A VPN hibaelhárításának áttekintése
A virtuális hálózati átjárók kapcsolatot biztosítanak a helyszíni erőforrások és az Azure Virtual Networks között. A virtuális hálózati átjárók és kapcsolataik monitorozása kritikus fontosságú annak biztosítása érdekében, hogy a kommunikáció ne legyen megszakadva. Az Azure Network Watcher VPN-hibaelhárítása lehetővé teszi a virtuális hálózati átjárók és azok kapcsolatainak hibaelhárítását. A VPN-hibaelhárítás az Azure Portalon, az Azure PowerShellen, az Azure CLI-en vagy a REST API-on keresztül hívható meg. Hívás esetén a Network Watcher diagnosztizálja az átjáró vagy a kapcsolat állapotát, és visszaadja a megfelelő eredményeket. A kérés egy hosszú ideig futó tranzakció. Az eredmények a diagnózis befejezése után lesznek visszaadva.
Támogatott átjárótípusok
Az alábbi táblázat felsorolja, hogy mely átjárók és kapcsolatok támogatottak a Network Watcher hibaelhárításával:
| Átjáró vagy kapcsolat | Támogatott |
|---|---|
| Átjárótípusok | |
| VPN | Támogatott |
| ExpressRoute | Nem támogatott |
| VPN-típusok | |
| Útvonalalapú | Támogatott |
| Szabályzatalapú | Nem támogatott |
| Kapcsolattípusok | |
| IPsec | Támogatott |
| VNet2VNet | Támogatott |
| ExpressRoute | Nem támogatott |
| VPNClient | Nem támogatott |
Results (Eredmények)
A visszaadott előzetes eredmények átfogó képet adnak az erőforrás állapotáról. Az erőforrásokról részletesebb információkat az alábbi szakaszban talál:
Az alábbi lista a VPN hibaelhárítási API által visszaadott értékeket tartalmazza:
- startTime – Ez az érték a hibaelhárítási API-hívás indításának időpontja.
- endTime – Ez az az idő, amikor a hibaelhárítás befejeződött.
- kód – Ez az érték nem kifogástalan, ha egyetlen diagnózishiba áll fenn.
-
eredmények – Az eredmények a kapcsolaton vagy a virtuális hálózati átjárón visszaadott eredmények gyűjteménye.
- id – Ez az érték a hiba típusa.
- összegzés – Ez az érték a hiba összegzése.
- részletes – Ez az érték a hiba részletes leírását tartalmazza.
-
recommendedActions – Ez a tulajdonság az ajánlott műveletek gyűjteménye.
- actionText – Ez az érték a végrehajtandó műveletet leíró szöveget tartalmazza.
- actionUri – Ez az érték biztosítja az URI-t a működéssel kapcsolatos dokumentációhoz.
- actionUriText – Ez az érték a művelet szövegének rövid leírása.
Az alábbi táblázatok az elérhető különböző hibatípusokat (az előző lista eredményei alatt található azonosítót ) mutatják be, és ha a hiba naplókat hoz létre.
Átjáró
| Hibatípus | Ok | Napló |
|---|---|---|
| NoFault | Ha nem észlelhető hiba | Igen |
| GatewayNotFound | Nem található az átjáró vagy az átjáró nincs kiépítve | Nem |
| PlannedMaintenance | Az átjárópéldány karbantartás alatt áll | Nem |
| UserDrivenUpdate | Ez a hiba akkor lép fel, ha felhasználói frissítés van folyamatban. A frissítés lehet átméretezési művelet. | Nem |
| VipUnResponsive | Ez a hiba akkor jelentkezik, ha az átjáró elsődleges példánya az állapotadat-mintavétel hibája miatt nem elérhető. | Nem |
| PlatformInActive | A platformmal kapcsolatos probléma áll fenn. | Nem |
| ServiceNotRunning | A mögöttes szolgáltatás nem fut. | Nem |
| NoConnectionsFoundForGateway | Az átjárón nincs kapcsolat. Ez a hiba csak figyelmeztetés. | Nem |
| KapcsolatokNotConnected | A kapcsolatok nincsenek csatlakoztatva. Ez a hiba csak figyelmeztetés. | Igen |
| GatewayCPUUsageExceeded | Az átjáró aktuális processzorhasználata > 95%. | Igen |
Connection
| Hibatípus | Ok | Napló |
|---|---|---|
| NoFault | Ha nem észlelhető hiba | Igen |
| GatewayNotFound | Nem található az átjáró vagy az átjáró nincs kiépítve | Nem |
| PlannedMaintenance | Az átjárópéldány karbantartás alatt áll | Nem |
| UserDrivenUpdate | Ez a hiba akkor lép fel, ha felhasználói frissítés van folyamatban. A frissítés lehet átméretezési művelet. | Nem |
| VipUnResponsive | Ez a hiba akkor jelentkezik, ha az átjáró elsődleges példánya az állapotadat-mintavétel hibája miatt nem elérhető. | Nem |
| ConnectionEntityNotFound | Hiányzik a kapcsolatkonfiguráció | Nem |
| ConnectionIsMarkedDisconnected | A kapcsolat "leválasztva" jelöléssel van el jelölve | Nem |
| ConnectionNotConfiguredOnGateway | A mögöttes szolgáltatáshoz nincs konfigurálva a kapcsolat. | Igen |
| ConnectionMarkedStandby | A mögöttes szolgáltatás készenlétiként van megjelölve. | Igen |
| Hitelesítés | Az előmegosztott kulcs eltérése | Igen |
| PeerReachability | A társátjáró nem érhető el. | Igen |
| IkePolicyMismatch | A társátjáró olyan IKE-szabályzatokkal rendelkezik, amelyeket az Azure nem támogat. | Igen |
| WfpParse hiba | Hiba történt a WFP-napló elemzésekor. | Igen |
Naplófájlok
Az erőforrás-hibaelhárítási naplófájlok tárolása egy tárfiókban történik az erőforrás-hibaelhárítás befejezése után. Az alábbi képen egy olyan hívás mintatartalma látható, amely hibát eredményezett.
Feljegyzés
- Bizonyos esetekben a rendszer csak a naplófájlok egy részhalmazát írja a tárolóba.
- Az újabb átjáróverziók esetében a IkeErrors.txt, a Scrubbed-wfpdiag.txt és a wfpdiag.txt.sum egy IkeLogs.txt fájlra cserélődött, amely a teljes IKE-tevékenységet tartalmazza (nem csak hibák).
A fájlok Azure Storage-fiókokból való letöltésével kapcsolatos utasításokért lásd : Blokkblob letöltése. Egy másik használható eszköz a Storage Explorer. További információ az Azure Storage Explorerről: Blobok letöltése az Azure Storage Explorerrel
ConnectionStats.txt
A ConnectionStats.txt fájl a kapcsolat általános statisztikáit tartalmazza, beleértve a bejövő és kimenő bájtokat, a kapcsolat állapotát és a kapcsolat létrehozásának idejét.
Feljegyzés
Ha a hibaelhárítási API hívása kifogástalan állapotba kerül, a zip-fájlban csak egy ConnectionStats.txt fájl található.
A fájl tartalma a következő példához hasonló:
Connectivity State : Connected
Remote Tunnel Endpoint :
Ingress Bytes (since last connected) : 288 B
Egress Bytes (Since last connected) : 288 B
Connected Since : 2/1/2017 8:22:06 PM
CPUStats.txt
A CPUStats.txt fájl a teszteléskor rendelkezésre álló processzorhasználatot és memóriát tartalmazza. A fájl tartalma hasonló a következő példához:
Current CPU Usage : 0 % Current Memory Available : 641 MBs
IKElogs.txt
A IKElogs.txt fájl a figyelés során talált IKE-tevékenységeket tartalmazza.
Az alábbi példa egy IKElogs.txt fájl tartalmát mutatja be.
Remote <IPaddress>:500: Local <IPaddress>:500: [RECEIVED][SA_AUTH] Received IKE AUTH message
Remote <IPaddress>:500: Local <IPaddress>:500: Received Traffic Selector payload request- [Tsid 0x729 ]Number of TSIs 2: StartAddress 10.20.0.0 EndAddress 10.20.255.255 PortStart 0 PortEnd 65535 Protocol 0, StartAddress 192.168.100.0 EndAddress 192.168.100.255 PortStart 0 PortEnd 65535 Protocol 0 Number of TSRs 1:StartAddress 0.0.0.0 EndAddress 255.255.255.255 PortStart 0 PortEnd 65535 Protocol 0
Remote <IPaddress>:500: Local <IPaddress>:500: [SEND] Proposed Traffic Selector payload will be (Final Negotiated) - [Tsid 0x729 ]Number of TSIs 2: StartAddress 10.20.0.0 EndAddress 10.20.255.255 PortStart 0 PortEnd 65535 Protocol 0, StartAddress 192.168.100.0 EndAddress 192.168.100.255 PortStart 0 PortEnd 65535 Protocol 0 Number of TSRs 1:StartAddress 0.0.0.0 EndAddress 255.255.255.255 PortStart 0 PortEnd 65535 Protocol 0
Remote <IPaddress>:500: Local <IPaddress>:500: [RECEIVED]Received IPSec payload: Policy1:Cipher=DESIntegrity=Md5
IkeCleanupQMNegotiation called with error 13868 and flags a
Remote <IPaddress>:500: Local <IPaddress>:500: [SEND][NOTIFY] Sending Notify Message - Policy Mismatch
IKEErrors.txt
A IKEErrors.txt fájl tartalmazza a figyelés során észlelt IKE-hibákat.
Az alábbi példa egy IKEErrors.txt fájl tartalmát mutatja be. A hibák a problémától függően eltérőek lehetnek.
Error: Authentication failed. Check shared key. Check crypto. Check lifetimes.
based on log : Peer failed with Windows error 13801(ERROR_IPSEC_IKE_AUTH_FAIL)
Error: On-prem device sent invalid payload.
based on log : IkeFindPayloadInPacket failed with Windows error 13843(ERROR_IPSEC_IKE_INVALID_PAYLOAD)
Scrubbed-wfpdiag.txt
A Scrubbed-wfpdiag.txt naplófájl tartalmazza a wfp-naplót. Ez a napló tartalmazza a csomagok elvetésének naplózását és az IKE/AuthIP-hibák naplózását.
Az alábbi példa a Scrubbed-wfpdiag.txt fájl tartalmát mutatja be. Ebben a példában a kapcsolat előre megosztott kulcsa nem volt helyes, ahogy az alulról a harmadik sorból látható. Az alábbi példa csak a teljes napló egy részlete, mivel a napló hosszadalmas lehet a probléma függvényében.
...
[0]0368.03A4::02/02/2017-17:36:01.496 [ikeext] 3038|203.0.113.36| Deleted ICookie from the high priority thread pool list
[0]0368.03A4::02/02/2017-17:36:01.496 [ikeext] 3038|203.0.113.36| IKE diagnostic event:
[0]0368.03A4::02/02/2017-17:36:01.496 [ikeext] 3038|203.0.113.36| Event Header:
[0]0368.03A4::02/02/2017-17:36:01.496 [ikeext] 3038|203.0.113.36| Timestamp: 1601-01-01T00:00:00.000Z
[0]0368.03A4::02/02/2017-17:36:01.496 [ikeext] 3038|203.0.113.36| Flags: 0x00000106
[0]0368.03A4::02/02/2017-17:36:01.496 [ikeext] 3038|203.0.113.36| Local address field set
[0]0368.03A4::02/02/2017-17:36:01.496 [ikeext] 3038|203.0.113.36| Remote address field set
[0]0368.03A4::02/02/2017-17:36:01.496 [ikeext] 3038|203.0.113.36| IP version field set
[0]0368.03A4::02/02/2017-17:36:01.496 [ikeext] 3038|203.0.113.36| IP version: IPv4
[0]0368.03A4::02/02/2017-17:36:01.496 [ikeext] 3038|203.0.113.36| IP protocol: 0
[0]0368.03A4::02/02/2017-17:36:01.496 [ikeext] 3038|203.0.113.36| Local address: 203.0.113.92
[0]0368.03A4::02/02/2017-17:36:01.496 [ikeext] 3038|203.0.113.36| Remote address: 203.0.113.36
[0]0368.03A4::02/02/2017-17:36:01.496 [ikeext] 3038|203.0.113.36| Local Port: 0
[0]0368.03A4::02/02/2017-17:36:01.496 [ikeext] 3038|203.0.113.36| Remote Port: 0
[0]0368.03A4::02/02/2017-17:36:01.496 [ikeext] 3038|203.0.113.36| Application ID:
[0]0368.03A4::02/02/2017-17:36:01.496 [ikeext] 3038|203.0.113.36| User SID: <invalid>
[0]0368.03A4::02/02/2017-17:36:01.496 [ikeext] 3038|203.0.113.36| Failure type: IKE/Authip Main Mode Failure
[0]0368.03A4::02/02/2017-17:36:01.496 [ikeext] 3038|203.0.113.36| Type specific info:
[0]0368.03A4::02/02/2017-17:36:01.496 [ikeext] 3038|203.0.113.36| Failure error code:0x000035e9
[0]0368.03A4::02/02/2017-17:36:01.496 [ikeext] 3038|203.0.113.36| IKE authentication credentials are unacceptable
[0]0368.03A4::02/02/2017-17:36:01.496 [ikeext] 3038|203.0.113.36|
[0]0368.03A4::02/02/2017-17:36:01.496 [ikeext] 3038|203.0.113.36| Failure point: Remote
...
wfpdiag.txt.sum
A wfpdiag.txt.sum fájl egy napló, amely a feldolgozott puffereket és eseményeket mutatja.
Az alábbi példa egy wfpdiag.txt.sum fájl tartalma.
Files Processed:
C:\Resources\directory\924336c47dd045d5a246c349b8ae57f2.GatewayTenantWorker.DiagnosticsStorage\2017-02-02T17-34-23\wfpdiag.etl
Total Buffers Processed 8
Total Events Processed 2169
Total Events Lost 0
Total Format Errors 0
Total Formats Unknown 486
Elapsed Time 330 sec
+-----------------------------------------------------------------------------------+
|EventCount EventName EventType TMF |
+-----------------------------------------------------------------------------------+
| 36 ikeext ike_addr_utils_c844 a0c064ca-d954-350a-8b2f-1a7464eef8b6|
| 12 ikeext ike_addr_utils_c857 a0c064ca-d954-350a-8b2f-1a7464eef8b6|
| 96 ikeext ike_addr_utils_c832 a0c064ca-d954-350a-8b2f-1a7464eef8b6|
| 6 ikeext ike_bfe_callbacks_c133 1dc2d67f-8381-6303-e314-6c1452eeb529|
| 6 ikeext ike_bfe_callbacks_c61 1dc2d67f-8381-6303-e314-6c1452eeb529|
| 12 ikeext ike_sa_management_c5698 7857a320-42ee-6e90-d5d9-3f414e3ea2d3|
| 6 ikeext ike_sa_management_c8447 7857a320-42ee-6e90-d5d9-3f414e3ea2d3|
| 12 ikeext ike_sa_management_c494 7857a320-42ee-6e90-d5d9-3f414e3ea2d3|
| 12 ikeext ike_sa_management_c642 7857a320-42ee-6e90-d5d9-3f414e3ea2d3|
| 6 ikeext ike_sa_management_c3162 7857a320-42ee-6e90-d5d9-3f414e3ea2d3|
| 12 ikeext ike_sa_management_c3307 7857a320-42ee-6e90-d5d9-3f414e3ea2d3|
Megfontolások
- Előfizetésenként egyszerre csak egy VPN-hibaelhárítási művelet futtatható. Egy másik VPN-hibaelhárítási művelet futtatásához várja meg, amíg a meglévő befejeződik. Ha egy új műveletet aktivál, miközben az előző nem fejeződött be, a következő műveletek meghiúsulnak.
- Ha az Azure CLI-t használja a parancs futtatásához, a VPN Gatewaynek és a Storage-fióknak ugyanabban az erőforráscsoportban kell lennie. A különböző erőforráscsoportokban lévő erőforrásokkal rendelkező ügyfelek használhatják helyette a PowerShellt vagy az Azure Portalt.