Freigeben über

Verwenden von Azure Private Link zum sicheren Verbinden von Servern mit Azure Arc

Mit Azure Private Link können Sie azure platform-as-a-Service (PaaS)-Dienste sicher mit Ihrem virtuellen Netzwerk verknüpfen, indem Sie private Endpunkte verwenden. Für viele Dienste richten Sie einen Endpunkt pro Ressource ein. Anschließend können Sie Ihre lokalen oder multicloud-Server mit Azure Arc verbinden und den gesamten Datenverkehr über Azure ExpressRoute oder eine VPN-Verbindung (Site-to-Site Virtual Private Network) senden, anstatt öffentliche Netzwerke zu verwenden.

Mit Azure Arc-fähigen Servern können Sie mithilfe eines privaten Linkbereichsmodells mehrere Server oder Computer mit ihren Azure Arc-Ressourcen kommunizieren, indem Sie einen einzelnen privaten Endpunkt verwenden.

In diesem Artikel wird erläutert, wann Azure Arc Private Link Scope verwendet werden sollte und wie es eingerichtet wird.

Vorteile

Mit privatem Link können Sie:

  • Herstellen einer privaten Verbindung mit Azure Arc ohne öffentlichen Netzwerkzugriff.
  • Stellen Sie sicher, dass auf Daten vom Azure Arc-fähigen Computer oder Server nur über autorisierte private Netzwerke zugegriffen wird. Diese Anforderung umfasst auch Daten von VM-Erweiterungen (Virtual Machine), die auf dem Computer oder Server installiert sind, die Unterstützung für die Verwaltung und Überwachung nach der Bereitstellung bereitstellen.
  • Verhindern Sie die Datenexfiltration aus Ihren privaten Netzwerken, indem Sie bestimmte Azure Arc-fähige Server und andere Azure-Dienstressourcen definieren, z. B. Azure Monitor, die eine Verbindung über Ihren privaten Endpunkt herstellen.
  • Verbinden Sie Ihr privates lokales Netzwerk sicher mit Azure Arc mithilfe von ExpressRoute und privatem Link.
  • Kapseln des gesamten Datenverkehrs innerhalb des Microsoft Azure-Backbonenetzwerks.

Weitere Informationen finden Sie unter Hauptvorteile von Azure Private Link.

Funktionsweise

Azure Arc Private Link Scope verbindet private Endpunkte (und die virtuellen Netzwerke, in denen sie enthalten sind) mit einer Azure-Ressource. In diesem Fall handelt es sich um Azure Arc-fähige Server. Wenn Sie eine der unterstützten VM-Erweiterungen für Azure Arc-fähige Server aktivieren, z. B. Azure Monitor, verbinden diese Ressourcen andere Azure-Ressourcen, z. B.:

  • Log Analytics-Arbeitsbereich, der für azure Automation Change Tracking and Inventory, Azure Monitor VM Insights und Azure Monitor Log Collection mit Azure Monitor Agent erforderlich ist.
  • Azure Key Vault:
  • Azure Blob Storage, das für die benutzerdefinierte Skripterweiterung erforderlich ist.

Diagramm, das die grundlegende Ressourcentopologie zeigt.

Um Architekturdiagramme in hoher Auflösung herunterzuladen, besuchen Sie Jumpstart Gems.

Für die Konnektivität mit jeder anderen Azure-Ressource von einem Azure Arc-fähigen Server müssen Sie Private Link für jeden Dienst konfigurieren, was optional ist, aber empfohlen wird. Private Verknüpfung erfordert eine separate Konfiguration pro Dienst.

Weitere Informationen zum Konfigurieren des privaten Links für die zuvor aufgeführten Azure-Dienste finden Sie in den Artikeln zu Azure Automation, Azure Monitor, Key Vault oder Blob Storage.

Wichtig

Privater Link ist jetzt allgemein verfügbar. Sowohl private Endpunkt- als auch Private Link-Dienste (Dienst hinter einem Standardlastenausgleich) sind allgemein verfügbar. Verschiedene Azure PaaS-Dienste werden zu unterschiedlichen Zeitplänen in Private Link eingebunden. Einen aktualisierten Status von Azure PaaS auf privatem Link finden Sie unter Verfügbarkeit von privatem Link. Bekannte Einschränkungen finden Sie unter "Privater Endpunkt " und "Privater Linkdienst".

  • Der private Endpunkt in Ihrem virtuellen Netzwerk ermöglicht es, Azure Arc-fähige Serverendpunkte über private IPs aus dem Pool Ihres Netzwerks zu erreichen, anstatt die öffentlichen IPs dieser Endpunkte zu verwenden. Auf diese Weise können Sie Ihre Azure Arc-fähige Serverressource weiterhin verwenden, ohne Ihr virtuelles Netzwerk für ausgehenden Datenverkehr zu öffnen, der nicht angefordert wurde.
  • Der Datenverkehr vom privaten Endpunkt zu Ihren Ressourcen überschreitet das Azure-Backbone und wird nicht an öffentliche Netzwerke weitergeleitet.
  • Sie können Ihre einzelnen Komponenten so konfigurieren, dass Erfassung und Abfragen aus öffentlichen Netzwerken zugelassen oder verweigert werden. Dies bietet einen Schutz auf Ressourcenebene, sodass Sie den Datenverkehr zu bestimmten Ressourcen steuern können.

Einschränkungen

Das Azure Arc-fähige Server-Objekt für private Verknüpfungen weist mehrere Beschränkungen auf, die Sie berücksichtigen sollten, wenn Sie das Setup für private Links planen:

  • Höchstens kann ein privater Azure Arc-Linkbereich einem virtuellen Netzwerk zugeordnet werden.
  • Ein Computer mit Azure Arc-Unterstützung oder eine Serverressource kann nur mit einem Private Link-Bereich eines Servers mit Azure Arc-Unterstützung eine Verbindung herstellen.
  • Alle lokalen Computer müssen denselben privaten Endpunkt verwenden, indem die richtigen privaten Endpunktinformationen aufgelöst werden, z. B. vollqualifizierter Domänenname (FQDN)-Eintragsname und private IP-Adresse. Sie müssen dieselbe DNS-Weiterleitung (Domain Name System) verwenden. Weitere Informationen finden Sie unter DNS-Konfiguration für private Azure-Endpunkte.
  • Der Azure Arc-fähige Server und der private Azure Arc-Linkbereich müssen sich in derselben Azure-Region befinden wie beieinander. Der private Endpunkt und das virtuelle Netzwerk müssen sich in derselben Azure-Region befinden, die sich jedoch von der Region Ihres privaten Azure Arc-Linkbereichs und dem Azure Arc-fähigen Server unterscheiden kann.
  • Netzwerkdatenverkehr zu Microsoft Entra ID und Azure Resource Manager durchläuft nicht den Privaten Azure Arc-Linkbereich und verwendet weiterhin Ihre Standardnetzwerkroute zum Internet. Sie können optional einen privaten Link für die Ressourcenverwaltung konfigurieren , um Ressourcen-Manager-Datenverkehr an einen privaten Endpunkt zu senden.
  • Andere Azure-Dienste, die Sie verwenden, z. B. Azure Monitor, erfordern ihre eigenen privaten Endpunkte in Ihrem virtuellen Netzwerk.
  • Der Remotezugriff auf den Server mithilfe von Windows Admin Center oder SSH wird derzeit nicht über einen privaten Link unterstützt.

Um Ihren Server über einen privaten Link mit Azure Arc zu verbinden, müssen Sie Ihr Netzwerk so konfigurieren, dass die folgenden Aufgaben ausgeführt werden:

  1. Herstellen einer Verbindung zwischen Ihrem lokalen Netzwerk und einem virtuellen Azure-Netzwerk mithilfe eines Standort-zu-Standort-VPN - oder ExpressRoute-Schaltkreises.

  2. Stellen Sie einen privaten Azure Arc-Linkbereich bereit, der die Computer oder Server steuert, die mit Azure Arc über private Endpunkte kommunizieren können. Ordnen Sie es Ihrem virtuellen Azure-Netzwerk mithilfe eines privaten Endpunkts zu.

  3. Ändern Sie die DNS-Konfiguration in Ihrem lokalen Netzwerk so, dass die Adressen der privaten Endpunkte aufgelöst werden.

  4. Konfigurieren Sie Ihre lokale Firewall, um den Zugriff auf die Microsoft Entra-ID und den Ressourcen-Manager zu ermöglichen.

  5. Ordnen Sie die Computer oder Server, die mit Azure Arc-fähigen Servern registriert sind, dem Bereich für private Verknüpfungen zu.

  6. Stellen Sie optional private Endpunkte für andere Azure-Dienste bereit, die Ihren Computer oder Server verwalten, z. B.:

    • Azure Monitor
    • Azure Automation
    • Azure Blob Storage (Speicherdienst von Azure für unstrukturierte Daten)
    • Azure Key Vault (ein Dienst zur sicheren Verwaltung kryptografischer Schlüssel)

In diesem Artikel wird davon ausgegangen, dass Sie ihre ExpressRoute-Verbindung oder Standort-zu-Standort-VPN-Verbindung bereits eingerichtet haben.

Netzwerkkonfiguration

Azure Arc-fähige Server lassen sich in verschiedene Azure-Dienste integrieren, um Ihren Hybridcomputern oder -servern Verwaltungs- und Governancefunktionen in der Cloud zu ermöglichen. Die meisten dieser Dienste bieten bereits private Endpunkte an. Sie müssen Ihre Firewall- und Routingregeln konfigurieren, um den Zugriff auf Microsoft Entra ID und Ressourcen-Manager über das Internet zu ermöglichen, bis diese Dienste private Endpunkte anbieten.

Es gibt zwei Möglichkeiten zum Zulassen des Zugriffs:

  • Wenn Ihr Netzwerk für die Weiterleitung des gesamten internetgebundenen Datenverkehrs über den Azure-VPN- oder ExpressRoute-Schaltkreis konfiguriert ist, können Sie die Netzwerksicherheitsgruppe (Network Security Group, NSG) konfigurieren, die Ihrem Subnetz in Azure zugeordnet ist. Verwenden Sie Diensttags , um ausgehenden TCP 443 (HTTPS)-Zugriff auf Microsoft Entra ID und Azure zu ermöglichen. Die NSG-Regeln sollten wie in der folgenden Tabelle aussehen:

    Einstellung Microsoft Entra ID-Regel Azure-Regel
    `Source` Virtuelles Netzwerk Virtuelles Netzwerk
    Quellportbereiche * *
    Bestimmungsort Diensttag Diensttag
    Zieldiensttag AzureActiveDirectory AzureResourceManager
    Zielportbereiche 443 443
    Protocol TCP TCP
    Aktion Allow Allow
    Priority 150 (Muss niedriger sein als alle Regeln, die den Internetzugriff blockieren.) 151 (Muss niedriger sein als alle Regeln, die den Internetzugriff blockieren.)
    Name AllowAADOutboundAccess AllowAzOutboundAccess

  • Konfigurieren Sie die Firewall in Ihrem lokalen Netzwerk, um ausgehenden TCP 443 (HTTPS)-Zugriff auf Microsoft Entra ID und Azure mithilfe der herunterladbaren Diensttagdateien zu ermöglichen. Die JSON-Datei enthält alle öffentlichen IP-Adressbereiche, die von Microsoft Entra ID und Azure verwendet werden, und wird monatlich aktualisiert, um alle Änderungen zu widerspiegeln. Die Microsoft Entra ID-Dienstmarke lautet AzureActiveDirectory. Das Azure-Servicetag lautet AzureResourceManager. Wenden Sie sich an Ihren Netzwerkadministrator und Netzwerkfirewallanbieter, um zu erfahren, wie Sie Ihre Firewallregeln konfigurieren.

Weitere Informationen zu den Netzwerkdatenverkehrsflüssen finden Sie im Diagramm im Abschnitt Funktionsweise dieses Artikels.

  1. Melden Sie sich beim Azure-Portal an.

  2. Wechseln Sie zum Erstellen einer Ressource im Azure-Portal, suchen Sie nach Azure Arc Private Link Scope, und wählen Sie dann "Erstellen" aus.

    Screenshot des privaten Azure Arc-Linkbereichs mit der Schaltfläche

    Wechseln Sie alternativ direkt zur Seite "Private Azure Arc-Verknüpfungsbereiche" im Portal, und wählen Sie dann "Erstellen" aus.

  3. Wählen Sie auf der Registerkarte " Grundlagen " eine Abonnement- und Ressourcengruppe aus.

  4. Geben Sie einen Namen für den privaten Azure Arc-Linkbereich ein. Es empfiehlt sich ein aussagekräftiger Name.

  5. Optional können Sie jeden Azure Arc-fähigen Computer oder Server benötigen, der diesem privaten Azure Arc-Linkbereich zugeordnet ist, um Daten über den privaten Endpunkt an den Dienst zu senden. Aktivieren Sie dazu das Kontrollkästchen " Zugriff auf öffentliche Netzwerke zulassen ", damit Computer oder Server, die diesem privaten Azure Arc-Linkbereich zugeordnet sind, mit dem Dienst über private oder öffentliche Netzwerke kommunizieren können. Sie können diese Einstellung ändern, nachdem Sie den Bereich nach Bedarf erstellt haben.

  6. Wählen Sie die Registerkarte "Privater Endpunkt " und dann " Erstellen" aus.

  7. Im Bereich "Privater Endpunkt erstellen ":

    1. Geben Sie einen Namen für den Endpunkt ein.

    2. Wählen Sie für die Integration in private DNS-Zone"Ja" aus, und lassen Sie sie automatisch eine neue private DNS-Zone erstellen.

      Hinweis

      Wenn Sie "Nein" auswählen und DNS-Einträge manuell verwalten möchten, schließen Sie zuerst die Einrichtung Ihres privaten Links ab, einschließlich dieses privaten Endpunkts und der Konfiguration des privaten Bereichs. Konfigurieren Sie dann Ihr DNS gemäß den Anweisungen in der DNS-Konfiguration des privaten Azure-Endpunkts. Stellen Sie sicher, dass Sie keine leeren Datensätze bei der Vorbereitung auf die Einrichtung Ihres privaten Links erstellen. Die von Ihnen erstellten DNS-Einträge können vorhandene Einstellungen außer Kraft setzen und sich auf Ihre Konnektivität mit Azure Arc-fähigen Servern auswirken.

      Sie können nicht dasselbe virtuelle Netzwerk oder dieselbe DNS-Zone sowohl für Azure Arc-Ressourcen verwenden, die private Links nutzen, als auch für solche, die keine privaten Links nutzen. Azure Arc-Ressourcen, die nicht mit privaten Links verbunden sind, müssen auf öffentliche Endpunkte zugreifen können.

    3. Klicken Sie auf OK.

  8. Klicken Sie auf Überprüfen + erstellen.

    Screenshot des Fensters

  9. Warten Sie die Überprüfung ab, und wählen Sie dann Erstellen aus.

Konfigurieren der lokalen DNS-Weiterleitung

Ihre lokalen Computer oder Server müssen in der Lage sein, die DNS-Einträge für Private Link mit den IP-Adressen des privaten Endpunkts aufzulösen. Wie Sie dieses Verhalten konfigurieren, hängt davon ab, ob Sie Folgendes verwenden:

  • Azure private DNS-Zonen zum Verwalten von DNS-Einträgen.
  • Ihr eigener DNS-Server lokal und wie viele Server Sie konfigurieren.

DNS-Konfiguration mithilfe von azure-integrierten privaten DNS-Zonen

Wenn Sie private DNS-Zonen für Azure Arc-fähige Server und Gastkonfiguration einrichten, wenn Sie den privaten Endpunkt erstellen, müssen Ihre lokalen Computer oder Server IN der Lage sein, DNS-Abfragen an die integrierten Azure DNS-Server weiterzuleiten, um die privaten Endpunktadressen ordnungsgemäß aufzulösen. Sie benötigen eine DNS-Weiterleitung in Azure (entweder eine zweckorientierte VM oder eine Azure Firewall-Instanz mit aktiviertem DNS-Proxy). Anschließend können Sie Ihren lokalen DNS-Server so konfigurieren, dass Abfragen an Azure weitergeleitet werden, um ip-Adressen für private Endpunkte aufzulösen.

Weitere Informationen finden Sie unter Azure DNS Private Resolver mit lokaler DNS-Weiterleitung.

Manuelle DNS-Serverkonfiguration

Wenn Sie die Verwendung privater Azure-DNS-Zonen während der Erstellung privater Endpunkte deaktiviert haben, müssen Sie die erforderlichen DNS-Einträge auf Ihrem lokalen DNS-Server erstellen.

  1. Wechseln Sie im Azure-Portal zu der privaten Endpunktressource, die Ihrem virtuellen Netzwerk und Dem privaten Linkbereich zugeordnet ist.

  2. Wählen Sie im Dienstmenü unter "Einstellungen"die DNS-Konfiguration aus, um eine Liste der DNS-Einträge und die entsprechenden IP-Adressen anzuzeigen, die Sie auf Ihrem DNS-Server einrichten müssen. Die FQDNs und IP-Adressen ändern sich basierend auf der Region, die Sie für Ihren privaten Endpunkt und die verfügbaren IP-Adressen in Ihrem Subnetz ausgewählt haben.

  3. Befolgen Sie die Anweisungen Ihres DNS-Serveranbieters, um die erforderlichen DNS-Zonen und A-Einträge hinzuzufügen, die mit der Tabelle im Portal übereinstimmen müssen. Stellen Sie sicher, dass Sie einen DNS-Server auswählen, der für Ihr Netzwerk geeignet war. Jeder Computer oder Server, der diesen DNS-Server verwendet, löst jetzt die ip-Adressen des privaten Endpunkts auf. Jeder Computer oder Server muss dem privaten Azure Arc-Verknüpfungsbereich zugeordnet sein, oder die Verbindung wird verweigert.

Szenarien mit Einzelserver

Wenn Sie beabsichtigen, private Links zu verwenden, um nur wenige Computer oder Server zu unterstützen, sollten Sie die DNS-Konfiguration Ihres gesamten Netzwerks möglicherweise nicht aktualisieren. In diesem Fall können Sie die Hostnamen und IP-Adressen des privaten Endpunkts zur Hostdatei Ihres Betriebssystems hinzufügen. Abhängig von der Betriebssystemkonfiguration kann die Hosts-Datei die primäre oder alternative Methode zum Auflösen eines Hostnamens in eine IP-Adresse sein.

Fenster

  1. Verwenden Sie ein Konto mit Administratorrechten, um C:\Windows\System32\drivers\etc\hosts zu öffnen.

  2. Fügen Sie die privaten Endpunkt-IPs und Hostnamen aus der DNS-Konfigurationsauflistung hinzu, wie in der manuellen DNS-Serverkonfiguration beschrieben. Die Hostdatei erfordert zuerst die IP-Adresse, gefolgt von einem Leerzeichen und dann dem Hostnamen.

  3. Speichern Sie die Datei mit Ihren Änderungen. Möglicherweise müssen Sie zuerst in einem anderen Verzeichnis speichern und dann die Datei in den ursprünglichen Pfad kopieren.

Linux

  1. Öffnen Sie die Datei "/etc/hosts" in einem Text-Editor.

  2. Fügen Sie die privaten Endpunkt-IPs und Hostnamen aus der DNS-Konfigurationsauflistung hinzu, wie in der manuellen DNS-Serverkonfiguration beschrieben. Die Hostdatei fragt zuerst nach der IP-Adresse, gefolgt von einem Leerzeichen und dem Hostnamen.

  3. Speichern Sie die Datei mit Ihren Änderungen.

Herstellen einer Verbindung mit einem Azure Arc-fähigen Server

Für die Verwendung eines privaten Endpunkts ist der Azure Connected Machine-Agent, Version 1.4 oder höher, erforderlich. Mithilfe des im Portal generierten Skripts zur Bereitstellung Azure Arc-fähiger Servern wird die neueste Version heruntergeladen.

Wenn Sie einen Computer oder Server zum ersten Mal mit Azure Arc-fähigen Servern verbinden, können Sie ihn optional mit einem privaten Linkbereich verbinden.

  1. Navigieren Sie in Ihrem Browser zum Azure-Portal.

  2. Wechseln Sie zu Computer – Azure Arc.

  3. Wählen Sie auf der Seite "Computer – Azure Arc " in der oberen linken Ecke "Hinzufügen/Erstellen " und dann im Dropdownmenü " Computer hinzufügen" aus.

  4. Wählen Sie auf der Seite " Server mit Azure Arc hinzufügen" entweder einen einzelnen Server oder je nach Bereitstellungsszenario mehrere Server hinzufügen aus, und wählen Sie dann " Skript generieren" aus.

  5. Geben Sie auf der Seite "Grundlagen" die folgenden Informationen an:

    1. Wählen Sie das Abonnement und die Ressourcengruppe für den Computer aus.

    2. Wählen Sie in der Dropdownliste " Region " die Azure-Region aus, um die Computer- oder Servermetadaten zu speichern.

    3. Wählen Sie in der Dropdownliste des Betriebssystems das Betriebssystem aus, auf dem das Skript für die Ausführung konfiguriert ist.

    4. Wählen Sie unter "Konnektivitätsmethode" den privaten Endpunkt und dann den in Teil 1 erstellten privaten Azure Arc-Linkbereich aus der Dropdownliste aus.

      Screenshot der Auswahl der Option

    5. Wählen Sie Weiter: Tags aus.

  6. Wenn Sie auf der Seite "Authentifizierungmehrere Server hinzufügen" ausgewählt haben, wählen Sie den Dienstprinzipal aus, der für Azure Arc-fähige Server in der Dropdownliste erstellt wurde. Wenn Sie einen Dienstprinzipal für Azure Arc-fähige Server erstellen müssen, lesen Sie, wie Sie einen Dienstprinzipal erstellen , um Informationen zu Berechtigungen und den Schritten zu erhalten, die zum Erstellen eines Dienstprinzipals erforderlich sind. Wählen SieWeiter: Tags aus, um fortzufahren.

  7. Überprüfen Sie auf der Tags-Seite die empfohlenen Tags für physische Standorte, indem Sie einen Wert eingeben, oder geben Sie ein oder mehrere benutzerdefinierte Tags an, um Ihre Standards zu unterstützen.

  8. Wählen Sie Weiter: Skript herunterladen und ausführen.

  9. Überprüfen Sie die auf der Seite Skript herunterladen und ausführen die Zusammenfassungsinformationen, und wählen Sie dann Herunterladen aus.

Nachdem Sie das Skript heruntergeladen haben, müssen Sie es auf Ihrem Computer oder Server mithilfe eines privilegierten Kontos (Administrator oder Stammkonto) ausführen. Je nach Netzwerkkonfiguration müssen Sie den Agent möglicherweise von einem Computer mit Internetverbindung herunterladen und auf Ihren Computer oder Server übertragen. Anschließend ändern Sie das Skript mit dem Pfad zum Agent.

Sie können den Windows-Agent und den Linux-Agent herunterladen. Suchen Sie nach der neuesten Version von azcmagent in Ihrem Betriebssystemverteilungsverzeichnis und installieren Sie sie mit Ihrem lokalen Paket-Manager.

Das Skript gibt Statusmeldungen zurück, die Ihnen mitteilen, ob das Onboarding erfolgreich war, nachdem es abgeschlossen wurde.

Netzwerkdatenverkehr vom Azure Connected Machine-Agent zu Microsoft Entra ID (login.windows.net, login.microsoftonline.com, pas.windows.net) und Resource Manager (management.azure.com) verwenden weiterhin öffentliche Endpunkte. Wenn Ihr Server über einen Proxyserver kommunizieren muss, um diese Endpunkte zu erreichen, konfigurieren Sie den Agent mit der Proxyserver-URL , bevor Sie sie mit Azure verbinden. Möglicherweise müssen Sie auch eine Proxyumgehung für die Azure Arc-Dienste konfigurieren, wenn auf Ihren privaten Endpunkt nicht von Ihrem Proxyserver aus zugegriffen werden kann.

Konfigurieren eines vorhandenen Azure Arc-fähigen Servers

Für Azure Arc-fähige Server, die vor Ihrem privaten Linkbereich eingerichtet wurden, können Sie zulassen, dass sie mit dem Privaten Linkbereich für Azure Arc-fähige Server beginnen.

  1. Wechseln Sie im Azure-Portal zu Ihrer Azure Arc Private-Link-Bereichsressource.

  2. Wählen Sie im Menü "Dienst " unter "Konfigurieren"Azure Arc-Ressourcen und dann +Hinzufügen aus.

  3. Wählen Sie die Server in der Liste aus, die Sie dem Bereich für private Verknüpfungen zuordnen möchten, und wählen Sie dann "Auswählen" aus, um Ihre Änderungen zu speichern.

    Screenshot: Auswählen von Azure Arc-Ressourcen

Es kann bis zu 15 Minuten dauern, bis der private Link-Bereich Verbindungen von den kürzlich zugeordneten Servern akzeptiert.

Problembehandlung

Wenn Probleme auftreten, können die folgenden Vorschläge hilfreich sein:

  • Überprüfen Sie Ihren lokalen DNS-Server, um sicherzustellen, dass er entweder an Azure DNS weiterleitet oder mit den entsprechenden A-Einträgen in Ihrer Private Link-Zone konfiguriert ist. Diese Lookupbefehle müssen private IP-Adressen in Ihrem virtuellen Azure-Netzwerk zurückgeben. Wenn sie öffentliche IP-Adressen auflösen, überprüfen Sie Ihren Computer oder Server und die DNS-Konfiguration des Netzwerks gründlich.

    nslookup gbl.his.arc.azure.com
nslookup agentserviceapi.guestconfiguration.azure.com

  • Bei Problemen beim Onboarding eines Computers oder Servers bestätigen Sie, dass Sie die Microsoft Entra ID- und Resource Manager-Diensttags zu Ihrer lokalen Netzwerkfirewall hinzugefügt haben. Der Agent muss mit diesen Diensten über das Internet kommunizieren, bis private Endpunkte für diese Dienste verfügbar sind.

Weitere Hilfe zur Problembehandlung finden Sie unter "Behandeln von Problemen bei der Verbindung mit privaten Azure-Endpunkten".

Verwandte Inhalte

  • Last updated on