Share via

Övervaka Microsoft Tunnel

  • Artikel

Efter installationen av Microsoft Tunnel kan du visa serverkonfigurationen och serverhälsan i Microsoft Intune administrationscenter.

Använda administrationscentrets användargränssnitt

Logga in på Microsoft Intune administrationscenter och gå tillHälsostatus för klientorganisationsadministration>i Microsoft Tunnel Gateway>.

Välj sedan en server och öppna sedan fliken Hälsokontroll för att visa måtten för servrarnas hälsostatus. Som standard använder varje mått fördefinierade tröskelvärden som bestämmer statusen. Följande mått stöder anpassning av dessa tröskelvärden:

  • CPU-användning
  • Minnesanvändning
  • Diskutrymmesanvändning
  • Latens

Standardvärden för serverhälsomått:

  • Senaste incheckning – När Tunnel Gateway-servern senast checkade in med Intune.

    • Felfri – den senaste incheckningen var inom de senaste fem minuterna.
    • Inte felfri – den senaste incheckningen var för över fem minuter sedan.

  • Aktuella anslutningar – antalet unika anslutningar som var aktiva vid den senaste serverkontrollen.

    • Felfri – det fanns 4 990 eller färre anslutningar
    • Inte felfri – det fanns mer än 4 990 aktiva anslutningar

  • Dataflöde – megabitbitarna per sekund av trafik som passerar genom Tunnel Gateway-nätverkskortet vid den senaste serverincheckningen.

  • CPU-användning – Den genomsnittliga CPU-användningen av Tunnel Gateway-servern var femte minut.

    • Felfri – 95 % eller mindre
    • Varning – 96 % till 99 %
    • Inte felfri – 100 % användning

  • CPU-kärnor – antalet processorkärnor som är tillgängliga på den här servern.

    • Felfri – 4 eller fler kärnor
    • Varning – 1, 2 eller 3 kärnor
    • Ej felfri –0 kärnor

  • Minnesanvändning – Den genomsnittliga minnesanvändningen av Tunnel Gateway-servern var femte minut.

    • Felfri – 95 % eller mindre
    • Varning – 96 % till 99 %
    • Inte felfri – 100 % användning

  • Diskutrymmesanvändning – mängden diskutrymme som Tunnel Gateway-servern använder.

    • Felfri – över 5 GB
    • Varning – 3–5 GB
    • Ej felfri – under 3 GB

  • Svarstid – Den genomsnittliga tid det tar för IP-paket att tas emot och avsluta sedan nätverksgränssnittet.

    • Felfri – mindre än 10 millisekunder
    • Varning – 10 millisekunder till 20 millisekunder
    • Inte felfri – mer än 20 millisekunder

  • Certifikat för hanteringsagent – Hanteringsagentcertifikatet används av Tunnel Gateway för att autentisera med Intune så det är viktigt att förnya det innan det upphör att gälla. Den bör dock förnyas automatiskt.

    • Felfri – Certifikatets giltighetstid är mer än 30 dagar bort.
    • Varning – Certifikatets giltighetstid är mindre än 30 dagar bort.
    • Inte felfri – certifikatet har upphört att gälla.

  • TLS-certifikat – Antalet dagar tills TLS-certifikatet (Transport Layer Security) som skyddar trafiken mellan klienter och Tunnel Gateway-servern upphör att gälla.

    • Felfri – mer än 30 dagar
    • Varning – 30 dagar eller mindre
    • Inte felfri – certifikatet har upphört att gälla

  • Återkallning av TLS-certifikat – Tunnel Gateway försöker kontrollera återkallningsstatusen för TLS-certifikatet (Transport Layer Security) med hjälp av en OCSP-adress (Online Certificate Status Protocol) eller en lista över återkallade certifikat (CRL) enligt definitionen i TLS-certifikatet. Den här kontrollen kräver att servern har åtkomst till OCSP-slutpunkten eller CRL-adressen enligt definitionen i certifikatet.

    • Felfri – TLS-certifikatet har inte återkallats.
    • Varning – Det går inte att kontrollera om TLS-certifikatet har återkallats. Kontrollera att slutpunkterna som definierats i certifikatet kan nås från tunnelservern.
    • Inte felfri – TLS-certifikatet återkallas.

    Planera att ersätta ett återkallat TLS-certifikat.

    Mer information om OCSP (Online Certificate Status Protocol) finns i Online Certificate Status Protocol på wikipedia.org.

  • Tillgänglighet för internt nätverk – Status från den senaste kontrollen av den interna URL:en. Du konfigurerar URL:en som en del av en tunnelplatskonfiguration.

    • Felfri – servern kan komma åt url:en som anges i webbplatsegenskaperna.
    • Inte felfri – servern kan inte komma åt den URL som anges i webbplatsegenskaperna.
    • Okänd – Den här statusen visas när du inte har angett någon URL i webbplatsegenskaperna. Den här statusen påverkar inte webbplatsens övergripande status.

  • Uppgraderingsbarhet – Serverns möjlighet att kontakta Microsoft Container Repository, vilket gör att Tunnel Gateway kan uppgradera när versioner blir tillgängliga.

    • Felfri – Servern har inte kontaktat Microsoft Container Repository under de senaste 5 minuterna.
    • Inte felfri – Servern har inte kontaktat Microsoft Container Repository på mer än 5 minuter.

  • Serverversion – Status för Tunnel Gateway Server-programvaran i förhållande till den senaste versionen.

    • Felfri – uppdaterad med den senaste programvaruversionen
    • Varning – en version bakom
    • Inte felfri – Två eller flera versioner bakom och utan stöd

    När serverversionen inte är felfri planerar du att installera uppgraderingar för Microsoft Tunnel.

  • Servercontainer – avgör om containern som är värd för Microsoft Tunnel-servern körs.

    • Felfri – Statusen för servercontainern är felfri.
    • Inte felfri – Statusen för servercontainern är inte felfri.

  • Serverkonfiguration – Avgör om serverkonfigurationen har tillämpats på tunnelservern från Microsoft Intune platsinställningar.

    • Felfri – Serverkonfigurationen har tillämpats.
    • Inte felfri – Det gick inte att använda serverkonfigurationen.

  • Serverloggar – avgör om loggar har laddats upp till servern under de senaste 60 minuterna.

    • Felfri – Serverloggar har laddats upp under de senaste 60 minuterna.
    • Inte felfri – Serverloggarna har laddats upp under de senaste 60 minuterna.

Hantera tröskelvärden för hälsostatus

Du kan anpassa följande hälsostatusmått för Microsoft Tunnel för att ändra de tröskelvärden som var och en använder för att rapportera sin status. Anpassningar är klientorganisationsomfattande och gäller för alla tunnelsepar. De hälsokontrollmått som du kan anpassa omfattar:

  • CPU-användning
  • Minnesanvändning
  • Diskutrymmesanvändning
  • Latens

Så här ändrar du ett tröskelvärde för mått:

Skärmbild av hur du väljer och konfigurerar tröskelvärden för hälsostatus.

  1. Logga in på Microsoft Intune administrationscenter och gå till Status för Klientadministration>Microsoft Tunnel Gateway>Health.

  2. Välj Konfigurera tröskelvärden.

  3. På sidan Konfigurerade tröskelvärden anger du nya tröskelvärden för varje hälsokontrollkategori som du vill anpassa.

    • Tröskelvärden gäller för alla servrar på alla platser.
    • Välj Återgå till standard för att återställa alla tröskelvärden till standardvärdena.

  4. Välj Spara.

  5. I fönstret Hälsostatus väljer du Uppdatera för att uppdatera statusen för alla servrar baserat på de anpassade tröskelvärdena.

När du har ändrat tröskelvärden uppdateras värdena på fliken Hälsokontroll automatiskt för att återspegla dess status, baserat på de aktuella tröskelvärdena.

Skärmdump av en server hälsokontrollvy.

Visa hälsostatustrender Microsoft Tunnel Gateway-hälsomått i form av ett diagram. Data för diagrammen är i genomsnitt över ett tretimmarsblock och kan därför fördröjas upp till tre timmar.

Trenddiagrammen för hälsostatus är tillgängliga för följande mått:

  • Connections
  • CPU-användning
  • Diskutrymmesanvändning
  • Minnesanvändning
  • Genomsnittlig svarstid
  • Genomströmning

Så här visar du trenddiagram:

  1. Logga in på Microsoft Intune administrationscenter.

  2. Gå till Administration av klientorganisation>Microsoft Tunnel Gateway>Hälsostatus>Välj en server och välj sedan Trender

  3. Använd listrutan Mått för att välja det måttdiagram som du vill visa.

Använda kommandoradsverktyget mst-cli

Använd kommandoradsverktyget mst-cli för att hämta information om Microsoft Tunnel-servern. Den här filen läggs till på Linux-servern när Microsoft Tunnel installeras. Verktyget finns på: /usr/sbin/mst-cli.

Mer information och kommandoradsexempel finns i kommandoradsverktyget mst-cli för Microsoft Tunnel.

Visa Microsoft Tunnel-loggar

Microsoft Tunnel loggar information till Linux-serverloggarna i syslog-format . Om du vill visa loggposter använder du kommandot journalctl -t följt av en eller flera taggar som är specifika för Microsoft Tunnel-poster:

  • mstunnel-agent: Visa agentloggar.

  • mstunnel_monitor: Visa övervakningsaktivitetsloggar.

  • ocserv – Visa serverloggar.

  • ocserv-access – Visa åtkomstloggar.

    Som standard är åtkomstloggning inaktiverat. Aktivering av åtkomstloggar kan minska prestanda, beroende på antalet aktiva anslutningar och användningsmönster på servern. Loggning för DNS-anslutningar ökar utförligheten i loggarna, vilket kan bli brus.

    Åtkomstloggar har följande format: <Server timestamp><Server Name><ProcessID on Server><userId><deviceId><protocol><src IP and port><dst IP and port><bytes sent><bytes received><connection time in seconds> Till exempel:

    • Feb 25 16:37:56 MSTunnelTest-VM ocserv-access[9528]: ACCESS_LOG,41150dc4-238x-4dwv-9q89-55e987f30c32,f5132455-ef2dd-225a-a693-afbbqed482dce,tcp,169.254.54.149:49462,10.88.0.5:80,112,60,10

    Viktigt

    I ocserv-access identifierar värdet deviceId den unika installationsinstansen av Microsoft Defender som körs på en enhet och identifierar varken Intunes enhets-ID eller Microsoft Entra enhets-ID. Om Defender avinstalleras och sedan installeras om på en enhet genereras en ny instans för DeviceId* .

    Så här aktiverar du åtkomstloggning:

    1. set TRACE_SESSIONS=1 in /etc/mstunnel/env.sh
    2. ange TRACE_SESSIONS=2 för att inkludera loggning för DNS-anslutningar
    3. Kör mst-cli server restart för att starta om servern.

    Om åtkomstloggarna är för bullriga kan du inaktivera DNS-anslutningsloggning genom att ange TRACE_SESSIONS=1 och starta om servern.

  • OCSERV_TELEMETRY – Visa telemetriinformation för anslutningar till tunnel.

    Telemetriloggar har följande format, där värdena för bytes_in, bytes_out och varaktighet endast används för frånkopplingsåtgärder: <operation><client_ip><server_ip><gateway_ip><assigned_ip><user_id><device_id><user_agent><bytes_in><bytes_out><duration> Till exempel:

    • 20 okt 19:32:15 mstunnel ocserv[4806]: OCSERV_TELEMETRY,connect,31258,73.20.85.75,172.17.0.3,169.254.0.1,169.254.107.209,3780e1fc-3ac2-4268-a1fd-dd910ca8c13c, 5A683ECC-D909-4E5F-9C67-C0F595A4A70E,MobileAccess iOS 1.1.34040102

    Viktigt

    I OCSERV_TELEMETRY identifierar värdet deviceId den unika installationsinstansen av Microsoft Defender som körs på en enhet och identifierar varken Intunes enhets-ID eller Microsoft Entra enhets-ID. Om Defender avinstalleras och sedan installeras om på en enhet genereras en ny instans för DeviceId* .

Kommandoradsexempel för journalctl:

  • Om du bara vill visa information för tunnelservern kör du journalctl -t ocserv.
  • Om du vill visa telemetriloggen kör du journalctl -t ocserv | grep TELEMETRY
  • Om du vill visa information om alla loggalternativ kan du köra journalctl -t ocserv -t ocserv-access -t mstunnel-agent -t mstunnel_monitor.
  • Lägg till -f i kommandot för att visa en aktiv och kontinuerlig vy av loggfilen. Om du till exempel aktivt vill övervaka pågående processer för Microsoft Tunnel kör du journalctl -t mstunnel_monitor -f.

Fler alternativ för journalctl:

  • journalctl -h – Visa kommandohjälp för journalctl.
  • man journalctl – Visa ytterligare information.
  • man journalctl.conf Visa information om konfiguration Mer information om journalctl finns i dokumentationen för den version av Linux som du använder.

Enkel uppladdning av diagnostikloggar för tunnelservrar

Som ett diagnostiskt stöd kan du använda ett enda klick i Intune-administrationscentret för att aktivera, samla in och skicka utförliga loggar från en Tunnel Gateway-server direkt till Microsoft. Dessa utförliga loggar är sedan tillgängliga direkt för Microsoft när du arbetar med Microsoft för att identifiera eller lösa problem med en tunnelserver.

Du kan samla in och ladda upp utförliga loggar från en händelse innan du öppnar en supportincident, eller på begäran om du redan arbetar med Microsoft för att undersöka en tunnelserveråtgärd.

Så här använder du den här funktionen:

  1. Öppna Microsoft Intune administrationscenter gå till Administration av klientorganisation>Microsoft Tunnel Gateway> välj en server> och välj sedan fliken Loggar.

  2. På fliken Loggar letar du upp avsnittet Skicka utförliga serverloggar och väljer Skicka loggar.

När du väljer Skicka loggar för en tunnelserver börjar följande process:

  • Först samlar Intune in den aktuella uppsättningen tunnelserverloggar och laddar upp dem direkt till Microsoft. Dessa loggar samlas in med hjälp av servrarnas aktuella loggveroalitetsnivå. Som standard är serverns verbositetsnivå noll (0).
  • Därefter aktiverar Intune en utförlig nivå på fyra (4) för tunnelserverloggarna. Den här detaljnivån samlas in i åtta timmar.
  • Under de åtta timmarna av utförlig logginsamling bör problemet eller åtgärden som undersöks återskapas för att samla in utförlig information i loggarna.
  • Efter åtta timmar samlar Intune in en andra uppsättning serverloggar som innehåller utförlig information och laddar upp dem till Microsoft. Vid tidpunkten för uppladdningen återställer Intune även tunnelserverloggarna för att använda standardnivån för verbositet på noll (0). Om du tidigare höjde verbositetsnivån för servern kan du återställa den anpassade verbositetsnivån när Intune har återställt verbositeten till noll.

Varje uppsättning loggar som Intune samlar in och laddar upp identifieras som en separat uppsättning med följande information som visas i administrationscentret under knappen Skicka loggar :

  • En start- och sluttid för loggsamlingen
  • När uppladdningen genererades
  • Loggen anger utförlighetsnivå
  • Ett incident-ID som kan användas för att identifiera den specifika logguppsättningen

Skärmbild som visar gränssnittet Skicka utförliga serverloggar.

När du har fångat ett problem när du kör utförlig loggsamling kan du ange incident-ID :t för den loggen till Microsoft för att hjälpa till med undersökningen.

Om loggsamling

  • Intune stoppar eller startar inte om tunnelservern för att aktivera eller inaktivera utförlig loggning.
  • Den åtta timmar långa utförliga loggningsperioden kan inte förlängas eller stoppas tidigt.
  • Du kan använda processen Skicka loggar så ofta som behövs för att samla in ett problem med utförlig loggning. Ökad loggveroalitet ökar dock belastningen på tunnelservern och rekommenderas inte som en vanlig konfiguration.
  • När utförlig loggning har upphört anges standardnivån för verbositet på noll för tunnelserverloggar, oavsett tidigare angivna utförlighetsnivåer.
  • Följande loggar samlas in genom den här processen:
    • mstunnel-agent (agentloggar)
    • mstunnel_monitor (Övervaka aktivitetsloggar)
    • ocserv (serverloggar)

Ocserv-åtkomstloggarna samlas inte in eller laddas upp.

Kända problem

Följande är kända problem för Microsoft Tunnel.

Serverhälsa

Klienter kan använda tunneln när serverns hälsostatus visas som offline

Problem: På fliken Status för tunnelhälsa rapporterar en server hälsostatus som offline, vilket indikerar att den är frånkopplad, även om användarna kan nå tunnelservern och ansluta till organisationens resurser.

Lösning: För att lösa det här problemet måste du installera om Microsoft Tunnel, som omregistrerar tunnelserveragenten med Intune. Du kan förhindra det här problemet genom att installera uppdateringar för Tunnel-agenten och servern strax efter att de har släppts. Använd hälsomåtten för tunnelservern i Microsoft Intune administrationscenter för att övervaka serverns hälsa.

Med Podman visas "Fel vid körning av kontroll" i mstunnel_monitor loggen

Problem: Podman kan inte identifiera eller se att de aktiva containrarna körs och rapporterar "Fel vid körning av kontroll" i mstunnel_monitor loggen för tunnelservern. Följande är exempel på felen:

  • Agent:

    Error executing Checkup
Error details
\tscript: 561 /usr/sbin/mst-cli
\t\tcommand: $ctr_cli exec $agent_name mstunnel checkup 2> >(FailLogger)
\tstack:
\t\t<> Checkup /usr/sbin/mst-cli Message: NA
\t\t<> MonitorServices /usr/sbin/mst-cli Message: Failure starting service mstunnel-agent
\t\t<> main /usr/sbin/mstunnel_monitor Message: NA

  • Server:

    Error executing Checkup
Error details
\tscript: 649 /usr/sbin/mst-cli
\t\tcommand: $ctr_cli exec $agent_name mstunnel checkup 2> >(FailLogger)
\tstack:
\t\t<> Checkup /usr/sbin/mst-cli Message: NA
\t\t<> MonitorServices /usr/sbin/mst-cli Message: Failure starting service mstunnel-server
\t\t<> main /usr/sbin/mstunnel_monitor Message: NA

Lösning: Lös problemet genom att starta om Podman-containrarna manuellt. Podman bör sedan kunna identifiera containrarna. Om problemet kvarstår eller returnerar kan du överväga att använda cron för att skapa ett jobb som automatiskt startar om containrarna när det här problemet uppstår.

Med Podman visas System.DateTime-fel i mstunnel-agent-loggen

Problem: När du använder Podman kan mstunnel-agent-loggen innehålla fel som liknar följande poster:

  • Failed to parse version-info.json for version information.
  • System.Text.Json.JsonException: The JSON value could not be converted to System.DateTime

Det här problemet beror på skillnader i formateringsdatum mellan Podman och Tunnel Agent. Dessa fel tyder inte på ett allvarligt problem eller förhindrar anslutning. Från och med containrar som släppts efter oktober 2022 bör formateringsproblemen lösas.

Lösning: Lös dessa problem genom att uppdatera agentcontainern (Podman eller Docker) till den senaste versionen. När nya källor till dessa fel identifieras fortsätter vi att åtgärda dem i efterföljande versionsuppdateringar.

Anslutning till tunnel

Enheter kan inte ansluta till tunnelservern

Problem: Enheter kan inte ansluta till servern och loggfilen Tunnel server ocserv innehåller en post som liknar följande post: main: tun.c:655: Can't open /dev/net/tun: Operation not permitted

Vägledning om hur du visar tunnelloggar finns i Visa Microsoft Tunnel-loggar i den här artikeln.

Lösning: Starta om servern med när mst-cli server restart Linux-servern har startats om.

Om det här problemet kvarstår kan du överväga att automatisera omstartskommandot med hjälp av cron-schemaläggningsverktyget. Se Så här använder du cron i Linuxopensource.com.

Nästa steg

Referens för Microsoft Tunnel