Dela via

Felsöka nätverksanslutning

  • Artikel

Den här artikeln hjälper dig att felsöka problem med nätverksanslutningar med hjälp av Azure Migrate med privata slutpunkter.

Verifiera konfiguration av privata slutpunkter

Kontrollera att den privata slutpunkten är ett godkänt tillstånd.

  1. Gå till sidan Egenskaper för identifiering och utvärdering och migrering och modernisering i Azure Migrate.

  2. Egenskapssidan innehåller listan över privata slutpunkter och privata länk-FQDN:er som skapades automatiskt av Azure Migrate.

  3. Välj den privata slutpunkt som du vill diagnostisera.
    a. Kontrollera att anslutningstillståndet är Godkänt.
    b. Om anslutningen är i ett väntande tillstånd måste du få den godkänd.
    c. Du kan också navigera till den privata slutpunktsresursen och granska om det virtuella nätverket matchar det privata slutpunktsnätverket Migrera projekt.

    Skärmbild av Visa privat slutpunktsanslutning.

Verifiera dataflödet via de privata slutpunkterna

Granska dataflödesmåtten för att verifiera trafikflödet via privata slutpunkter. Välj den privata slutpunkten på sidan Azure Migrate: Server Assessment and Migration and modernization Properties (Egenskaper för serverutvärdering och migrering och modernisering). Detta omdirigerar till översiktsavsnittet för den privata slutpunkten i Azure Private Link Center. I den vänstra menyn väljer du Mått för att visa information om in- och utdatabyte för att visa trafikflödet.

Verifiera DNS-matchning

Den lokala installationen (eller replikeringsprovidern) kommer åt Azure Migrate-resurserna med hjälp av deras fullständigt kvalificerade domännamn för privata länkar (FQDN). Du kan behöva ytterligare DNS-inställningar för att matcha den privata IP-adressen för de privata slutpunkterna från källmiljön. Se den här artikeln för att förstå DNS-konfigurationsscenarier som kan hjälpa dig att felsöka problem med nätverksanslutningar.

Verifiera anslutningen till den privata länken genom att utföra en DNS-matchning av Azure Migrate-resursslutpunkterna (FQDN för privat länkresurs) från den lokala servern som är värd för migreringsinstallationen och se till att den matchar en privat IP-adress.

Så här hämtar du information om den privata slutpunkten för att verifiera DNS-matchning:

  1. Information om den privata slutpunkten och information om FQDN för den privata länkresursen finns på sidorna egenskaper för identifiering och utvärdering och migrering och modernisering. Välj Ladda ned DNS-inställningar för att visa listan. Observera att endast de privata slutpunkter som skapades automatiskt av Azure Migrate visas nedan.

    Azure Migrate: Identifierings- och utvärderingsegenskaper

    Egenskaper för migrerings- och moderniseringsverktyg

  2. Om du har skapat en privat slutpunkt för lagringskontona för replikering via ett privat nätverk kan du hämta det privata länk-FQDN och IP-adressen enligt nedan.

  • Gå till lagringskontot Privata slutpunktsanslutningar för nätverk>och välj den privata slutpunkt som skapats.>

    Skärmbild av privata slutpunktsanslutningar.

  • Gå till Inställningar>DNS-konfiguration för att hämta lagringskontots FQDN och privata IP-adress.

    Skärmbild som visar information om Private Link F Q D N.

Ett illustrativt exempel på DNS-matchning av det privata länk-FQDN för lagringskontot.

  • Ange nslookup <storage-account-name>_.blob.core.windows.net. Ersätt <storage-account-name> med namnet på lagringskontot som används för Azure Migrate.

    Du får ett meddelande som liknar detta:

    Skärmbild som visar ett exempel på D N S-upplösning.

  • En privat IP-adress på 10.1.0.5 returneras för lagringskontot. Den här adressen tillhör det privata undernätet för virtuellt slutpunktsnätverk.

Du kan verifiera DNS-matchningen för andra Azure Migrate-artefakter med en liknande metod.

Om DNS-matchningen är felaktig följer du dessa steg:

Rekommenderas: Uppdatera källmiljöns DNS-poster manuellt genom att redigera DNS-värdfilen på den lokala installationen med FQDN:er för den privata länkresursen och deras associerade privata IP-adresser.

  • Om du använder en anpassad DNS granskar du dina anpassade DNS-inställningar och kontrollerar att DNS-konfigurationen är korrekt. Vägledning finns i Översikt över privat slutpunkt: DNS-konfiguration.
  • Om du använder DNS-servrar som tillhandahålls av Azure läser du avsnittet nedan för ytterligare felsökning.

Dricks

För testning kan du manuellt uppdatera källmiljöns DNS-poster genom att redigera DNS-värdfilen på den lokala installationen med FQDN:er för private link-resursen och deras associerade privata IP-adresser.

Verifiera den privata DNS-zonen

Om DNS-matchningen inte fungerar enligt beskrivningen i föregående avsnitt kan det finnas ett problem med din privata DNS-zon.

Bekräfta att den nödvändiga privata DNS-zonresursen finns

Som standard skapar Azure Migrate också en privat DNS-zon som motsvarar underdomänen privatelink för varje resurstyp. Den privata DNS-zonen skapas i samma Azure-resursgrupp som den privata slutpunktsresursgruppen. Azure-resursgruppen bör innehålla privata DNS-zonresurser med följande format:

  • privatelink.vaultcore.azure.net för nyckelvalvet
  • privatelink.blob.core.windows.net för lagringskontot
  • privatelink.siterecovery.windowsazure.com för Recovery Services-valvet (för Hyper-V och agentbaserade replikering)
  • privatelink.prod.migration.windowsazure.com – migrera projekt, utvärderingsprojekt och identifieringsplats.

Azure Migrate skapar automatiskt den privata DNS-zonen (förutom det cache-/replikeringslagringskonto som användaren har valt). Du kan hitta den länkade privata DNS-zonen genom att gå till den privata slutpunktssidan och välja DNS-konfigurationer. Här bör du se den privata DNS-zonen under avsnittet privat DNS-integrering.

Skärmbild av DNS-konfiguration

Om DNS-zonen inte finns (enligt nedan) skapar du en ny privat DNS-zonresurs.

Skapa en privat DNS-zon

Bekräfta att den privata DNS-zonen är länkad till det virtuella nätverket

Den privata DNS-zonen ska länkas till det virtuella nätverk som innehåller den privata slutpunkten för DNS-frågan för att matcha resursslutpunktens privata IP-adress. Om den privata DNS-zonen inte är länkad till rätt virtuellt nätverk ignorerar dns-matchning från det virtuella nätverket den privata DNS-zonen.

Gå till den privata DNS-zonresursen i Azure-portalen och välj länkarna till det virtuella nätverket på den vänstra menyn. Du bör se de virtuella nätverken som är länkade.

Visa länkar till virtuella nätverk

Detta visar en lista med länkar, var och en med namnet på ett virtuellt nätverk i din prenumeration. Det virtuella nätverk som innehåller den privata slutpunktsresursen måste anges här. Annars följer du den här artikeln för att länka den privata DNS-zonen till ett virtuellt nätverk.

När den privata DNS-zonen är länkad till det virtuella nätverket letar DNS-begäranden från det virtuella nätverket efter DNS-poster i den privata DNS-zonen. Detta krävs för korrekt adressmatchning till det virtuella nätverk där den privata slutpunkten skapades.

Bekräfta att den privata DNS-zonen innehåller rätt A-poster

Gå till den privata DNS-zon som du vill felsöka. På sidan Översikt visas alla DNS-poster för den privata DNS-zonen. Kontrollera att det finns en DNS A-post för resursen. Värdet för A-posten (IP-adressen) måste vara resursernas privata IP-adress. Om du hittar A-posten med fel IP-adress måste du ta bort fel IP-adress och lägga till en ny. Vi rekommenderar att du tar bort hela A-posten och lägger till en ny och gör en DNS-tömning på den lokala källinstallationen.

Ett belysande exempel för lagringskontots DNS A-post i den privata DNS-zonen:

DNS-poster

Ett belysande exempel för Recovery Services-valvets mikrotjänster DNS A-poster i den privata DNS-zonen:

DNS-poster för Recovery Services-valv

Kommentar

När du tar bort eller ändrar en A-post kanske datorn fortfarande matchar den gamla IP-adressen eftersom TTL-värdet (Time To Live) kanske inte har upphört att gälla ännu.

Det här är en icke-fullständig lista över objekt som kan hittas i avancerade eller komplexa scenarier:

  • Brandväggsinställningar, antingen Azure Firewall som är ansluten till det virtuella nätverket eller en anpassad brandväggslösning som distribueras på installationsdatorn.
  • Nätverkspeering, vilket kan påverka vilka DNS-servrar som används och hur trafiken dirigeras.
  • Anpassade gatewaylösningar (NAT) kan påverka hur trafik dirigeras, inklusive trafik från DNS-frågor.

Mer information finns i felsökningsguiden för anslutningsproblem med privata slutpunkter.

Vanliga problem vid användning av Azure Migrate med privata slutpunkter

I det här avsnittet listar vi några av de vanliga problemen och föreslår felsökningssteg för att åtgärda problemet.

Installationen misslyckas med felet ForbiddenToAccessKeyVault

Det gick inte att skapa eller uppdatera Azure Key Vault för <KeyVaultName> på grund av felet <ErrorMessage>

Möjliga orsaker:

Det här problemet kan inträffa om Azure-kontot som används för att registrera installationen inte har de behörigheter som krävs eller om Azure Migrate-installationen inte kan komma åt Key Vault.

Sanering:

Steg för att felsöka problem med åtkomst till Key Vault:

  1. Kontrollera att det Azure-användarkonto som används för att registrera installationen har minst deltagarbehörighet för prenumerationen.
  2. Kontrollera att användaren som försöker registrera installationen har åtkomst till Key Vault och har en tilldelad åtkomstprincip i avsnittet Åtkomstprincip för Key Vault>. Läs mer
  • Läs mer om nödvändiga Azure-roller och -behörigheter.

Steg för att felsöka anslutningsproblem till Key Vault: Om du har aktiverat installationen för privat slutpunktsanslutning använder du följande steg för att felsöka problem med nätverksanslutningen:

  • Kontrollera att installationen antingen finns i samma virtuella nätverk eller är ansluten till det virtuella Azure-målnätverket (där den privata Nyckelvalvsslutpunkten har skapats) via en privat länk. Den privata Key Vault-slutpunkten skapas i det virtuella nätverk som valts under projektskapandet. Du kan verifiera informationen om det virtuella nätverket på sidan Egenskaper för Azure Migrate>. Egenskaper för Azure Migrate

  • Kontrollera att installationen har nätverksanslutning till Key Vault via en privat länk. Verifiera anslutningen till den privata länken genom att utföra en DNS-matchning av Key Vault-resursslutpunkten från den lokala servern som är värd för installationen och se till att den matchar en privat IP-adress.

  • Gå till Azure Migrate: Identifierings- och utvärderingsegenskaper> för att hitta information om privata slutpunkter för resurser som nyckelvalvet som skapades under nyckelgenereringssteget.

    Azure Migrate-serverutvärderingsegenskaper

  • Välj Ladda ned DNS-inställningar för att ladda ned DNS-mappningarna.

    Ladda ned DNS-inställningar

  • Öppna kommandoraden och kör följande nslookup-kommando för att verifiera nätverksanslutningen till key vault-URL:en som anges i DNS-inställningsfilen.

    nslookup <your-key-vault-name>.vault.azure.net

    Om du kör sökningskommandot ns för att matcha IP-adressen för ett nyckelvalv över en offentlig slutpunkt visas ett resultat som ser ut så här:

    c:\ >nslookup <your-key-vault-name>.vault.azure.net

Non-authoritative answer:
Name:    
Address:  (public IP address)
Aliases:  <your-key-vault-name>.vault.azure.net

    Om du kör sökningskommandot ns för att matcha IP-adressen för ett nyckelvalv över en privat slutpunkt visas ett resultat som ser ut så här:

    c:\ >nslookup your_vault_name.vault.azure.net

Non-authoritative answer:
Name:    
Address:  10.12.4.20 (private IP address)
Aliases:  <your-key-vault-name>.vault.azure.net
          <your-key-vault-name>.privatelink.vaultcore.azure.net

    Kommandot nslookup bör matcha till en privat IP-adress enligt ovan. Den privata IP-adressen ska matcha den som anges i DNS-inställningsfilen.

Om DNS-matchningen är felaktig följer du dessa steg:

  1. Uppdatera källmiljöns DNS-poster manuellt genom att redigera DNS-värdfilen på den lokala installationen med DNS-mappningarna och de associerade privata IP-adresserna. Det här alternativet rekommenderas för testning.

    DNS-värdfil

  2. Om du använder en anpassad DNS-server granskar du dina anpassade DNS-inställningar och kontrollerar att DNS-konfigurationen är korrekt. Vägledning finns i Översikt över privat slutpunkt: DNS-konfiguration.

  3. Överväganden för proxyserver: Om enheten använder en proxyserver för utgående anslutning kan du behöva verifiera dina nätverksinställningar och konfigurationer för att säkerställa att URL:erna för privata länkar kan nås och kan dirigeras som förväntat.

    • Om proxyservern är avsedd för Internetanslutning kan du behöva lägga till trafikvidare eller regler för att kringgå proxyservern för de privata länk-FQDN:erna. Läs mer om hur du lägger till regler för förbikoppling av proxy.
    • Om proxyservern är för all utgående trafik kontrollerar du också att proxyservern kan matcha de privata länk-FQDN:erna till sina respektive privata IP-adresser. För en snabb lösning kan du manuellt uppdatera DNS-posterna på proxyservern med DNS-mappningarna och de associerade privata IP-adresserna enligt ovan. Det här alternativet rekommenderas för testning.

  4. Om problemet kvarstår kan du gå till det här avsnittet för ytterligare felsökning.

När du har verifierat anslutningen försöker du registrera igen.

Verifiera nätverksanslutning för privat slutpunkt

Du kan använda kommandot Test-NetConnection i PowerShell för att kontrollera om porten kan nås från installationen till den privata slutpunkten. Se till att du kan matcha lagringskontot och Nyckelvalvet för Azure-migreringsprojektet med hjälp av den privata IP-adressen.

Skärmbild av anslutning till en privat slutpunkt i Valvet.

Skärmbild av anslutning till privat slutpunkt för lagring.

Startidentifiering misslyckas med felet AgentNotConnected

Det gick inte att initiera identifieringen eftersom den lokala agenten inte kan kommunicera med Azure Migrate-tjänstslutpunkten: <URLname> i Azure.

Agenten är inte ansluten

Möjliga orsaker:

Det här problemet kan inträffa om installationen inte kan nå tjänstslutpunkterna som nämns i felmeddelandet.

Sanering:

Kontrollera att installationen har anslutning direkt eller via proxy och kan lösa tjänstslutpunkten som anges i felmeddelandet.

Om du har aktiverat installationen för privat slutpunktsanslutning kontrollerar du att installationen är ansluten till det virtuella Azure-nätverket via en privat länk och kan lösa de tjänstslutpunkter som anges i felmeddelandet.

Steg för att felsöka anslutningsproblem med privata länkar till Azure Migrate-tjänstslutpunkter:

Om du har aktiverat installationen för privat slutpunktsanslutning använder du följande steg för att felsöka problem med nätverksanslutningen:

  • Kontrollera att installationen antingen finns i samma virtuella nätverk eller är ansluten till det virtuella Azure-målnätverket (där de privata slutpunkterna har skapats) via en privat länk. Privata slutpunkter för Azure Migrate-tjänsterna skapas i det virtuella nätverk som valts under projektskapandet. Du kan verifiera informationen om det virtuella nätverket på sidan Egenskaper för Azure Migrate>.

    Egenskaper för Azure Migrate

  • Kontrollera att installationen har nätverksanslutning till tjänstens slutpunkts-URL:er och andra URL:er som nämns i felmeddelandet via en privat länkanslutning. Om du vill verifiera anslutningen till en privat länk utför du en DNS-matchning av URL:erna från den lokala servern som är värd för installationen och ser till att den matchar privata IP-adresser.

  • Gå till Azure Migrate: Identifierings- och utvärderingsegenskaper> för att hitta information om privata slutpunkter för tjänstslutpunkterna som skapades under nyckelgenereringssteget.

    Azure Migrate-serverutvärderingsegenskaper

  • Välj Ladda ned DNS-inställningar för att ladda ned DNS-mappningarna.

    Ladda ned DNS-inställningar

DNS-mappningar som innehåller url:er för privat slutpunkt Detaljer
*.disc.privatelink.prod.migration.windowsazure.com Tjänstslutpunkt för Azure Migrate Discovery
*.asm.privatelink.prod.migration.windowsazure.com Tjänstslutpunkt för Azure Migrate Assessment
*.hub.privatelink.prod.migration.windowsazure.com Azure Migrate Hub-slutpunkt för att ta emot data från andra Microsoft- eller externa oberoende programvaruleverantörer (ISV)
*.privatelink.siterecovery.windowsazure.com Azure Site Recovery-tjänstslutpunkt för att samordna replikering
*.vault.azure.net Key Vault-slutpunkt
*.blob.core.windows.net Lagringskontoslutpunkt för beroende- och prestandadata

Utöver URL:erna ovan behöver enheten åtkomst till följande URL:er via Internet, direkt eller via proxy.

Andra offentliga moln-URL:er
(Offentliga slutpunkts-URL:er)		 Detaljer
*.portal.azure.com Navigera till Azure Portal
*.windows.net
*.msftauth.net
*.msauth.net
*.microsoft.com
*.live.com
*.office.com
*.microsoftonline.com
*.microsoftonline-p.com
Används för åtkomstkontroll och identitetshantering av Microsoft Entra-ID
management.azure.com För att utlösa Azure Resource Manager-distributioner
*.services.visualstudio.com (valfritt) Ladda upp installationsloggar som används för intern övervakning.
aka.ms/* (valfritt) Tillåt åtkomst att även känna till som länkar. Används för att ladda ned och installera de senaste uppdateringarna för installationstjänster
download.microsoft.com/download Tillåt nedladdningar från Microsoft Download Center

  • Öppna kommandoraden och kör följande nslookup-kommando för att verifiera privatelink-anslutningen till url:erna som anges i DNS-inställningsfilen. Upprepa det här steget för alla URL:er i DNS-inställningsfilen.

    Bild: Verifiera anslutningen till den privata länken till identifieringstjänstens slutpunkt

    nslookup 04b8c9c73f3d477e966c8d00f352889c-agent.cus.disc.privatelink.prod.migration.windowsazure.com

    Om begäran kan nå slutpunkten för identifieringstjänsten via en privat slutpunkt visas ett resultat som ser ut så här:

    nslookup 04b8c9c73f3d477e966c8d00f352889c-agent.cus.disc.privatelink.prod.migration.windowsazure.com

Non-authoritative answer:
Name:    
Address:  10.12.4.23 (private IP address)
Aliases:  04b8c9c73f3d477e966c8d00f352889c-agent.cus.disc.privatelink.prod.migration.windowsazure.com
          prod.cus.discoverysrv.windowsazure.com

    Kommandot nslookup bör matcha till en privat IP-adress enligt ovan. Den privata IP-adressen ska matcha den som anges i DNS-inställningsfilen.

Om DNS-matchningen är felaktig följer du dessa steg:

  1. Uppdatera källmiljöns DNS-poster manuellt genom att redigera DNS-värdfilen på den lokala installationen med DNS-mappningarna och de associerade privata IP-adresserna. Det här alternativet rekommenderas för testning.

    DNS-värdfil

  2. Om du använder en anpassad DNS-server granskar du dina anpassade DNS-inställningar och kontrollerar att DNS-konfigurationen är korrekt. Vägledning finns i Översikt över privat slutpunkt: DNS-konfiguration.

  3. Överväganden för proxyserver: Om enheten använder en proxyserver för utgående anslutning kan du behöva verifiera dina nätverksinställningar och konfigurationer för att säkerställa att URL:erna för privata länkar kan nås och kan dirigeras som förväntat.

    • Om proxyservern är avsedd för Internetanslutning kan du behöva lägga till trafikvidare eller regler för att kringgå proxyservern för de privata länk-FQDN:erna. Läs mer om hur du lägger till regler för förbikoppling av proxy.
    • Om proxyservern är för all utgående trafik kontrollerar du också att proxyservern kan matcha de privata länk-FQDN:erna till sina respektive privata IP-adresser. För en snabb lösning kan du manuellt uppdatera DNS-posterna på proxyservern med DNS-mappningarna och de associerade privata IP-adresserna enligt ovan. Det här alternativet rekommenderas för testning.

  4. Om problemet kvarstår kan du gå till det här avsnittet för ytterligare felsökning.

När du har verifierat anslutningen kan du försöka identifiera igen.

Import-/exportbegäran misslyckas med felet "403: Den här begäran har inte behörighet att utföra den här åtgärden"

Begäran om export/import/nedladdning av rapporten misslyckas med felet "403: Den här begäran har inte behörighet att utföra den här åtgärden" för projekt med privat slutpunktsanslutning.

Möjliga orsaker:

Det här felet kan inträffa om begäran om export/import/nedladdning inte initierades från ett auktoriserat nätverk. Detta kan inträffa om import-/export-/nedladdningsbegäran initierades från en klient som inte är ansluten till Azure Migrate-tjänsten (virtuellt Azure-nätverk) via ett privat nätverk.

Åtgärder

Alternativ 1 (rekommenderas):

Lös det här felet genom att försöka importera/exportera/ladda ned igen från en klient som finns i ett virtuellt nätverk som är anslutet till Azure via en privat länk. Du kan öppna Azure-portalen i ditt lokala nätverk eller din virtuella dator och försöka utföra åtgärden igen.

Alternativ 2:

Import-/export-/nedladdningsbegäran upprättar en anslutning till ett lagringskonto för att ladda upp/ladda ned rapporter. Du kan också ändra nätverksinställningarna för lagringskontot som används för import/export/nedladdning och tillåta åtkomst till lagringskontot via andra nätverk (offentliga nätverk).

Konfigurera lagringskontot för offentlig slutpunktsanslutning genom att

  1. Leta upp lagringskontot: Lagringskontots namn är tillgängligt på sidan Egenskaper för Azure Migrate: Identifiering och utvärdering. Namnet på lagringskontot har suffixet usa.

    Ögonblicksbild av nedladdning av D N S-inställningar.

  2. Navigera till lagringskontot och redigera lagringskontots nätverksegenskaper för att tillåta åtkomst från alla/andra nätverk.

    Ögonblicksbild av lagringskontots nätverksegenskaper.

  3. Du kan också begränsa åtkomsten till valda nätverk och lägga till klientens offentliga IP-adress där du försöker komma åt Azure-portalen.

    Ögonblicksbild av lägg till klientens offentliga I P-adress.

Användning av privata slutpunkter för replikering kräver att Azure Migrate-installationstjänster körs på följande versioner

Möjliga orsaker:

Det här problemet kan inträffa om tjänsterna som körs på installationen inte körs på den senaste versionen. DRA-agenten samordnar serverreplikeringen och samordnar kommunikationen mellan replikerade servrar och Azure. Gatewayagenten skickar replikerade data till Azure.

Kommentar

Det här felet gäller endast för migreringar av virtuella VMware-datorer utan agent.

Sanering:

  1. Kontrollera att de tjänster som körs på installationen har uppdaterats till de senaste versionerna.

    Det gör du genom att starta installationskonfigurationshanteraren från installationsservern och välja Visa installationstjänsterpanelen Förutsättningarna för installation. Apparaten och dess komponenter uppdateras automatiskt. Om inte följer du anvisningarna för att uppdatera installationstjänsterna manuellt.

    Ögonblicksbild av Visa installationstjänster.

Det gick inte att spara konfigurationen: Tidsgränsen för 504 gateway

Möjliga orsaker:

Det här problemet kan inträffa om Azure Migrate-installationen inte kan nå tjänstslutpunkten som anges i felmeddelandet.

Sanering:

Verifiera anslutningen till den privata länken genom att utföra en DNS-matchning av Azure Migrate-tjänstslutpunkterna (FQDN för privat länkresurs) från den lokala servern som är värd för migreringsinstallationen och se till att de matchar privata IP-adresser.

Så här hämtar du information om den privata slutpunkten för att verifiera DNS-matchning:

Information om privat slutpunkt och FQDN-information för privat länkresurs finns på sidorna egenskaper för identifiering och utvärdering och migrering och modernisering. Välj Ladda ned DNS-inställningar på båda egenskapssidorna för att visa den fullständiga listan.

Se sedan den här vägledningen för att verifiera DNS-matchningen.