نظرة عامة على استكشاف أخطاء VPN وإصلاحها
توفر بوابات الشبكة الظاهرية الاتصال بين الموارد المحلية وشبكات Azure الظاهرية. تعد مراقبة بوابات الشبكة الظاهرية واتصالاتها أمرا بالغ الأهمية لضمان عدم انقطاع الاتصال. يوفر استكشاف أخطاء الشبكة الظاهرية الخاصة ل Azure Network Watcher وإصلاحها القدرة على استكشاف أخطاء بوابات الشبكة الظاهرية واتصالاتها وإصلاحها. يمكن استدعاء استكشاف أخطاء VPN وإصلاحها من خلال مدخل Microsoft Azure أو Azure PowerShell أو Azure CLI أو REST API. وعند استدعائها، يقوم مراقب الشبكة بتشخيص صحة البوابة أو الاتصال، وإرجاع النتائج المناسبة. يعتبر الطلب معاملة طويلة الأمد. يتم إرجاع النتائج بمجرد اكتمال التشخيص.
أنواع البوابات المدعومة
يسرد الجدول التالي البوابات والاتصالات التي يتم دعمها مع استكشاف أخطاء مراقب الشبكة وإصلاحها:
| البوابة أو الاتصال | مدعوم |
|---|---|
| أنواع البوابات | |
| الشبكة الخاصة الظاهرية (VPN) | مدعوم |
| ExpressRoute | غير معتمد |
| أنواع VPN | |
| مستند إلى المسار | مدعوم |
| مستند إلى النهج | غير معتمد |
| أنواع الاتصال | |
| IPsec | مدعوم |
| VNet2VNet | مدعوم |
| ExpressRoute | غير معتمد |
| عميل VPN | غير معتمد |
النتائج
وتعطي النتائج الأولية التي تم إرجاعها صورة عامة عن سلامة المورد. يمكن توفير معلومات بشكل أعمق للموارد كما هو موضح في القسم التالي:
القائمة التالية هي القيم التي تم إرجاعها بواسطة واجهة برمجة تطبيقات استكشاف أخطاء VPN وإصلاحها:
- وقت البدء - هذه القيمة هي الوقت حيث بدأ استدعاء استكشاف أخطاء API وإصلاحها.
- وقت الانتهاء - هذه القيمة هي الوقت الذي انتهى فيه استكشاف الأخطاء وإصلاحها.
- التعليمات البرمجية - هذه القيمة غير صحيحة، إذا كان هناك فشل تشخيص واحد.
-
النتائج - النتائج هي مجموعة من النتائج التي تم إرجاعها عند الاتصال أو مدخل البوابة الظاهرية.
- معرّف - هذه القيمة هي نوع الخطأ.
- ملخص - هذه القيمة هي ملخص للخطأ.
- مُفصلة - توفر هذه القيمة وصفًا مفصّلاً للخطأ.
-
الإجراءات الموصى بها - هذه الخاصية هي مجموعة من الإجراءات الموصى بها لاتخاذها.
- نص الإجراء - تحتوي هذه القيمة على النص الذي يصف الإجراء الذي يجب اتخاذه.
- إجراء معرف الموارد المنتظم - توفر هذه القيمة URI إلى وثائق حول كيفية التصرف.
- نص إجراء معرف الموارد المنتظم - هذه القيمة هي وصف قصير لنص الإجراء.
تعرض الجداول التالية أنواع الأخطاء المختلفة (المعرف ضمن النتائج من القائمة السابقة) المتوفرة وإذا كان الخطأ ينشئ سجلات.
البوابة
| نوع الخطأ | السبب | سجل |
|---|---|---|
| NoFault | عند عدم اكتشاف أي خطأ | نعم |
| GatewayNotFound | تعذر العثور على بوابة أو لم يتم توفير البوابة | لا |
| PlannedMaintenance | مثيل البوابة قيد الصيانة | لا |
| UserDrivenUpdate | يحدث هذا الخطأ عندما يكون تحديث المستخدم قيد التقدم. يمكن أن يكون التحديث عملية تغيير الحجم. | لا |
| VipUnResponsive | يحدث هذا الخطأ عندما لا يمكن الوصول إلى المثيل الأساسي للبوابة بسبب فشل فحص السلامة. | لا |
| PlatformInActive | هناك مشكلة مع النظام الأساسي. | لا |
| ServiceNotRunning | الخدمة الأساسية غير قيد التشغيل. | لا |
| لم يتم العثور على اتصالات للبوابة | لا توجد اتصالات في البوابة. هذا الخطأ هو تحذير فقط. | لا |
| اتصالات غير متصلة | الاتصالات غير متصلة. هذا الخطأ هو تحذير فقط. | نعم |
| تم تجاوز استخدام معالج البوابة | معدل الاستخدام الحالي لوحدة المعالجة المركزية (CPU) للبوابة هو > 95%. | نعم |
الاتصال
| نوع الخطأ | السبب | سجل |
|---|---|---|
| NoFault | عند عدم اكتشاف أي خطأ | نعم |
| GatewayNotFound | تعذر العثور على بوابة أو لم يتم توفير البوابة | لا |
| PlannedMaintenance | مثيل البوابة قيد الصيانة | لا |
| UserDrivenUpdate | يحدث هذا الخطأ عندما يكون تحديث المستخدم قيد التقدم. يمكن أن يكون التحديث عملية تغيير الحجم. | لا |
| VipUnResponsive | يحدث هذا الخطأ عندما لا يمكن الوصول إلى المثيل الأساسي للبوابة بسبب فشل فحص السلامة. | لا |
| لم يتم العثور على اتصال للكيان | تكوين الاتصال مفقود | لا |
| تم وضع علامة غير متصل على الاتصال | تم وضع علامة "غير متصل" على الاتصال | لا |
| ConnectionNotConfiguredOnGateway | لم يتم تكوين الاتصال للخدمة الأساسية. | نعم |
| ConnectionMarkedStandby | تم وضع علامة وضع الاستعداد على الخدمة الأساسية. | نعم |
| المصادقة | عدم تطابق مفتاح تمت مشاركته مسبقًا | نعم |
| PeerReachability | بوابة النظير غير قابلة للوصول. | نعم |
| IkePolicyMismatch | تحتوي بوابة النظير على نهج IKE غير مدعومة من قبل Azure. | نعم |
| WfpParse Error | حدث خطأ أثناء تحليل سجل WFP. | نعم |
ملفات السجل
يتم تخزين ملفات سجل استكشاف أخطاء الموارد وإصلاحها في حساب تخزين بعد انتهاء استكشاف أخطاء الموارد وإصلاحها. توضح الصورة التالية محتويات المثال لمكالمة أدت إلى حدوث خطأ.
إشعار
- في بعض الحالات، تتم كتابة مجموعة فرعية فقط من ملفات السجلات إلى التخزين.
- بالنسبة لإصدارات البوابة الأحدث، تم استبدال IkeErrors.txt Scrubbed-wfpdiag.txt wfpdiag.txt.sum بملف IkeLogs.txt يحتوي على نشاط IKE بأكمله (وليس فقط الأخطاء).
للحصول على إرشادات حول تنزيل الملفات من حسابات تخزين Azure، راجع تنزيل كائن ثنائي كبير الحجم للكتلة. أداة أخرى يمكن استخدامها هي Storage Explorer. للحصول على معلومات حول Azure Storage Explorer، راجع استخدام Azure Storage Explorer لتنزيل الكائنات الثنائية كبيرة الحجم
ConnectionStats.txt
يحتوي الملف ConnectionStats.txt على إحصائيات الاتصال بشكل عام، بما في ذلك وحدات البايت للدخول والخروج وحالة الاتصال والوقت الذي تم تأسيس الاتصال.
إشعار
إذا كان إرجاع الاستدعاء إلى استكشاف أخطاء API وإصلاحها سليمًا، الشيء الوحيد الذي تم إرجاعه في ملف zip هو ملف ConnectionStats.txt.
محتويات هذا الملف مشابهة للمثال التالي:
Connectivity State : Connected
Remote Tunnel Endpoint :
Ingress Bytes (since last connected) : 288 B
Egress Bytes (Since last connected) : 288 B
Connected Since : 2/1/2017 8:22:06 PM
CPUStats.txt
يحتوي الملف CPUStats.txt على استخدام المعالج والذاكرة المتوفرة في وقت الاختبار. محتويات هذا الملف مشابهة للمثال التالي:
Current CPU Usage : 0 % Current Memory Available : 641 MBs
IKElogs.txt
يحتوي ملف IKElogs.txt على أي نشاط IKE تم العثور عليه أثناء المراقبة.
يُظهر المثال التالي محتويات ملف IKElogs.txt.
Remote <IPaddress>:500: Local <IPaddress>:500: [RECEIVED][SA_AUTH] Received IKE AUTH message
Remote <IPaddress>:500: Local <IPaddress>:500: Received Traffic Selector payload request- [Tsid 0x729 ]Number of TSIs 2: StartAddress 10.20.0.0 EndAddress 10.20.255.255 PortStart 0 PortEnd 65535 Protocol 0, StartAddress 192.168.100.0 EndAddress 192.168.100.255 PortStart 0 PortEnd 65535 Protocol 0 Number of TSRs 1:StartAddress 0.0.0.0 EndAddress 255.255.255.255 PortStart 0 PortEnd 65535 Protocol 0
Remote <IPaddress>:500: Local <IPaddress>:500: [SEND] Proposed Traffic Selector payload will be (Final Negotiated) - [Tsid 0x729 ]Number of TSIs 2: StartAddress 10.20.0.0 EndAddress 10.20.255.255 PortStart 0 PortEnd 65535 Protocol 0, StartAddress 192.168.100.0 EndAddress 192.168.100.255 PortStart 0 PortEnd 65535 Protocol 0 Number of TSRs 1:StartAddress 0.0.0.0 EndAddress 255.255.255.255 PortStart 0 PortEnd 65535 Protocol 0
Remote <IPaddress>:500: Local <IPaddress>:500: [RECEIVED]Received IPSec payload: Policy1:Cipher=DESIntegrity=Md5
IkeCleanupQMNegotiation called with error 13868 and flags a
Remote <IPaddress>:500: Local <IPaddress>:500: [SEND][NOTIFY] Sending Notify Message - Policy Mismatch
IKEErrors.txt
يحتوي الملف IKEErrors.txt على أي أخطاء IKE التي تم العثور عليها أثناء المراقبة.
يوضح المثال التالي محتويات ملف IKEErrors.txt. قد تكون الأخطاء الخاصة بك مختلفة اعتمادا على المشكلة.
Error: Authentication failed. Check shared key. Check crypto. Check lifetimes.
based on log : Peer failed with Windows error 13801(ERROR_IPSEC_IKE_AUTH_FAIL)
Error: On-prem device sent invalid payload.
based on log : IkeFindPayloadInPacket failed with Windows error 13843(ERROR_IPSEC_IKE_INVALID_PAYLOAD)
Scrubbed-wfpdiag.txt
يحتوي ملف السجل Scrubbed-wfpdiag.txt على سجل wfp. يحتوي هذا السجل على تسجيل إسقاط الحزمة وحالات فشل IKE/AuthIP.
يوضح المثال التالي محتويات ملف Scrubbed-wfpdiag.txt. في هذا المثال، لم يكن المفتاح المشترك مسبقا للاتصال صحيحا كما يمكن رؤيته من السطر الثالث من الأسفل. المثال التالي هو مجرد قصاصة برمجية من السجل بأكمله، حيث يمكن أن يكون السجل طويلاً بناءً على المشكلة.
...
[0]0368.03A4::02/02/2017-17:36:01.496 [ikeext] 3038|203.0.113.36| Deleted ICookie from the high priority thread pool list
[0]0368.03A4::02/02/2017-17:36:01.496 [ikeext] 3038|203.0.113.36| IKE diagnostic event:
[0]0368.03A4::02/02/2017-17:36:01.496 [ikeext] 3038|203.0.113.36| Event Header:
[0]0368.03A4::02/02/2017-17:36:01.496 [ikeext] 3038|203.0.113.36| Timestamp: 1601-01-01T00:00:00.000Z
[0]0368.03A4::02/02/2017-17:36:01.496 [ikeext] 3038|203.0.113.36| Flags: 0x00000106
[0]0368.03A4::02/02/2017-17:36:01.496 [ikeext] 3038|203.0.113.36| Local address field set
[0]0368.03A4::02/02/2017-17:36:01.496 [ikeext] 3038|203.0.113.36| Remote address field set
[0]0368.03A4::02/02/2017-17:36:01.496 [ikeext] 3038|203.0.113.36| IP version field set
[0]0368.03A4::02/02/2017-17:36:01.496 [ikeext] 3038|203.0.113.36| IP version: IPv4
[0]0368.03A4::02/02/2017-17:36:01.496 [ikeext] 3038|203.0.113.36| IP protocol: 0
[0]0368.03A4::02/02/2017-17:36:01.496 [ikeext] 3038|203.0.113.36| Local address: 203.0.113.92
[0]0368.03A4::02/02/2017-17:36:01.496 [ikeext] 3038|203.0.113.36| Remote address: 203.0.113.36
[0]0368.03A4::02/02/2017-17:36:01.496 [ikeext] 3038|203.0.113.36| Local Port: 0
[0]0368.03A4::02/02/2017-17:36:01.496 [ikeext] 3038|203.0.113.36| Remote Port: 0
[0]0368.03A4::02/02/2017-17:36:01.496 [ikeext] 3038|203.0.113.36| Application ID:
[0]0368.03A4::02/02/2017-17:36:01.496 [ikeext] 3038|203.0.113.36| User SID: <invalid>
[0]0368.03A4::02/02/2017-17:36:01.496 [ikeext] 3038|203.0.113.36| Failure type: IKE/Authip Main Mode Failure
[0]0368.03A4::02/02/2017-17:36:01.496 [ikeext] 3038|203.0.113.36| Type specific info:
[0]0368.03A4::02/02/2017-17:36:01.496 [ikeext] 3038|203.0.113.36| Failure error code:0x000035e9
[0]0368.03A4::02/02/2017-17:36:01.496 [ikeext] 3038|203.0.113.36| IKE authentication credentials are unacceptable
[0]0368.03A4::02/02/2017-17:36:01.496 [ikeext] 3038|203.0.113.36|
[0]0368.03A4::02/02/2017-17:36:01.496 [ikeext] 3038|203.0.113.36| Failure point: Remote
...
wfpdiag.txt.sum
ملف wfpdiag.txt.sum هو سجل يظهر المخازن المؤقتة والأحداث التي تمت معالجتها.
المثال التالي هو محتويات ملف wfpdiag.txt.sum.
Files Processed:
C:\Resources\directory\924336c47dd045d5a246c349b8ae57f2.GatewayTenantWorker.DiagnosticsStorage\2017-02-02T17-34-23\wfpdiag.etl
Total Buffers Processed 8
Total Events Processed 2169
Total Events Lost 0
Total Format Errors 0
Total Formats Unknown 486
Elapsed Time 330 sec
+-----------------------------------------------------------------------------------+
|EventCount EventName EventType TMF |
+-----------------------------------------------------------------------------------+
| 36 ikeext ike_addr_utils_c844 a0c064ca-d954-350a-8b2f-1a7464eef8b6|
| 12 ikeext ike_addr_utils_c857 a0c064ca-d954-350a-8b2f-1a7464eef8b6|
| 96 ikeext ike_addr_utils_c832 a0c064ca-d954-350a-8b2f-1a7464eef8b6|
| 6 ikeext ike_bfe_callbacks_c133 1dc2d67f-8381-6303-e314-6c1452eeb529|
| 6 ikeext ike_bfe_callbacks_c61 1dc2d67f-8381-6303-e314-6c1452eeb529|
| 12 ikeext ike_sa_management_c5698 7857a320-42ee-6e90-d5d9-3f414e3ea2d3|
| 6 ikeext ike_sa_management_c8447 7857a320-42ee-6e90-d5d9-3f414e3ea2d3|
| 12 ikeext ike_sa_management_c494 7857a320-42ee-6e90-d5d9-3f414e3ea2d3|
| 12 ikeext ike_sa_management_c642 7857a320-42ee-6e90-d5d9-3f414e3ea2d3|
| 6 ikeext ike_sa_management_c3162 7857a320-42ee-6e90-d5d9-3f414e3ea2d3|
| 12 ikeext ike_sa_management_c3307 7857a320-42ee-6e90-d5d9-3f414e3ea2d3|
الاعتبارات
- يمكن تشغيل عملية واحدة فقط لاستكشاف أخطاء VPN وإصلاحها في كل مرة لكل اشتراك. لتشغيل عملية استكشاف أخطاء VPN أخرى وإصلاحها، انتظر حتى تكتمل العملية الحالية. يؤدي تشغيل عملية جديدة أثناء عدم اكتمال العملية السابقة إلى فشل العمليات اللاحقة.
- إذا كنت تستخدم Azure CLI لتشغيل الأمر، يجب أن تكون بوابة VPN وحساب التخزين في نفس مجموعة الموارد. يمكن للعملاء الذين لديهم الموارد في مجموعات موارد مختلفة استخدام PowerShell أو مدخل Microsoft Azure بدلاً من ذلك.