Monitorování tunelu Microsoft

Po instalaci aplikace Microsoft Tunnel můžete zobrazit konfiguraci serveru a stav serveru v Centru pro správu Microsoft Intune.

Použití uživatelského rozhraní Centra pro správu

Přihlaste se k centru pro správu Microsoft Intune a přejděte do částiStavslužby Správa> klientaMicrosoft Tunnel Gateway>.

Pak vyberte server a pak otevřete kartu Kontrola stavu , abyste zobrazili metriky stavu serverů. Ve výchozím nastavení každá metrika používá předdefinované prahové hodnoty, které určují stav. Přizpůsobení těchto prahových hodnot podporují následující metriky:

• Využití procesoru
• Využití paměti
• Využití místa na disku
• Latence

Výchozí hodnoty metrik stavu serveru:

• Poslední ohlášení – kdy se server brány tunelu naposledy přihlásil se změnami v Intune.

  • V pořádku – poslední kontrola proběhla během posledních pěti minut.
  • Není v pořádku – poslední přihlášení bylo před více než pěti minutami.

• Aktuální připojení – počet jedinečných připojení, která byla aktivní při posledním přihlášení k serveru.

  • V pořádku – bylo 4 990 nebo méně připojení.
  • Není v pořádku – aktivních připojení bylo více než 4 990.

• Propustnost – megabity bitů za sekundu provozu procházejícího síťovým adaptérem brány tunelu při posledním ohlášení serveru.

• Využití procesoru – průměrné využití procesoru serverem tunelové brány každých pět minut.

  • V pořádku – 95 % nebo méně
  • Upozornění – 96 % až 99 %
  • Není v pořádku – 100% využití

• Procesorová jádra – počet jader procesoru dostupných na tomto serveru.

  • V pořádku – 4 nebo více jader
  • Upozornění – 1, 2 nebo 3 jádra
  • Není v pořádku – 0 jader

• Využití paměti – průměrné využití paměti serverem brány tunelu každých 5 minut.

  • V pořádku – 95 % nebo méně
  • Upozornění – 96 % až 99 %
  • Není v pořádku – 100% využití

• Využití místa na disku – množství místa na disku, které server brány tunelu využívá.

  • V pořádku – nad 5 GB
  • Upozornění – 3 až 5 GB
  • Není v pořádku – pod 3 GB

• Latence – průměrná doba potřebná k doručení paketů PROTOKOLU IP a následnému ukončení síťového rozhraní.

  • V pořádku – méně než 10 milisekund
  • Upozornění – 10 milisekund až 20 milisekund
  • Není v pořádku – více než 20 milisekund

• Certifikát agenta pro správu – Certifikát agenta pro správu používá brána tunelu k ověření v Intune, takže je důležité ho před vypršením jeho platnosti obnovit. Měl by se ale automaticky obnovit.

  • V pořádku – Vypršení platnosti certifikátu je vzdáleno více než 30 dnů.
  • Upozornění – Vypršení platnosti certifikátu je méně než 30 dnů.
  • Není v pořádku – Platnost certifikátu vypršela.

• Certifikát TLS – počet dnů, po které vyprší platnost certifikátu TLS (Transport Layer Security), který zabezpečuje provoz mezi klienty a serverem brány tunelu.

  • V pořádku – více než 30 dní
  • Upozornění – 30 dnů nebo méně
  • Není v pořádku – platnost certifikátu vypršela.

• Odvolání certifikátu TLS – Brána tunelu se pokusí zkontrolovat stav odvolání certifikátu TLS (Transport Layer Security) pomocí protokolu OCSP (Online Certificate Status Protocol) nebo adresy seznamu odvolaných certifikátů (CRL) definované certifikátem TLS. Tato kontrola vyžaduje, aby měl server přístup ke koncovému bodu OCSP nebo adrese seznamu CRL, jak je definováno v certifikátu.

  • V pořádku – certifikát TLS se neodvolá.
  • Upozornění – Nejde zkontrolovat, jestli je certifikát TLS odvolaný. Ujistěte se, že koncové body definované v certifikátu jsou přístupné ze serveru tunelu.
  • Není v pořádku – Certifikát TLS se odvolal.

  Naplánujte nahrazení odvolaný certifikát TLS.

  Další informace o protokolu OCSP (Online Certificate Status Protocol) najdete v tématu Online Certificate Status Protocol na wikipedia.org.

• Přístupnost interní sítě – stav z poslední kontroly interní adresy URL. Adresu URL nakonfigurujete jako součást konfigurace webu tunelu.

  • V pořádku – server má přístup k adrese URL zadané ve vlastnostech webu.
  • Není v pořádku – server nemá přístup k adrese URL zadané ve vlastnostech webu.
  • Neznámé – Tento stav se zobrazí, když ve vlastnostech webu nenastavíte adresu URL. Tento stav nemá vliv na celkový stav webu.

• Upgradovatelnost – schopnost serveru kontaktovat úložiště kontejnerů Microsoftu, které umožňuje upgradovat tunelovou bránu, když budou dostupné verze.

  • V pořádku – Server během posledních 5 minut nekontaktoval úložiště kontejnerů Microsoftu.
  • Není v pořádku – Server nekontaktoval úložiště kontejnerů Microsoftu déle než 5 minut.

• Verze serveru – stav softwaru serveru brány tunelu ve vztahu k nejnovější verzi.

  • V pořádku – aktuální s nejnovější verzí softwaru
  • Upozornění – jedna verze za
  • Není v pořádku – dvě nebo více verzí za a bez podpory

  Pokud verze serveru není v pořádku, naplánujte instalaci upgradů pro tunel Microsoft Tunnel.

• Kontejner serveru – určuje, jestli je spuštěný kontejner hostující server tunelového propojení Microsoftu.

  • V pořádku – stav kontejneru serveru je v pořádku.
  • Není v pořádku – Stav kontejneru serveru není v pořádku.

• Konfigurace serveru – Určuje, jestli se konfigurace serveru úspěšně použila na server tunelu z Microsoft Intune nastavení lokality.

  • V pořádku – Konfigurace serveru se úspěšně použila.
  • Není v pořádku – konfiguraci serveru nejde použít.

• Protokoly serveru – určuje, jestli se protokoly na server nahrály během posledních 60 minut.

  • V pořádku – protokoly serveru se nahrály během posledních 60 minut.
  • Není v pořádku – protokoly serveru se nahrály během posledních 60 minut.

Správa prahových hodnot stavu

Můžete přizpůsobit následující metriky stavu tunelu Microsoft Tunnel a změnit prahové hodnoty, které každá z nich používá k hlášení svého stavu. Přizpůsobení jsou v rámci celého tenanta a platí pro všechny tunelové severy. Mezi metriky kontroly stavu, které můžete přizpůsobit, patří:

• Využití procesoru
• Využití paměti
• Využití místa na disku
• Latence

Úprava prahové hodnoty metriky:

1. Přihlaste se do centra pro správu Microsoft Intune a přejděte do části Stav služby Správa> klientaMicrosoft Tunnel Gateway>.

2. Vyberte Konfigurovat prahové hodnoty.

3. Na stránce Nakonfigurované prahové hodnoty nastavte nové prahové hodnoty pro každou kategorii kontroly stavu, kterou chcete přizpůsobit.

   • Prahové hodnoty platí pro všechny servery ve všech lokalitách.
   • Výběrem možnosti Zpět k výchozímu nastavení obnovíte všechny prahové hodnoty zpět na výchozí hodnoty.

4. Vyberte Uložit.

5. V podokně Stav vyberte Aktualizovat a aktualizujte stav všech serverů na základě přizpůsobených prahových hodnot.

Po úpravě prahových hodnot se hodnoty na kartě Kontrola stavu serverů automaticky aktualizují tak, aby odrážely jejich stav na základě aktuálních prahových hodnot.

Trendy stavu tunelových serverů

Zobrazení trendů stavu metrik stavu služby Microsoft Tunnel Gateway ve formě grafu Data grafů se zprůměrují za 3hodinový blok a proto se můžou zpozdit až o tři hodiny.

Grafy trendů stavu jsou k dispozici pro následující metriky:

• Connections
• Využití procesoru
• Využití místa na disku
• Využití paměti
• Průměrná latence
• Propustnost

Zobrazení grafů trendů:

1. Přihlaste se do Centra pro správu Microsoft Intune.

2. Přejděte naStav>správy> klientaslužby Microsoft Tunnel Gateway>Vyberte server a pak vyberte Trendy.

3. Pomocí rozevíracího seznamu Metrika vyberte graf metrik, který chcete zobrazit.

Použití nástroje příkazového řádku mst-cli

Pomocí nástroje příkazového řádku mst-cli získejte informace o serveru tunelového propojení Microsoft. Tento soubor se přidá na server s Linuxem při instalaci tunelu Microsoft. Nástroj se nachází na adrese: /usr/sbin/mst-cli.

Další informace a příklady příkazového řádku najdete v tématu nástroj příkazového řádku mst-cli pro Microsoft Tunnel.

Zobrazení protokolů tunelu Microsoft

Microsoft Tunnel protokoluje informace do protokolů serveru Linux ve formátu syslog . Pokud chcete zobrazit položky protokolu, použijte příkaz journalctl -t následovaný jednou nebo více značkami, které jsou specifické pro položky tunelu Microsoft:

• mstunnel-agent: Zobrazení protokolů agenta.

• mstunnel_monitor: Zobrazí protokoly úloh monitorování.

• ocserv – zobrazení protokolů serveru.

• ocserv-access – zobrazí protokoly přístupu.

  Ve výchozím nastavení je protokolování přístupu zakázané. Povolení protokolů přístupu může snížit výkon v závislosti na počtu aktivních připojení a vzorech využití na serveru. Protokolování připojení DNS zvyšuje úroveň podrobností protokolů, které můžou být hlučné.

  Protokoly přístupu mají následující formát: <Server timestamp><Server Name><ProcessID on Server><userId><deviceId><protocol><src IP and port><dst IP and port><bytes sent><bytes received><connection time in seconds> Například:

  • 25. února 16:37:56 MSTunnelTest-VM ocserv-access[9528]: ACCESS_LOG,41150dc4-238x-4dwv-9q89-55e987f30c32,f5132455-ef2dd-225a-a693-afbbqed482dce,tcp,169.254.54.149:49462,10.88.0.5:80,112,60,10

  Důležité

  V ocserv-access hodnota deviceId identifikuje jedinečnou instanci instalace Microsoft Defender, která běží na zařízení, a neidentifikuje ID zařízení Intune ani id Microsoft Entra zařízení. Pokud je defender odinstalovaný a pak přeinstalovaný na zařízení, vygeneruje se nová instance pro DeviceId*.

  Povolení protokolování přístupu:

  1. set TRACE_SESSIONS=1 v souboru /etc/mstunnel/env.sh
  2. nastavte TRACE_SESSIONS=2 tak, aby zahrnovalo protokolování připojení DNS.
  3. Spuštěním příkazu mst-cli server restart restartujte server.

  Pokud jsou protokoly přístupu příliš hlučné, můžete protokolování připojení DNS vypnout nastavením TRACE_SESSIONS=1 a restartováním serveru.

• OCSERV_TELEMETRY – zobrazí podrobnosti telemetrie pro připojení k tunelu.

  Protokoly telemetrie mají následující formát, přičemž hodnoty pro bytes_in, bytes_out a dobu trvání se používají jenom pro operace odpojení: <operation><client_ip><server_ip><gateway_ip><assigned_ip><user_id><device_id><user_agent><bytes_in><bytes_out><duration> Například:

  • Říjen 20 19:32:15 mstunnel ocserv[4806]: OCSERV_TELEMETRY,připojení,31258,73.20.85.75,172.17.0.3,3 169.254.0.1,169.254.107.209,3780e1fc-3ac2-4268-a1fd-dd910ca8c13c, 5A683ECC-D909-4E5F-9C67-C0F595A4A70E,MobileAccess iOS 1.1.34040102

  Důležité

  V OCSERV_TELEMETRY hodnota deviceId identifikuje jedinečnou instanci instalace Microsoft Defender, která běží na zařízení, a neidentifikuje ID zařízení Intune ani id Microsoft Entra zařízení. Pokud je defender odinstalovaný a pak přeinstalovaný na zařízení, vygeneruje se nová instance pro DeviceId*.

Příklady příkazového řádku pro journalctl:

• Pokud chcete zobrazit informace pouze pro tunelový server, spusťte příkaz journalctl -t ocserv.
• Pokud chcete zobrazit protokol telemetrie, spusťte příkaz journalctl -t ocserv | grep TELEMETRY
• Pokud chcete zobrazit informace o všech možnostech protokolu, můžete spustit příkaz journalctl -t ocserv -t ocserv-access -t mstunnel-agent -t mstunnel_monitor.
• Přidejte -f do příkazu, aby se zobrazilo aktivní a průběžné zobrazení souboru protokolu. Pokud například chcete aktivně monitorovat probíhající procesy pro tunel Microsoft, spusťte příkaz journalctl -t mstunnel_monitor -f.

Další možnosti pro journalctl:

• journalctl -h – Zobrazit nápovědu k příkazu journalctl.
• man journalctl – Zobrazit další informace.
• man journalctl.conf Zobrazení informací o konfiguraci Další informace o journalctl najdete v dokumentaci k používané verzi Linuxu.

Snadné nahrávání diagnostických protokolů pro tunelové servery

Jako diagnostickou pomůcku můžete jedním kliknutím v Centru pro správu Intune povolit, shromažďovat a odesílat podrobné protokoly ze serveru brány tunelu přímo do Microsoftu. Tyto podrobné protokoly jsou pak k dispozici přímo Microsoftu, když spolupracujete s Microsoftem na identifikaci nebo řešení problémů se serverem tunelu.

Před otevřením incidentu podpory můžete shromáždit a nahrát podrobné protokoly z události nebo na vyžádání, pokud už spolupracujete s Microsoftem na kontrole operace tunelových serverů.

Použití této funkce:

1. Otevřete Centrum pro správu Microsoft Intune přejděte na Správa> klientaMicrosoft Tunnel Gateway> vyberte server> a pak vyberte kartu Protokoly.

2. Na kartě Protokolyvyhledejte část Odeslat podrobné protokoly serveru a vyberte Odeslat protokoly.

Když vyberete Odeslat protokoly pro tunelový server, spustí se následující proces:

• Intune nejprve zachytí aktuální sadu protokolů tunelového serveru a nahraje je přímo do Microsoftu. Tyto protokoly se shromažďují pomocí aktuální úrovně podrobností protokolu serverů. Ve výchozím nastavení je úroveň podrobností serveru nula (0).
• Dále Intune povolí úroveň podrobností čtyři (4) pro protokoly tunelového serveru. Tato úroveň podrobností se shromažďuje po dobu osmi hodin.
• Během osmi hodin podrobného shromažďování protokolů by se měl problém nebo operace, které zkoumáte, reprodukovat, aby se do protokolů zachytály podrobné podrobnosti.
• Po osmi hodinách Intune shromáždí druhou sadu protokolů serveru, které obsahují podrobné podrobnosti, a nahraje je do Microsoftu. V době nahrávání Intune také resetuje protokoly tunelového serveru tak, aby používaly výchozí úroveň podrobností nula (0). Pokud jste dříve zvýšili úroveň podrobností serveru, můžete poté, co Intune resetuje úroveň podrobností na nulu, obnovit vlastní úroveň podrobností.

Každá sada protokolů, kterou Intune shromažďuje a nahrává, se identifikuje jako samostatná sada s následujícími podrobnostmi, které se zobrazí v Centru pro správu pod tlačítkem Odeslat protokoly :

• Počáteční a koncový čas kolekce protokolů
• Kdy se nahrávání vygenerovalo
• Protokol nastavuje úroveň podrobností.
• ID incidentu, které lze použít k identifikaci konkrétní sady protokolů

Po zaznamenání problému při spouštění podrobného shromažďování protokolů můžete microsoftu poskytnout ID incidentu této sady protokolů, které vám pomůže s vyšetřováním.

O shromažďování protokolů

• Intune nezastaví ani nerestartuje tunelový server, aby se povolilo nebo zakázalo podrobné protokolování.
• 8hodinové období podrobného protokolování se nedá předčasně prodloužit ani zastavit.
• Proces Odesílání protokolů můžete použít tak často, jak je potřeba, k zachycení problému s podrobným protokolováním. Vyšší úroveň podrobností protokolů ale zvyšuje zatížení tunelového serveru a nedoporučuje se jako běžná konfigurace.
• Po ukončení podrobného protokolování se pro protokoly tunelového serveru nastaví výchozí úroveň podrobností nula bez ohledu na dříve nastavené úrovně podrobností.
• Během tohoto procesu se shromažďují následující protokoly:
  • mstunnel-agent (protokoly agenta)
  • mstunnel_monitor (monitorování protokolů úloh)
  • ocserv (protokoly serveru)

Protokoly ocserv-access se neshromažďujte ani nenahrávají.

Známé problémy

Níže jsou uvedené známé problémy s tunelem Microsoft Tunnel.

Stav serveru

Klienti můžou úspěšně použít tunel, když se stav serveru zobrazí jako offline

Problém: Na kartě Stav tunelového propojení se stav serveru hlásí jako offline, což znamená, že je odpojený, i když se uživatelé můžou připojit k serveru tunelu a připojit se k prostředkům organizace.

Řešení: Pokud chcete tento problém vyřešit, musíte přeinstalovat tunel Microsoft Tunnel, který znovu zaregistruje agenta tunelového serveru v Intune. Chcete-li tomuto problému zabránit, nainstalujte aktualizace pro agenta tunelu a server brzy po jejich vydání. Ke sledování stavu serveru použijte metriky stavu tunelového serveru v Centru pro správu Microsoft Intune.

U podmana se v protokolu mstunnel_monitor zobrazí chyba při provádění kontroly.

Problém: Podman nedokáže identifikovat nebo zobrazit spuštěné aktivní kontejnery a v protokolu mstunnel_monitor tunelového serveru hlásí chybu při provádění kontroly. Tady jsou příklady chyb:

• Agent:

  Error executing Checkup
  Error details
  \tscript: 561 /usr/sbin/mst-cli
  \t\tcommand: $ctr_cli exec $agent_name mstunnel checkup 2> >(FailLogger)
  \tstack:
  \t\t<> Checkup /usr/sbin/mst-cli Message: NA
  \t\t<> MonitorServices /usr/sbin/mst-cli Message: Failure starting service mstunnel-agent
  \t\t<> main /usr/sbin/mstunnel_monitor Message: NA
  

• Server:

  Error executing Checkup
  Error details
  \tscript: 649 /usr/sbin/mst-cli
  \t\tcommand: $ctr_cli exec $agent_name mstunnel checkup 2> >(FailLogger)
  \tstack:
  \t\t<> Checkup /usr/sbin/mst-cli Message: NA
  \t\t<> MonitorServices /usr/sbin/mst-cli Message: Failure starting service mstunnel-server
  \t\t<> main /usr/sbin/mstunnel_monitor Message: NA
  

Řešení: Pokud chcete tento problém vyřešit, ručně restartujte kontejnery Podman. Podman by pak měl být schopen identifikovat kontejnery. Pokud problém přetrvává nebo se vrátí, zvažte použití cronu k vytvoření úlohy, která při výskytu tohoto problému automaticky restartuje kontejnery.

V podmanu se v protokolu mstunnel-agent zobrazí chyby System.DateTime.

Problém: Pokud používáte Podman, může protokol mstunnel-agent obsahovat chyby podobné následujícím položkám:

• Failed to parse version-info.json for version information.
• System.Text.Json.JsonException: The JSON value could not be converted to System.DateTime

K tomuto problému dochází kvůli rozdílům ve formátování kalendářních dat mezi Podmanem a agentem tunelu. Tyto chyby neoznačují závažný problém ani nebrání připojení. Počínaje kontejnery vydanými po říjnu 2022 by se měly problémy s formátováním vyřešit.

Řešení: Pokud chcete tyto problémy vyřešit, aktualizujte kontejner agenta (Podman nebo Docker) na nejnovější verzi. Jakmile zjistíme nové zdroje těchto chyb, budeme je dál opravovat v dalších aktualizacích verze.

Připojení k tunelu

Zařízení se nedaří připojit k serveru tunelu

Problém: Zařízení se nedaří připojit k serveru a soubor protokolu oserv tunelového serveru obsahuje položku podobnou následující položce: main: tun.c:655: Can't open /dev/net/tun: Operation not permitted

Pokyny k zobrazení protokolů tunelu najdete v tématu Zobrazení protokolů tunelu Microsoft v tomto článku.

Řešení: Po restartování linuxového serveru restartujte server pomocí mst-cli server restart příkazu .

Pokud tento problém přetrvává, zvažte automatizaci příkazu restartování pomocí nástroje pro plánování cron. Viz Jak používat cron v Linuxu na opensource.com.

Další kroky

Referenční informace pro Microsoft Tunnel