Nuta
Dostęp do tej strony wymaga autoryzacji. Możesz spróbować się zalogować lub zmienić katalog.
Dostęp do tej strony wymaga autoryzacji. Możesz spróbować zmienić katalogi.
Bramy sieci wirtualnej zapewniają łączność między zasobami lokalnymi a sieciami wirtualnymi platformy Azure. Monitorowanie bram sieci wirtualnej i ich połączeń ma kluczowe znaczenie dla zapewnienia, że komunikacja nie zostanie przerwana. Narzędzie do rozwiązywania problemów VPN usługi Azure Network Watcher umożliwia diagnostykę bram sieci wirtualnych i ich połączeń. Rozwiązywanie problemów z siecią VPN można wywoływać za pośrednictwem witryny Azure Portal, programu Azure PowerShell, interfejsu wiersza polecenia platformy Azure lub interfejsu API REST. Po wywołaniu usługa Network Watcher diagnozuje kondycję bramy lub połączenia i zwraca odpowiednie wyniki. Żądanie jest długoterminową transakcją. Wyniki są zwracane po zakończeniu diagnostyki.
Obsługiwane typy bram
W poniższej tabeli wymieniono, które bramy i połączenia są obsługiwane w przypadku rozwiązywania problemów z usługą Network Watcher:
| Brama lub połączenie | Obsługiwane |
|---|---|
| Typy bram | |
| VPN | Obsługiwane |
| ExpressRoute | Nieobsługiwany |
| Typy sieci VPN | |
| Oparte na trasach | Obsługiwane |
| Oparte na zasadach | Nieobsługiwany |
| Typy połączeń | |
| Protokół IPsec | Obsługiwane |
| VNet2VNet | Obsługiwane |
| ExpressRoute | Nieobsługiwany |
| VPNClient | Nieobsługiwany |
Wyniki
Zwrócone wstępne wyniki dają ogólny obraz kondycji zasobu. Bardziej szczegółowe informacje można podać dla zasobów, jak pokazano w poniższej sekcji:
Poniższa lista to wartości zwracane przez interfejs API rozwiązywania problemów z siecią VPN:
- startTime — ta wartość to czas rozpoczęcia wywołania interfejsu API rozwiązywania problemów.
- endTime — ta wartość jest czasem zakończenia rozwiązywania problemów.
- code — ta wartość jest niezdrowa, jeśli występuje pojedyncza awaria diagnostyczna.
-
results — wyniki są kolekcją wyników zwracanych w ramach połączenia lub bramy sieci wirtualnej.
- id — ta wartość jest typem błędu.
- summary — ta wartość jest podsumowaniem błędu.
- szczegółowe — ta wartość zawiera szczegółowy opis błędu.
-
recommendedActions — ta właściwość jest kolekcją zalecanych akcji do wykonania.
- actionText — ta wartość zawiera tekst opisujący akcję do wykonania.
- actionUri — ta wartość podaje URI dokumentacji dotyczącej sposobu działania.
- actionUriText — ta wartość jest krótkim opisem tekstu akcji.
W poniższych tabelach przedstawiono różne typy błędów (identyfikator znajdujący się w wynikach z poprzedniej listy), które są dostępne, oraz informacje, czy błąd generuje dzienniki.
Brama
| Typ błędu | Przyczyna | Rejestr |
|---|---|---|
| NoFault (brak błędów) | Gdy nie zostanie wykryty błąd | Tak |
| Nie znaleziono bramy | Nie można znaleźć bramy lub brama nie została skonfigurowana | Nie. |
| Planowana Konserwacja | Instancja bramy jest w trakcie konserwacji | Nie. |
| UserDrivenUpdate (aktualizacja sterowana przez użytkownika) | Ten błąd występuje, gdy trwa aktualizacja użytkownika. Aktualizacja może być operacją zmiany rozmiaru. | Nie. |
| VipUnResponsive (wirtualny adres IP nie odpowiada) | Ten błąd występuje, gdy nie można nawiązać kontaktu z podstawowym wystąpieniem bramy z powodu awarii sondy kontrolnej. | Nie. |
| PlatformaNieaktywna | Wystąpił problem z platformą. | Nie. |
| Usługa nie działa | Podstawowa usługa nie jest uruchomiona. | Nie. |
| Nie znaleziono połączeń dla bramy | W bramie nie istnieją żadne połączenia. Ten błąd jest tylko ostrzeżeniem. | Nie. |
| PołączeniaNiePołączono | Połączenia nie są połączone. Ten błąd jest tylko ostrzeżeniem. | Tak |
| GatewayCPUUsagePrzekroczone | Bieżące użycie procesora CPU bramy wynosi > 95%. | Tak |
Połączenie
| Typ błędu | Przyczyna | Rejestr |
|---|---|---|
| NoFault (brak błędów) | Gdy nie zostanie wykryty błąd | Tak |
| Nie znaleziono bramy | Nie można znaleźć bramy lub brama nie została skonfigurowana | Nie. |
| Planowana Konserwacja | Instancja bramy jest w trakcie konserwacji | Nie. |
| UserDrivenUpdate (aktualizacja sterowana przez użytkownika) | Ten błąd występuje, gdy trwa aktualizacja użytkownika. Aktualizacja może być operacją zmiany rozmiaru. | Nie. |
| VipUnResponsive (wirtualny adres IP nie odpowiada) | Ten błąd występuje, gdy nie można nawiązać kontaktu z podstawowym wystąpieniem bramy z powodu awarii sondy kontrolnej. | Nie. |
| Nie znaleziono jednostki połączenia | Brak konfiguracji połączenia | Nie. |
| PołączenieJestOznaczoneJakoRozłączone | Połączenie jest oznaczone jako "rozłączone" | Nie. |
| PołączenieNieSkonfigurowaneNaBramie | Podstawowa usługa nie ma skonfigurowanego połączenia. | Tak |
| PołączenieOznaczoneJakoCzekanie | Podstawowa usługa jest oznaczona jako rezerwowa. | Tak |
| Uwierzytelnianie | Niezgodność klucza współdzielonego | Tak |
| Dostępność Węzłów | Brama równorzędna nie jest osiągalna. | Tak |
| NiezgodnośćPolitykiIKE | Brama równorzędna ma zasady IKE, które nie są obsługiwane przez platformę Azure. | Tak |
| Błąd WfpParse | Wystąpił błąd podczas analizowania dziennika programu WFP. | Tak |
Pliki dzienników
Pliki dziennika rozwiązywania problemów z zasobami są przechowywane na koncie magazynowym po zakończeniu rozwiązywania problemów z zasobami. Na poniższej ilustracji przedstawiono przykładową zawartość wywołania, które spowodowało błąd.
Uwaga
- W niektórych przypadkach tylko część plików dzienników jest zapisywana w pamięci.
- W przypadku nowszych wersji bramy plik IkeLogs.txt zastępuje pliki IkeErrors.txt, Scrubbed-wfpdiag.txt i wfpdiag.txt.sum oraz zawiera całe działanie IKE (nie tylko błędy).
Aby uzyskać instrukcje dotyczące pobierania plików z kont usługi Azure Storage, odnieś się do Pobierz blokowy obiekt blob. Innym narzędziem, którego można użyć, jest Eksplorator Storage. Aby uzyskać informacje o Eksploratorze usługi Azure, zobacz Pobieranie obiektów blob przy użyciu Eksploratora usługi Azure
ConnectionStats.txt
Plik ConnectionStats.txt zawiera ogólne statystyki połączenia, w tym bajty ruchu przychodzącego i wychodzącego, stan połączenia i czas ustanowienia połączenia.
Uwaga
Jeśli wywołanie interfejsu API rozwiązywania problemów zwróci, że wszystko jest w porządku, w pliku zip znajdzie się tylko plik ConnectionStats.txt.
Zawartość tego pliku jest podobna do następującego przykładu:
Connectivity State : Connected
Remote Tunnel Endpoint :
Ingress Bytes (since last connected) : 288 B
Egress Bytes (Since last connected) : 288 B
Connected Since : 2/1/2017 8:22:06 PM
CPUStats.txt
Plik CPUStats.txt zawiera użycie procesora CPU i pamięć dostępną w czasie testowania. Zawartość tego pliku jest podobna do następującego przykładu:
Current CPU Usage : 0 % Current Memory Available : 641 MBs
IKElogs.txt
Plik IKElogs.txt zawiera wszelkie działania IKE znalezione podczas monitorowania.
Poniższy przykład przedstawia zawartość pliku IKElogs.txt.
Remote <IPaddress>:500: Local <IPaddress>:500: [RECEIVED][SA_AUTH] Received IKE AUTH message
Remote <IPaddress>:500: Local <IPaddress>:500: Received Traffic Selector payload request- [Tsid 0x729 ]Number of TSIs 2: StartAddress 10.20.0.0 EndAddress 10.20.255.255 PortStart 0 PortEnd 65535 Protocol 0, StartAddress 192.168.100.0 EndAddress 192.168.100.255 PortStart 0 PortEnd 65535 Protocol 0 Number of TSRs 1:StartAddress 0.0.0.0 EndAddress 255.255.255.255 PortStart 0 PortEnd 65535 Protocol 0
Remote <IPaddress>:500: Local <IPaddress>:500: [SEND] Proposed Traffic Selector payload will be (Final Negotiated) - [Tsid 0x729 ]Number of TSIs 2: StartAddress 10.20.0.0 EndAddress 10.20.255.255 PortStart 0 PortEnd 65535 Protocol 0, StartAddress 192.168.100.0 EndAddress 192.168.100.255 PortStart 0 PortEnd 65535 Protocol 0 Number of TSRs 1:StartAddress 0.0.0.0 EndAddress 255.255.255.255 PortStart 0 PortEnd 65535 Protocol 0
Remote <IPaddress>:500: Local <IPaddress>:500: [RECEIVED]Received IPSec payload: Policy1:Cipher=DESIntegrity=Md5
IkeCleanupQMNegotiation called with error 13868 and flags a
Remote <IPaddress>:500: Local <IPaddress>:500: [SEND][NOTIFY] Sending Notify Message - Policy Mismatch
IKEErrors.txt
Plik IKEErrors.txt zawiera wszelkie błędy protokołu IKE znalezione podczas monitorowania.
Poniższy przykład przedstawia zawartość pliku IKEErrors.txt. Twoje błędy mogą się różnić w zależności od konkretnego problemu.
Error: Authentication failed. Check shared key. Check crypto. Check lifetimes.
based on log : Peer failed with Windows error 13801(ERROR_IPSEC_IKE_AUTH_FAIL)
Error: On-prem device sent invalid payload.
based on log : IkeFindPayloadInPacket failed with Windows error 13843(ERROR_IPSEC_IKE_INVALID_PAYLOAD)
Plik Scrubbed-wfpdiag.txt
Plik dziennika Scrubbed-wfpdiag.txt zawiera dziennik wfp. Ten dziennik zawiera rejestrowanie utraty pakietów oraz błędów IKE/AuthIP.
Poniższy przykład przedstawia zawartość pliku Scrubbed-wfpdiag.txt. W tym przykładzie klucz wstępny połączenia nie był poprawny, jak widać z trzeciego wiersza od dołu. Poniższy przykład to tylko fragment całego dziennika, ponieważ dziennik może być długi w zależności od problemu.
...
[0]0368.03A4::02/02/2017-17:36:01.496 [ikeext] 3038|203.0.113.36| Deleted ICookie from the high priority thread pool list
[0]0368.03A4::02/02/2017-17:36:01.496 [ikeext] 3038|203.0.113.36| IKE diagnostic event:
[0]0368.03A4::02/02/2017-17:36:01.496 [ikeext] 3038|203.0.113.36| Event Header:
[0]0368.03A4::02/02/2017-17:36:01.496 [ikeext] 3038|203.0.113.36| Timestamp: 1601-01-01T00:00:00.000Z
[0]0368.03A4::02/02/2017-17:36:01.496 [ikeext] 3038|203.0.113.36| Flags: 0x00000106
[0]0368.03A4::02/02/2017-17:36:01.496 [ikeext] 3038|203.0.113.36| Local address field set
[0]0368.03A4::02/02/2017-17:36:01.496 [ikeext] 3038|203.0.113.36| Remote address field set
[0]0368.03A4::02/02/2017-17:36:01.496 [ikeext] 3038|203.0.113.36| IP version field set
[0]0368.03A4::02/02/2017-17:36:01.496 [ikeext] 3038|203.0.113.36| IP version: IPv4
[0]0368.03A4::02/02/2017-17:36:01.496 [ikeext] 3038|203.0.113.36| IP protocol: 0
[0]0368.03A4::02/02/2017-17:36:01.496 [ikeext] 3038|203.0.113.36| Local address: 203.0.113.92
[0]0368.03A4::02/02/2017-17:36:01.496 [ikeext] 3038|203.0.113.36| Remote address: 203.0.113.36
[0]0368.03A4::02/02/2017-17:36:01.496 [ikeext] 3038|203.0.113.36| Local Port: 0
[0]0368.03A4::02/02/2017-17:36:01.496 [ikeext] 3038|203.0.113.36| Remote Port: 0
[0]0368.03A4::02/02/2017-17:36:01.496 [ikeext] 3038|203.0.113.36| Application ID:
[0]0368.03A4::02/02/2017-17:36:01.496 [ikeext] 3038|203.0.113.36| User SID: <invalid>
[0]0368.03A4::02/02/2017-17:36:01.496 [ikeext] 3038|203.0.113.36| Failure type: IKE/Authip Main Mode Failure
[0]0368.03A4::02/02/2017-17:36:01.496 [ikeext] 3038|203.0.113.36| Type specific info:
[0]0368.03A4::02/02/2017-17:36:01.496 [ikeext] 3038|203.0.113.36| Failure error code:0x000035e9
[0]0368.03A4::02/02/2017-17:36:01.496 [ikeext] 3038|203.0.113.36| IKE authentication credentials are unacceptable
[0]0368.03A4::02/02/2017-17:36:01.496 [ikeext] 3038|203.0.113.36|
[0]0368.03A4::02/02/2017-17:36:01.496 [ikeext] 3038|203.0.113.36| Failure point: Remote
...
wfpdiag.txt.sum
Plik wfpdiag.txt.sum to dziennik przedstawiający przetworzone bufory i zdarzenia.
Poniższy przykład to zawartość pliku wfpdiag.txt.sum.
Files Processed:
C:\Resources\directory\924336c47dd045d5a246c349b8ae57f2.GatewayTenantWorker.DiagnosticsStorage\2017-02-02T17-34-23\wfpdiag.etl
Total Buffers Processed 8
Total Events Processed 2169
Total Events Lost 0
Total Format Errors 0
Total Formats Unknown 486
Elapsed Time 330 sec
+-----------------------------------------------------------------------------------+
|EventCount EventName EventType TMF |
+-----------------------------------------------------------------------------------+
| 36 ikeext ike_addr_utils_c844 a0c064ca-d954-350a-8b2f-1a7464eef8b6|
| 12 ikeext ike_addr_utils_c857 a0c064ca-d954-350a-8b2f-1a7464eef8b6|
| 96 ikeext ike_addr_utils_c832 a0c064ca-d954-350a-8b2f-1a7464eef8b6|
| 6 ikeext ike_bfe_callbacks_c133 1dc2d67f-8381-6303-e314-6c1452eeb529|
| 6 ikeext ike_bfe_callbacks_c61 1dc2d67f-8381-6303-e314-6c1452eeb529|
| 12 ikeext ike_sa_management_c5698 7857a320-42ee-6e90-d5d9-3f414e3ea2d3|
| 6 ikeext ike_sa_management_c8447 7857a320-42ee-6e90-d5d9-3f414e3ea2d3|
| 12 ikeext ike_sa_management_c494 7857a320-42ee-6e90-d5d9-3f414e3ea2d3|
| 12 ikeext ike_sa_management_c642 7857a320-42ee-6e90-d5d9-3f414e3ea2d3|
| 6 ikeext ike_sa_management_c3162 7857a320-42ee-6e90-d5d9-3f414e3ea2d3|
| 12 ikeext ike_sa_management_c3307 7857a320-42ee-6e90-d5d9-3f414e3ea2d3|
Kwestie wymagające rozważenia
- Na subskrypcję można uruchomić tylko jedną operację rozwiązywania problemów z siecią VPN. Aby uruchomić inną operację rozwiązywania problemów z siecią VPN, poczekaj na ukończenie istniejącego. Wyzwolenie nowej operacji, gdy poprzednia operacja nie została ukończona, powoduje niepowodzenie kolejnych operacji.
- Jeśli używasz Azure CLI do wykonania polecenia, VPN Gateway i konto magazynu muszą znajdować się w tej samej grupie zasobów. Klienci z zasobami w różnych grupach zasobów mogą zamiast tego używać programu PowerShell lub witryny Azure Portal.