceeded | Het huidige CPU-gebruik van de gateway is > 95%. | Ja |
Connection
| Fouttype | Reden | Logboek |
|---|---|---|
| NoFault | Wanneer er geen fout wordt gedetecteerd | Ja |
| GatewayNotFound | Kan gateway of gateway niet vinden is niet ingericht | Nee |
| PlannedMaintenance | Gatewayexemplaren worden onderhouden | Nee |
| UserDrivenUpdate | Deze fout treedt op wanneer een gebruikersupdate wordt uitgevoerd. De update kan een wijziging van het formaat zijn. | Nee |
| VipUnResponsive | Deze fout treedt op wanneer het primaire exemplaar van de gateway niet kan worden bereikt als gevolg van een fout in de statustest. | Nee |
| Verbinding maken ionEntityNotFound | Verbinding maken ionconfiguratie ontbreekt | Nee |
| Verbinding maken ionIsMarkedDisconnected | De verbinding is gemarkeerd als 'verbinding verbroken' | Nee |
| Verbinding maken ionNotConfiguredOnGateway | De onderliggende service heeft de verbinding niet geconfigureerd. | Ja |
| Verbinding maken ionMarkedStandby | De onderliggende service is gemarkeerd als stand-by. | Ja |
| Verificatie | Vooraf gedeelde sleutel komt niet overeen | Ja |
| PeerReachability | De peergateway is niet bereikbaar. | Ja |
| IkePolicyMismatch | De peergateway heeft IKE-beleid dat niet wordt ondersteund door Azure. | Ja |
| WfpParse-fout | Er is een fout opgetreden bij het parseren van het WFP-logboek. | Ja |
Logboekbestanden
De logboekbestanden voor het oplossen van problemen met resources worden opgeslagen in een opslagaccount nadat het oplossen van problemen met resources is voltooid. In de volgende afbeelding ziet u de voorbeeldinhoud van een aanroep die een fout heeft veroorzaakt.
Notitie
- In sommige gevallen wordt alleen een subset van de logboekbestanden naar de opslag geschreven.
- Voor nieuwere gatewayversies zijn het IkeErrors.txt,Scrubbed-wfpdiag.txt en wfpdiag.txt.sum vervangen door een IkeLogs.txt-bestand dat de hele IKE-activiteit bevat (niet alleen fouten).
Zie Een blok-blob downloaden voor instructies over het downloaden van bestanden uit Azure-opslagaccounts. Een ander hulpprogramma dat kan worden gebruikt, is Storage Explorer. Zie Azure Storage Explorer gebruiken om blobs te downloaden voor meer informatie over Azure Storage Explorer
Verbinding maken ionStats.txt
Het bestand Verbinding maken ionStats.txt bevat algemene statistieken van de Verbinding maken ion, inclusief inkomende en uitgaande bytes, Verbinding maken ionstatus en het tijdstip waarop de Verbinding maken ion is vastgesteld.
Notitie
Als de aanroep van de API voor probleemoplossing in orde is, is het enige wat in het zip-bestand wordt geretourneerd een Verbinding maken ionStats.txt-bestand.
De inhoud van dit bestand is vergelijkbaar met het volgende voorbeeld:
Connectivity State : Connected
Remote Tunnel Endpoint :
Ingress Bytes (since last connected) : 288 B
Egress Bytes (Since last connected) : 288 B
Connected Since : 2/1/2017 8:22:06 PM
CPUStats.txt
Het bestand CPUStats.txt bevat het CPU-gebruik en het geheugen dat beschikbaar is op het moment van testen. De inhoud van dit bestand is vergelijkbaar met het volgende voorbeeld:
Current CPU Usage : 0 % Current Memory Available : 641 MBs
IKElogs.txt
Het BESTAND IKElogs.txt bevat alle IKE-activiteiten die tijdens de bewaking zijn gevonden.
In het volgende voorbeeld ziet u de inhoud van een IKElogs.txt-bestand.
Remote <IPaddress>:500: Local <IPaddress>:500: [RECEIVED][SA_AUTH] Received IKE AUTH message
Remote <IPaddress>:500: Local <IPaddress>:500: Received Traffic Selector payload request- [Tsid 0x729 ]Number of TSIs 2: StartAddress 10.20.0.0 EndAddress 10.20.255.255 PortStart 0 PortEnd 65535 Protocol 0, StartAddress 192.168.100.0 EndAddress 192.168.100.255 PortStart 0 PortEnd 65535 Protocol 0 Number of TSRs 1:StartAddress 0.0.0.0 EndAddress 255.255.255.255 PortStart 0 PortEnd 65535 Protocol 0
Remote <IPaddress>:500: Local <IPaddress>:500: [SEND] Proposed Traffic Selector payload will be (Final Negotiated) - [Tsid 0x729 ]Number of TSIs 2: StartAddress 10.20.0.0 EndAddress 10.20.255.255 PortStart 0 PortEnd 65535 Protocol 0, StartAddress 192.168.100.0 EndAddress 192.168.100.255 PortStart 0 PortEnd 65535 Protocol 0 Number of TSRs 1:StartAddress 0.0.0.0 EndAddress 255.255.255.255 PortStart 0 PortEnd 65535 Protocol 0
Remote <IPaddress>:500: Local <IPaddress>:500: [RECEIVED]Received IPSec payload: Policy1:Cipher=DESIntegrity=Md5
IkeCleanupQMNegotiation called with error 13868 and flags a
Remote <IPaddress>:500: Local <IPaddress>:500: [SEND][NOTIFY] Sending Notify Message - Policy Mismatch
IKEErrors.txt
Het BESTAND IKEErrors.txt bevat IKE-fouten die zijn gevonden tijdens de bewaking.
In het volgende voorbeeld ziet u de inhoud van een IKEErrors.txt-bestand. Uw fouten kunnen afwijken, afhankelijk van het probleem.
Error: Authentication failed. Check shared key. Check crypto. Check lifetimes.
based on log : Peer failed with Windows error 13801(ERROR_IPSEC_IKE_AUTH_FAIL)
Error: On-prem device sent invalid payload.
based on log : IkeFindPayloadInPacket failed with Windows error 13843(ERROR_IPSEC_IKE_INVALID_PAYLOAD)
Geschroofd-wfpdiag.txt
Het logboekbestand Scrubbed-wfpdiag.txt bevat het wfp-logboek. Dit logboek bevat logboekregistratie van pakketuitval en IKE/AuthIP-fouten.
In het volgende voorbeeld ziet u de inhoud van het bestand Scrubbed-wfpdiag.txt. In dit voorbeeld is de vooraf gedeelde sleutel van een Verbinding maken ion niet juist, zoals te zien is vanaf de derde regel onderaan. Het volgende voorbeeld is slechts een fragment van het hele logboek, omdat het logboek lang kan zijn, afhankelijk van het probleem.
...
[0]0368.03A4::02/02/2017-17:36:01.496 [ikeext] 3038|52.161.24.36|Deleted ICookie from the high priority thread pool list
[0]0368.03A4::02/02/2017-17:36:01.496 [ikeext] 3038|52.161.24.36|IKE diagnostic event:
[0]0368.03A4::02/02/2017-17:36:01.496 [ikeext] 3038|52.161.24.36|Event Header:
[0]0368.03A4::02/02/2017-17:36:01.496 [ikeext] 3038|52.161.24.36| Timestamp: 1601-01-01T00:00:00.000Z
[0]0368.03A4::02/02/2017-17:36:01.496 [ikeext] 3038|52.161.24.36| Flags: 0x00000106
[0]0368.03A4::02/02/2017-17:36:01.496 [ikeext] 3038|52.161.24.36| Local address field set
[0]0368.03A4::02/02/2017-17:36:01.496 [ikeext] 3038|52.161.24.36| Remote address field set
[0]0368.03A4::02/02/2017-17:36:01.496 [ikeext] 3038|52.161.24.36| IP version field set
[0]0368.03A4::02/02/2017-17:36:01.496 [ikeext] 3038|52.161.24.36| IP version: IPv4
[0]0368.03A4::02/02/2017-17:36:01.496 [ikeext] 3038|52.161.24.36| IP protocol: 0
[0]0368.03A4::02/02/2017-17:36:01.496 [ikeext] 3038|52.161.24.36| Local address: 13.78.238.92
[0]0368.03A4::02/02/2017-17:36:01.496 [ikeext] 3038|52.161.24.36| Remote address: 52.161.24.36
[0]0368.03A4::02/02/2017-17:36:01.496 [ikeext] 3038|52.161.24.36| Local Port: 0
[0]0368.03A4::02/02/2017-17:36:01.496 [ikeext] 3038|52.161.24.36| Remote Port: 0
[0]0368.03A4::02/02/2017-17:36:01.496 [ikeext] 3038|52.161.24.36| Application ID:
[0]0368.03A4::02/02/2017-17:36:01.496 [ikeext] 3038|52.161.24.36| User SID: <invalid>
[0]0368.03A4::02/02/2017-17:36:01.496 [ikeext] 3038|52.161.24.36|Failure type: IKE/Authip Main Mode Failure
[0]0368.03A4::02/02/2017-17:36:01.496 [ikeext] 3038|52.161.24.36|Type specific info:
[0]0368.03A4::02/02/2017-17:36:01.496 [ikeext] 3038|52.161.24.36| Failure error code:0x000035e9
[0]0368.03A4::02/02/2017-17:36:01.496 [ikeext] 3038|52.161.24.36| IKE authentication credentials are unacceptable
[0]0368.03A4::02/02/2017-17:36:01.496 [ikeext] 3038|52.161.24.36|
[0]0368.03A4::02/02/2017-17:36:01.496 [ikeext] 3038|52.161.24.36| Failure point: Remote
...
wfpdiag.txt.sum
Het bestand wfpdiag.txt.sum is een logboek met de buffers en gebeurtenissen die zijn verwerkt.
Het volgende voorbeeld is de inhoud van een bestand wfpdiag.txt.sum.
Files Processed:
C:\Resources\directory\924336c47dd045d5a246c349b8ae57f2.GatewayTenantWorker.DiagnosticsStorage\2017-02-02T17-34-23\wfpdiag.etl
Total Buffers Processed 8
Total Events Processed 2169
Total Events Lost 0
Total Format Errors 0
Total Formats Unknown 486
Elapsed Time 330 sec
+-----------------------------------------------------------------------------------+
|EventCount EventName EventType TMF |
+-----------------------------------------------------------------------------------+
| 36 ikeext ike_addr_utils_c844 a0c064ca-d954-350a-8b2f-1a7464eef8b6|
| 12 ikeext ike_addr_utils_c857 a0c064ca-d954-350a-8b2f-1a7464eef8b6|
| 96 ikeext ike_addr_utils_c832 a0c064ca-d954-350a-8b2f-1a7464eef8b6|
| 6 ikeext ike_bfe_callbacks_c133 1dc2d67f-8381-6303-e314-6c1452eeb529|
| 6 ikeext ike_bfe_callbacks_c61 1dc2d67f-8381-6303-e314-6c1452eeb529|
| 12 ikeext ike_sa_management_c5698 7857a320-42ee-6e90-d5d9-3f414e3ea2d3|
| 6 ikeext ike_sa_management_c8447 7857a320-42ee-6e90-d5d9-3f414e3ea2d3|
| 12 ikeext ike_sa_management_c494 7857a320-42ee-6e90-d5d9-3f414e3ea2d3|
| 12 ikeext ike_sa_management_c642 7857a320-42ee-6e90-d5d9-3f414e3ea2d3|
| 6 ikeext ike_sa_management_c3162 7857a320-42ee-6e90-d5d9-3f414e3ea2d3|
| 12 ikeext ike_sa_management_c3307 7857a320-42ee-6e90-d5d9-3f414e3ea2d3|
Overwegingen
- Er kan slechts één VPN-probleemoplossingsbewerking tegelijk per abonnement worden uitgevoerd. Als u een andere VPN-probleemoplossingsbewerking wilt uitvoeren, wacht u tot de vorige bewerking is voltooid. Als u een nieuwe bewerking activeert terwijl een vorige bewerking niet is voltooid, mislukken de volgende bewerkingen.
- CLI-fout: als u Azure CLI gebruikt om de opdracht uit te voeren, moeten de VPN-gateway en het opslagaccount zich in dezelfde resourcegroep bevinden. Klanten met de resources in verschillende resourcegroepen kunnen in plaats daarvan PowerShell of Azure Portal gebruiken.
Volgende stap
Zie Communicatieproblemen tussen virtuele netwerken vaststellen voor meer informatie over het vaststellen van een probleem met een virtuele netwerkgateway of gatewayverbinding.