對網路連線能力進行疑難排解
本文可協助您針對搭配私人端點使用 Azure Migrate 的網路連線問題進行疑難解答。
驗證私人端點組態
請確定私人端點是已核准的狀態。
移至 Azure Migrate: 探索和評量 和 移轉和現代化 屬性頁面。
屬性頁面包含 Azure Migrate 自動建立的私人端點和私人連結 FQDN 清單。
選取您要診斷的私人端點。
a. 驗證連線狀態是否已核准。
b. 如果連線處於擱置狀態,您必須獲得核准。
c. 您也可以流覽至私人端點資源,並檢閱虛擬網路是否符合 Migrate 專案私人端點虛擬網路。
透過私人端點驗證數據流
檢閱數據流計量,以確認流量流經私人端點。 在 [Azure Migrate:伺服器評量和移轉和現代化內容] 頁面中選取私人端點。 這會重新導向至 Azure Private Link Center 中的私人端點概觀區段。 在左側功能表中,選取 [計量] 以檢視 [數據位元組 In] 和 [數據位元組輸出] 資訊,以檢視流量流程。
確認 DNS 解析
內部部署設備(或復寫提供者)會使用其完整私人連結功能變數名稱 (FQDN) 來存取 Azure Migrate 資源。 您可能需要其他 DNS 設定,才能從來源環境解析私人端點的私人 IP 位址。 請參閱本文 以瞭解 DNS 設定案例,以協助針對任何網路連線問題進行疑難解答。
若要驗證私人連結連線,請從裝載 Migrate 設備的內部部署伺服器執行 Azure Migrate 資源端點(私人鏈接資源 FQDN)的 DNS 解析,並確保其解析為私人 IP 位址。
若要取得私人端點詳細數據,以驗證 DNS 解析:
私人端點詳細數據和私人鏈接資源 FQDN 的資訊可在探索和評量和移轉和現代化屬性頁面中取得。 選取 [ 下載 DNS 設定 ] 以檢視清單。 請注意,以下只會列出 Azure Migrate 自動建立的私人端點。
如果您已為記憶體帳戶建立私人端點,以便透過專用網進行復寫,您可以取得私人連結 FQDN 和 IP 位址,如下所示。
移至 儲存體 帳戶>網路>私人端點連線,然後選取已建立的私人端點。
移至 設定> DNS 組態,以取得記憶體帳戶 FQDN 和私人 IP 位址。
記憶體帳戶私人連結 FQDN 的 DNS 解析說明範例。
輸入
nslookup <storage-account-name>_.blob.core.windows.net.[以用於 Azure Migrate 的記憶體帳戶名稱取代<storage-account-name>]。您會收到如下的訊息:
記憶體帳戶會傳回 10.1.0.5 的私人 IP 位址。 此位址屬於私人端點虛擬網路子網。
您可以使用類似的方法來驗證其他 Azure Migrate 成品的 DNS 解析。
如果 DNS 解析不正確,請遵循下列步驟:
建議:使用私人鏈接資源 FQDN 及其相關聯的私人 IP 位址,在內部部署設備上編輯 DNS 主機檔案,以手動更新來源環境 DNS 記錄。
- 如果您使用自定義 DNS,請檢閱您的自訂 DNS 設定,並驗證 DNS 組態是否正確。 如需指引,請參閱 私人端點概觀:DNS 設定。
- 如果您使用 Azure 提供的 DNS 伺服器,請參閱下一節以取得進一步的疑難解答。
提示
若要進行測試,您可以使用私人鏈接資源 FQDN 及其相關聯的私人 IP 位址,在內部部署設備上編輯 DNS 主機檔案,以手動更新來源環境 DNS 記錄。
驗證 私用 DNS區域
如果 DNS 解析無法如上一節所述運作,您的 私用 DNS 區域可能會發生問題。
確認必要的 私用 DNS 區域資源存在
根據預設,Azure Migrate 也會為每個資源類型建立對應至 privatelink 子域的私人 DNS 區域。 私人 DNS 區域會建立在與私人端點資源群組相同的 Azure 資源群組中。 Azure 資源群組應包含具有下列格式的私人 DNS 區域資源:
- 金鑰保存庫的 privatelink.vaultcore.azure.net
- 記憶體帳戶的 privatelink.blob.core.windows.net
- privatelink.siterecovery.windowsazure.com 復原服務保存庫 (適用於 Hyper-V 和代理程式型復寫)
- privatelink.prod.migration.windowsazure.com - 移轉專案、評量專案和探索網站。
Azure Migrate 會自動建立私人 DNS 區域(除了使用者選取的快取/複寫記憶體帳戶除外)。 您可以瀏覽至私人端點頁面並選取 [DNS 組態],以找出連結的私人 DNS 區域。 在這裡,您應該會在私人 DNS 整合區段底下看到私人 DNS 區域。
如果 DNS 區域不存在(如下所示),請建立新的 私用 DNS 區域資源。
確認 私用 DNS 區域已連結至虛擬網路
私人 DNS 區域應該連結至包含 DNS 查詢私人端點的虛擬網路,以解析資源端點的私人 IP 位址。 如果私人 DNS 區域未連結至正確的 虛擬網絡,則來自該虛擬網路的任何 DNS 解析都會忽略私人 DNS 區域。
流覽至 Azure 入口網站 中的私人 DNS 區域資源,然後從左側功能表中選取虛擬網路連結。 您應該會看到連結的虛擬網路。
這會顯示連結清單,每個連結都有您訂用帳戶中的虛擬網路名稱。 包含私人端點資源的虛擬網路必須列在這裡。 否則, 請遵循本文 ,將私人 DNS 區域連結至虛擬網路。
一旦私人 DNS 區域連結至虛擬網路,來自虛擬網路的 DNS 要求會尋找私人 DNS 區域中的 DNS 記錄。 這是建立私人端點之虛擬網路的正確位址解析的必要專案。
確認私人 DNS 區域包含正確的 A 記錄
移至您想要疑難解答的私人 DNS 區域。 [概觀] 頁面會顯示該私人 DNS 區域的所有 DNS 記錄。 確認資源的 DNS A 記錄存在。 A 記錄的值(IP 位址)必須是資源的私人IP位址。 如果您發現 A 記錄的 IP 位址錯誤,您必須移除錯誤的 IP 位址並新增一筆記錄。 建議您移除整個 A 記錄並新增一筆記錄,並在內部部署來源設備上執行 DNS 排清。
私人 DNS 區域中記憶體帳戶 DNS A 記錄的說明範例:
復原服務保存庫微服務 DNS A 記錄在私人 DNS 區域中的說明範例:
注意
當您移除或修改 A 記錄時,計算機可能仍會解析為舊的 IP 位址,因為 TTL (存留時間) 值可能尚未過期。
可能會影響私人連結連線的專案
這是可在進階或複雜案例中找到之專案的非詳盡清單:
- 防火牆設定,Azure 防火牆 連線到虛擬網路,或部署在設備機器中的自定義防火牆解決方案。
- 網路對等互連可能會影響使用哪些 DNS 伺服器,以及流量的路由方式。
- 自定義網關 (NAT) 解決方案可能會影響流量的路由方式,包括來自 DNS 查詢的流量。
如需詳細資訊,請檢閱 私人端點連線問題的疑難解答指南。
搭配私人端點使用 Azure Migrate 時的常見問題
在本節中,我們將列出一些常見的問題,並建議自行執行疑難解答步驟來補救問題。
設備註冊失敗,錯誤為 ForbiddenToAccessKeyVault
Azure 金鑰保存庫 KeyVaultName <>的建立或更新作業失敗,因為錯誤 ErrorMessage <>
可能的原因:
如果用來註冊設備的 Azure 帳戶沒有必要許可權,或 Azure Migrate 設備無法存取 金鑰保存庫,就可能發生此問題。
補救措施:
針對 金鑰保存庫 存取問題進行疑難解答的步驟:
- 請確定用來註冊設備的 Azure 用戶帳戶至少有訂用帳戶的參與者許可權。
- 請確定嘗試註冊設備的使用者可以存取 金鑰保存庫,並在 [金鑰保存庫> Access 原則] 區段中指派存取原則。 深入了解
- 深入瞭解 所需的 Azure 角色和許可權。
針對 金鑰保存庫 的連線問題進行疑難解答的步驟:如果您已啟用私人端點連線的設備,請使用下列步驟針對網路連線問題進行疑難解答:
請確定設備裝載在相同的虛擬網路中,或透過私人連結連線到目標 Azure 虛擬網路(其中已建立 金鑰保存庫 私人端點)。 金鑰保存庫 私人端點會在專案建立體驗期間選取的虛擬網路中建立。 您可以在 [Azure Migrate > 屬性] 頁面中驗證虛擬網路詳細數據。
請確定設備可透過私人連結連線至 金鑰保存庫。 若要驗證私人連結連線能力,請從裝載設備的內部部署伺服器執行 金鑰保存庫 資源端點的 DNS 解析,並確保其解析為私人 IP 位址。
移至 Azure Migrate:探索和評量>屬性,以尋找資源的私人端點詳細數據,例如在密鑰產生步驟期間建立 金鑰保存庫。
選取 [ 下載 DNS 設定 ] 以下載 DNS 對應。
開啟命令行,然後執行下列 nslookup 命令,以驗證 DNS 配置檔中所提及 金鑰保存庫 URL 的網路連線能力。
nslookup <your-key-vault-name>.vault.azure.net如果您執行 ns 查閱命令,以透過公用端點解析金鑰保存庫的 IP 位址,您會看到如下所示的結果:
c:\ >nslookup <your-key-vault-name>.vault.azure.net Non-authoritative answer: Name: Address: (public IP address) Aliases: <your-key-vault-name>.vault.azure.net如果您執行 ns 查閱命令,透過私人端點解析金鑰保存庫的 IP 位址,您會看到如下所示的結果:
c:\ >nslookup your_vault_name.vault.azure.net Non-authoritative answer: Name: Address: 10.12.4.20 (private IP address) Aliases: <your-key-vault-name>.vault.azure.net <your-key-vault-name>.privatelink.vaultcore.azure.netnslookup 命令應該解析為如上所述的私人 IP 位址。 私人 IP 位址應該符合 DNS 設定檔中所列的 IP 位址。
如果 DNS 解析不正確,請遵循下列步驟:
使用 DNS 對應和相關聯的私人 IP 位址,在內部部署設備上編輯 DNS 主機檔案,以手動更新來源環境 DNS 記錄。 建議使用此選項進行測試。
如果您使用自訂 DNS 伺服器,請檢閱您的自訂 DNS 設定,並驗證 DNS 組態是否正確。 如需指引,請參閱 私人端點概觀:DNS 設定 。
Proxy 伺服器考慮 :如果設備使用 Proxy 伺服器進行輸出連線,您可能需要驗證網路設定和設定,以確保私人連結 URL 可連線,而且可以如預期般路由傳送。
- 如果 Proxy 伺服器用於網際網路連線,您可能需要新增流量轉寄站或規則,以略過私人連結 FQDN 的 Proxy 伺服器。 深入瞭解 如何新增 Proxy 略過規則。
- 或者,如果 Proxy 伺服器適用于所有輸出流量,請確定 Proxy 伺服器可以將私人連結 FQDN 解析為其各自的私人 IP 位址。 如需快速因應措施,您可以使用 DNS 對應和相關聯的私人 IP 位址,手動更新 Proxy 伺服器上的 DNS 記錄,如上所示。 建議使用此選項進行測試。
如果問題仍然持續發生, 請參閱本節 以取得進一步的疑難排解。
驗證連線之後,請重試註冊程式。
驗證私人端點網路連線能力
您可以使用 PowerShell 中的 Test-Net連線ion 命令,檢查埠是否可以從設備連線到私人端點。 請確定您可以使用私人 IP 位址解析 Azure migrate 專案的儲存體帳戶和金鑰保存庫。
啟動探索失敗,並出現 AgentNot 錯誤連線
設備無法起始探索,因為內部部署代理程式無法與 Azure Migrate 服務端點通訊: < Azure 中的 URLname > 。
可能的原因:
如果設備無法連線到錯誤訊息中所提及的服務端點,就可能發生此問題。
補救措施:
請確定設備具有直接或透過 Proxy 的連線能力,而且可以解析錯誤訊息中所提供的服務端點。
如果您已啟用私人端點連線的設備,請確定設備是透過私人連結連線到 Azure 虛擬網路,並可解決錯誤訊息中所提供的服務端點。
針對 Azure Migrate 服務端點的私人連結連線問題進行疑難排解的步驟:
如果您已啟用私人端點連線的設備,請使用下列步驟來針對網路連線問題進行疑難排解:
請確定設備裝載在相同的虛擬網路中,或透過私人連結連線到目標 Azure 虛擬網路(其中已建立私人端點)。 Azure Migrate 服務的私人端點會在專案建立體驗期間選取的虛擬網路中建立。 您可以在 [Azure Migrate > 屬性] 頁面中驗證虛擬網路詳細 資料 。
請確定設備透過私人連結連線,能夠連線到服務端點 URL 和其他 URL 的網路連線。 若要驗證私人連結連線能力,請從裝載設備的內部部署伺服器執行 URL 的 DNS 解析,並確保其解析為私人 IP 位址。
移至 Azure Migrate:探索和評量 > 屬性 ,以尋找在金鑰產生步驟期間所建立之服務端點的私人端點詳細資料。
選取 [ 下載 DNS 設定 ] 以下載 DNS 對應。
| 包含私人端點 URL 的 DNS 對應 | 詳細資料 |
|---|---|
| *.disc.privatelink.prod.migration.windowsazure.com | Azure Migrate 探索服務端點 |
| *.asm.privatelink.prod.migration.windowsazure.com | Azure Migrate 評定服務端點 |
| *.hub.privatelink.prod.migration.windowsazure.com | Azure Migrate 中樞端點,以接收來自其他 Microsoft 或外部 獨立軟體廠商 (ISV) 供應專案的資料 |
| *.privatelink.siterecovery.windowsazure.com | 用來協調複寫的 Azure Site Recovery 服務端點 |
| *.vault.azure.net | 金鑰保存庫端點 |
| *.blob.core.windows.net | 儲存體相依性和效能資料的帳戶端點 |
除了上述 URL 之外,設備還需要透過網際網路直接或透過 Proxy 存取下列 URL。
| 其他公用雲端 URL (公用端點 URL) |
詳細資料 |
|---|---|
| *.portal.azure.com | 瀏覽至 Azure 入口網站 |
| * windows.net *.msftauth.net *.msauth.net *.microsoft.com *.live.com *.office.com *.microsoftonline.com *.microsoftonline-p.com |
用於 Microsoft Entra 識別碼的存取控制和身分識別管理 |
| management.azure.com | 用於觸發 Azure Resource Manager 部署 |
| *.services.visualstudio.com (選擇性) | 上傳用於內部監視的設備記錄。 |
| aka.ms/* (選擇性) | 允許存取 也稱為 連結;用來下載及安裝設備服務的最新更新 |
| download.microsoft.com/download | 允許從 Microsoft 下載中心下載 |
開啟命令列並執行下列 nslookup 命令,以確認私人連結連線到 DNS 設定檔中列出的 URL。 針對 DNS 設定檔中的所有 URL 重複此步驟。
圖例 :驗證與探索服務端點的私人連結連線
nslookup 04b8c9c73f3d477e966c8d00f352889c-agent.cus.disc.privatelink.prod.migration.windowsazure.com如果要求可以透過私人端點連線到探索服務端點,您會看到如下所示的結果:
nslookup 04b8c9c73f3d477e966c8d00f352889c-agent.cus.disc.privatelink.prod.migration.windowsazure.com Non-authoritative answer: Name: Address: 10.12.4.23 (private IP address) Aliases: 04b8c9c73f3d477e966c8d00f352889c-agent.cus.disc.privatelink.prod.migration.windowsazure.com prod.cus.discoverysrv.windowsazure.comnslookup 命令應該解析為如上所述的私人 IP 位址。 私人 IP 位址應該符合 DNS 設定檔中所列的 IP 位址。
如果 DNS 解析不正確,請遵循下列步驟:
使用 DNS 對應和相關聯的私人 IP 位址,在內部部署設備上編輯 DNS 主機檔案,以手動更新來源環境 DNS 記錄。 建議使用此選項進行測試。
如果您使用自訂 DNS 伺服器,請檢閱您的自訂 DNS 設定,並驗證 DNS 組態是否正確。 如需指引,請參閱 私人端點概觀:DNS 設定 。
Proxy 伺服器考慮 :如果設備使用 Proxy 伺服器進行輸出連線,您可能需要驗證網路設定和設定,以確保私人連結 URL 可連線,而且可以如預期般路由傳送。
- 如果 Proxy 伺服器用於網際網路連線,您可能需要新增流量轉寄站或規則,以略過私人連結 FQDN 的 Proxy 伺服器。 深入瞭解 如何新增 Proxy 略過規則。
- 或者,如果 Proxy 伺服器適用于所有輸出流量,請確定 Proxy 伺服器可以將私人連結 FQDN 解析為其各自的私人 IP 位址。 如需快速因應措施,您可以使用 DNS 對應和相關聯的私人 IP 位址,手動更新 Proxy 伺服器上的 DNS 記錄,如上所示。 建議使用此選項進行測試。
如果問題仍然持續發生, 請參閱本節 以取得進一步的疑難排解。
驗證連線之後,請重試探索程式。
匯入/匯出要求失敗,並出現錯誤「403:此要求未獲授權執行這項作業」
匯出/匯入/下載報告要求失敗,並出現錯誤 「403:此要求未獲授權執行此作業」 ,用於具有私人端點連線的專案。
可能的原因:
如果匯出/匯入/下載要求不是從授權的網路起始,就可能發生此錯誤。 如果匯入/匯出/下載要求是從未透過私人網路連線到 Azure Migrate 服務(Azure 虛擬網路)的用戶端起始,就會發生這種情況。
補救
選項 1 (建議) :
若要解決此錯誤,請從位於虛擬網路中,透過私人連結連線至 Azure 的用戶端重試匯入/匯出/下載作業。 您可以在內部部署網路或設備 VM 中開啟Azure 入口網站,然後重試作業。
選項 2:
匯入/匯出/下載要求會連線到儲存體帳戶以上傳/下載報告。 您也可以變更用於匯入/匯出/下載作業之儲存體帳戶的網路設定,並允許透過其他網路(公用網路)存取儲存體帳戶。
若要設定公用端點連線的儲存體帳戶,
找出儲存體帳戶 :Azure Migrate:探索和評定屬性頁面上有可用的儲存體帳戶名稱。 儲存體帳戶名稱將具有尾碼 usa 。
流覽至儲存體帳戶並編輯儲存體帳戶網路屬性,以允許從所有其他網路存取。
或者,您可以限制對所選網路的存取,並從嘗試存取Azure 入口網站的用戶端新增公用 IP 位址。
使用私人端點進行複寫需要 Azure Migrate 設備服務在下列版本上執行
可能的原因:
如果設備上執行的服務未在其最新版本上執行,就可能發生此問題。 DRA 代理程式會協調伺服器複寫,並協調複寫伺服器與 Azure 之間的通訊。 閘道代理程式會將複寫的資料傳送至 Azure。
注意
此錯誤僅適用于無代理程式 VMware VM 移轉。
補救措施:
驗證設備上執行的服務已更新為最新版本。
若要這樣做,請從設備伺服器啟動設備組態管理員,然後從 [設定必要條件] 面板選取 [檢視設備服務]。 設備及其元件會自動更新。 如果沒有,請依照指示手動更新設備服務。
無法儲存設定:504 閘道逾時
可能的原因:
如果 Azure Migrate 裝置無法連線到錯誤訊息中所提供的服務端點,就會發生此問題。
補救措施:
若要驗證私人連結連線,請從裝載 Migrate 設備的內部部署伺服器執行 Azure Migrate 服務端點(私人鏈接資源 FQDN)的 DNS 解析,並確保其解析為私人 IP 位址。
若要取得私人端點詳細數據,以驗證 DNS 解析:
私人端點詳細數據和私人鏈接資源 FQDN 資訊可在探索和評量和移轉和現代化屬性頁面中取得。 選取 兩個屬性頁面上的 [下載 DNS 設定 ],以檢視完整清單。
接下來,請參閱 本指南 來驗證 DNS 解析。