Schnellstart: Diagnostizieren von Problemen mit dem Filter für Netzwerkdatenverkehr eines virtuellen Computers über das Azure-PortalQuickstart: Diagnose a virtual machine network traffic filter problem using the Azure portal

In dieser Schnellstartanleitung stellen Sie einen virtuellen Computer (Virtual Machine, VM) bereit und überprüfen dann die ausgehende Kommunikation für eine IP-Adresse und URL sowie die eingehende Kommunikation von einer IP-Adresse.In this quickstart, you deploy a virtual machine (VM), and then check communications to an IP address and URL and from an IP address. Sie bestimmen die Ursache eines Kommunikationsfehlers und wie Sie ihn beheben können.You determine the cause of a communication failure and how you can resolve it.

Wenn Sie kein Azure-Abonnement besitzen, können Sie ein kostenloses Konto erstellen, bevor Sie beginnen.If you don't have an Azure subscription, create a free account before you begin.

Anmelden an AzureLog in to Azure

Melden Sie sich unter https://portal.azure.com beim Azure-Portal an.Log in to the Azure portal at https://portal.azure.com.

Erstellen einer VMCreate a VM

  1. Klicken Sie im Azure-Portal links oben auf + Ressource erstellen.Select + Create a resource found on the upper, left corner of the Azure portal.
  2. Klicken Sie auf Compute und anschließend auf Windows Server 2016 Datacenter oder auf Ubuntu Server 17.10 VM (VM mit Ubuntu Server 17.10).Select Compute, and then select Windows Server 2016 Datacenter or Ubuntu Server 17.10 VM.
  3. Geben Sie die folgenden Informationen ein, oder wählen Sie sie aus, übernehmen Sie die Standardwerte für die übrigen Einstellungen, und klicken Sie auf OK:Enter, or select, the following information, accept the defaults for the remaining settings, and then select OK:

    EinstellungSetting WertValue
    NameName myVmmyVm
    BenutzernameUser name Geben Sie den gewünschten Benutzernamen ein.Enter a user name of your choosing.
    PasswordPassword Geben Sie das gewünschte Kennwort ein.Enter a password of your choosing. Das Kennwort muss mindestens zwölf Zeichen lang sein und die definierten Anforderungen an die Komplexität erfüllen.The password must be at least 12 characters long and meet the defined complexity requirements.
    AbonnementSubscription Wählen Sie Ihr Abonnement aus.Select your subscription.
    RessourcengruppeResource group Klicken Sie auf Neu erstellen, und geben Sie myResourceGroup ein.Select Create new and enter myResourceGroup.
    StandortLocation Wählen Sie USA, Osten aus.Select East US
  4. Wählen Sie eine Größe für den virtuellen Computer aus, und klicken Sie dann auf Auswählen.Select a size for the VM and then select Select.

  5. Übernehmen Sie unter Einstellungen alle Standardwerte, und klicken Sie auf OK.Under Settings, accept all the defaults, and select OK.
  6. Wählen Sie auf der Seite Zusammenfassung unter Erstellen die Option Erstellen, um die Bereitstellung des virtuellen Computers zu starten.Under Create of the Summary, select Create to start VM deployment. Die Bereitstellung des virtuellen Computers dauert einige Minuten.The VM takes a few minutes to deploy. Warten Sie, bis die Bereitstellung des virtuellen Computers abgeschlossen ist, bevor Sie mit den weiteren Schritten fortfahren.Wait for the VM to finish deploying before continuing with the remaining steps.

Testen der NetzwerkkommunikationTest network communication

Wenn Sie die Netzwerkkommunikation mit Network Watcher testen möchten, aktivieren Sie in mindestens einer Region eine Network Watcher-Instanz, und verwenden Sie dann die IP-Flussüberprüfungsfunktion von Network Watcher.To test network communication with Network Watcher, first enable a network watcher in at least one Azure region, and then use Network Watcher's IP flow verify capability.

Aktivieren von Network WatcherEnable network watcher

Wenn bereits in mindestens einer Region eine Network Watcher-Instanz aktiviert ist, fahren Sie mit Verwenden der IP-Flussüberprüfung fort.If you already have a network watcher enabled in at least one region, skip to Use IP flow verify.

  1. Klicken Sie im Portal auf Alle Dienste.In the portal, select All services. Geben Sie im Feld Filter die Zeichenfolge Network Watcher ein.In the Filter box, enter Network Watcher. Wenn in den Ergebnissen die Option Network Watcher angezeigt wird, wählen Sie sie aus.When Network Watcher appears in the results, select it.
  2. Aktivieren Sie eine Network Watcher-Instanz in der Region „USA, Osten“, da der virtuelle Computer in einem vorherigen Schritt in dieser Region bereitgestellt wurde.Enable a network watcher in the East US region, because that's the region the VM was deployed to in a previous step. Klicken Sie auf Regionen, um den Bereich zu erweitern, und klicken Sie anschließend rechts neben USA, Osten auf ..., wie in der folgenden Abbildung gezeigt:Select Regions, to expand it, and then select ... to the right of East US, as shown in the following picture:

    Aktivieren von Network Watcher

  3. Klicken Sie auf Network Watcher aktivieren.Select Enable Network Watcher.

Verwenden der IP-FlussüberprüfungUse IP flow verify

Wenn Sie einen virtuellen Computer erstellen, wird der ein- und ausgehende Netzwerkdatenverkehr des virtuellen Computers von Azure standardmäßig zugelassen bzw. abgelehnt.When you create a VM, Azure allows and denies network traffic to and from the VM, by default. Die Azure-Standardeinstellungen können später außer Kraft gesetzt werden, um zusätzliche Arten von Datenverkehr zuzulassen oder abzulehnen.You might later override Azure's defaults, allowing or denying additional types of traffic.

  1. Klicken Sie im Portal auf Alle Dienste.In the portal, select All services. Geben Sie unter Alle Dienste im Feld Filter die Zeichenfolge Network Watcher ein.In the All services Filter box, enter Network Watcher. Wenn in den Ergebnissen die Option Network Watcher angezeigt wird, wählen Sie sie aus.When Network Watcher appears in the results, select it.
  2. Klicken Sie unter NETZWERKDIAGNOSETOOLS auf IP-Fluss überprüfen.Select IP flow verify, under NETWORK DIAGNOSTIC TOOLS.
  3. Wählen Sie Ihr Abonnement aus, geben Sie die folgenden Werte an, und klicken Sie anschließend auf Überprüfen, wie in der folgenden Abbildung zu sehen:Select your subscription, enter or select the following values, and then select Check, as shown in the picture that follows:

    EinstellungSetting WertValue
    RessourcengruppeResource group Wählen Sie „myResourceGroup“ aus.Select myResourceGroup
    Virtueller ComputerVirtual machine Wählen Sie „myVm“ aus.Select myVm
    NetzwerkschnittstelleNetwork interface myvm (Die Netzwerkschnittstelle, die das Portal beim Erstellen des virtuellen Computers erstellt hat, hat einen anderen Namen.)myvm - The name of the network interface the portal created when you created the VM is different.
    ProtokollProtocol TCPTCP
    RichtungDirection AusgehendOutbound
    Lokale IP-AdresseLocal IP address 10.0.0.410.0.0.4
    Lokaler PortLocal port 6000060000
    Remote-IP-AdresseRemote IP address 13.107.21.200 (eine der Adressen für www.bing.com)13.107.21.200 - One of the addresses for www.bing.com.
    RemoteportRemote port 8080

    IP-Flussüberprüfung

    Nach einigen Sekunden werden Sie im zurückgegebenen Ergebnis darüber informiert, dass der Zugriff aufgrund einer Sicherheitsregel mit dem Namen AllowInternetOutbound zugelassen wird.After a few seconds, the result returned informs you that access is allowed because of a security rule named AllowInternetOutbound. Beim Ausführen der Überprüfung wurde von Network Watcher automatisch eine Network Watcher-Instanz in der Region „USA, Osten“ erstellt, falls vor dem Ausführen der Überprüfung eine Network Watcher-Instanz in einer anderen Region vorhanden war.When you ran the check, Network Watcher automatically created a network watcher in the East US region, if you had an existing network watcher in a region other than the East US region before you ran the check.

  4. Führen Sie Schritt 3 erneut aus, ändern Sie dabei aber die Remote-IP-Adresse in 172.31.0.100.Complete step 3 again, but change the Remote IP address to 172.31.0.100. Im zurückgegebenen Ergebnis werden Sie darüber informiert, dass der Zugriff aufgrund einer Sicherheitsregel mit dem Namen DefaultOutboundDenyAll verweigert wird.The result returned informs you that access is denied because of a security rule named DefaultOutboundDenyAll.
  5. Führen Sie Schritt 3 erneut aus, ändern Sie dabei aber die Richtung in Eingehend, den Wert für Lokaler Port in 80 und den Remoteport in 60000.Complete step 3 again, but change the Direction to Inbound, the Local port to 80 and the Remote port to 60000. Im zurückgegebenen Ergebnis werden Sie darüber informiert, dass der Zugriff aufgrund einer Sicherheitsregel mit dem Namen DefaultInboundDenyAll verweigert wird.The result returned informs you that access is denied because of a security rule named DefaultInboundDenyAll.

Nachdem Sie nun wissen, welche Sicherheitsregeln den ein- und ausgehenden Datenverkehr eines virtuellen Computers zulassen oder ablehnen, können Sie Lösungen für die Probleme ermitteln.Now that you know which security rules are allowing or denying traffic to or from a VM, you can determine how to resolve the problems.

Anzeigen von Details einer SicherheitsregelView details of a security rule

  1. Überprüfen Sie die geltenden Sicherheitsregeln für die Netzwerkschnittstelle des virtuellen Computers, um zu ermitteln, warum die Regeln in den Schritten 3 bis 5 unter Verwenden der IP-Flussüberprüfung die Kommunikation zulassen oder verhindern.To determine why the rules in steps 3-5 of Use IP flow verify allow or deny communication, review the effective security rules for the network interface in the VM. Geben Sie am oberen Rand des Portals den Suchbegriff myvm in das Suchfeld ein.In the search box at the top of the portal, enter myvm. Wenn die Netzwerkschnittstelle mit dem Namen myvm (bzw. mit dem tatsächlichen Namen Ihrer Netzwerkschnittstelle) in den Suchergebnissen angezeigt wird, wählen Sie sie aus.When the myvm (or whatever the name of your network interface is) network interface appears in the search results, select it.
  2. Klicken Sie unter SUPPORT + PROBLEMBEHANDLUNG auf Effektive Sicherheitsregeln, wie in der folgenden Abbildung dargestellt:Select Effective security rules under SUPPORT + TROUBLESHOOTING, as shown in the following picture:

    Effektive Sicherheitsregeln

    In Schritt 3 von Verwenden der IP-Flussüberprüfung haben Sie gelernt, dass die Kommunikation aufgrund der Regel AllowInternetOutbound zugelassen wurde.In step 3 of Use IP flow verify, you learned that the reason the communication was allowed is because of the AllowInternetOutbound rule. In der vorherigen Abbildung sehen Sie, dass Internet das ZIEL für die Regel ist.You can see in the previous picture that the DESTINATION for the rule is Internet. Der Zusammenhang zwischen 13.107.21.200 (die Adresse, die Sie in Schritt 3 von Verwenden der IP-Flussüberprüfung getestet haben) und Internet ist jedoch nicht klar.It's not clear how 13.107.21.200, the address you tested in step 3 of Use IP flow verify, relates to Internet though.

  3. Wählen Sie die Regel AllowInternetOutBound und anschließend Ziel aus, wie in der folgenden Abbildung gezeigt:Select the AllowInternetOutBound rule, and then select Destination, as shown in the following picture:

    Sicherheitsregelpräfixe

    Eines der Präfixe in der Liste ist 12.0.0.0/6, das den IP-Adressbereich 12.0.0.1 bis 15.255.255.254 umfasst.One of the prefixes in the list is 12.0.0.0/6, which encompasses the 12.0.0.1-15.255.255.254 range of IP addresses. Da 13.107.21.200 in diesem Adressbereich liegt, lässt die Regel AllowInternetOutBound den ausgehenden Datenverkehr zu.Since 13.107.21.200 is within that address range, the AllowInternetOutBound rule allows the outbound traffic. Darüber hinaus sind in der Abbildung in Schritt 2 keine Regeln mit einer höheren Priorität (niedrigere Zahl) vorhanden, die diese Regel außer Kraft setzen.Additionally, there are no higher priority (lower number) rules shown in the picture in step 2 that override this rule. Schließen Sie den Bereich Adresspräfixe.Close the Address prefixes box. Um die ausgehende Kommunikation mit 13.107.21.200 zu verweigern, können Sie eine Sicherheitsregel mit einer höheren Priorität hinzufügen, die ausgehenden Datenverkehr über den Port 80 für die IP-Adresse verweigert.To deny outbound communication to 13.107.21.200, you could add a security rule with a higher priority, that denies port 80 outbound to the IP address.

  4. Beim Ausführen der ausgehenden Überprüfung für 172.131.0.100 in Schritt 4 von Verwenden der IP-Flussüberprüfung haben Sie gelernt, dass die Regel DefaultOutboundDenyAll die Kommunikation verweigert hat.When you ran the outbound check to 172.131.0.100 in step 4 of Use IP flow verify, you learned that the DefaultOutboundDenyAll rule denied communication. Diese Regel entspricht der Regel DenyAllOutBound aus der Abbildung in Schritt 2, die 0.0.0.0/0 als ZIEL angibt.That rule equates to the DenyAllOutBound rule shown in the picture in step 2 that specifies 0.0.0.0/0 as the DESTINATION. Die Regel verweigert die ausgehende Kommunikation mit 172.131.0.100, da die Adresse nicht im ZIEL einer der anderen ausgehenden Regeln aus der Abbildung enthalten ist.This rule denies the outbound communication to 172.131.0.100, because the address is not within the DESTINATION of any of the other Outbound rules shown in the picture. Um die ausgehende Kommunikation zuzulassen, können Sie eine Sicherheitsregel mit einer höheren Priorität hinzufügen, die ausgehenden Datenverkehr über den Port 80 für die Adresse 172.131.0.100 zulässt.To allow the outbound communication, you could add a security rule with a higher priority, that allows outbound traffic to port 80 for the 172.131.0.100 address.
  5. Beim Ausführen der eingehenden Überprüfung für 172.131.0.100 in Schritt 5 von Verwenden der IP-Flussüberprüfung haben Sie gelernt, dass die Regel DefaultInboundDenyAll die Kommunikation verweigert hat.When you ran the inbound check from 172.131.0.100 in step 5 of Use IP flow verify, you learned that the DefaultInboundDenyAll rule denied communication. Diese Regel entspricht der Regel DenyAllInBound aus der Abbildung in Schritt 2.That rule equates to the DenyAllInBound rule shown in the picture in step 2. Die Regel DenyAllInBound wird erzwungen, da keine andere Regel mit höherer Priorität vorhanden ist, die für den virtuellen Computer eingehenden Datenverkehr von 172.31.0.100 am Port 80 zulässt.The DenyAllInBound rule is enforced because no other higher priority rule exists that allows port 80 inbound to the VM from 172.31.0.100. Um die eingehende Kommunikation zuzulassen, können Sie eine Sicherheitsregel mit einer höheren Priorität hinzufügen, die eingehenden Datenverkehr von 172.31.0.100 am Port 80 zulässt.To allow the inbound communication, you could add a security rule with a higher priority, that allows port 80 inbound from 172.31.0.100.

Mit den Überprüfungen in dieser Schnellstartanleitung wurde die Azure-Konfiguration getestet.The checks in this quickstart tested Azure configuration. Wenn die Überprüfungen zwar die erwarteten Ergebnisse zurückgeben, aber weiterhin Netzwerkprobleme auftreten, stellen Sie sicher, dass zwischen Ihrem virtuellen Computer und dem Endpunkt, mit dem Sie kommunizieren, keine Firewall vorhanden ist und das Betriebssystem auf Ihrem virtuellen Computer nicht über eine Firewall verfügt, die die Kommunikation zulässt oder verweigert.If the checks return expected results and you still have network problems, ensure that you don't have a firewall between your VM and the endpoint you're communicating with and that the operating system in your VM doesn't have a firewall that is allowing or denying communication.

Bereinigen von RessourcenClean up resources

Löschen Sie die Ressourcengruppe mit allen ihren Ressourcen, wenn Sie sie nicht mehr benötigen:When no longer needed, delete the resource group and all of the resources it contains:

  1. Geben Sie im oben im Portal im Feld Suche die Zeichenfolge myResourceGroup ein.Enter myResourceGroup in the Search box at the top of the portal. Wenn myResourceGroup in den Suchergebnissen angezeigt wird, wählen Sie diese Angabe aus.When you see myResourceGroup in the search results, select it.
  2. Wählen Sie die Option Ressourcengruppe löschen.Select Delete resource group.
  3. Geben Sie für Geben Sie den Ressourcengruppennamen ein: den Namen myResourceGroup ein, und klicken Sie auf Löschen.Enter myResourceGroup for TYPE THE RESOURCE GROUP NAME: and select Delete.

Nächste SchritteNext steps

In dieser Schnellstartanleitung haben Sie einen virtuellen Computer erstellt sowie Filter für ein- und ausgehenden Netzwerkdatenverkehr diagnostiziert.In this quickstart, you created a VM and diagnosed inbound and outbound network traffic filters. Sie haben gelernt, dass Netzwerksicherheitsgruppen-Regeln den ein- und ausgehenden Datenverkehr eines virtuellen Computers zulassen oder verweigern.You learned that network security group rules allow or deny traffic to and from a VM. Erfahren Sie mehr über Sicherheitsregeln und das Erstellen von Sicherheitsregeln.Learn more about security rules and how to create security rules.

Auch wenn für den Netzwerkdatenverkehr die richtigen Filter vorhanden sind, kann die Kommunikation mit einem virtuellen Computer aufgrund der Routingkonfiguration fehlschlagen.Even with the proper network traffic filters in place, communication to a VM can still fail, due to routing configuration. Informationen zum Diagnostizieren von Routingproblemen in VM-Netzwerken finden Sie unter Diagnostizieren von VM-Routingproblemen. Unter Problembehandlung für Verbindungen erfahren Sie außerdem, wie Sie mit nur einem Tool Probleme mit Ausgangsrouting und Wartezeiten sowie Probleme mit dem Filtern des Datenverkehrs diagnostizieren.To learn how to diagnose VM network routing problems, see Diagnose VM routing problems or, to diagnose outbound routing, latency, and traffic filtering problems, with one tool, see Connection troubleshoot.