Nota
O acesso a esta página requer autorização. Podes tentar iniciar sessão ou mudar de diretório.
O acesso a esta página requer autorização. Podes tentar mudar de diretório.
Os gateways de rede virtual fornecem conectividade entre recursos locais e as Redes Virtuais do Azure. O monitoramento de gateways de rede virtual e suas conexões é fundamental para garantir que a comunicação não seja interrompida. A solução de problemas do Azure Network Watcher VPN fornece a capacidade de solucionar problemas de gateways de rede virtual e suas conexões. A solução de problemas de VPN pode ser chamada por meio do portal do Azure, Azure PowerShell, CLI do Azure ou API REST. Quando chamado, o Inspetor de Rede diagnostica a integridade do gateway ou conexão e retorna os resultados apropriados. A solicitação é uma transação de longa duração. Os resultados são devolvidos assim que o diagnóstico estiver concluído.
Tipos de gateway suportados
A tabela a seguir lista quais gateways e conexões são suportados com a solução de problemas do Inspetor de Rede:
| Gateway ou conexão | Suportado |
|---|---|
| Tipos de gateway | |
| VPN | Suportado |
| ExpressRoute | Não suportado |
| Tipos de VPN | |
| Baseado em rotas | Suportado |
| Baseado em Políticas | Não suportado |
| Tipos de ligação | |
| IPsec | Suportado |
| VNet2VNet | Suportado |
| ExpressRoute | Não suportado |
| VPNClient | Não suportado |
Resultados
Os resultados preliminares devolvidos dão uma imagem geral da saúde do recurso. Informações mais detalhadas podem ser fornecidas para recursos, conforme mostrado na seção a seguir:
A lista a seguir são os valores retornados pela API de solução de problemas de VPN:
- startTime - Este valor é a hora em que a chamada de API de solução de problemas foi iniciada.
- endTime - Este valor é o momento em que a solução de problemas terminou.
- code - Este valor é considerado insalubre se houver uma única falha de diagnóstico.
-
resultados - Resultados é uma coleção de resultados retornados na Conexão ou no gateway de rede virtual.
- id - Este valor é o tipo de falha.
- summary - Este valor é um resumo da falha.
- detalhado - Este valor fornece uma descrição detalhada da falha.
-
recommendedActions - Esta propriedade é uma coleção de ações recomendadas a serem tomadas.
- actionText - Este valor contém o texto que descreve a ação a ser tomada.
- actionUri - Este valor fornece o URI para documentação sobre como agir.
- actionUriText - Este valor é uma breve descrição do texto da ação.
As tabelas a seguir mostram os diferentes tipos de falha (id sob os resultados da lista anterior) que estão disponíveis e se a falha cria registos.
Portal
| Tipo de Falha | Razão | Registo |
|---|---|---|
| Sem Culpa | Quando nenhum erro é detetado | Sim |
| Gateway Não Encontrado | Não é possível encontrar o gateway ou o gateway não está configurado | Não |
| Manutenção Planeada | A instância do gateway está em manutenção | Não |
| Atualização Conduzida pelo Utilizador | Esta falha ocorre quando uma atualização de utilizador está em curso. A atualização pode ser uma operação de redimensionamento. | Não |
| VipUnResponsive | Esta falha ocorre quando a instância principal do gateway não consegue ser acedida devido a uma falha na verificação de integridade. | Não |
| Plataforma Inativa | Existe um problema com a plataforma. | Não |
| ServiçoNãoExecutando | O serviço subjacente não está em execução. | Não |
| NenhumaConexãoEncontradaParaGateway | Não existem conexões no gateway. Esta falha é apenas um aviso. | Não |
| ConexõesNãoConectadas | As conexões não estão conectadas. Esta falha é apenas um aviso. | Sim |
| UsoDoProcessadorDoGatewayExcedido | O uso atual da CPU do gateway é > de 95%. | Sim |
Conexão
| Tipo de Falha | Razão | Registo |
|---|---|---|
| Sem Culpa | Quando nenhum erro é detetado | Sim |
| Gateway Não Encontrado | Não é possível encontrar o gateway ou o gateway não está configurado | Não |
| Manutenção Planeada | A instância do gateway está em manutenção | Não |
| Atualização Conduzida pelo Utilizador | Esta falha ocorre quando uma atualização de utilizador está em curso. A atualização pode ser uma operação de redimensionamento. | Não |
| VipUnResponsive | Esta falha ocorre quando a instância principal do gateway não consegue ser acedida devido a uma falha na verificação de integridade. | Não |
| EntidadeDeLigaçãoNãoEncontrada | A configuração da conexão está ausente | Não |
| Conexão está marcada como desconectada | A conexão está marcada como "desconectada" | Não |
| LigaçãoNãoConfiguradaNoGateway | O serviço subjacente não tem a conexão configurada. | Sim |
| LigaçãoMarcadaEspera | O serviço subjacente está marcado como standby. | Sim |
| Autenticação | Incompatibilidade de chaves pré-compartilhadas | Sim |
| Acessibilidade de Pares | O gateway de mesmo nível não está acessível. | Sim |
| IkePolicyIncompatibilidade | O gateway de mesmo nível tem políticas IKE que não são suportadas pelo Azure. | Sim |
| Erro WfpParse | Ocorreu um erro ao analisar o log do WFP. | Sim |
Ficheiros de registo
Os arquivos de log de solução de problemas de recursos são armazenados em uma conta de armazenamento após a conclusão da solução de problemas de recursos. A imagem a seguir mostra o conteúdo de exemplo de uma chamada que resultou em um erro.
Nota
- Em alguns casos, apenas um subconjunto dos arquivos de logs é gravado no armazenamento.
- Para versões de gateway mais recentes, o arquivo IkeLogs.txt substitui os arquivos IkeErrors.txt, Scrubbed-wfpdiag.txt e wfpdiag.txt.sum e contém toda a atividade IKE (não apenas erros).
Para obter instruções sobre como transferir ficheiros de contas de armazenamento do Azure, consulte Transferir um blob de bloco. Outra ferramenta que pode ser usada é o Storage Explorer. Para obter informações sobre o Gerenciador de Armazenamento do Azure, consulte Usar o Gerenciador de Armazenamento do Azure para baixar blobs
ConnectionStats.txt
O arquivo ConnectionStats.txt contém estatísticas gerais da Conexão, incluindo bytes de entrada e saída, status da Conexão e a hora em que a Conexão foi estabelecida.
Nota
Se a chamada para a API de resolução de problemas for bem-sucedida, a única coisa que será incluída no ficheiro zip é um ficheiro ConnectionStats.txt.
O conteúdo deste ficheiro é semelhante ao seguinte exemplo:
Connectivity State : Connected
Remote Tunnel Endpoint :
Ingress Bytes (since last connected) : 288 B
Egress Bytes (Since last connected) : 288 B
Connected Since : 2/1/2017 8:22:06 PM
CPUStats.txt
O arquivo CPUStats.txt contém o uso da CPU e a memória disponível no momento do teste. O conteúdo deste ficheiro é semelhante ao seguinte exemplo:
Current CPU Usage : 0 % Current Memory Available : 641 MBs
IKElogs.txt
O arquivo IKElogs.txt contém qualquer atividade IKE que foi encontrada durante o monitoramento.
O exemplo a seguir mostra o conteúdo de um arquivo IKElogs.txt.
Remote <IPaddress>:500: Local <IPaddress>:500: [RECEIVED][SA_AUTH] Received IKE AUTH message
Remote <IPaddress>:500: Local <IPaddress>:500: Received Traffic Selector payload request- [Tsid 0x729 ]Number of TSIs 2: StartAddress 10.20.0.0 EndAddress 10.20.255.255 PortStart 0 PortEnd 65535 Protocol 0, StartAddress 192.168.100.0 EndAddress 192.168.100.255 PortStart 0 PortEnd 65535 Protocol 0 Number of TSRs 1:StartAddress 0.0.0.0 EndAddress 255.255.255.255 PortStart 0 PortEnd 65535 Protocol 0
Remote <IPaddress>:500: Local <IPaddress>:500: [SEND] Proposed Traffic Selector payload will be (Final Negotiated) - [Tsid 0x729 ]Number of TSIs 2: StartAddress 10.20.0.0 EndAddress 10.20.255.255 PortStart 0 PortEnd 65535 Protocol 0, StartAddress 192.168.100.0 EndAddress 192.168.100.255 PortStart 0 PortEnd 65535 Protocol 0 Number of TSRs 1:StartAddress 0.0.0.0 EndAddress 255.255.255.255 PortStart 0 PortEnd 65535 Protocol 0
Remote <IPaddress>:500: Local <IPaddress>:500: [RECEIVED]Received IPSec payload: Policy1:Cipher=DESIntegrity=Md5
IkeCleanupQMNegotiation called with error 13868 and flags a
Remote <IPaddress>:500: Local <IPaddress>:500: [SEND][NOTIFY] Sending Notify Message - Policy Mismatch
IKEErrors.txt
O arquivo IKEErrors.txt contém quaisquer erros IKE que foram encontrados durante o monitoramento.
O exemplo a seguir mostra o conteúdo de um arquivo IKEErrors.txt. Seus erros podem ser diferentes dependendo do problema.
Error: Authentication failed. Check shared key. Check crypto. Check lifetimes.
based on log : Peer failed with Windows error 13801(ERROR_IPSEC_IKE_AUTH_FAIL)
Error: On-prem device sent invalid payload.
based on log : IkeFindPayloadInPacket failed with Windows error 13843(ERROR_IPSEC_IKE_INVALID_PAYLOAD)
Scrubbed-wfpdiag.txt
O arquivo de log Scrubbed-wfpdiag.txt contém o log wfp. Este log contém o registro de perda de pacotes e falhas IKE/AuthIP.
O exemplo a seguir mostra o conteúdo do arquivo Scrubbed-wfpdiag.txt. Neste exemplo, a chave pré-compartilhada de uma conexão não estava correta, como pode ser visto na terceira linha da parte inferior. O exemplo a seguir é apenas um trecho de todo o log, pois o log pode ser longo, dependendo do problema.
...
[0]0368.03A4::02/02/2017-17:36:01.496 [ikeext] 3038|203.0.113.36| Deleted ICookie from the high priority thread pool list
[0]0368.03A4::02/02/2017-17:36:01.496 [ikeext] 3038|203.0.113.36| IKE diagnostic event:
[0]0368.03A4::02/02/2017-17:36:01.496 [ikeext] 3038|203.0.113.36| Event Header:
[0]0368.03A4::02/02/2017-17:36:01.496 [ikeext] 3038|203.0.113.36| Timestamp: 1601-01-01T00:00:00.000Z
[0]0368.03A4::02/02/2017-17:36:01.496 [ikeext] 3038|203.0.113.36| Flags: 0x00000106
[0]0368.03A4::02/02/2017-17:36:01.496 [ikeext] 3038|203.0.113.36| Local address field set
[0]0368.03A4::02/02/2017-17:36:01.496 [ikeext] 3038|203.0.113.36| Remote address field set
[0]0368.03A4::02/02/2017-17:36:01.496 [ikeext] 3038|203.0.113.36| IP version field set
[0]0368.03A4::02/02/2017-17:36:01.496 [ikeext] 3038|203.0.113.36| IP version: IPv4
[0]0368.03A4::02/02/2017-17:36:01.496 [ikeext] 3038|203.0.113.36| IP protocol: 0
[0]0368.03A4::02/02/2017-17:36:01.496 [ikeext] 3038|203.0.113.36| Local address: 203.0.113.92
[0]0368.03A4::02/02/2017-17:36:01.496 [ikeext] 3038|203.0.113.36| Remote address: 203.0.113.36
[0]0368.03A4::02/02/2017-17:36:01.496 [ikeext] 3038|203.0.113.36| Local Port: 0
[0]0368.03A4::02/02/2017-17:36:01.496 [ikeext] 3038|203.0.113.36| Remote Port: 0
[0]0368.03A4::02/02/2017-17:36:01.496 [ikeext] 3038|203.0.113.36| Application ID:
[0]0368.03A4::02/02/2017-17:36:01.496 [ikeext] 3038|203.0.113.36| User SID: <invalid>
[0]0368.03A4::02/02/2017-17:36:01.496 [ikeext] 3038|203.0.113.36| Failure type: IKE/Authip Main Mode Failure
[0]0368.03A4::02/02/2017-17:36:01.496 [ikeext] 3038|203.0.113.36| Type specific info:
[0]0368.03A4::02/02/2017-17:36:01.496 [ikeext] 3038|203.0.113.36| Failure error code:0x000035e9
[0]0368.03A4::02/02/2017-17:36:01.496 [ikeext] 3038|203.0.113.36| IKE authentication credentials are unacceptable
[0]0368.03A4::02/02/2017-17:36:01.496 [ikeext] 3038|203.0.113.36|
[0]0368.03A4::02/02/2017-17:36:01.496 [ikeext] 3038|203.0.113.36| Failure point: Remote
...
wfpdiag.txt.sum
O arquivo wfpdiag.txt.sum é um log mostrando os buffers e eventos processados.
O exemplo a seguir é o conteúdo de um arquivo wfpdiag.txt.sum.
Files Processed:
C:\Resources\directory\924336c47dd045d5a246c349b8ae57f2.GatewayTenantWorker.DiagnosticsStorage\2017-02-02T17-34-23\wfpdiag.etl
Total Buffers Processed 8
Total Events Processed 2169
Total Events Lost 0
Total Format Errors 0
Total Formats Unknown 486
Elapsed Time 330 sec
+-----------------------------------------------------------------------------------+
|EventCount EventName EventType TMF |
+-----------------------------------------------------------------------------------+
| 36 ikeext ike_addr_utils_c844 a0c064ca-d954-350a-8b2f-1a7464eef8b6|
| 12 ikeext ike_addr_utils_c857 a0c064ca-d954-350a-8b2f-1a7464eef8b6|
| 96 ikeext ike_addr_utils_c832 a0c064ca-d954-350a-8b2f-1a7464eef8b6|
| 6 ikeext ike_bfe_callbacks_c133 1dc2d67f-8381-6303-e314-6c1452eeb529|
| 6 ikeext ike_bfe_callbacks_c61 1dc2d67f-8381-6303-e314-6c1452eeb529|
| 12 ikeext ike_sa_management_c5698 7857a320-42ee-6e90-d5d9-3f414e3ea2d3|
| 6 ikeext ike_sa_management_c8447 7857a320-42ee-6e90-d5d9-3f414e3ea2d3|
| 12 ikeext ike_sa_management_c494 7857a320-42ee-6e90-d5d9-3f414e3ea2d3|
| 12 ikeext ike_sa_management_c642 7857a320-42ee-6e90-d5d9-3f414e3ea2d3|
| 6 ikeext ike_sa_management_c3162 7857a320-42ee-6e90-d5d9-3f414e3ea2d3|
| 12 ikeext ike_sa_management_c3307 7857a320-42ee-6e90-d5d9-3f414e3ea2d3|
Considerações
- Apenas uma operação de solução de problemas de VPN pode ser executada de cada vez por assinatura. Para executar outra operação de solução de problemas de VPN, aguarde a conclusão da existente. Acionar uma nova operação enquanto uma anterior não foi concluída faz com que as operações subsequentes falhem.
- Se você estiver usando a CLI do Azure para executar o comando, o Gateway VPN e a conta de Armazenamento precisarão estar no mesmo grupo de recursos. Os clientes com os recursos em diferentes grupos de recursos podem usar o PowerShell ou o portal do Azure.