Přehled řešení potíží se sítí VPN
Brány virtuální sítě poskytují připojení mezi místními prostředky a virtuálními sítěmi Azure. Monitorování bran virtuální sítě a jejich připojení jsou důležité, aby se zajistilo, že komunikace není přerušená. Řešení potíží se sítí VPN služby Azure Network Watcher poskytuje možnost řešit potíže s bránami virtuální sítě a jejich připojeními. Řešení potíží se sítí VPN je možné volat prostřednictvím webu Azure Portal, Azure PowerShellu, Azure CLI nebo rozhraní REST API. Při zavolání služba Network Watcher diagnostikuje stav brány nebo připojení a vrátí odpovídající výsledky. Požadavek je dlouhotrvající transakce. Výsledky se vrátí po dokončení diagnostiky.
Podporované typy bran
Následující tabulka uvádí, které brány a připojení se podporují při řešení potíží se službou Network Watcher:
Brána nebo připojení | Podporováno |
---|---|
Typy bran | |
Síť VPN | Podporováno |
ExpressRoute | Nepodporuje se |
Typy VPN | |
Na základě trasy | Podporováno |
Na základě zásad | Nepodporuje se |
Typy připojení | |
IPsec | Podporováno |
Virtuální síť VNet2VNet | Podporováno |
ExpressRoute | Nepodporuje se |
VPNClient | Nepodporuje se |
Výsledky
Vrácené předběžné výsledky poskytují celkový přehled o stavu prostředku. Podrobnější informace lze poskytnout pro prostředky, jak je znázorněno v následující části:
Následující seznam obsahuje hodnoty vrácené rozhraním API pro řešení potíží se sítí VPN:
- startTime – tato hodnota je čas, kdy se spustilo volání rozhraní API pro řešení potíží.
- endTime – tato hodnota je čas ukončení řešení potíží.
- kód – Tato hodnota je UnHealthy, pokud dojde k jediné chybě diagnostiky.
- výsledky – Výsledky jsou kolekce výsledků vrácených v připojení nebo bráně virtuální sítě.
- ID – Tato hodnota je typ chyby.
- summary – Tato hodnota je souhrnem chyby.
- podrobně - Tato hodnota poskytuje podrobný popis chyby.
- recommendedActions – Tato vlastnost je kolekce doporučených akcí, které je třeba provést.
- actionText – Tato hodnota obsahuje text popisující akci, kterou chcete provést.
- actionUri – Tato hodnota poskytuje identifikátor URI dokumentaci k provedení akce.
- actionUriText – Tato hodnota je krátký popis textu akce.
V následujících tabulkách jsou uvedeny různé typy chyb (ID pod výsledky z předchozího seznamu), které jsou k dispozici a pokud chyba vytvoří protokoly.
Brána
Typ chyby | Důvod | Protokol |
---|---|---|
NoFault | Když se nezjistí žádná chyba | Ano |
GatewayNotFound | Nejde najít bránu nebo není zřízená brána | No |
PlannedMaintenance | Instance brány je pod údržbou | No |
UserDrivenUpdate | Tato chyba nastane, když probíhá aktualizace uživatele. Aktualizací může být i operace, která spočívá ve změně velikosti. | No |
VipUnResponsive | K této chybě dojde, když se nepodaří spojení s primární instancí brány kvůli neúspěšné sondě stavu. | No |
PlatformInActive | Je nějaký problém s platformou. | No |
ServiceNotRunning | Podkladová služba není spuštěná. | No |
NoConnectionsFoundForGateway | V bráně neexistují žádná připojení. Tato chyba je pouze upozornění. | No |
ConnectionsNotConnected | Připojení nejsou připojená. Tato chyba je pouze upozornění. | Ano |
GatewayCPUUsageExceededed | Aktuální využití procesoru brány je > 95 %. | Ano |
Connection
Typ chyby | Důvod | Protokol |
---|---|---|
NoFault | Když se nezjistí žádná chyba | Ano |
GatewayNotFound | Nejde najít bránu nebo není zřízená brána | No |
PlannedMaintenance | Instance brány je pod údržbou | No |
UserDrivenUpdate | Tato chyba nastane, když probíhá aktualizace uživatele. Aktualizací může být i operace, která spočívá ve změně velikosti. | No |
VipUnResponsive | K této chybě dojde, když se nepodaří spojení s primární instancí brány kvůli neúspěšné sondě stavu. | No |
ConnectionEntityNotFound | Chybí konfigurace připojení | No |
ConnectionIsMarkedDisconnected | Připojení je označené jako odpojené. | No |
ConnectionNotConfiguredOnGateway | Podkladová služba nemá nakonfigurované připojení. | Ano |
ConnectionMarkedStandby | Podkladová služba je označena jako pohotovostní. | Ano |
Ověřování | Neshoda předsdíleného klíče | Ano |
PeerReachability | Brána partnerského vztahu není dostupná. | Ano |
IkePolicyMismatch | Brána partnerského vztahu má zásady protokolu IKE, které Azure nepodporuje. | Ano |
Chyba WfpParse | Při analýze protokolu WFP došlo k chybě. | Ano |
Soubory protokolu
Soubory protokolu pro řešení potíží s prostředky se po dokončení řešení potíží s prostředky ukládají do účtu úložiště. Následující obrázek ukazuje příklad obsahu volání, které způsobilo chybu.
Poznámka:
- V některých případech se do úložiště zapisuje jenom podmnožina souborů protokolů.
- U novějších verzí brány byly IkeErrors.txt, Scrubbed-wfpdiag.txt a wfpdiag.txt.sum nahrazeny souborem IkeLogs.txt, který obsahuje celou aktivitu protokolu IKE (nejen chyby).
Pokyny ke stažení souborů z účtů úložiště Azure najdete v tématu Stažení objektu blob bloku. Dalším nástrojem, který lze použít, je Průzkumník služby Storage. Informace o Průzkumník služby Azure Storage najdete v tématu Použití Průzkumník služby Azure Storage ke stažení objektů blob.
ConnectionStats.txt
Soubor ConnectionStats.txt obsahuje celkové statistiky připojení, včetně příchozích a výchozích bajtů, stavu připojení a času navázání připojení.
Poznámka:
Pokud volání rozhraní API pro řešení potíží vrátí v pořádku, jedinou věcí vrácenou v souboru ZIP je ConnectionStats.txt soubor.
Obsah tohoto souboru je podobný následujícímu příkladu:
Connectivity State : Connected
Remote Tunnel Endpoint :
Ingress Bytes (since last connected) : 288 B
Egress Bytes (Since last connected) : 288 B
Connected Since : 2/1/2017 8:22:06 PM
CPUStats.txt
Soubor CPUStats.txt obsahuje využití procesoru a paměť dostupnou v době testování. Obsah tohoto souboru je podobný následujícímu příkladu:
Current CPU Usage : 0 % Current Memory Available : 641 MBs
IKElogs.txt
Soubor IKElogs.txt obsahuje všechny aktivity protokolu IKE, které byly nalezeny během monitorování.
Následující příklad ukazuje obsah souboru IKElogs.txt.
Remote <IPaddress>:500: Local <IPaddress>:500: [RECEIVED][SA_AUTH] Received IKE AUTH message
Remote <IPaddress>:500: Local <IPaddress>:500: Received Traffic Selector payload request- [Tsid 0x729 ]Number of TSIs 2: StartAddress 10.20.0.0 EndAddress 10.20.255.255 PortStart 0 PortEnd 65535 Protocol 0, StartAddress 192.168.100.0 EndAddress 192.168.100.255 PortStart 0 PortEnd 65535 Protocol 0 Number of TSRs 1:StartAddress 0.0.0.0 EndAddress 255.255.255.255 PortStart 0 PortEnd 65535 Protocol 0
Remote <IPaddress>:500: Local <IPaddress>:500: [SEND] Proposed Traffic Selector payload will be (Final Negotiated) - [Tsid 0x729 ]Number of TSIs 2: StartAddress 10.20.0.0 EndAddress 10.20.255.255 PortStart 0 PortEnd 65535 Protocol 0, StartAddress 192.168.100.0 EndAddress 192.168.100.255 PortStart 0 PortEnd 65535 Protocol 0 Number of TSRs 1:StartAddress 0.0.0.0 EndAddress 255.255.255.255 PortStart 0 PortEnd 65535 Protocol 0
Remote <IPaddress>:500: Local <IPaddress>:500: [RECEIVED]Received IPSec payload: Policy1:Cipher=DESIntegrity=Md5
IkeCleanupQMNegotiation called with error 13868 and flags a
Remote <IPaddress>:500: Local <IPaddress>:500: [SEND][NOTIFY] Sending Notify Message - Policy Mismatch
IKEErrors.txt
Soubor IKEErrors.txt obsahuje všechny chyby protokolu IKE, které byly nalezeny během monitorování.
Následující příklad ukazuje obsah souboru IKEErrors.txt. Vaše chyby se můžou lišit v závislosti na problému.
Error: Authentication failed. Check shared key. Check crypto. Check lifetimes.
based on log : Peer failed with Windows error 13801(ERROR_IPSEC_IKE_AUTH_FAIL)
Error: On-prem device sent invalid payload.
based on log : IkeFindPayloadInPacket failed with Windows error 13843(ERROR_IPSEC_IKE_INVALID_PAYLOAD)
Scrubbed-wfpdiag.txt
Soubor protokolu Scrubbed-wfpdiag.txt obsahuje protokol wfp. Tento protokol obsahuje protokolování zahozených paketů a selhání protokolu IKE/AuthIP.
Následující příklad ukazuje obsah souboru Scrubbed-wfpdiag.txt. V tomto příkladu nebyl předsdílený klíč připojení správný, jak je vidět z třetího řádku odspodu. Následující příklad je pouze fragmentem celého protokolu, protože v závislosti na problému může být protokol zdlouhavý.
...
[0]0368.03A4::02/02/2017-17:36:01.496 [ikeext] 3038|203.0.113.36| Deleted ICookie from the high priority thread pool list
[0]0368.03A4::02/02/2017-17:36:01.496 [ikeext] 3038|203.0.113.36| IKE diagnostic event:
[0]0368.03A4::02/02/2017-17:36:01.496 [ikeext] 3038|203.0.113.36| Event Header:
[0]0368.03A4::02/02/2017-17:36:01.496 [ikeext] 3038|203.0.113.36| Timestamp: 1601-01-01T00:00:00.000Z
[0]0368.03A4::02/02/2017-17:36:01.496 [ikeext] 3038|203.0.113.36| Flags: 0x00000106
[0]0368.03A4::02/02/2017-17:36:01.496 [ikeext] 3038|203.0.113.36| Local address field set
[0]0368.03A4::02/02/2017-17:36:01.496 [ikeext] 3038|203.0.113.36| Remote address field set
[0]0368.03A4::02/02/2017-17:36:01.496 [ikeext] 3038|203.0.113.36| IP version field set
[0]0368.03A4::02/02/2017-17:36:01.496 [ikeext] 3038|203.0.113.36| IP version: IPv4
[0]0368.03A4::02/02/2017-17:36:01.496 [ikeext] 3038|203.0.113.36| IP protocol: 0
[0]0368.03A4::02/02/2017-17:36:01.496 [ikeext] 3038|203.0.113.36| Local address: 203.0.113.92
[0]0368.03A4::02/02/2017-17:36:01.496 [ikeext] 3038|203.0.113.36| Remote address: 203.0.113.36
[0]0368.03A4::02/02/2017-17:36:01.496 [ikeext] 3038|203.0.113.36| Local Port: 0
[0]0368.03A4::02/02/2017-17:36:01.496 [ikeext] 3038|203.0.113.36| Remote Port: 0
[0]0368.03A4::02/02/2017-17:36:01.496 [ikeext] 3038|203.0.113.36| Application ID:
[0]0368.03A4::02/02/2017-17:36:01.496 [ikeext] 3038|203.0.113.36| User SID: <invalid>
[0]0368.03A4::02/02/2017-17:36:01.496 [ikeext] 3038|203.0.113.36| Failure type: IKE/Authip Main Mode Failure
[0]0368.03A4::02/02/2017-17:36:01.496 [ikeext] 3038|203.0.113.36| Type specific info:
[0]0368.03A4::02/02/2017-17:36:01.496 [ikeext] 3038|203.0.113.36| Failure error code:0x000035e9
[0]0368.03A4::02/02/2017-17:36:01.496 [ikeext] 3038|203.0.113.36| IKE authentication credentials are unacceptable
[0]0368.03A4::02/02/2017-17:36:01.496 [ikeext] 3038|203.0.113.36|
[0]0368.03A4::02/02/2017-17:36:01.496 [ikeext] 3038|203.0.113.36| Failure point: Remote
...
wfpdiag.txt.sum
Soubor wfpdiag.txt.sum je protokol zobrazující zpracované vyrovnávací paměti a události.
Následující příklad je obsah souboru wfpdiag.txt.sum.
Files Processed:
C:\Resources\directory\924336c47dd045d5a246c349b8ae57f2.GatewayTenantWorker.DiagnosticsStorage\2017-02-02T17-34-23\wfpdiag.etl
Total Buffers Processed 8
Total Events Processed 2169
Total Events Lost 0
Total Format Errors 0
Total Formats Unknown 486
Elapsed Time 330 sec
+-----------------------------------------------------------------------------------+
|EventCount EventName EventType TMF |
+-----------------------------------------------------------------------------------+
| 36 ikeext ike_addr_utils_c844 a0c064ca-d954-350a-8b2f-1a7464eef8b6|
| 12 ikeext ike_addr_utils_c857 a0c064ca-d954-350a-8b2f-1a7464eef8b6|
| 96 ikeext ike_addr_utils_c832 a0c064ca-d954-350a-8b2f-1a7464eef8b6|
| 6 ikeext ike_bfe_callbacks_c133 1dc2d67f-8381-6303-e314-6c1452eeb529|
| 6 ikeext ike_bfe_callbacks_c61 1dc2d67f-8381-6303-e314-6c1452eeb529|
| 12 ikeext ike_sa_management_c5698 7857a320-42ee-6e90-d5d9-3f414e3ea2d3|
| 6 ikeext ike_sa_management_c8447 7857a320-42ee-6e90-d5d9-3f414e3ea2d3|
| 12 ikeext ike_sa_management_c494 7857a320-42ee-6e90-d5d9-3f414e3ea2d3|
| 12 ikeext ike_sa_management_c642 7857a320-42ee-6e90-d5d9-3f414e3ea2d3|
| 6 ikeext ike_sa_management_c3162 7857a320-42ee-6e90-d5d9-3f414e3ea2d3|
| 12 ikeext ike_sa_management_c3307 7857a320-42ee-6e90-d5d9-3f414e3ea2d3|
Důležité informace
- V každém předplatném je možné spustit pouze jednu operaci řešení potíží se sítí VPN. Pokud chcete spustit další operaci řešení potíží se sítí VPN, počkejte na dokončení existující operace. Aktivace nové operace, zatímco předchozí operace se nedokončila, způsobí selhání následných operací.
- Pokud ke spuštění příkazu používáte Azure CLI, musí být služba VPN Gateway a účet úložiště ve stejné skupině prostředků. Zákazníci s prostředky v různých skupinách prostředků můžou místo toho použít PowerShell nebo Azure Portal.