Примечание
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
В этой статье рассматриваются периодические сбои, возникающие при попытке подключиться к приложению Azure Облачные службы (расширенная поддержка) с помощью протокола удаленного рабочего стола (RDP).
Симптомы
При использовании RDP для подключения к Azure Облачные службы (расширенная поддержка) иногда возникает следующее сообщение об ошибке:
Подключение к удаленному рабочему столу
Не удается подключиться к удаленному компьютеру.
Повторите попытку подключения. Если проблема не исчезнет, обратитесь к владельцу удаленного компьютера или к администратору сети.
Общие сведения
Сеанс RDP подключается к подсистеме балансировки нагрузки клиента. Затем подсистема балансировки нагрузки может подключиться к целевому экземпляру роли с помощью одного из следующих методов:
Непосредственно через порт 3389
Через порт 3389 в экземпляр промежуточной роли, который затем перенаправит запрос RDP через порт 20000 в целевой экземпляр роли
Причина
Для Облачные службы Azure (расширенная поддержка) правила входящего трафика группы безопасности сети (NSG) настроены для разрешения только входящего подключения через порт 3389. Эти правила не разрешают обмен данными между экземплярами роли через порт 20000. Из-за этой ситуации связь RDP будет успешно выполнена, если подсистема балансировки нагрузки направляет трафик через первый метод. Однако это приведет к сбою, если подсистема балансировки нагрузки пытается маршрутизировать трафик через второй метод. Дополнительные сведения см. в разделе NSG внутри подсети.
Чтобы просмотреть правила входящего трафика NSG, выполните следующие действия.
В портал Azure найдите и выберите группы безопасности сети.
В списке групп безопасности сети выберите имя группы безопасности сети.
В области меню для группы безопасности сети выберите правила безопасности для входящего трафика.
В следующей таблице содержится пример списка правил для входящих подключений к облачной службе NSG, которые вызывают периодические сбои подключения RDP. Правило AllowLocalRDP имеет приоритет 300. (Меньшее число приоритета указывает на большую важность.) Это правило открывает порты 3389 и 20000 для локальных IP-адресов. Правило DenyAll не разрешает внутреннюю связь между различными экземплярами ролей. Однако он имеет приоритет 400.
| Приоритет | Имя | Порт | Протокол | Источник | Назначение | Действие |
|---|---|---|---|---|---|---|
| 200 | AllowLB | Любой | Любой | AzureLoadBalancer | Любое | Allow |
| 300 | AllowLocalRDP | 3389,20000 | TCP | 172.16.0.0 | 10.1.0.0/24 | Разрешить |
| 400 | DenyAll | Любой | Любой | Любой | Любой | Запрет |
| 65000 | AllowVNetInBound | Любой | Любой | Виртуальная сеть | Виртуальная сеть | Allow |
| 65001 | AllowAzureLoadBalancerInBound | Любой | Любой | AzureLoadBalancer | Любое | Allow |
| 65500 | DenyAllInBound | Любой | Любой | Любой | Любой | Запрет |
Решение
Настройте правила входящего трафика группы безопасности сети (NSG), чтобы отразить следующее поведение:
- Порт 3389 позволяет обмен данными между клиентским компьютером и экземпляром роли.
- Порт 20000 позволяет обмен данными между экземплярами ролей.
В следующей таблице показан обновленный список примеров правил входящего трафика NSG. Список содержит новое правило AllowInstances . Это правило позволяет экземплярам ролей взаимодействовать через порты 3389 и 20000 по протоколу TCP с помощью диапазона IP-адресов 10.1.0.0/24 . Так как правило AllowInstances имеет значение приоритета 350, оно оценивается как менее важное, чем правило AllowLocalRDP, но более важное, чем правило DenyAll.
| Приоритет | Имя | Порт | Протокол | Источник | Назначение | Действие |
|---|---|---|---|---|---|---|
| 200 | AllowLB | Любой | Любой | AzureLoadBalancer | Любое | Allow |
| 300 | AllowLocalRDP | 3389,20000 | TCP | 172.16.0.0 | 10.1.0.0/24 | Разрешить |
| 350 | AllowInstances | 3389,20000 | TCP | 10.1.0.0/24. | 10.1.0.0/24. | Разрешить |
| 400 | DenyAll | Любой | Любой | Любой | Любой | Запрет |
| 65000 | AllowVNetInBound | Любой | Любой | Виртуальная сеть | Виртуальная сеть | Allow |
| 65001 | AllowAzureLoadBalancerInBound | Любой | Любой | AzureLoadBalancer | Любое | Allow |
| 65500 | DenyAllInBound | Любой | Любой | Любой | Любой | Запрет |
Свяжитесь с нами для получения помощи
Если у вас есть вопросы или вам нужна помощь, создайте запрос в службу поддержки или обратитесь за поддержкой сообщества Azure. Вы также можете отправить отзыв о продукте в сообщество отзывов Azure.