Problembehandlung für Azure-zu-Azure-VM-Netzwerkkonnektivitätsprobleme

  • Artikel

In diesem Artikel werden allgemeine Probleme im Zusammenhang mit der Netzwerkkonnektivität beim Replizieren und Wiederherstellen virtueller Azure-Computer (VMs) aus einer Region in einer anderen Region beschrieben. Weitere Informationen zu den Netzwerkanforderungen finden Sie unter Netzwerkkonzepte für die Replikation zwischen Azure-Standorten.

Damit die Site Recovery-Replikation funktioniert, ist für die VM die ausgehende Konnektivität zu bestimmten URLs oder IP-Bereichen erforderlich. Wenn sich Ihr virtueller Computer hinter einer Firewall befindet oder Netzwerksicherheitsgruppen-Regeln (NSG-Regeln) zum Steuern der ausgehenden Konnektivität verwendet werden, wird ggf. eine dieser Fehlermeldungen angezeigt.

Name Kommerziell Behörden Beschreibung
Storage *.blob.core.windows.net *.blob.core.usgovcloudapi.net Erforderlich, damit Daten in das Cachespeicherkonto in der Quellregion über die VM geschrieben werden können. Wenn Sie alle Cachespeicherkonten für Ihre VMs kennen, können Sie eine Zulassungsliste für die spezifischen Speicherkonto-URLs verwenden. Beispielsweise cache1.blob.core.windows.net und cache2.blob.core.windows.net anstelle von *.blob.core.windows.net.
Microsoft Entra ID login.microsoftonline.com login.microsoftonline.us Erforderlich für die Autorisierung und Authentifizierung bei den Site Recovery-Dienst-URLs.
Replikation *.hypervrecoverymanager.windowsazure.com *.hypervrecoverymanager.windowsazure.us Erforderlich, um die Kommunikation mit dem Site Recovery-Dienst über die VM zu ermöglichen. Sie können die entsprechende Site Recovery-IP verwenden, wenn Ihr Firewallproxy IPs unterstützt.
Service Bus *.servicebus.windows.net *.servicebus.usgovcloudapi.net Erforderlich, damit die Site Recovery-Überwachungs- und -Diagnosedaten über die VM geschrieben werden können. Sie können die entsprechende Site Recovery-Überwachungs-IP verwenden, wenn Ihr Firewallproxy IPs unterstützt.

Ausgehende Konnektivität für Site Recovery-URLs oder IP-Bereiche (Fehlercode 151037 oder 151072)

Problem 1: Fehler beim Registrieren des virtuellen Azure-Computers bei Site Recovery (151195)

Mögliche Ursache

Eine Verbindung mit den Site Recovery-Endpunkten kann aufgrund eines Fehlers bei der DNS-Auflösung (Domain Name System) nicht hergestellt werden. Dieses Problem tritt häufiger beim erneuten Schützen auf, wenn Sie für die VM ein Failover ausgeführt haben, aber der DNS-Server aus der Region für die Notfallwiederherstellung nicht erreichbar ist.

Lösung

Stellen Sie bei Verwendung eines benutzerdefinierten DNS sicher, dass der DNS-Server in der Notfallwiederherstellungsregion erreichbar ist.

Überprüfen Sie wie folgt, ob für die VM eine Einstellung für das benutzerdefinierte DNS verwendet wird:

  1. Öffnen Sie Virtuelle Computer, und wählen Sie die VM aus.
  2. Navigieren Sie für die VM zu Einstellungen, und wählen Sie Netzwerk aus.
  3. Wählen Sie unter Virtuelles Netzwerk/Subnetz den Link zum Öffnen der Ressourcenseite des virtuellen Netzwerks aus.
  4. Navigieren Sie zu Einstellungen, und wählen Sie DNS-Server aus.

Versuchen Sie, über den virtuellen Computer auf den DNS-Server zuzugreifen. Wenn der DNS-Server nicht erreichbar ist, können Sie ein Failover für den DNS-Server ausführen oder eine „Sichtverbindung“ zwischen dem Netzwerk für die Notfallwiederherstellung und dem DNS herstellen.

com-error

Problem 2: Fehler bei der Site Recovery-Konfiguration (151196)

Hinweis

Falls die VMs hinter einem internen Lastenausgleichsmodul vom Typ Standard angeordnet sind, besteht standardmäßig kein Zugriff auf die IP-Adressen von Microsoft 365 ( z. B. login.microsoftonline.com). Erstellen Sie für ausgehenden Zugriff ein Azure NAT-Gateway. Weitere Informationen finden Sie unter Schnellstart: Erstellen eines NAT-Gateways – Azure CLI.

Mögliche Ursache

Eine Verbindung mit IP4-Endpunkten für die Authentifizierung und Identität von Microsoft 365 kann nicht hergestellt werden.

Lösung

  • Azure Site Recovery benötigt für die Authentifizierung Zugriff auf die IP-Adressbereiche von Microsoft 365.
  • Wenn Sie zum Steuern der ausgehenden Netzwerkkonnektivität auf dem virtuellen Computer Azure-Netzwerksicherheitsgruppenregeln (NSG-Regeln) oder einen Firewallproxy verwenden, müssen Sie die Kommunikation mit den IP-Adressbereichen von Microsoft 365 zulassen. Erstellen Sie basierend auf der NSG-Regel ein Microsoft Entra-Diensttag für den Zugriff auf alle IP-Adressen für Microsoft Entra ID.
  • Wenn Microsoft Entra ID später neue Adressen hinzugefügt werden, müssen Sie neue NSG-Regeln erstellen.

Beispielkonfiguration für eine Netzwerksicherheitsgruppe

Dieses Beispiel zeigt, wie NSG-Regeln für eine zu replizierende VM konfiguriert werden.

  • Wenn Sie die ausgehende Konnektivität mit NSG-Regeln steuern, verwenden Sie für alle erforderlichen IP-Adressbereiche Regeln vom Typ Ausgehende HTTPS-Verbindungen zulassen für Port 443.
  • Im Beispiel wird davon ausgegangen, dass der VM-Quellstandort USA, Osten und der Zielstandort USA, Mitte lautet.

NSG-Regeln – USA, Osten

  1. Erstellen Sie eine HTTPS-Ausgangssicherheitsregel für die NSG. Dies ist im folgenden Screenshot dargestellt. In diesem Beispiel werden das ZieldiensttagStorage.EastUS und der Zielportbereich443 verwendet.

    Screenshot: Bereich „Ausgangssicherheitsregel hinzufügen“ für eine Sicherheitsregel für „Storage.EastUS“

  2. Erstellen Sie eine HTTPS-Ausgangssicherheitsregel für die NSG. Dies ist im folgenden Screenshot dargestellt. In diesem Beispiel werden das ZieldiensttagAzureActiveDirectory und der Zielportbereich443 verwendet.

    Screenshot zeigt einen Bereich „Ausgehende Sicherheitsregel hinzufügen“ für eine Sicherheitsregel für Microsoft Entra ID.

  3. Erstellen Sie (ähnlich zu den oben erstellten Sicherheitsregeln) eine Sicherheitsregel für ausgehenden HTTPS-Datenverkehr (443) für „EventHub.CentralUS“ für die NSG, die dem Zielstandort entspricht. Dies ermöglicht den Zugriff auf Site Recovery-Überwachung.

  4. Erstellen Sie eine NSG-Sicherheitsregel für ausgehende HTTPS-Verbindungen (443) für „AzureSiteRecovery“. Dies ermöglicht den Zugriff auf den Site Recovery-Dienst in jeder beliebigen Region.

NSG-Regeln – USA, Mitte

In diesem Beispiel sind diese NSG-Regeln erforderlich, damit nach dem Failover die Replikation von der Zielregion zur Quellregion aktiviert werden kann:

  1. Erstellen Sie eine HTTPS-Ausgangssicherheitsregel für Storage.CentralUS:

    • Zieldiensttag: Storage.CentralUS
    • Zielportbereiche: 443

  2. Erstellen Sie eine HTTPS-Ausgangssicherheitsregel für AzureActiveDirectory.

    • Zieldiensttag: AzureActiveDirectory
    • Zielportbereiche: 443

  3. Erstellen Sie (ähnlich zu den oben erstellten Sicherheitsregeln) eine Sicherheitsregel für ausgehenden HTTPS-Datenverkehr (443) für „EventHub.EastUS“ für die NSG, die dem Quellstandort entspricht. Dies ermöglicht den Zugriff auf Site Recovery-Überwachung.

  4. Erstellen Sie eine NSG-Sicherheitsregel für ausgehende HTTPS-Verbindungen (443) für „AzureSiteRecovery“. Dies ermöglicht den Zugriff auf den Site Recovery-Dienst in jeder beliebigen Region.

Problem 3: Fehler bei der Site Recovery-Konfiguration (151197)

Mögliche Ursache

Eine Verbindung mit Azure Site Recovery-Dienstendpunkten kann nicht hergestellt werden.

Lösung

Wenn Sie zum Steuern der ausgehenden Netzwerkkonnektivität auf dem Computer Azure-Netzwerksicherheitsgruppen-Regeln (NSG-Regeln) oder einen Firewallproxy verwenden, müssen verschiedene Diensttags zugelassen werden. Weitere Informationen

Problem 4: Fehler bei der Azure-zu-Azure-Replikation, wenn der Netzwerkdatenverkehr lokale Proxyserver durchläuft (151072).

Mögliche Ursache

Die benutzerdefinierten Proxyeinstellungen sind ungültig, und der Agent des Azure Site Recovery-Mobilitätsdiensts hat die Proxyeinstellungen von Internet Explorer (IE) nicht automatisch erkannt.

Lösung

  1. Der Mobilitätsdienst-Agent erkennt die Proxyeinstellungen von IE unter Windows und unter /etc/environment für Linux.

  2. Wenn nur für den Azure Site Recovery-Mobilitätsdienst ein Proxy festgelegt werden soll, können Sie die Proxydetails in ProxyInfo.conf angeben, die sich hier befinden:

    • Linux: /usr/local/InMage/config/
    • Windows: C:\ProgramData\Microsoft Azure Site Recovery\Config

  3. ProxyInfo.conf sollte die Proxyeinstellungen im folgenden INI-Format enthalten:

    [proxy]
Address=http://1.2.3.4
Port=567

Hinweis

Der Agent des Azure Site Recovery-Mobilitätsdiensts unterstützt nur nicht authentifizierte Proxys.

Beheben des Problems

Führen Sie die Schritte im Dokument mit der Netzwerkanleitung aus, um die erforderlichen URLs bzw. die erforderlichen IP-Bereiche zuzulassen.

Nächste Schritte

Replizieren von Azure-VMs in eine andere Azure-Region.