Delen via

Firewall van gastbesturingssystemen van Azure VM blokkeert binnenkomend verkeer

  • Artikel

Van toepassing op: ✔️ Windows-VM's

In dit artikel wordt beschreven hoe u het probleem met de Extern bureaublad-portal (RDP) kunt oplossen dat optreedt als de firewall van het gastbesturingssysteem inkomend verkeer blokkeert.

Symptomen

U kunt geen RDP-verbinding gebruiken om verbinding te maken met een virtuele Azure-machine (VM). Vanuit Diagnostische gegevens over opstarten -> Schermopname toont het dat het besturingssysteem volledig is geladen op het welkomstscherm (Ctrl+Alt+Del).

Oorzaak

Oorzaak 1

De RDP-regel is niet ingesteld om het RDP-verkeer toe te staan.

Oorzaak 2

De firewallprofielen van het gastsysteem zijn zo ingesteld dat alle binnenkomende verbindingen, inclusief het RDP-verkeer, worden geblokkeerd.

Schermopname van de optie Alle binnenkomende verbindingen blokkeren op het tabblad Domeinprofiel van het venster firewallinstellingen.

Oplossing

Voordat u deze stappen uitvoert, maakt u een momentopname van de systeemschijf van de betreffende VM als back-up. Zie Momentopname van een schijf voor meer informatie.

Als u het probleem wilt oplossen, gebruikt u een van de methoden in Externe hulpprogramma's gebruiken om problemen met azure-VM's op afstand op te lossen om verbinding te maken met de virtuele machine en bewerkt u vervolgens de firewallregels van het gastbesturingssysteem om RDP-verkeer toe te staan .

Online probleemoplossing

Maak verbinding met de seriële console en open vervolgens een PowerShell-exemplaar. Als de seriële console niet is ingeschakeld op de virtuele machine, gaat u naar Offline herstellen van de virtuele machine.

Risicobeperking 1

  1. Als Azure Agent is geïnstalleerd en correct werkt op de VIRTUELE machine, kunt u de optie Alleen configuratie opnieuw instellen gebruiken onder Help-wachtwoord> opnieuw instellen in het VM-menu.

  2. Als u deze hersteloptie uitvoert, doet u het volgende:

    • Hiermee schakelt u een RDP-onderdeel in als dit is uitgeschakeld.

    • Hiermee schakelt u alle Windows Firewall-profielen in.

    • Zorg ervoor dat de RDP-regel is ingeschakeld in Windows Firewall.

    • Als de vorige stappen niet werken, stelt u de firewallregel handmatig opnieuw in. Hiervoor voert u een query uit op alle regels die de naam Extern bureaublad bevatten door de volgende opdracht uit te voeren:

      netsh advfirewall firewall show rule dir=in name=all | select-string -pattern "(Name.*Remote Desktop)" -context 9,4 | more

      Als de RDP-poort is ingesteld op een andere poort dan 3389, moet u een aangepaste regel vinden die mogelijk is gemaakt en ingesteld op deze poort. Voer de volgende opdracht uit om een query uit te voeren voor alle regels voor inkomend verkeer met een aangepaste poort:

      netsh advfirewall firewall show rule dir=in name=all | select-string -pattern "(LocalPort.*<CUSTOM PORT>)" -context 9,4 | more

  3. Als u ziet dat de regel is uitgeschakeld, schakelt u deze in. Als u een hele groep wilt openen, zoals de ingebouwde groep Extern bureaublad, voert u de volgende opdracht uit:

    netsh advfirewall firewall set rule group="Remote Desktop" new enable=yes

    Voer anders de volgende opdracht uit om de specifieke REGEL extern bureaublad (TCP-In) te openen:

    netsh advfirewall firewall set rule name="<CUSTOM RULE NAME>" new enable=yes

  4. Voor probleemoplossing kunt u de firewallprofielen uitschakelen:

    netsh advfirewall set allprofiles state off

    Nadat u klaar bent met het oplossen van problemen en het correct instellen van de firewall, schakelt u de firewall opnieuw in.

    Notitie

    U hoeft de virtuele machine niet opnieuw op te starten om deze wijzigingen toe te passen.

  5. Probeer een RDP-verbinding te maken om toegang te krijgen tot de virtuele machine.

Risicobeperking 2

  1. Voer een query uit op de firewallprofielen om te bepalen of het binnenkomende firewallbeleid is ingesteld op BlockInboundAlways:

    netsh advfirewall show allprofiles | more

    Schermopname van het queryresultaat van de binnenkomende firewallprofielen die BlockInboundAlways bevat.

    Notitie

    De volgende richtlijnen zijn van toepassing op het firewallbeleid, afhankelijk van hoe het is ingesteld:

    • BlockInbound: al het binnenkomende verkeer wordt geblokkeerd, tenzij u een regel hebt om dat verkeer toe te staan.
    • BlockInboundAlways: alle firewallregels worden genegeerd en al het verkeer wordt geblokkeerd.

  2. Stel de DefaultInboundAction in op niet altijd geblokkeerd verkeer. Voer hiervoor de volgende opdracht uit:

    netsh advfirewall set allprofiles firewallpolicy blockinbound,allowoutbound

  3. Voer nogmaals een query uit op de profielen om er zeker van te zijn dat uw wijziging is aangebracht. Voer hiervoor de volgende opdracht uit:

    netsh advfirewall show allprofiles | more

    Notitie

    U hoeft de virtuele machine niet opnieuw op te starten om de wijzigingen toe te passen.

  4. Zorg ervoor dat u de regel voor inkomend verkeer voor de RDP-verbinding toevoegt.

  5. Probeer het opnieuw om toegang te krijgen tot uw VIRTUELE machine via RDP.

Offline-oplossingen

  1. Koppel de systeemschijf aan een herstel-VM.

  2. Start een verbinding met extern bureaublad met de herstel-VM.

  3. Zorg ervoor dat de schijf is gemarkeerd als Online in de console Schijfbeheer. Noteer de stationsletter die is toegewezen aan de gekoppelde systeemschijf.

Risicobeperking 1

Zie Een firewallregel inschakelen voor een gastbesturingssysteem.

Risicobeperking 2

  1. Koppel de systeemschijf aan een herstel-VM.

  2. Start een verbinding met extern bureaublad met de herstel-VM.

  3. Nadat de systeemschijf is gekoppeld aan de herstel-VM, controleert u of de schijf is gemarkeerd als Online in de console Schijfbeheer. Noteer de stationsletter die is toegewezen aan de gekoppelde besturingssysteemschijf.

  4. Open een PowerShell-exemplaar met verhoogde bevoegdheid en voer het volgende script uit:

    REM Backup the registry prior doing any change
robocopy f:\windows\system32\config f:\windows\system32\config.BACK /MT

REM Mount the hive
reg load HKLM\BROKENSYSTEM f:\windows\system32\config\SYSTEM

REM Delete the keys to block all inbound connection scenario
REG DELETE "HKLM\BROKENSYSTEM\ControlSet001\services\SharedAccess\Parameters\FirewallPolicy\DomainProfile" /v DoNotAllowExceptions
REG DELETE "HKLM\BROKENSYSTEM\ControlSet001\services\SharedAccess\Parameters\FirewallPolicy\PublicProfile" /v DoNotAllowExceptions
REG DELETE "HKLM\BROKENSYSTEM\ControlSet001\services\SharedAccess\Parameters\FirewallPolicy\StandardProfile" /v DoNotAllowExceptions
REG DELETE "HKLM\BROKENSYSTEM\ControlSet002\services\SharedAccess\Parameters\FirewallPolicy\DomainProfile" /v DoNotAllowExceptions
REG DELETE "HKLM\BROKENSYSTEM\ControlSet002\services\SharedAccess\Parameters\FirewallPolicy\PublicProfile" /v DoNotAllowExceptions
REG DELETE "HKLM\BROKENSYSTEM\ControlSet002\services\SharedAccess\Parameters\FirewallPolicy\StandardProfile" /v DoNotAllowExceptions

REM Unmount the hive
reg unload HKLM\BROKENSYSTEM

  5. Koppel de systeemschijf los en maak de virtuele machine opnieuw.

  6. Controleer of het probleem is opgelost.

Contacteer ons voor hulp

Als u vragen hebt of hulp nodig hebt, maak een ondersteuningsaanvraag of vraag de Azure-communityondersteuning. U kunt ook productfeedback verzenden naar de Azure-feedbackcommunity.