Condividi tramite


Panoramica della risoluzione dei problemi di VPN

I gateway di rete virtuale offrono connettività tra le risorse locali e le Rete virtuale di Azure. Il monitoraggio dei gateway di rete virtuale e delle relative connessioni è fondamentale per garantire che la comunicazione non venga interrotta. La risoluzione dei problemi relativi alla RETE VPN di Azure Network Watcher offre la possibilità di risolvere i problemi relativi ai gateway di rete virtuale e alle relative connessioni. La risoluzione dei problemi vpn può essere chiamata tramite l'API REST portale di Azure, Azure PowerShell, l'interfaccia della riga di comando di Azure o l'API REST. Quando viene chiamato, Network Watcher esegue la diagnostica dell'integrità del gateway o della connessione e restituisce i risultati appropriati. La richiesta è una transazione con esecuzione prolungata. I risultati vengono restituiti dopo aver completato la diagnosi.

Screenshot della risoluzione dei problemi della VPN di Azure Network Watcher nella portale di Azure.

Tipi di gateway supportati

L'elenco tabella seguente mostra i gateway e le connessioni supportate con la risoluzione dei problemi di Network Watcher:

Gateway o connessione Supportata
Tipi di gateway
Connessione Supportata
ExpressRoute Non supportato
Tipi di VPN
Basato su route Supportata
Basata su criteri Non supportato
Tipi di connessione
IPsec Supportato
VNet2VNet Supportata
ExpressRoute Non supportato
VPNClient Non supportato

Risultati

I risultati preliminari restituiti offrono un quadro complessivo dell'integrità della risorsa. È possibile ottenere informazioni più approfondite per le risorse, come illustrato nella sezione seguente:

L'elenco seguente è costituito dai valori restituiti dall'API di risoluzione dei problemi VPN:

  • startTime: questo valore indica l'ora di inizio della chiamata all'API di risoluzione dei problemi.
  • endTime: questo valore indica l'ora di fine della risoluzione dei problemi.
  • code : questo valore è UnHealthy, se si verifica un singolo errore di diagnosi.
  • results: indica una raccolta di risultati restituiti relativi alla connessione o al gateway di rete virtuale.
    • id: questo valore è il tipo di errore.
    • summary: questo valore è un riepilogo dell'errore.
    • detailed: questo valore fornisce una descrizione dettagliata dell'errore.
    • recommendedActions: questa proprietà è una raccolta di azioni consigliate da eseguire.
      • actionText: questo valore contiene il testo che descrive l'azione da eseguire.
      • actionUri: questo valore fornisce l'URI per la documentazione relativa all'azione da eseguire.
      • actionUriText: questo valore è una breve descrizione del testo dell'azione.

Le tabelle seguenti mostrano i diversi tipi di errore (ID nei risultati dell'elenco precedente) disponibili e se l'errore crea i log.

Gateway

Tipo di errore Motivo Log
NoFault Nessun errore rilevato
GatewayNotFound Non è possibile trovare il gateway o il gateway non è sottoposto a provisioning No
PlannedMaintenance L'istanza del gateway è in fase di manutenzione No
UserDrivenUpdate Questo errore si verifica quando è in corso l'aggiornamento utente. L'aggiornamento potrebbe essere un'operazione di ridimensionamento. No
VipUnResponsive Questo errore si verifica quando l'istanza primaria del gateway non può essere raggiunta a causa di un errore del probe di integrità. No
PlatformInActive Si è verificato un errore con la piattaforma. No
ServiceNotRunning Il servizio sottostante non è in esecuzione. No
NoConnectionsFoundForGateway Nessuna connessione sul gateway. Questo errore è solo un avviso. No
ConnectionsNotConnected Le connessioni non sono connesse. Questo errore è solo un avviso.
GatewayCPUUsageExceeded L'utilizzo corrente della CPU del gateway è > del 95%.

Connessione

Tipo di errore Motivo Log
NoFault Nessun errore rilevato
GatewayNotFound Non è possibile trovare il gateway o il gateway non è sottoposto a provisioning No
PlannedMaintenance L'istanza del gateway è in fase di manutenzione No
UserDrivenUpdate Questo errore si verifica quando è in corso l'aggiornamento utente. L'aggiornamento potrebbe essere un'operazione di ridimensionamento. No
VipUnResponsive Questo errore si verifica quando l'istanza primaria del gateway non può essere raggiunta a causa di un errore del probe di integrità. No
ConnectionEntityNotFound Configurazione della connessione non presente No
ConnectionIsMarkedDisconnected La connessione viene contrassegnata come "disconnected" No
ConnectionNotConfiguredOnGateway Il servizio sottostante non dispone della connessione configurata.
ConnectionMarkedStandby Il servizio sottostante viene contrassegnato come "standby".
Autenticazione Mancata corrispondenza della chiave precondivisa
PeerReachability Il gateway peer non è raggiungibile.
IkePolicyMismatch Il gateway peer ha criteri IKE non supportati da Azure.
WfpParse Error Si è verificato un errore durante l'analisi del log WFP.

File di registro

I file di log della risoluzione dei problemi delle risorse vengono archiviati in un account di archiviazione al termine della risoluzione dei problemi delle risorse. L'immagine seguente mostra i contenuti di esempio di una chiamata che ha generato un errore.

Screenshot che mostra il contenuto dei file di log compressi scaricati.

Nota

  1. In alcuni casi, solo un sottoinsieme di file di log viene scritto nella risorsa di archiviazione.
  2. Per le versioni più recenti del gateway, le IkeErrors.txt, Scrubbed-wfpdiag.txt e wfpdiag.txt.sum sono state sostituite da un file IkeLogs.txt che contiene l'intera attività IKE (non solo errori).

Per istruzioni sul download dei file dagli account di archiviazione di Azure, vedere Scaricare un BLOB in blocchi. Un altro strumento che può essere usato è Storage Explorer. Per informazioni su Archiviazione di Azure Explorer, vedere Usare Esplora Archiviazione di Azure per scaricare i BLOB

ConnectionStats.txt

Il file ConnectionStats.txt contiene lo stato complessivo della connessione, inclusi i byte in ingresso e in uscita e l'ora in cui è stata stabilita la connessione.

Nota

Se la chiamata all'API di risoluzione dei problemi restituisce uno stato integro, l'unico elemento restituito nel file ZIP è un file ConnectionStats.txt.

I contenuti di questo file sono simili all'esempio seguente:

Connectivity State : Connected
Remote Tunnel Endpoint :
Ingress Bytes (since last connected) : 288 B
Egress Bytes (Since last connected) : 288 B
Connected Since : 2/1/2017 8:22:06 PM

CPUStats.txt

Il file CPUStats.txt contiene l'utilizzo della CPU e la memoria disponibile in fase di test. I contenuti di questo file sono simili all'esempio seguente:

Current CPU Usage : 0 % Current Memory Available : 641 MBs

IKElogs.txt

Il file IKElogs.txt contiene qualsiasi attività IKE trovata durante il monitoraggio.

Nell'esempio seguente viene illustrato il contenuto di un file IKElogs.txt.

Remote <IPaddress>:500: Local <IPaddress>:500: [RECEIVED][SA_AUTH] Received IKE AUTH message
Remote <IPaddress>:500: Local <IPaddress>:500: Received Traffic Selector payload request- [Tsid 0x729  ]Number of TSIs 2: StartAddress 10.20.0.0 EndAddress 10.20.255.255 PortStart 0 PortEnd 65535 Protocol 0, StartAddress 192.168.100.0 EndAddress 192.168.100.255 PortStart 0 PortEnd 65535 Protocol 0 Number of TSRs 1:StartAddress 0.0.0.0 EndAddress 255.255.255.255 PortStart 0 PortEnd 65535 Protocol 0
Remote <IPaddress>:500: Local <IPaddress>:500: [SEND] Proposed Traffic Selector payload will be (Final Negotiated) - [Tsid 0x729  ]Number of TSIs 2: StartAddress 10.20.0.0 EndAddress 10.20.255.255 PortStart 0 PortEnd 65535 Protocol 0, StartAddress 192.168.100.0 EndAddress 192.168.100.255 PortStart 0 PortEnd 65535 Protocol 0 Number of TSRs 1:StartAddress 0.0.0.0 EndAddress 255.255.255.255 PortStart 0 PortEnd 65535 Protocol 0
Remote <IPaddress>:500: Local <IPaddress>:500: [RECEIVED]Received IPSec payload: Policy1:Cipher=DESIntegrity=Md5
IkeCleanupQMNegotiation called with error 13868 and flags a
Remote <IPaddress>:500: Local <IPaddress>:500: [SEND][NOTIFY] Sending Notify Message - Policy Mismatch

IKEErrors.txt

Il file IKEErrors.txt contiene eventuali errori IKE trovati durante il monitoraggio.

L'esempio seguente mostra i contenuti di un file IKEErrors.txt. Gli errori potrebbero essere diversi a seconda del problema.

Error: Authentication failed. Check shared key. Check crypto. Check lifetimes. 
	 based on log : Peer failed with Windows error 13801(ERROR_IPSEC_IKE_AUTH_FAIL)
Error: On-prem device sent invalid payload. 
	 based on log : IkeFindPayloadInPacket failed with Windows error 13843(ERROR_IPSEC_IKE_INVALID_PAYLOAD)

Scrubbed-wfpdiag.txt

Il file di log Scrubbed-wfpdiag.txt contiene il log WFP. Questo log contiene la registrazione del pacchetto ignorato e degli errori IKE/AuthIP.

L'esempio seguente mostra i contenuti del file Scrubbed-wfpdiag.txt. In questo esempio la chiave precondi shared di una connessione non è corretta, come si può vedere dalla terza riga dal basso. L'esempio seguente è solo un frammento di codice dell'intero log, ma il log può essere lungo, a seconda del problema specifico.

...
[0]0368.03A4::02/02/2017-17:36:01.496 [ikeext] 3038|203.0.113.36| Deleted ICookie from the high priority thread pool list
[0]0368.03A4::02/02/2017-17:36:01.496 [ikeext] 3038|203.0.113.36| IKE diagnostic event:
[0]0368.03A4::02/02/2017-17:36:01.496 [ikeext] 3038|203.0.113.36| Event Header:
[0]0368.03A4::02/02/2017-17:36:01.496 [ikeext] 3038|203.0.113.36| Timestamp: 1601-01-01T00:00:00.000Z
[0]0368.03A4::02/02/2017-17:36:01.496 [ikeext] 3038|203.0.113.36| Flags: 0x00000106
[0]0368.03A4::02/02/2017-17:36:01.496 [ikeext] 3038|203.0.113.36| Local address field set
[0]0368.03A4::02/02/2017-17:36:01.496 [ikeext] 3038|203.0.113.36| Remote address field set
[0]0368.03A4::02/02/2017-17:36:01.496 [ikeext] 3038|203.0.113.36| IP version field set
[0]0368.03A4::02/02/2017-17:36:01.496 [ikeext] 3038|203.0.113.36| IP version: IPv4
[0]0368.03A4::02/02/2017-17:36:01.496 [ikeext] 3038|203.0.113.36| IP protocol: 0
[0]0368.03A4::02/02/2017-17:36:01.496 [ikeext] 3038|203.0.113.36| Local address: 203.0.113.92
[0]0368.03A4::02/02/2017-17:36:01.496 [ikeext] 3038|203.0.113.36| Remote address: 203.0.113.36
[0]0368.03A4::02/02/2017-17:36:01.496 [ikeext] 3038|203.0.113.36| Local Port: 0
[0]0368.03A4::02/02/2017-17:36:01.496 [ikeext] 3038|203.0.113.36| Remote Port: 0
[0]0368.03A4::02/02/2017-17:36:01.496 [ikeext] 3038|203.0.113.36| Application ID:
[0]0368.03A4::02/02/2017-17:36:01.496 [ikeext] 3038|203.0.113.36| User SID: <invalid>
[0]0368.03A4::02/02/2017-17:36:01.496 [ikeext] 3038|203.0.113.36| Failure type: IKE/Authip Main Mode Failure
[0]0368.03A4::02/02/2017-17:36:01.496 [ikeext] 3038|203.0.113.36| Type specific info:
[0]0368.03A4::02/02/2017-17:36:01.496 [ikeext] 3038|203.0.113.36| Failure error code:0x000035e9
[0]0368.03A4::02/02/2017-17:36:01.496 [ikeext] 3038|203.0.113.36| IKE authentication credentials are unacceptable
[0]0368.03A4::02/02/2017-17:36:01.496 [ikeext] 3038|203.0.113.36|
[0]0368.03A4::02/02/2017-17:36:01.496 [ikeext] 3038|203.0.113.36| Failure point: Remote
...

wfpdiag.txt.sum

Il file wfpdiag.txt.sum è un log che mostra i buffer e gli eventi elaborati.

L'esempio seguente illustra i contenuti di un file wfpdiag.txt.sum.

Files Processed:
	C:\Resources\directory\924336c47dd045d5a246c349b8ae57f2.GatewayTenantWorker.DiagnosticsStorage\2017-02-02T17-34-23\wfpdiag.etl
Total Buffers Processed 8
Total Events  Processed 2169
Total Events  Lost      0
Total Format  Errors    0
Total Formats Unknown   486
Elapsed Time            330 sec
+-----------------------------------------------------------------------------------+
|EventCount    EventName            EventType   TMF                                 |
+-----------------------------------------------------------------------------------+
|        36    ikeext               ike_addr_utils_c844  a0c064ca-d954-350a-8b2f-1a7464eef8b6|
|        12    ikeext               ike_addr_utils_c857  a0c064ca-d954-350a-8b2f-1a7464eef8b6|
|        96    ikeext               ike_addr_utils_c832  a0c064ca-d954-350a-8b2f-1a7464eef8b6|
|         6    ikeext               ike_bfe_callbacks_c133  1dc2d67f-8381-6303-e314-6c1452eeb529|
|         6    ikeext               ike_bfe_callbacks_c61  1dc2d67f-8381-6303-e314-6c1452eeb529|
|        12    ikeext               ike_sa_management_c5698  7857a320-42ee-6e90-d5d9-3f414e3ea2d3|
|         6    ikeext               ike_sa_management_c8447  7857a320-42ee-6e90-d5d9-3f414e3ea2d3|
|        12    ikeext               ike_sa_management_c494  7857a320-42ee-6e90-d5d9-3f414e3ea2d3|
|        12    ikeext               ike_sa_management_c642  7857a320-42ee-6e90-d5d9-3f414e3ea2d3|
|         6    ikeext               ike_sa_management_c3162  7857a320-42ee-6e90-d5d9-3f414e3ea2d3|
|        12    ikeext               ike_sa_management_c3307  7857a320-42ee-6e90-d5d9-3f414e3ea2d3|

Considerazioni

  • È possibile eseguire una sola operazione di risoluzione dei problemi VPN alla volta per sottoscrizione. Per eseguire un'altra operazione di risoluzione dei problemi della VPN, attendere il completamento di quello esistente. L'attivazione di una nuova operazione mentre una precedente non è stata completata causa l'esito negativo delle operazioni successive.
  • Se si usa l'interfaccia della riga di comando di Azure per eseguire il comando, il Gateway VPN e l'account di archiviazione devono trovarsi nello stesso gruppo di risorse. I clienti con le risorse in gruppi di risorse diversi possono usare PowerShell o il portale di Azure.

Passaggio successivo