Observação
O acesso a essa página exige autorização. Você pode tentar entrar ou alterar diretórios.
O acesso a essa página exige autorização. Você pode tentar alterar os diretórios.
Os gateways de Rede Virtual fornecem conectividade entre os recursos locais e outras as Redes Virtuais do Azure. Monitorar gateways de rede virtual e suas conexões é essenciais para garantir que a comunicação não seja interrompida. A solução de problemas de VPN do Observador de Rede do Azure oferece a capacidade de solucionar problemas de gateways de rede virtual e suas conexões. A solução de problemas de VPN pode ser chamada por meio do portal do Azure, do Azure PowerShell, da CLI do Azure ou da API REST. Quando chamado, o Observador de Rede diagnostica a integridade da conexão ou do gateway e retorna os resultados adequados. A solicitação é uma transação de longa execução. Os resultados são retornados quando o diagnóstico for concluído.
Tipos de gateway com suporte
A tabela a seguir lista quais gateways e conexões têm suporte com a solução de problemas do Observador de Rede:
| Gateway ou conexão | Com suporte |
|---|---|
| Tipos de gateway | |
| VPN | Com suporte |
| ExpressRoute | Sem suporte |
| Tipos de VPN | |
| Baseada em Rota | Com suporte |
| Baseada em Políticas | Sem suporte |
| Tipos de conexão | |
| IPSec | Com suporte |
| VNet2VNet | Com suporte |
| ExpressRoute | Sem suporte |
| VPNClient | Sem suporte |
Resultados
Os resultados preliminares retornados fornecem uma visão geral da integridade do recurso. Mais informações podem ser fornecidas sobre os recursos, como mostrado na seção a seguir:
A lista a seguir são os valores retornados pela API de solução de problemas de VPN:
- startTime - esse valor indica a hora que a chamada da API de solução de problemas começou.
- endTime - esse valor indica a hora que a solução de problemas foi concluída.
- código: esse valor não é apresentado como UnHealthy (não íntegro), se houver uma única falha de diagnóstico.
-
results - é um conjunto de resultados retornados sobre a Conexão ou o gateway de rede virtual.
- id - esse valor indica o tipo da falha.
- summary - esse valor é um resumo da falha.
- detailed - esse valor fornece uma descrição detalhada da falha.
-
recommendedActions - essa propriedade é um conjunto de ações recomendadas.
- actionText - esse valor contém o texto que descreve a ação a ser executada.
- actionUri - esse valor fornece o URI da documentação sobre como agir.
- actionUriText - esse valor é uma breve descrição do texto de ação.
As tabelas a seguir mostram os diversos tipos de falha (id em resultados da lista anterior) que estão disponíveis e se a falha cria logs.
Porta de entrada
| Tipo de Falha | Motivo | Registro |
|---|---|---|
| Sem culpa | Quando nenhum erro é detectado | Sim |
| GatewayNãoEncontrado | Não é possível localizar o gateway ou o gateway não está provisionado | Não |
| Manutenção Planejada | A instância do gateway está em manutenção | Não |
| Atualização Orientada pelo Usuário | Essa falha ocorre quando uma atualização de um usuário está em andamento. A atualização pode ser uma operação de redimensionamento. | Não |
| VipUnResponsive | Essa falha ocorre quando a instância primária do gateway não pode ser acessada devido a uma falha de investigação de integridade. | Não |
| PlataformaInativa | Há um problema com a plataforma. | Não |
| ServiçoNãoEstáEmExecução | O serviço subjacente não está em execução. | Não |
| NenhumaConexãoEncontradaParaGateway | Não existem conexões no gateway. Essa falha é apenas um aviso. | Não |
| ConexõesNãoConectado | As conexões não estão conectadas. Essa falha é apenas um aviso. | Sim |
| GatewayCPUUsageExceeded | O uso de CPU do gateway atual é de > 95%. | Sim |
Conexão
| Tipo de Falha | Motivo | Registro |
|---|---|---|
| Sem culpa | Quando nenhum erro é detectado | Sim |
| GatewayNãoEncontrado | Não é possível localizar o gateway ou o gateway não está provisionado | Não |
| Manutenção Planejada | A instância do gateway está em manutenção | Não |
| Atualização Orientada pelo Usuário | Essa falha ocorre quando uma atualização de um usuário está em andamento. A atualização pode ser uma operação de redimensionamento. | Não |
| VipUnResponsive | Essa falha ocorre quando a instância primária do gateway não pode ser acessada devido a uma falha de investigação de integridade. | Não |
| ConnectionEntityNotFound | A configuração da conexão está ausente | Não |
| ConnectionIsMarkedDisconnected | A conexão está marcada como "desconectada" | Não |
| ConnectionNotConfiguredOnGateway | O serviço subjacente não tem a conexão configurada. | Sim |
| ConexãoMarcadoModo de espera | O serviço subjacente está marcado como em espera. | Sim |
| Autenticação | Incompatibilidade de chave pré-compartilhada | Sim |
| PeerReachability | O gateway de mesmo nível não está acessível. | Sim |
| IkePolicyMismatch | O gateway de mesmo nível tem diretivas IKE que não são suportadas pelo Azure. | Sim |
| Erro WfpParse | Ocorreu um erro ao analisar o log WFP. | Sim |
Arquivos de log
Os arquivos de log para solução de problemas de recursos são armazenados em uma conta de armazenamento após a conclusão da solução de problemas de recursos. A imagem a seguir mostra o conteúdo de exemplo de uma chamada que resultou em um erro.
Observação
- Em alguns casos, somente um subconjunto dos arquivos de log é gravado no armazenamento.
- Para versões mais recentes do gateway, IkeLogs.txt arquivo substitui os arquivos IkeErrors.txt, Scrubbed-wfpdiag.txt e wfpdiag.txt.sum e contém toda a atividade IKE (não apenas erros).
Para obter instruções sobre como baixar arquivos de contas de armazenamento do Azure, consulte Baixar um blob de blocos. Outra ferramenta que pode ser usada é o Gerenciador de armazenamento. Para obter informações sobre o Gerenciador de Armazenamento do Azure, consulte Usar Gerenciador de Armazenamento do Azure para baixar blobs
ConnectionStats.txt
O arquivo ConnectionStats.txt contém estatísticas gerais da Conexão, incluindo bytes de entrada e saída, status da Conexão e a hora que a Conexão foi estabelecida.
Observação
Se a chamada para a API de solução de problemas retornar como íntegra, o único item retornado no arquivo zip será um arquivo ConnectionStats.txt.
O conteúdo desse arquivo é semelhante ao seguinte exemplo:
Connectivity State : Connected
Remote Tunnel Endpoint :
Ingress Bytes (since last connected) : 288 B
Egress Bytes (Since last connected) : 288 B
Connected Since : 2/1/2017 8:22:06 PM
CPUStats.txt
O arquivo CPUStats.txt contém o uso da CPU e memória disponível no momento do teste. O conteúdo desse arquivo é semelhante ao seguinte exemplo:
Current CPU Usage : 0 % Current Memory Available : 641 MBs
IKElogs.txt
O arquivo IKElogs.txt contém as atividades do IKE encontradas durante o monitoramento.
O exemplo a seguir mostra o conteúdo de um arquivo de IKElogs.txt.
Remote <IPaddress>:500: Local <IPaddress>:500: [RECEIVED][SA_AUTH] Received IKE AUTH message
Remote <IPaddress>:500: Local <IPaddress>:500: Received Traffic Selector payload request- [Tsid 0x729 ]Number of TSIs 2: StartAddress 10.20.0.0 EndAddress 10.20.255.255 PortStart 0 PortEnd 65535 Protocol 0, StartAddress 192.168.100.0 EndAddress 192.168.100.255 PortStart 0 PortEnd 65535 Protocol 0 Number of TSRs 1:StartAddress 0.0.0.0 EndAddress 255.255.255.255 PortStart 0 PortEnd 65535 Protocol 0
Remote <IPaddress>:500: Local <IPaddress>:500: [SEND] Proposed Traffic Selector payload will be (Final Negotiated) - [Tsid 0x729 ]Number of TSIs 2: StartAddress 10.20.0.0 EndAddress 10.20.255.255 PortStart 0 PortEnd 65535 Protocol 0, StartAddress 192.168.100.0 EndAddress 192.168.100.255 PortStart 0 PortEnd 65535 Protocol 0 Number of TSRs 1:StartAddress 0.0.0.0 EndAddress 255.255.255.255 PortStart 0 PortEnd 65535 Protocol 0
Remote <IPaddress>:500: Local <IPaddress>:500: [RECEIVED]Received IPSec payload: Policy1:Cipher=DESIntegrity=Md5
IkeCleanupQMNegotiation called with error 13868 and flags a
Remote <IPaddress>:500: Local <IPaddress>:500: [SEND][NOTIFY] Sending Notify Message - Policy Mismatch
IKEErrors.txt
O arquivo IKEErrors.txt contém erros de IKE que foram encontrados durante o monitoramento.
O exemplo a seguir mostra o conteúdo de um arquivo de IKEErrors.txt. Seus erros podem ser diferentes dependendo do problema.
Error: Authentication failed. Check shared key. Check crypto. Check lifetimes.
based on log : Peer failed with Windows error 13801(ERROR_IPSEC_IKE_AUTH_FAIL)
Error: On-prem device sent invalid payload.
based on log : IkeFindPayloadInPacket failed with Windows error 13843(ERROR_IPSEC_IKE_INVALID_PAYLOAD)
Scrubbed-wfpdiag.txt
O arquivo de log Scrubbed-wfpdiag.txt contém o log wfp. Esse log contém o registro de descarte do pacote e de falhas de IKE/AuthIP.
O exemplo a seguir mostra o conteúdo de um arquivo Scrubbed-wfpdiag.txt. Neste exemplo, a chave compartilhada de uma Conexão não está correta, como pode ser visto na terceira linha da parte inferior. O exemplo a seguir é apenas um snippet do log inteiro, já que, dependendo do problema, o log pode ser demorado.
...
[0]0368.03A4::02/02/2017-17:36:01.496 [ikeext] 3038|203.0.113.36| Deleted ICookie from the high priority thread pool list
[0]0368.03A4::02/02/2017-17:36:01.496 [ikeext] 3038|203.0.113.36| IKE diagnostic event:
[0]0368.03A4::02/02/2017-17:36:01.496 [ikeext] 3038|203.0.113.36| Event Header:
[0]0368.03A4::02/02/2017-17:36:01.496 [ikeext] 3038|203.0.113.36| Timestamp: 1601-01-01T00:00:00.000Z
[0]0368.03A4::02/02/2017-17:36:01.496 [ikeext] 3038|203.0.113.36| Flags: 0x00000106
[0]0368.03A4::02/02/2017-17:36:01.496 [ikeext] 3038|203.0.113.36| Local address field set
[0]0368.03A4::02/02/2017-17:36:01.496 [ikeext] 3038|203.0.113.36| Remote address field set
[0]0368.03A4::02/02/2017-17:36:01.496 [ikeext] 3038|203.0.113.36| IP version field set
[0]0368.03A4::02/02/2017-17:36:01.496 [ikeext] 3038|203.0.113.36| IP version: IPv4
[0]0368.03A4::02/02/2017-17:36:01.496 [ikeext] 3038|203.0.113.36| IP protocol: 0
[0]0368.03A4::02/02/2017-17:36:01.496 [ikeext] 3038|203.0.113.36| Local address: 203.0.113.92
[0]0368.03A4::02/02/2017-17:36:01.496 [ikeext] 3038|203.0.113.36| Remote address: 203.0.113.36
[0]0368.03A4::02/02/2017-17:36:01.496 [ikeext] 3038|203.0.113.36| Local Port: 0
[0]0368.03A4::02/02/2017-17:36:01.496 [ikeext] 3038|203.0.113.36| Remote Port: 0
[0]0368.03A4::02/02/2017-17:36:01.496 [ikeext] 3038|203.0.113.36| Application ID:
[0]0368.03A4::02/02/2017-17:36:01.496 [ikeext] 3038|203.0.113.36| User SID: <invalid>
[0]0368.03A4::02/02/2017-17:36:01.496 [ikeext] 3038|203.0.113.36| Failure type: IKE/Authip Main Mode Failure
[0]0368.03A4::02/02/2017-17:36:01.496 [ikeext] 3038|203.0.113.36| Type specific info:
[0]0368.03A4::02/02/2017-17:36:01.496 [ikeext] 3038|203.0.113.36| Failure error code:0x000035e9
[0]0368.03A4::02/02/2017-17:36:01.496 [ikeext] 3038|203.0.113.36| IKE authentication credentials are unacceptable
[0]0368.03A4::02/02/2017-17:36:01.496 [ikeext] 3038|203.0.113.36|
[0]0368.03A4::02/02/2017-17:36:01.496 [ikeext] 3038|203.0.113.36| Failure point: Remote
...
wfpdiag.txt.sum
O arquivo wfpdiag.txt.sum é um log que exibe buffers e eventos processados.
O exemplo a seguir é o conteúdo de um arquivo wfpdiag.txt.sum.
Files Processed:
C:\Resources\directory\924336c47dd045d5a246c349b8ae57f2.GatewayTenantWorker.DiagnosticsStorage\2017-02-02T17-34-23\wfpdiag.etl
Total Buffers Processed 8
Total Events Processed 2169
Total Events Lost 0
Total Format Errors 0
Total Formats Unknown 486
Elapsed Time 330 sec
+-----------------------------------------------------------------------------------+
|EventCount EventName EventType TMF |
+-----------------------------------------------------------------------------------+
| 36 ikeext ike_addr_utils_c844 a0c064ca-d954-350a-8b2f-1a7464eef8b6|
| 12 ikeext ike_addr_utils_c857 a0c064ca-d954-350a-8b2f-1a7464eef8b6|
| 96 ikeext ike_addr_utils_c832 a0c064ca-d954-350a-8b2f-1a7464eef8b6|
| 6 ikeext ike_bfe_callbacks_c133 1dc2d67f-8381-6303-e314-6c1452eeb529|
| 6 ikeext ike_bfe_callbacks_c61 1dc2d67f-8381-6303-e314-6c1452eeb529|
| 12 ikeext ike_sa_management_c5698 7857a320-42ee-6e90-d5d9-3f414e3ea2d3|
| 6 ikeext ike_sa_management_c8447 7857a320-42ee-6e90-d5d9-3f414e3ea2d3|
| 12 ikeext ike_sa_management_c494 7857a320-42ee-6e90-d5d9-3f414e3ea2d3|
| 12 ikeext ike_sa_management_c642 7857a320-42ee-6e90-d5d9-3f414e3ea2d3|
| 6 ikeext ike_sa_management_c3162 7857a320-42ee-6e90-d5d9-3f414e3ea2d3|
| 12 ikeext ike_sa_management_c3307 7857a320-42ee-6e90-d5d9-3f414e3ea2d3|
Considerações
- Somente uma operação de solução de problemas pode ser executada de cada vez por assinatura. Para executar outra operação de solução de problemas de VPN, aguarde a conclusão da operação existente. Acionar uma nova operação enquanto uma anterior não foi concluída fará com que as operações subsequentes falhem.
- Se você estiver usando a CLI do Azure para executar o comando, o Gateway de VPN e a conta de Armazenamento deverão estar no mesmo grupo de recursos. Os clientes com os recursos em grupos de recursos diferentes podem usar o PowerShell ou o portal do Azure em vez disso.