Behandeln von Netzwerksicherheitsproblemen

  • 9 Minuten

Ermitteln, warum die Webanwendungsfirewall (WAF) den gesuchten Datenverkehr blockiert

Gelegentlich werden Anfragen blockiert, die durch Ihre Webanwendungsfirewall (WAF) durchlaufen sollten.

Um die strengen Open Web Application Security Project (OWASP)-Vorschriften für die Anforderungen einer Anwendung oder Organisation zu optimieren, hilft IHNEN WAF, die Regeln anzupassen oder zu deaktivieren oder Ausschlüsse zu erstellen, die probleme oder falsch positive Ergebnisse verursachen können. Dies erfolgt auf der Basis der einzelnen Standorte und URIs. Das heißt, Änderungen an den Richtlinien wirken sich nur auf bestimmte Websites/URIs aus und betreffen keine anderen Websites, die möglicherweise nicht dieselben Probleme haben.

Die folgenden Artikel helfen Ihnen zu verstehen, wie die WAF-Funktion funktioniert und wie ihre Regel und Protokolle funktionieren:

Grundlegendes zu WAF-Protokollen

WAF-Protokolle funktionieren als Anweisung aller ausgewerteten Anforderungen, die abgeglichen oder blockiert werden. Wenn Sie ein False Positive-Ergebnis feststellen, d. h. wenn die WAF eine Anfrage blockiert, die sie nicht blockieren sollte, können Sie die folgenden Schritte ausführen:

  1. Suchen Sie die spezifische Anforderung.

  2. Überprüfen Sie die Protokolle, um die spezifische URI, den Zeitstempel oder die Transaktions-ID der Anforderung zu finden.

  3. Korrigieren Sie die falsch positiven Ergebnisse.

Anzeigen von WAF-Protokollen

Führen Sie die folgenden Schritte aus, um WAF-Protokolle anzuzeigen:

  1. Wählen Sie im Azure-Portal "Alle Ressourcen" und dann die WAF-Richtlinie des Anwendungsgateways aus.

  2. Wählen Sie das Aktivitätsprotokoll aus.

  3. Wählen Sie einzelne Vorgänge aus, um weitere Informationen zu erfahren.

  4. Sie können das Aktivitätsprotokoll herunterladen, indem Sie "Als CSV herunterladen" auswählen.

  5. Um die Aktivitätsprotokollereignisse an einen anderen Dienst zu streamen, wählen Sie "Aktivitätsprotokolle exportieren" aus.

In „Aktivitätsprotokolle exportieren“:

  1. Wählen Sie "Diagnoseeinstellung hinzufügen" aus.

  2. Geben Sie einen Namen für die Diagnoseeinstellung ein.

  3. Wählen Sie die relevanten Protokollkategorien aus, die in Kategorien gestreamt werden sollen. Wählen Sie beispielsweise "Sicherheit", " Richtlinie" und "Warnung" aus.

  4. Wählen Sie das Streamingziel in den Zieldetails aus. Wählen Sie z. B. "An Log Analytics-Arbeitsbereich senden" aus.

  5. Geben Sie zusätzliche Zieldetails ein. Beispiel: der relevante Arbeitsbereich "Abonnement" und "Log Analytics".

  6. Wählen Sie "Speichern" aus.

Anomaliebewertungsmodus

Der Anomaliebewertungsmodus wird von OWASP verwendet, um zu entscheiden, ob datenverkehr blockiert werden soll. Im Anomaliebewertungsmodus wird der Datenverkehr, der jeder Regel entspricht, nicht sofort blockiert, wenn sich die Firewall im Verhinderungsmodus befindet. Regeln haben ein bestimmtes Kriterium: Kritisch, Fehler, Warnung oder Hinweis. Jeder dieser Werte ist ein numerischer Wert zugeordnet, der als Anomaliebewertung bezeichnet wird. Der numerische Wert gibt den Schweregrad einer Anforderung an.

Weitere Informationen finden Sie unter Anomaliebewertungsmodus.

Beheben falsch positiver Ergebnisse

Um falsch positive Ergebnisse zu beheben und die Probleme des blockierten Datenverkehrs zu vermeiden, können Sie eine Ausschlussliste verwenden. Die Verwendung einer Ausschlussliste gilt nur für einen bestimmten Teil einer Anforderung oder einen Regelsatz, der deaktiviert wird. Sie können entweder Textkörper, Kopfzeilen oder Cookies für eine bestimmte Bedingung ausschließen, anstatt die gesamte Anforderung auszuschließen. In einer Umgebung mit globalen Einstellungen gilt der spezifische Ausschluss für den gesamten Datenverkehr, der Ihre WAF durchläuft.

Weitere Informationen zu Ausschlusslisten finden Sie in der WAF-Konfiguration .

So konfigurieren Sie Ausschlusslisten mithilfe des Azure-Portals

  1. Wechseln Sie zum WAF-Portal.

  2. Wählen Sie "Ausschlüsse verwalten" unter verwalteten Regeln aus.

Beispiel für Ausschlussliste:

Screenshot mit einer Beispielausschlussliste.

  • Deaktivieren Sie die Regel: Wenn Sie eine Regel deaktivieren, können Sie eine bestimmte Bedingung als eine Nichtbedrohung behandeln, die andernfalls als böswillig gekennzeichnet und blockiert wird. In einer globalen Konfigurationsumgebung ist das Deaktivieren einer Regel für das gesamte Web Application Firewall (WAF) ein Risiko und kann Ihre Sicherheit schwächen.

So deaktivieren Sie Regelgruppen oder bestimmte Regeln

  1. Navigieren Sie zum Anwendungsgateway, und wählen Sie dann die Webanwendungsfirewall aus.

  2. Wählen Sie Ihre WAF-Richtlinie aus.

  3. Wählen Sie verwaltete Regeln aus.

    Screenshot des Firewallgateways der Webanwendung.

  4. Suchen Sie nach den Regeln oder Regelgruppen, die Sie deaktivieren möchten.

  5. Aktivieren Sie die Kontrollkästchen für die Regeln, die Sie deaktivieren möchten.

  6. Wählen Sie die Aktion oben auf der Seite (Aktivieren/Deaktivieren) für die ausgewählten Regeln aus.

  7. Wählen Sie "Speichern" aus.

Ein Drittanbietertool namens Fiddler kann zusätzliche Informationen bereitstellen. Fiddler hilft Ihnen bei:

  • Namen von Anforderungsattributen suchen: Überprüfen Sie einzelne Anforderungen, und bestimmen Sie, welche spezifischen Felder einer Webseite aufgerufen werden. Es hilft auch, bestimmte Felder mithilfe von Ausschlusslisten aus der Inspektion auszuschließen.

  • Suchen Sie nach Namen von Anforderungsheadern: Anzeigen von Anforderungs- und Antwortheadern innerhalb der Entwicklertools von Chrome oder Anzeigen der Header für die GET-Anforderung.

  • Anforderungs-Cookie-Namen finden: Zeigen Sie Cookies an, indem Sie im Fiddler die Registerkarte "Cookies" auswählen.

Beschränken globaler Parameter zur Vermeidung falsch positiver Ergebnisse

  • Deaktivieren der Anforderungstextüberprüfung: Bestimmte Anforderungen, die keine Bedrohung für Ihre Anwendung darstellen, können von der Auswertung durch Ihre WAF ausgeschlossen werden, indem Sie Anforderungstext untersuchen auf „Aus“ festlegen. Auf diese Weise wird nur der Anforderungstext nicht untersucht. Die Kopfzeilen und Cookies werden weiterhin überprüft, es sei denn, sie befinden sich in der Ausschlussliste.

    Screenshot einer WAF-Richtlinie mit deaktivierter Option „Anforderungstext untersuchen“.

  • Dateigrößenbeschränkungen: Die Möglichkeit eines Angriffs auf Webserver und Anwendungen kann reduziert werden, indem die Dateigröße für Ihre WAF eingeschränkt wird. Das Zulassen großer Dateien erhöht das Risiko, dass Ihr Back-End erschöpft ist. Um Angriffe zu verhindern, ist es ratsam, die Dateigröße auf einen typischen Fall für Ihre Anwendung zu beschränken.

Hinweis

Firewallmetriken (nur WAF_v1) Für V1-Webanwendungsfirewalls stehen jetzt die folgenden Metriken im Portal zur Verfügung:

  • Anzahl der blockierten Anforderungen der Webanwendungsfirewall – die Anzahl der blockierten Anforderungen.
  • Web Application Firewall – Anzahl blockierter Regeln: Alle Regeln, die eine Übereinstimmung aufwiesen und für die die Anforderung blockiert wurde.
  • Web Application Firewall – Regelverteilung gesamt: Alle Regeln, die während der Auswertung eine Übereinstimmung aufgewiesen haben.

Um Metriken zu aktivieren, wählen Sie die Registerkarte "Metriken " im Portal aus, und wählen Sie eine der drei Metriken aus.

Ermitteln, welche Version von TLS ein Kunde ausführt

Wenn der Client eine Version von TLS (Transport Layer Security) verwendet, die niedriger als die mindest erforderliche Version ist, schlagen alle Aufrufe von Azure Storage fehl. Aus Sicherheitsgründen erfordert ein Azure Storage-Konto möglicherweise, dass Clients eine Mindestversion von TLS zum Senden von Anforderungen verwenden. Eine anforderung, die von einem Client gesendet wird, der TLS 1.1 verwendet, schlägt z. B. fehl, wenn ein Speicherkonto TLS 1.2 erfordert.

Im Artikel "Konfigurieren der mindestens erforderlichen Version von Transport Layer Security (TLS) für ein Speicherkonto wird erläutert, wie Sie die minimale TLS-Version für ein Azure Storage-Konto konfigurieren, das sich auf Clientanwendungen auswirken kann.

Konfigurieren der TLS-Clientversion

Für den Client ist das Senden einer Anforderung mit einer bestimmten Version von TLS nur möglich, wenn das Betriebssystem und das vom Client verwendete .NET Framework diese Version unterstützen.

So aktivieren Sie TLS 1.2 in einem PowerShell-Client:

# Set the TLS version used by the PowerShell client to TLS 1.2.

[System.Net.ServicePointManager]::SecurityProtocol = [System.Net.SecurityProtocolType]::Tls12;

# Create a new container.

$storageAccount = Get-AzStorageAccount -ResourceGroupName $rgName -Name $accountName

$ctx = $storageAccount.Context

New-AzStorageContainer -Name "sample-container" -Context $ctx

So aktivieren Sie TLS 1.2 in einem .NET-Client mit Version 12 der Azure Storage-Clientbibliothek:

public static async Task ConfigureTls12()

{

    // Enable TLS 1.2 before connecting to Azure Storage

    System.Net.ServicePointManager.SecurityProtocol = System.Net.SecurityProtocolType.Tls12;

    // Add your connection string here.

    string connectionString = "";

    // Create a new container with Shared Key authorization.

    BlobContainerClient containerClient = new BlobContainerClient(connectionString, "sample-container");

    await containerClient.CreateIfNotExistsAsync();

}

So aktivieren Sie TLS 1.2 in einem .NET-Client mit Version 11 der Azure Storage-Clientbibliothek:

static void EnableTls12()

{

    // Enable TLS 1.2 before connecting to Azure Storage

    System.Net.ServicePointManager.SecurityProtocol = System.Net.SecurityProtocolType.Tls12;

    // Add your connection string here.

    string connectionString = "";

    // Connect to Azure Storage and create a new container.

    CloudStorageAccount storageAccount = CloudStorageAccount.Parse(connectionString);

    CloudBlobClient blobClient = storageAccount.CreateCloudBlobClient();

    CloudBlobContainer container = blobClient.GetContainerReference("sample-container");

    container.CreateIfNotExists();

}

Weitere Informationen finden Sie unter Support für TLS 1.2.

Hinweis

Fiddler oder ein ähnliches Tool kann Ihnen helfen, zu überprüfen, ob die angegebene Version von TLS vom Client zum Senden einer Anforderung verwendet wurde.

Eine Point-to-Site(P2S)-VPN-Verbindung wird von einem einzelnen Endpunkt initiiert und ist nützlich, wenn Sie eine Verbindung mit Ihrem VNet von einem Remotestandort aus herstellen möchten. Point-to-Site ist eine bessere Option, wenn Sie nur einige Clients haben, die eine Verbindung mit einem VNet herstellen müssen. P2S-Verbindungen erfordern kein VPN-Gerät oder ein öffentliches Netzwerk oder eine IP-Adresse.

P2S VPN unterstützt Secure Socket Tunneling Protocol (SSTP) und IKEv2. Sie können verschiedene Clients, auf denen Windows, Linux oder macOS ausgeführt wird, sicher über eine Point-to-Site-Verbindung mit einem Azure-VNet verbinden.

Diagramm mit Point-to-Site-VPN-Verbindung.

Generieren von Zertifikaten

  • Generieren eines Stammzertifikats

    Rufen Sie zunächst den öffentlichen Schlüssel (.cer Datei) für ein Stammzertifikat ab. Exportieren Sie nach dem Erstellen des Stammzertifikats das öffentliche Zertifikat (nicht den privaten Schlüssel). Diese Datei wird dann in Azure hochgeladen. Das Stammzertifikat fungiert als vertrauenswürdige Quelle von Azure für die Verbindung über P2S mit dem virtuellen Netzwerk. Es gibt zwei Möglichkeiten zum Generieren eines Stammzertifikats, eines Unternehmenszertifikats oder eines selbstsignierten Zertifikats. Gehen Sie wie folgt vor, um ein selbstsigniertes Stammzertifikat zu erstellen:

  1. Öffnen Sie eine Windows PowerShell-Konsole.

  2. Im folgenden Beispiel wird ein selbstsigniertes Stammzertifikat namens "P2SRootCert" erstellt, das automatisch in "Certificates-Current User\Personal\Certificates" installiert wird. Sie können das Zertifikat anzeigen, indem Sie certmgr.msc öffnen oder Benutzerzertifikate verwalten.

    Sie können den folgenden Befehl ändern und ausführen:

    $cert = New-SelfSignedCertificate -Type Custom -KeySpec Signature `

-Subject "CN=P2SRootCert" -KeyExportPolicy Exportable `

-HashAlgorithm sha256 -KeyLength 2048 `

-CertStoreLocation "Cert:\CurrentUser\My" -KeyUsageProperty Sign -KeyUsage CertSign

  3. Lassen Sie die PowerShell-Konsole geöffnet, und fahren Sie mit den nächsten Schritten fort, um ein Clientzertifikat zu generieren.

    • Generieren von Clientzertifikaten

      Ein Clientzertifikat wird automatisch auf dem Computer installiert, auf dem es aus einem selbstsignierten Stammzertifikat generiert wird. Zum Installieren eines Clientzertifikats auf einem anderen Clientcomputer müssen Sie es zusammen mit der gesamten Zertifikatkette als PFX-Datei exportieren. Die PFX-Datei enthält die für die Clientauthentifizierung erforderlichen Stammzertifikatinformationen. Es gibt zwei Methoden zum Erstellen von Clientzertifikaten, Unternehmenszertifikaten oder selbstsignierten Stammzertifikaten.

      Es wird empfohlen, ein eindeutiges Zertifikat für jeden Client zu generieren, anstatt dasselbe Zertifikat zu verwenden. Dies liegt daran, dass Sie, wenn Sie ein bestimmtes Clientzertifikat widerrufen möchten, kein neues Zertifikat für jeden Client generieren und installieren müssen, der dasselbe Zertifikat verwendet. Zum Generieren eines Clientzertifikats sollten Sie die folgenden Schritte in Betracht ziehen:

  4. Verwenden Sie das folgende Beispiel, wenn die PowerShell-Konsolensitzung noch geöffnet ist:

    New-SelfSignedCertificate -Type Custom -DnsName P2SChildCert -KeySpec Signature `

-Subject "CN=P2SChildCert" -KeyExportPolicy Exportable `

-HashAlgorithm sha256 -KeyLength 2048 `

-CertStoreLocation "Cert:\CurrentUser\My" `

-Signer $cert -TextExtension @("2.5.29.37={text}1.3.6.1.5.5.7.3.2")

  5. Wenn es sich um eine neue PowerShell-Konsolensitzung handelt, berücksichtigen Sie die folgenden Schritte:

    • Identifizieren Sie das selbstsignierte Stammzertifikat, das auf dem Computer installiert ist. Dieses Cmdlet gibt eine Liste von Zertifikaten zurück, die auf Ihrem Computer installiert sind.
    Get-ChildItem -Path "Cert:\CurrentUser\My"

    1. Suchen Sie den Antragstellernamen in der zurückgegebenen Liste, und kopieren Sie den Fingerabdruck, der sich daneben in einer Textdatei befindet. In diesem Fall "P2SRootCert".

      Thumbprint                                Subject

----------                                -------

7181AA8C1B4D34EEDB2F3D3BEC5839F3FE52D655  CN=P2SRootCert

    2. Deklarieren Sie eine Variable für das Stammzertifikat mit dem Fingerabdruck aus dem vorherigen Schritt.

      $cert = Get-ChildItem -Path "Cert:\CurrentUser\My\<THUMBPRINT>"

    3. Ersetzen Sie „Fingerabdruck“ durch den Fingerabdruck des Stammzertifikats, aus dem Sie ein untergeordnetes Zertifikat generieren möchten.

      $cert = Get-ChildItem -Path "Cert:\CurrentUser\My\7181AA8C1B4D34EEDB2F3D3BEC5839F3FE52D655"

    4. In diesem Beispiel wird ein Clientzertifikat mit dem Namen "P2SChildCert" generiert. Das von Ihnen generierte Clientzertifikat wird automatisch in "Zertifikate – Aktueller Benutzer\Persönliche\Zertifikate" auf Ihrem Computer installiert.

Sie können den folgenden Befehl ändern und ausführen, um ein Clientzertifikat zu generieren:

New-SelfSignedCertificate -Type Custom -DnsName P2SChildCert -KeySpec Signature `

-Subject "CN=P2SChildCert" -KeyExportPolicy Exportable `

-HashAlgorithm sha256 -KeyLength 2048 `

-CertStoreLocation "Cert:\CurrentUser\My" `

-Signer $cert -TextExtension @("2.5.29.37={text}1.3.6.1.5.5.7.3.2")

Informationen zum Exportieren des Stammzertifikats und des Clientzertifikats finden Sie unter Generieren und Exportieren von Zertifikaten für Benutzer-VPN-Verbindungen.

Um eine Point-to-Site-Verbindung mit Azure-Zertifikat zu konfigurieren, müssen Sie:

  1. Fügen Sie den VPN-Clientadresspool hinzu.

  2. Geben Sie den Tunneltyp und den Authentifizierungstyp an.

  3. Laden Sie Öffentliche Schlüsselinformationen für Stammzertifikate hoch.

  4. Installieren Sie exportiertes Clientzertifikat.

  5. Konfigurieren von Einstellungen für VPN-Clients.

  6. Stellen Sie eine Verbindung mit Azure her:

Ausführliche Schritte zum Konfigurieren einer Point-to-Site-Verbindung mithilfe des Azure-Zertifikats finden Sie unter Herstellen einer Verbindung mit einem VNet mit P2S VPN und Zertifikatauthentifizierung: Portal – Azure VPN-Gateway.

Um zu überprüfen, ob Ihre VPN-Verbindung aktiv ist (Windows-Clients), öffnen Sie eine Eingabeaufforderung mit erhöhten Rechten, und führen Sie ipconfig/all aus.

So stellen Sie eine Verbindung mit einem virtuellen Computer (Windows-Clients) her:

  1. Ermitteln Sie die private IP-Adresse.

  2. Stellen Sie sicher, dass Sie mit Ihrem VNet verbunden sind.

  3. Öffnen Sie die Remotedesktopverbindung, indem Sie "RDP" oder "Remotedesktopverbindung" in das Suchfeld auf der Taskleiste eingeben, und wählen Sie dann "Remotedesktopverbindung" aus. Sie können die Remotedesktopverbindung auch über den Befehl "mstsc" in PowerShell öffnen.

  4. Geben Sie in der Remotedesktopverbindung die private IP-Adresse der VM ein. Wählen Sie "Optionen anzeigen" aus, um zusätzliche Einstellungen anzupassen, und stellen Sie dann eine Verbindung her.

Behebung von Verbindungsproblemen

Wenn Sie Probleme beim Herstellen einer Verbindung mit einem virtuellen Computer über Ihre VPN-Verbindung haben, lesen Sie Folgendes:

  • Überprüfen Sie, ob Ihre VPN-Verbindung erfolgreich ist.

  • Stellen Sie sicher, dass Sie eine Verbindung mit der privaten IP-Adresse für den virtuellen Computer herstellen.

  • Wenn Sie mithilfe der privaten IP-Adresse, aber nicht mit dem Computernamen eine Verbindung mit dem virtuellen Computer herstellen können, überprüfen Sie die DNS-Konfiguration.

  • Weitere Informationen zu RDP-Verbindungen finden Sie unter Problembehandlung für Remotedesktopverbindungen mit einem virtuellen Computer.

  • Stellen Sie sicher, dass das VPN-Clientkonfigurationspaket generiert wurde, nachdem die IP-Adressen des DNS-Servers für das VNet angegeben wurden. Wenn Sie die IP-Adressen des DNS-Servers aktualisiert haben, generieren Sie ein neues VPN-Clientkonfigurationspaket und installieren es.

  • Stellen Sie sicher, dass kein überlappender Adressraum vorhanden ist. Wenn sich die IP-Adresse beispielsweise innerhalb des Adressbereichs des VNet befindet, mit dem Sie eine Verbindung herstellen, oder innerhalb des Adressbereichs Ihres VPNClientAddressPools. Verwenden Sie "ipconfig", um die IPv4-Adresse zu überprüfen, die dem Ethernet-Adapter auf dem Computer zugewiesen ist, von dem Sie eine Verbindung herstellen.

Informationen zum Hinzufügen eines vertrauenswürdigen Stammzertifikats finden Sie unter Hochladen eines vertrauenswürdigen Stammzertifikats.

So entfernen Sie ein vertrauenswürdiges Stammzertifikat

  1. Wechseln Sie zur Point-to-Site-Konfigurationsseite für Ihr virtuelles Netzwerkgateway.

  2. Suchen Sie im Stammzertifikatabschnitt der Seite nach dem Zertifikat, das Sie entfernen möchten.

  3. Wählen Sie die Ellipse neben dem Zertifikat aus und wählen Sie dann "Entfernen" aus.

Widerrufen eines Clientzertifikats

Das Widerrufen eines Clientzertifikats unterscheidet sich vom Entfernen eines vertrauenswürdigen Stammzertifikats. Durch das Entfernen eines vertrauenswürdigen Stammzertifikats .cer Datei aus Azure werden alle vom Stammzertifikat generierten/authentifizierten Clientzertifikate widerrufen. Durch das Widerrufen eines Clientzertifikats können andere Zertifikate, die demselben Stammzertifikat zugeordnet sind, weiterhin funktionieren.

Um ein Clientzertifikat zu widerrufen, fügen Sie den Fingerabdruck zur Sperrliste hinzu.

  • Rufen Sie den Fingerabdruck des Clientzertifikats ab. Siehe Wie man den Fingerabdruck eines Zertifikats abruft.

  • Kopieren Sie die Informationen in einen Text-Editor, und entfernen Sie alle Leerzeichen, sodass es sich um eine fortlaufende Zeichenfolge handelt.

  • Wechseln Sie zur Seite für die Point-to-Site-Konfiguration des virtuellen Netzwerkgateways. Dies ist die gleiche Seite, die Sie zum Hochladen eines vertrauenswürdigen Stammzertifikats verwendet haben.

  • Geben Sie im Abschnitt Widerrufene Zertifikate einen benutzerfreundlichen Namen für das Zertifikat ein.

  • Kopieren Sie die Fingerabdruckzeichenfolge, und fügen Sie sie in das Feld "Fingerabdruck" ein.

  • Der Fingerabdruck wird überprüft und automatisch der Sperrliste hinzugefügt. Auf dem Bildschirm wird eine Meldung mit dem Hinweis angezeigt, dass die Liste aktualisiert wird.

  • Nach Abschluss der Aktualisierung kann das Zertifikat nicht mehr für die Verbindungsherstellung verwendet werden. Clients, die versuchen, unter Verwendung dieses Zertifikats eine Verbindung herzustellen, erhalten eine Meldung mit dem Hinweis, dass das Zertifikat nicht mehr gültig ist.

Problembehandlung bei der Konnektivität zu sicheren Endpunkten

Azure Private Endpoint ist eine Netzwerkschnittstelle, die eine private IP-Adresse aus einem virtuellen Netzwerk verwendet und Sie privat und sicher mit einem privaten Linkdienst verbindet.

Im Folgenden sind die Konnektivitätsszenarien aufgeführt, die mit privatem Endpunkt verfügbar sind:

  • Virtuelles Netzwerk aus derselben Region.

  • Virtuelle Netzwerke mit regionalem Peering.

  • Virtuelle Netzwerke mit globalem Peering

  • Lokale Kunden über VPN oder ExpressRoute-Verbindungen.

Diagnostizieren von Konnektivitätsproblemen

Die folgenden Schritte führen Sie dazu, sicherzustellen, dass alle erforderlichen Konfigurationen vorhanden sind, um Konnektivitätsprobleme mit Ihrem privaten Endpunktsetup zu beheben. Ausführliche Schritte finden Sie unter Diagnose von Konnektivitätsproblemen.

  1. Überprüfen Sie die Konfiguration des privaten Endpunkts, indem Sie die Ressource durchsuchen.

  2. Verwenden Sie Azure Monitor, um festzustellen, ob Daten fließen.

  3. Verwenden Sie die Problembehandlung für VM-Verbindungen von Azure Network Watcher.

  4. Die DNS-Auflösung der Testergebnisse muss die private IP-Adresse aufweisen, die dem privaten Endpunkt zugewiesen ist.

  5. Für den virtuellen Quellcomputer sollte die Route zur privaten Endpunkt-IP für den nächsten Hop als InterfaceEndpoints in den effektiven NIC-Routen enthalten sein.

  6. Wenn die Ergebnisse der Verbindung überprüft wurden, kann das Konnektivitätsproblem mit anderen Aspekten wie Geheimnissen, Token und Kennwörtern auf der Anwendungsebene zusammenhängen.

  7. Nehmen Sie eine Eingrenzung vor, bevor Sie das Supportticket öffnen.

  8. Wenn der private Endpunkt mit einem Private Link-Dienst verknüpft ist, der mit einem Lastenausgleich verknüpft ist, prüfen Sie, ob der Back-End-Pool den Zustand „Fehlerfrei“ meldet. Die Behebung der Integrität des Lastenausgleichs wird das Problem mit der Verbindung zum privaten Endpunkt beheben.

  9. Wenden Sie sich an das Azure-Supportteam, wenn Ihr Problem nicht behoben ist und ein Konnektivitätsproblem weiterhin vorhanden ist.

IPsec- und IKE-Richtlinienparameter für VPN-Gateways

Der IPsec- und IKE-Protokollstandard unterstützt eine vielzahl von kryptografischen Algorithmen in verschiedenen Kombinationen. Im Artikel IPsec/IKE-Parameter wird erläutert, welche Parameter im Azure Stack Hub unterstützt werden, um Ihre Compliance- oder Sicherheitsanforderungen zu erfüllen.

Beachten Sie bei der Verwendung dieser Richtlinien die folgenden wichtigen Überlegungen:

  • Die IPsec/IKE-Richtlinie funktioniert nur bei den Standard- und HighPerformance-Gateway-SKUs, die routenbasiert sind.

  • Sie können nur eine Richtlinienkombination für eine bestimmte Verbindung angeben.

  • Sie müssen alle Algorithmen und Parameter für IKE (Hauptmodus) und IPsec (Schnellmodus) angeben. Die teilweise Spezifikation der Richtlinie ist nicht zulässig.

  • Überprüfen Sie die Spezifikationen Ihrer VPN-Gerätehersteller, ob die Richtlinie auf Ihren lokalen VPN-Geräten unterstützt wird.

Die folgenden Schritte zeigen, wie Sie eine IPsec/IKE-Richtlinie erstellen und konfigurieren und auf eine neue oder vorhandene Verbindung anwenden. Ausführliche schrittweise Anleitungen finden Sie in den Schritten zum Konfigurieren einer IPsec/IKE-Richtlinie für S2S-VPN-Verbindungen (Site-to-Site) in Azure Stack Hub.

  1. Erstellen und Festlegen der IPsec/IKE-Richtlinie.

  2. Erstellen Sie eine neue Standort-zu-Standort-VPN-Verbindung mit der IPsec/IKE-Richtlinie:

    1. Schritt 1 : Erstellen Des virtuellen Netzwerks, des VPN-Gateways und des lokalen Netzwerkgateways.

    2. Schritt 2: Erstellen einer Standort-zu-Standort-VPN-Verbindung mit einer IPsec/IKE-Richtlinie.

  3. Aktualisieren sie die IPsec/IKE-Richtlinie für eine Verbindung.