Sdílet prostřednictvím


Přehled řešení potíží se sítí VPN

Brány virtuální sítě poskytují připojení mezi místními prostředky a virtuálními sítěmi Azure. Monitorování bran virtuální sítě a jejich připojení jsou důležité, aby se zajistilo, že komunikace není přerušená. Řešení potíží se sítí VPN služby Azure Network Watcher poskytuje možnost řešit potíže s bránami virtuální sítě a jejich připojeními. Řešení potíží se sítí VPN je možné volat prostřednictvím webu Azure Portal, Azure PowerShellu, Azure CLI nebo rozhraní REST API. Při zavolání služba Network Watcher diagnostikuje stav brány nebo připojení a vrátí odpovídající výsledky. Požadavek je dlouhotrvající transakce. Výsledky se vrátí po dokončení diagnostiky.

Snímek obrazovky s řešením potíží se sítí VPN služby Azure Network Watcher na webu Azure Portal

Podporované typy bran

Následující tabulka uvádí, které brány a připojení se podporují při řešení potíží se službou Network Watcher:

Brána nebo připojení Podporováno
Typy bran
Síť VPN Podporováno
ExpressRoute Nepodporuje se
Typy VPN
Na základě trasy Podporováno
Na základě zásad Nepodporuje se
Typy připojení
IPsec Podporováno
Virtuální síť VNet2VNet Podporováno
ExpressRoute Nepodporuje se
VPNClient Nepodporuje se

Výsledky

Vrácené předběžné výsledky poskytují celkový přehled o stavu prostředku. Podrobnější informace lze poskytnout pro prostředky, jak je znázorněno v následující části:

Následující seznam obsahuje hodnoty vrácené rozhraním API pro řešení potíží se sítí VPN:

  • startTime – tato hodnota je čas, kdy se spustilo volání rozhraní API pro řešení potíží.
  • endTime – tato hodnota je čas ukončení řešení potíží.
  • kód – Tato hodnota je UnHealthy, pokud dojde k jediné chybě diagnostiky.
  • výsledky – Výsledky jsou kolekce výsledků vrácených v připojení nebo bráně virtuální sítě.
    • ID – Tato hodnota je typ chyby.
    • summary – Tato hodnota je souhrnem chyby.
    • podrobně - Tato hodnota poskytuje podrobný popis chyby.
    • recommendedActions – Tato vlastnost je kolekce doporučených akcí, které je třeba provést.
      • actionText – Tato hodnota obsahuje text popisující akci, kterou chcete provést.
      • actionUri – Tato hodnota poskytuje identifikátor URI dokumentaci k provedení akce.
      • actionUriText – Tato hodnota je krátký popis textu akce.

V následujících tabulkách jsou uvedeny různé typy chyb (ID pod výsledky z předchozího seznamu), které jsou k dispozici a pokud chyba vytvoří protokoly.

Brána

Typ chyby Důvod Protokol
NoFault Když se nezjistí žádná chyba Ano
GatewayNotFound Nejde najít bránu nebo není zřízená brána No
PlannedMaintenance Instance brány je pod údržbou No
UserDrivenUpdate Tato chyba nastane, když probíhá aktualizace uživatele. Aktualizací může být i operace, která spočívá ve změně velikosti. No
VipUnResponsive K této chybě dojde, když se nepodaří spojení s primární instancí brány kvůli neúspěšné sondě stavu. No
PlatformInActive Je nějaký problém s platformou. No
ServiceNotRunning Podkladová služba není spuštěná. No
NoConnectionsFoundForGateway V bráně neexistují žádná připojení. Tato chyba je pouze upozornění. No
ConnectionsNotConnected Připojení nejsou připojená. Tato chyba je pouze upozornění. Ano
GatewayCPUUsageExceededed Aktuální využití procesoru brány je > 95 %. Ano

Connection

Typ chyby Důvod Protokol
NoFault Když se nezjistí žádná chyba Ano
GatewayNotFound Nejde najít bránu nebo není zřízená brána No
PlannedMaintenance Instance brány je pod údržbou No
UserDrivenUpdate Tato chyba nastane, když probíhá aktualizace uživatele. Aktualizací může být i operace, která spočívá ve změně velikosti. No
VipUnResponsive K této chybě dojde, když se nepodaří spojení s primární instancí brány kvůli neúspěšné sondě stavu. No
ConnectionEntityNotFound Chybí konfigurace připojení No
ConnectionIsMarkedDisconnected Připojení je označené jako odpojené. No
ConnectionNotConfiguredOnGateway Podkladová služba nemá nakonfigurované připojení. Ano
ConnectionMarkedStandby Podkladová služba je označena jako pohotovostní. Ano
Ověřování Neshoda předsdíleného klíče Ano
PeerReachability Brána partnerského vztahu není dostupná. Ano
IkePolicyMismatch Brána partnerského vztahu má zásady protokolu IKE, které Azure nepodporuje. Ano
Chyba WfpParse Při analýze protokolu WFP došlo k chybě. Ano

Soubory protokolu

Soubory protokolu pro řešení potíží s prostředky se po dokončení řešení potíží s prostředky ukládají do účtu úložiště. Následující obrázek ukazuje příklad obsahu volání, které způsobilo chybu.

Snímek obrazovky ukazuje obsah stažených zazipovaných souborů protokolu.

Poznámka:

  1. V některých případech se do úložiště zapisuje jenom podmnožina souborů protokolů.
  2. U novějších verzí brány byly IkeErrors.txt, Scrubbed-wfpdiag.txt a wfpdiag.txt.sum nahrazeny souborem IkeLogs.txt, který obsahuje celou aktivitu protokolu IKE (nejen chyby).

Pokyny ke stažení souborů z účtů úložiště Azure najdete v tématu Stažení objektu blob bloku. Dalším nástrojem, který lze použít, je Průzkumník služby Storage. Informace o Průzkumník služby Azure Storage najdete v tématu Použití Průzkumník služby Azure Storage ke stažení objektů blob.

ConnectionStats.txt

Soubor ConnectionStats.txt obsahuje celkové statistiky připojení, včetně příchozích a výchozích bajtů, stavu připojení a času navázání připojení.

Poznámka:

Pokud volání rozhraní API pro řešení potíží vrátí v pořádku, jedinou věcí vrácenou v souboru ZIP je ConnectionStats.txt soubor.

Obsah tohoto souboru je podobný následujícímu příkladu:

Connectivity State : Connected
Remote Tunnel Endpoint :
Ingress Bytes (since last connected) : 288 B
Egress Bytes (Since last connected) : 288 B
Connected Since : 2/1/2017 8:22:06 PM

CPUStats.txt

Soubor CPUStats.txt obsahuje využití procesoru a paměť dostupnou v době testování. Obsah tohoto souboru je podobný následujícímu příkladu:

Current CPU Usage : 0 % Current Memory Available : 641 MBs

IKElogs.txt

Soubor IKElogs.txt obsahuje všechny aktivity protokolu IKE, které byly nalezeny během monitorování.

Následující příklad ukazuje obsah souboru IKElogs.txt.

Remote <IPaddress>:500: Local <IPaddress>:500: [RECEIVED][SA_AUTH] Received IKE AUTH message
Remote <IPaddress>:500: Local <IPaddress>:500: Received Traffic Selector payload request- [Tsid 0x729  ]Number of TSIs 2: StartAddress 10.20.0.0 EndAddress 10.20.255.255 PortStart 0 PortEnd 65535 Protocol 0, StartAddress 192.168.100.0 EndAddress 192.168.100.255 PortStart 0 PortEnd 65535 Protocol 0 Number of TSRs 1:StartAddress 0.0.0.0 EndAddress 255.255.255.255 PortStart 0 PortEnd 65535 Protocol 0
Remote <IPaddress>:500: Local <IPaddress>:500: [SEND] Proposed Traffic Selector payload will be (Final Negotiated) - [Tsid 0x729  ]Number of TSIs 2: StartAddress 10.20.0.0 EndAddress 10.20.255.255 PortStart 0 PortEnd 65535 Protocol 0, StartAddress 192.168.100.0 EndAddress 192.168.100.255 PortStart 0 PortEnd 65535 Protocol 0 Number of TSRs 1:StartAddress 0.0.0.0 EndAddress 255.255.255.255 PortStart 0 PortEnd 65535 Protocol 0
Remote <IPaddress>:500: Local <IPaddress>:500: [RECEIVED]Received IPSec payload: Policy1:Cipher=DESIntegrity=Md5
IkeCleanupQMNegotiation called with error 13868 and flags a
Remote <IPaddress>:500: Local <IPaddress>:500: [SEND][NOTIFY] Sending Notify Message - Policy Mismatch

IKEErrors.txt

Soubor IKEErrors.txt obsahuje všechny chyby protokolu IKE, které byly nalezeny během monitorování.

Následující příklad ukazuje obsah souboru IKEErrors.txt. Vaše chyby se můžou lišit v závislosti na problému.

Error: Authentication failed. Check shared key. Check crypto. Check lifetimes. 
	 based on log : Peer failed with Windows error 13801(ERROR_IPSEC_IKE_AUTH_FAIL)
Error: On-prem device sent invalid payload. 
	 based on log : IkeFindPayloadInPacket failed with Windows error 13843(ERROR_IPSEC_IKE_INVALID_PAYLOAD)

Scrubbed-wfpdiag.txt

Soubor protokolu Scrubbed-wfpdiag.txt obsahuje protokol wfp. Tento protokol obsahuje protokolování zahozených paketů a selhání protokolu IKE/AuthIP.

Následující příklad ukazuje obsah souboru Scrubbed-wfpdiag.txt. V tomto příkladu nebyl předsdílený klíč připojení správný, jak je vidět z třetího řádku odspodu. Následující příklad je pouze fragmentem celého protokolu, protože v závislosti na problému může být protokol zdlouhavý.

...
[0]0368.03A4::02/02/2017-17:36:01.496 [ikeext] 3038|203.0.113.36| Deleted ICookie from the high priority thread pool list
[0]0368.03A4::02/02/2017-17:36:01.496 [ikeext] 3038|203.0.113.36| IKE diagnostic event:
[0]0368.03A4::02/02/2017-17:36:01.496 [ikeext] 3038|203.0.113.36| Event Header:
[0]0368.03A4::02/02/2017-17:36:01.496 [ikeext] 3038|203.0.113.36| Timestamp: 1601-01-01T00:00:00.000Z
[0]0368.03A4::02/02/2017-17:36:01.496 [ikeext] 3038|203.0.113.36| Flags: 0x00000106
[0]0368.03A4::02/02/2017-17:36:01.496 [ikeext] 3038|203.0.113.36| Local address field set
[0]0368.03A4::02/02/2017-17:36:01.496 [ikeext] 3038|203.0.113.36| Remote address field set
[0]0368.03A4::02/02/2017-17:36:01.496 [ikeext] 3038|203.0.113.36| IP version field set
[0]0368.03A4::02/02/2017-17:36:01.496 [ikeext] 3038|203.0.113.36| IP version: IPv4
[0]0368.03A4::02/02/2017-17:36:01.496 [ikeext] 3038|203.0.113.36| IP protocol: 0
[0]0368.03A4::02/02/2017-17:36:01.496 [ikeext] 3038|203.0.113.36| Local address: 203.0.113.92
[0]0368.03A4::02/02/2017-17:36:01.496 [ikeext] 3038|203.0.113.36| Remote address: 203.0.113.36
[0]0368.03A4::02/02/2017-17:36:01.496 [ikeext] 3038|203.0.113.36| Local Port: 0
[0]0368.03A4::02/02/2017-17:36:01.496 [ikeext] 3038|203.0.113.36| Remote Port: 0
[0]0368.03A4::02/02/2017-17:36:01.496 [ikeext] 3038|203.0.113.36| Application ID:
[0]0368.03A4::02/02/2017-17:36:01.496 [ikeext] 3038|203.0.113.36| User SID: <invalid>
[0]0368.03A4::02/02/2017-17:36:01.496 [ikeext] 3038|203.0.113.36| Failure type: IKE/Authip Main Mode Failure
[0]0368.03A4::02/02/2017-17:36:01.496 [ikeext] 3038|203.0.113.36| Type specific info:
[0]0368.03A4::02/02/2017-17:36:01.496 [ikeext] 3038|203.0.113.36| Failure error code:0x000035e9
[0]0368.03A4::02/02/2017-17:36:01.496 [ikeext] 3038|203.0.113.36| IKE authentication credentials are unacceptable
[0]0368.03A4::02/02/2017-17:36:01.496 [ikeext] 3038|203.0.113.36|
[0]0368.03A4::02/02/2017-17:36:01.496 [ikeext] 3038|203.0.113.36| Failure point: Remote
...

wfpdiag.txt.sum

Soubor wfpdiag.txt.sum je protokol zobrazující zpracované vyrovnávací paměti a události.

Následující příklad je obsah souboru wfpdiag.txt.sum.

Files Processed:
	C:\Resources\directory\924336c47dd045d5a246c349b8ae57f2.GatewayTenantWorker.DiagnosticsStorage\2017-02-02T17-34-23\wfpdiag.etl
Total Buffers Processed 8
Total Events  Processed 2169
Total Events  Lost      0
Total Format  Errors    0
Total Formats Unknown   486
Elapsed Time            330 sec
+-----------------------------------------------------------------------------------+
|EventCount    EventName            EventType   TMF                                 |
+-----------------------------------------------------------------------------------+
|        36    ikeext               ike_addr_utils_c844  a0c064ca-d954-350a-8b2f-1a7464eef8b6|
|        12    ikeext               ike_addr_utils_c857  a0c064ca-d954-350a-8b2f-1a7464eef8b6|
|        96    ikeext               ike_addr_utils_c832  a0c064ca-d954-350a-8b2f-1a7464eef8b6|
|         6    ikeext               ike_bfe_callbacks_c133  1dc2d67f-8381-6303-e314-6c1452eeb529|
|         6    ikeext               ike_bfe_callbacks_c61  1dc2d67f-8381-6303-e314-6c1452eeb529|
|        12    ikeext               ike_sa_management_c5698  7857a320-42ee-6e90-d5d9-3f414e3ea2d3|
|         6    ikeext               ike_sa_management_c8447  7857a320-42ee-6e90-d5d9-3f414e3ea2d3|
|        12    ikeext               ike_sa_management_c494  7857a320-42ee-6e90-d5d9-3f414e3ea2d3|
|        12    ikeext               ike_sa_management_c642  7857a320-42ee-6e90-d5d9-3f414e3ea2d3|
|         6    ikeext               ike_sa_management_c3162  7857a320-42ee-6e90-d5d9-3f414e3ea2d3|
|        12    ikeext               ike_sa_management_c3307  7857a320-42ee-6e90-d5d9-3f414e3ea2d3|

Důležité informace

  • V každém předplatném je možné spustit pouze jednu operaci řešení potíží se sítí VPN. Pokud chcete spustit další operaci řešení potíží se sítí VPN, počkejte na dokončení existující operace. Aktivace nové operace, zatímco předchozí operace se nedokončila, způsobí selhání následných operací.
  • Pokud ke spuštění příkazu používáte Azure CLI, musí být služba VPN Gateway a účet úložiště ve stejné skupině prostředků. Zákazníci s prostředky v různých skupinách prostředků můžou místo toho použít PowerShell nebo Azure Portal.

Další krok