Diagnostizieren von Problemen mit dem Filter für Netzwerkdatenverkehr eines virtuellen ComputersDiagnose a virtual machine network traffic filter problem

In diesem Artikel erfahren Sie, wie ein Problem mit einem Filter für Netzwerkdatenverkehr diagnostiziert werden kann, indem Sie die für einen virtuellen Computer (VM) geltenden NSG-Sicherheitsregeln (Netzwerksicherheitsgruppe) anzeigen.In this article, you learn how to diagnose a network traffic filter problem by viewing the network security group (NSG) security rules that are effective for a virtual machine (VM).

Über NSGs können Sie die Typen des Datenverkehrs steuern, der bei einer VM ein- und ausgeht.NSGs enable you to control the types of traffic that flow in and out of a VM. Sie können einem Subnetz in einem virtuellen Azure-Network, einer Netzwerkschnittstelle, die an eine VM angefügt ist, oder beidem eine NSG zuordnen.You can associate an NSG to a subnet in an Azure virtual network, a network interface attached to a VM, or both. Die geltenden Sicherheitsregeln, die auf eine Netzwerkschnittstelle angewendet werden, stellen eine Aggregation der Regeln, die in der einer Netzwerkschnittstelle zugeordneten NSG vorhanden sind, und des Subnetzes der Netzwerkschnittstelle dar.The effective security rules applied to a network interface are an aggregation of the rules that exist in the NSG associated to a network interface, and the subnet the network interface is in. Die Regeln in den verschiedenen NSGs können manchmal in Konflikt miteinander stehen und sich auf die Netzwerkkonnektivität einer VM auswirken.Rules in different NSGs can sometimes conflict with each other and impact a VM's network connectivity. Sie können alle effektiven Sicherheitsregeln der NSGs anzeigen, die auf die Netzwerkschnittstellen Ihrer VM angewendet werden.You can view all the effective security rules from NSGs that are applied on your VM's network interfaces. Wenn Sie nicht mit virtuellen Netzwerken, Netzwerkschnittstellen oder NSG-Konzepten vertraut sind, lesen Sie Was ist Azure Virtual Network?, Erstellen, Ändern oder Löschen von Netzwerkschnittstellen und Netzwerksicherheit.If you're not familiar with virtual network, network interface, or NSG concepts, see Virtual network overview, Network interface, and Network security groups overview.

SzenarioScenario

Sie versuchen, eine Verbindung mit einer VM über Port 80 über das Internet herzustellen, doch ein Fehler tritt auf.You attempt to connect to a VM over port 80 from the internet, but the connection fails. Um festzustellen, warum Sie nicht auf Port 80 über das Internet zugreifen können, können Sie die effektiven Sicherheitsregeln für eine Netzwerkschnittstelle mit dem Azure-Portal, mit PowerShell oder mit der Azure CLI anzeigen.To determine why you can't access port 80 from the Internet, you can view the effective security rules for a network interface using the Azure portal, PowerShell, or the Azure CLI.

Die folgenden Schritte setzen voraus, dass Sie über eine VM verfügen, deren effektive Sicherheitsregeln Sie anzeigen können.The steps that follow assume you have an existing VM to view the effective security rules for. Wenn Sie nicht über eine VM verfügen, stellen Sie zuerst eine Linux- oder Windows-VM zum Ausführen der Aufgaben in diesem Artikel bereit.If you don't have an existing VM, first deploy a Linux or Windows VM to complete the tasks in this article with. Die Beispiele in diesem Artikel beziehen sich auf eine VM mit dem Namen myVM mit einer Netzwerkschnittstelle namens myVMVMNic.The examples in this article are for a VM named myVM with a network interface named myVMVMNic. VM und Netzwerkschnittstelle gehören zu einer Ressourcengruppe mit dem Namen myResourceGroup in der Region USA, Osten.The VM and network interface are in a resource group named myResourceGroup, and are in the East US region. Ändern Sie die Werte in den Schritten nach Bedarf für die VM, deren Problem Sie diagnostizieren.Change the values in the steps, as appropriate, for the VM you are diagnosing the problem for.

Diagnostizieren über das Azure-PortalDiagnose using Azure portal

  1. Melden Sie sich beim Azure-Portal mit einem Azure-Konto an, dem die erforderlichen Berechtigungen zugewiesen sind.Log into the Azure portal with an Azure account that has the necessary permissions.

  2. Geben Sie oben im Azure-Portal in das Suchfeld den Namen der VM ein.At the top of the Azure portal, enter the name of the VM in the search box. Wenn der Name der VM in den Suchergebnissen angezeigt wird, wählen Sie sie aus.When the name of the VM appears in the search results, select it.

  3. Klicken Sie unter EINSTELLUNGEN auf Netzwerk, wie in der folgenden Abbildung gezeigt wird:Under SETTINGS, select Networking, as shown in the following picture:

    Anzeigen von Sicherheitsregeln

    Die Regeln, die in der vorherigen Abbildung aufgeführt sind, beziehen sich auf eine Netzwerkschnittstelle mit dem Namen myVMVMNic.The rules you see listed in the previous picture are for a network interface named myVMVMNic. Sie können REGELN FÜR EINGEHENDE PORTS für die Netzwerkschnittstelle aus zwei verschiedenen Netzwerksicherheitsgruppen sehen:You see that there are INBOUND PORT RULES for the network interface from two different network security groups:

    • mySubnetNSG: Ist dem Subnetz zugeordnet, in dem sich die Netzwerkschnittstelle befindet.mySubnetNSG: Associated to the subnet that the network interface is in.
    • myVMNSG: Ist der Netzwerkschnittstelle auf der VM mit dem Namen myVMVMNic zugeordnet.myVMNSG: Associated to the network interface in the VM named myVMVMNic.

    Die Regel mit dem Namen DenyAllInBound verhindert eingehende Kommunikation mit der VM über Port 80 über das Internet, wie im Szenario beschrieben wird.The rule named DenyAllInBound is what's preventing inbound communication to the VM over port 80, from the internet, as described in the scenario. Die Regel gibt 0.0.0.0/0 für QUELLE an, die das Internet einschließt.The rule lists 0.0.0.0/0 for SOURCE, which includes the internet. Keine andere Regel mit einer höheren Priorität (niedrigere Zahl) lässt den Port 80 als eingehenden Port zu.No other rule with a higher priority (lower number) allows port 80 inbound. Um den Port 80 als eingehenden Port für die VM über das Internet zuzulassen, lesen Sie den Artikel Beheben eines Problems.To allow port 80 inbound to the VM from the internet, see Resolve a problem. Weitere Informationen zu Sicherheitsregeln und zu ihrer Anwendung in Azure finden Sie unter Netzwerksicherheitsgruppen.To learn more about security rules and how Azure applies them, see Network security groups.

    Unten in der Abbildung sehen Sie darüber hinaus REGELN FÜR AUSGEHENDE PORTS.At the bottom of the picture, you also see OUTBOUND PORT RULES. Darunter befinden sich die Regeln für ausgehende Ports für die Netzwerkschnittstelle.Under that are the outbound port rules for the network interface. Obwohl in der Abbildung nur vier Eingangsregeln für jede NSG gezeigt werden, verfügen Ihre NSGs möglicherweise über mehr als vier Regeln.Though the picture only shows four inbound rules for each NSG, your NSGs may have many more than four rules. In der Abbildung finden Sie VirtualNetwork unter QUELLE und ZIEL und AzureLoadBalancer unter QUELLE.In the picture, you see VirtualNetwork under SOURCE and DESTINATION and AzureLoadBalancer under SOURCE. Bei VirtualNetwork und AzureLoadBalancer handelt es sich um Diensttags.VirtualNetwork and AzureLoadBalancer are service tags. Diensttags stellen eine Gruppe von IP-Adressen dar und haben die Aufgabe, bei der Erstellung von Sicherheitsregeln die Komplexität zu verringern.Service tags represent a group of IP address prefixes to help minimize complexity for security rule creation.

  4. Um die in der folgenden Abbildung gezeigten effektiven Sicherheitsregeln anzuzeigen, stellen Sie sicher, dass sich die VM im Ausführungsstatus befindet, und wählen Sie dann Effektive Sicherheitsregeln aus:Ensure that the VM is in the running state, and then select Effective security rules, as shown in the previous picture, to see the effective security rules, shown in the following picture:

    Anzeigen effektiver Sicherheitsregeln

    Die aufgeführten Regeln sind mit denen aus Schritt 3 identisch, wobei es jedoch verschiedene Registerkarten für die NSG gibt, die der Netzwerkschnittstelle und dem Subnetz zugeordnet ist.The rules listed are the same as you saw in step 3, though there are different tabs for the NSG associated to the network interface and the subnet. Wie Sie in der Abbildung sehen können, werden nur die ersten 50 Regeln angezeigt.As you can see in the picture, only the first 50 rules are shown. Klicken Sie zum Herunterladen einer CSV-Datei, die alle Regeln enthält, auf Herunterladen.To download a .csv file that contains all of the rules, select Download.

    Um anzuzeigen, welche Präfixe jedes Diensttag darstellt, wählen Sie eine Regel aus, z.B. die Regel mit dem Namen AllowAzureLoadBalancerInbound.To see which prefixes each service tag represents, select a rule, such as the rule named AllowAzureLoadBalancerInbound. In der folgenden Abbildung werden die Präfixe für das Diensttag AzureLoadBalancer gezeigt:The following picture shows the prefixes for the AzureLoadBalancer service tag:

    Anzeigen effektiver Sicherheitsregeln

    Das Diensttag AzureLoadBalancer stellt zwar nur ein Präfix dar, andere Diensttags stehen jedoch für mehrere Präfixe.Though the AzureLoadBalancer service tag only represents one prefix, other service tags represent several prefixes.

  5. In den vorherigen Schritten wurden die Sicherheitsregeln für eine Netzwerkschnittstelle mit dem Namen myVMVMNic veranschaulicht, doch in einigen der vorherigen Abbildungen haben Sie auch eine Netzwerkschnittstelle mit dem Namen myVMVMNic2 gesehen.The previous steps showed the security rules for a network interface named myVMVMNic, but you've also seen a network interface named myVMVMNic2 in some of the previous pictures. Bei der VM in diesem Beispiel sind zwei Netzwerkschnittstellen angefügt.The VM in this example has two network interfaces attached to it. Die effektiven Sicherheitsregeln können für jede Netzwerkschnittstelle unterschiedlich sein.The effective security rules can be different for each network interface.

    Um die Regeln für die Netzwerkschnittstelle myVMVMNic2 anzuzeigen, wählen Sie sie aus.To see the rules for the myVMVMNic2 network interface, select it. Wie in der nachfolgenden Abbildung gezeigt wird, sind bei der Netzwerkschnittstelle dem Subnetz die gleichen Regeln wie denen der Netzwerkschnittstelle myVMVMNic zugeordnet, da sich beide Netzwerkschnittstellen im gleichen Subnetz befinden.As shown in the picture that follows, the network interface has the same rules associated to its subnet as the myVMVMNic network interface, because both network interfaces are in the same subnet. Wenn Sie einem Subnetz eine NSG zuordnen, werden die zugehörigen Regeln auf alle Netzwerkschnittstellen im Subnetz angewendet.When you associate an NSG to a subnet, its rules are applied to all network interfaces in the subnet.

    Anzeigen von Sicherheitsregeln

    Im Gegensatz zur Netzwerkschnittstelle myVMVMNic ist die Netzwerkschnittstelle myVMVMNic2 nicht einer Netzwerksicherheitsgruppe zugeordnet.Unlike the myVMVMNic network interface, the myVMVMNic2 network interface does not have a network security group associated to it. Jede Netzwerkschnittstelle und jedes Subnetz können optional einer NSG zugeordnet werden.Each network interface and subnet can have zero, or one, NSG associated to it. Den einzelnen Netzwerkschnittstellen oder Subnetzen kann die gleiche oder eine andere NSG zugeordnet werden.The NSG associated to each network interface or subnet can be the same, or different. Sie können dieselbe Netzwerksicherheitsgruppe beliebig vielen Netzwerkschnittstellen und Subnetzen zuordnen.You can associate the same network security group to as many network interfaces and subnets as you choose.

Effektive Sicherheitsregeln können nicht nur über die VM angezeigt werden, sondern auch jeweils über Folgendes:Though effective security rules were viewed through the VM, you can also view effective security rules through an individual:

Diagnose mit PowerShellDiagnose using PowerShell

Hinweis

Dieser Artikel wurde aktualisiert und beinhaltet jetzt das neue Az-Modul von Azure PowerShell.This article has been updated to use the new Azure PowerShell Az module. Sie können das AzureRM-Modul weiterhin verwenden, das bis mindestens Dezember 2020 weiterhin Fehlerbehebungen erhält.You can still use the AzureRM module, which will continue to receive bug fixes until at least December 2020. Weitere Informationen zum neuen Az-Modul und zur Kompatibilität mit AzureRM finden Sie unter Introducing the new Azure PowerShell Az module (Einführung in das neue Az-Modul von Azure PowerShell).To learn more about the new Az module and AzureRM compatibility, see Introducing the new Azure PowerShell Az module. Anweisungen zur Installation des Az-Moduls finden Sie unter Install Azure PowerShell (Installieren von Azure PowerShell).For Az module installation instructions, see Install Azure PowerShell.

Sie können die nachfolgenden Befehle in Azure Cloud Shell oder über PowerShell auf Ihrem Computer ausführen.You can run the commands that follow in the Azure Cloud Shell, or by running PowerShell from your computer. Azure Cloud Shell ist eine kostenlose interaktive Shell.The Azure Cloud Shell is a free interactive shell. Sie verfügt über allgemeine vorinstallierte Tools und ist für die Verwendung mit Ihrem Konto konfiguriert.It has common Azure tools preinstalled and configured to use with your account. Wenn Sie PowerShell auf Ihrem Computer ausführen, müssen Sie das Azure PowerShell-Modul Version 1.0.0 oder höher ausführen.If you run PowerShell from your computer, you need the Azure PowerShell module, version 1.0.0 or later. Führen Sie Get-Module -ListAvailable Az auf Ihrem Computer aus, um nach der installierten Version zu suchen.Run Get-Module -ListAvailable Az on your computer, to find the installed version. Wenn Sie ein Upgrade ausführen müssen, finden Sie unter Installieren des Azure PowerShell-Moduls Informationen dazu.If you need to upgrade, see Install Azure PowerShell module. Wenn Sie PowerShell lokal ausführen, müssen Sie auch Connect-AzAccount ausführen, um sich bei Azure mit einem Konto anzumelden, das über die erforderlichen Berechtigungen verfügt.If you are running PowerShell locally, you also need to run Connect-AzAccount to log into Azure with an account that has the necessary permissions].

Rufen Sie mit Get-AzEffectiveNetworkSecurityGroup die effektiven Sicherheitsregeln für eine Netzwerkschnittstelle ab.Get the effective security rules for a network interface with Get-AzEffectiveNetworkSecurityGroup. Im folgenden Beispiel werden die effektiven Sicherheitsregeln für eine Netzwerkschnittstelle mit dem Namen myVMVMNic abgerufen, die sich in einer Ressourcengruppe mit dem Namen myResourceGroup befindet:The following example gets the effective security rules for a network interface named myVMVMNic, that is in a resource group named myResourceGroup:

Get-AzEffectiveNetworkSecurityGroup `
  -NetworkInterfaceName myVMVMNic `
  -ResourceGroupName myResourceGroup

Die Ausgabe wird im JSON-Format zurückgegeben.Output is returned in json format. Informationen zur Ausgabe finden Sie unter Interpretieren der Befehlsausgabe.To understand the output, see interpret command output. Die Ausgabe wird nur dann zurückgegeben, wenn einer NSG die Netzwerkschnittstelle, das Subnetz, in dem sich die Netzwerkschnittstelle befindet, oder beides zugeordnet ist.Output is only returned if an NSG is associated with the network interface, the subnet the network interface is in, or both. Die VM muss sich im Ausführungsstatus befinden.The VM must be in the running state. Eine VM kann mehrere Netzwerkschnittstellen aufweisen, auf die verschiedene NSGs angewendet sind.A VM may have multiple network interfaces with different NSGs applied. Führen Sie den Befehl bei der Problembehandlung für jede Netzwerkschnittstelle aus.When troubleshooting, run the command for each network interface.

Wenn das Konnektivitätsproblem weiterhin besteht, lesen Sie die Abschnitte Zusätzliche Diagnose und Überlegungen.If you're still having a connectivity problem, see additional diagnosis and considerations.

Wenn Sie den Namen einer Netzwerkschnittstelle nicht kennen, aber den Namen der VM, an die die Netzwerkschnittstelle angefügt ist, geben die folgenden Befehle die IDs aller Netzwerkschnittstellen zurück, die an eine VM angefügt sind:If you don't know the name of a network interface, but do know the name of the VM the network interface is attached to, the following commands return the IDs of all network interfaces attached to a VM:

$VM = Get-AzVM -Name myVM -ResourceGroupName myResourceGroup
$VM.NetworkProfile

Eine Ausgabe ähnlich wie im folgenden Beispiel wird angezeigt:You receive output similar to the following example:

NetworkInterfaces
-----------------
{/subscriptions/<ID>/resourceGroups/myResourceGroup/providers/Microsoft.Network/networkInterfaces/myVMVMNic

In der vorherigen Ausgabe lautete der Netzwerkschnittstellenname myVMVMNic.In the previous output, the network interface name is myVMVMNic.

Diagnose über die Azure CLIDiagnose using Azure CLI

Wenn Sie Befehle der Azure-Befehlszeilenschnittstelle (CLI) zum Durchführen von Aufgaben in diesem Artikel verwenden, führen Sie die Befehle entweder in Azure Cloud Shell oder durch Ausführen der CLI auf Ihrem Computer aus.If using Azure Command-line interface (CLI) commands to complete tasks in this article, either run the commands in the Azure Cloud Shell, or by running the CLI from your computer. Für diesen Artikel ist die Azure CLI-Version 2.0.32 oder höher erforderlich.This article requires the Azure CLI version 2.0.32 or later. Führen Sie az --version aus, um die installierte Version zu ermitteln.Run az --version to find the installed version. Informationen zum Durchführen einer Installation oder eines Upgrades finden Sei bei Bedarf unter Installieren der Azure CLI.If you need to install or upgrade, see Install Azure CLI. Wenn Sie die Azure CLI lokal ausführen, müssen Sie auch az login ausführen, um sich bei Azure mit einem Konto anzumelden, das über die erforderlichen Berechtigungen verfügt.If you are running the Azure CLI locally, you also need to run az login and log into Azure with an account that has the necessary permissions.

Rufen Sie mit az network nic list-effective-nsg die effektiven Sicherheitsregeln für eine Netzwerkschnittstelle ab.Get the effective security rules for a network interface with az network nic list-effective-nsg. Im folgenden Beispiel werden die effektiven Sicherheitsregeln für eine Netzwerkschnittstelle mit dem Namen myVMVMNic abgerufen, die sich in einer Ressourcengruppe mit dem Namen myResourceGroup befindet:The following example gets the effective security rules for a network interface named myVMVMNic that is in a resource group named myResourceGroup:

az network nic list-effective-nsg \
  --name myVMVMNic \
  --resource-group myResourceGroup

Die Ausgabe wird im JSON-Format zurückgegeben.Output is returned in json format. Informationen zur Ausgabe finden Sie unter Interpretieren der Befehlsausgabe.To understand the output, see interpret command output. Die Ausgabe wird nur dann zurückgegeben, wenn einer NSG die Netzwerkschnittstelle, das Subnetz, in dem sich die Netzwerkschnittstelle befindet, oder beides zugeordnet ist.Output is only returned if an NSG is associated with the network interface, the subnet the network interface is in, or both. Die VM muss sich im Ausführungsstatus befinden.The VM must be in the running state. Eine VM kann mehrere Netzwerkschnittstellen aufweisen, auf die verschiedene NSGs angewendet sind.A VM may have multiple network interfaces with different NSGs applied. Führen Sie den Befehl bei der Problembehandlung für jede Netzwerkschnittstelle aus.When troubleshooting, run the command for each network interface.

Wenn das Konnektivitätsproblem weiterhin besteht, lesen Sie die Abschnitte Zusätzliche Diagnose und Überlegungen.If you're still having a connectivity problem, see additional diagnosis and considerations.

Wenn Sie den Namen einer Netzwerkschnittstelle nicht kennen, aber den Namen der VM, an die die Netzwerkschnittstelle angefügt ist, geben die folgenden Befehle die IDs aller Netzwerkschnittstellen zurück, die an eine VM angefügt sind:If you don't know the name of a network interface, but do know the name of the VM the network interface is attached to, the following commands return the IDs of all network interfaces attached to a VM:

az vm show \
  --name myVM \
  --resource-group myResourceGroup

In der zurückgegebenen Ausgabe finden Sie Informationen wie etwa im folgenden Beispiel:Within the returned output, you see information similar to the following example:

"networkProfile": {
    "additionalProperties": {},
    "networkInterfaces": [
      {
        "additionalProperties": {},
        "id": "/subscriptions/<ID>/resourceGroups/myResourceGroup/providers/Microsoft.Network/networkInterfaces/myVMVMNic",
        "primary": true,
        "resourceGroup": "myResourceGroup"
      },

In der vorangehenden Ausgabe lautet der Netzwerkschnittstellenname myVMVMNic interface.In the previous output, the network interface name is myVMVMNic interface.

Interpretieren der BefehlsausgabeInterpret command output

Unabhängig davon, ob Sie PowerShell oder die Azure CLI zum Diagnostizieren eines Problems verwendet haben, erhalten Sie eine Ausgabe mit den folgenden Informationen:Regardless of whether you used the PowerShell, or the Azure CLI to diagnose the problem, you receive output that contains the following information:

  • NetworkSecurityGroup: Die ID der Netzwerksicherheitsgruppe.NetworkSecurityGroup: The ID of the network security group.
  • Zuordnung: Gibt an, ob die Netzwerksicherheitsgruppe einer Netzwerkschnittstelle oder einem Subnetz zugeordnet ist.Association: Whether the network security group is associated to a NetworkInterface or Subnet. Wenn eine NSG beidem zugeordnet ist, wird die Ausgabe mit NetworkSecurityGroup, Association und EffectiveSecurityRules für jede NSG zurückgegeben.If an NSG is associated to both, output is returned with NetworkSecurityGroup, Association, and EffectiveSecurityRules, for each NSG. Wenn die NSG unmittelbar vor dem Ausführen dieses Befehls zum Anzeigen der effektiven Sicherheitsregeln zugeordnet oder ihre Zuordnung aufgehoben wird, müssen Sie möglicherweise einen Moment warten, damit die Änderung in der Befehlsausgabe angezeigt wird.If the NSG is associated or disassociated immediately before running the command to view the effective security rules, you may need to wait a few seconds for the change to reflect in the command output.
  • EffectiveSecurityRules: Eine Erläuterung der einzelnen Eigenschaften finden Sie unter Erstellen einer Sicherheitsregel.EffectiveSecurityRules: An explanation of each property is detailed in Create a security rule. Regelnamen mit vorangestellten defaultSecurityRules/ sind Standardsicherheitsregeln, die in jede NSG vorhanden sind.Rule names prefaced with defaultSecurityRules/ are default security rules that exist in every NSG. Regelnamen mit vorangestellten securityRules/ sind Regeln, die Sie erstellt haben.Rule names prefaced with securityRules/ are rules that you've created. Regeln, die ein Diensttag angeben (z.B. Internet, VirtualNetwork und AzureLoadBalancer für die Eigenschaften destinationAddressPrefix oder sourceAddressPrefix), weisen auch Werte für die Eigenschaft expandedDestinationAddressPrefix auf.Rules that specify a service tag, such as Internet, VirtualNetwork, and AzureLoadBalancer for the destinationAddressPrefix or sourceAddressPrefix properties, also have values for the expandedDestinationAddressPrefix property. Die Eigenschaft expandedDestinationAddressPrefix listet alle Adresspräfixe auf, die von dem Diensttag dargestellt werden.The expandedDestinationAddressPrefix property lists all address prefixes represented by the service tag.

Wenn doppelte Regeln in der Ausgabe aufgeführt werden, so ist dies darauf zurückzuführen, dass eine NSG sowohl der Netzwerkschnittstelle als auch dem Subnetz zugeordnet ist.If you see duplicate rules listed in the output, it's because an NSG is associated to both the network interface and the subnet. Beide NSGs weisen die gleichen Standardregeln und möglicherweise weitere doppelte Regeln auf, wenn Sie eigene Regeln erstellt haben, die in beiden NSGs identisch sind.Both NSGs have the same default rules, and may have additional duplicate rules, if you've created your own rules that are the same in both NSGs.

Die Regel mit dem Namen defaultSecurityRules/DenyAllInBound verhindert eingehende Kommunikation mit der VM über Port 80 über das Internet, wie im Szenario beschrieben wird.The rule named defaultSecurityRules/DenyAllInBound is what's preventing inbound communication to the VM over port 80, from the internet, as described in the scenario. Keine andere Regel mit einer höheren Priorität (niedrigere Zahl) lässt den eingehenden Port 80 über das Internet zu.No other rule with a higher priority (lower number) allows port 80 inbound from the internet.

Beheben eines ProblemsResolve a problem

Unabhängig davon, ob Sie das im Szenario dieses Artikels dargestellte Problem über das Azure-Portal, über PowerShell oder über die Azure CLI diagnostizieren, die Lösung besteht darin, eine Netzwerksicherheitsregel mit den folgenden Eigenschaften zu erstellen:Whether you use the Azure portal, PowerShell, or the Azure CLI to diagnose the problem presented in the scenario in this article, the solution is to create a network security rule with the following properties:

EigenschaftProperty WertValue
SourceSource BeliebigAny
QuellportbereicheSource port ranges BeliebigAny
ZielDestination Die IP-Adresse der VM, ein Bereich von IP-Adressen oder alle Adressen im Subnetz.The IP address of the VM, a range of IP addresses, or all addresses in the subnet.
ZielportbereicheDestination port ranges 8080
ProtocolProtocol TCPTCP
AktionAction ZULASSENAllow
PrioritätPriority 100100
NAMEName Allow-HTTP-AllAllow-HTTP-All

Nachdem Sie die Regel erstellt haben, wird Port 80 eingehender Datenverkehr aus dem Internet erlaubt, da die Priorität der Regel höher ist als die Standardsicherheitsregel mit dem Namen DenyAllInBound, die den Datenverkehr ablehnt.After you create the rule, port 80 is allowed inbound from the internet, because the priority of the rule is higher than the default security rule named DenyAllInBound, that denies the traffic. Weitere Informationen finden Sie unter Erstellen einer Sicherheitsregel.Learn how to create a security rule. Wenn verschiedene NSGs sowohl der Netzwerkschnittstelle als auch dem Subnetz zugeordnet sind, müssen Sie die gleiche Regel in beiden NSGs erstellen.If different NSGs are associated to both the network interface, and the subnet, you must create the same rule in both NSGs.

Wenn eingehender Datenverkehr in Azure verarbeitet wird, werden die Regeln in der NSG, die dem Subnetz zugeordnet sind (sofern eine zugeordnete NSG vorhanden ist), und dann die Regeln in der NSG verarbeitet, die der Netzwerkschnittstelle zugeordnet sind.When Azure processes inbound traffic, it processes rules in the NSG associated to the subnet (if there is an associated NSG), and then it processes the rules in the NSG associated to the network interface. Ist eine NSG der Netzwerkschnittstelle und dem Subnetz zugeordnet, muss der Port in beiden NSGs geöffnet sein, damit der Datenverkehr die VM erreicht.If there is an NSG associated to the network interface and the subnet, the port must be open in both NSGs, for the traffic to reach the VM. Um Probleme mit der Verwaltung und der Kommunikation einfacher beheben zu können, wird empfohlen, eine NSG einem Subnetz zuzuordnen statt einzelnen Netzwerkschnittstellen.To ease administration and communication problems, we recommend that you associate an NSG to a subnet, rather than individual network interfaces. Wenn VMs in einem Subnetz verschiedene Sicherheitsregeln erfordern, können Sie die Netzwerkschnittstellen zu Mitgliedern einer Anwendungssicherheitsgruppe (ASG) machen und eine ASG als Quelle und Ziel einer Sicherheitsregel angeben.If VMs within a subnet need different security rules, you can make the network interfaces members of an application security group (ASG), and specify an ASG as the source and destination of a security rule. Weitere Informationen finden Sie unter Anwendungssicherheitsgruppen.Learn more about application security groups.

Falls weiterhin Probleme mit der Kommunikation bestehen, lesen Sie die Abschnitte Überlegungen und „Zusätzliche Diagnose“.If you're still having communication problems, see Considerations and Additional diagnosis.

ÜberlegungenConsiderations

Beachten Sie bei der Problembehandlung von Verbindungsproblemen die folgenden Punkte:Consider the following points when troubleshooting connectivity problems:

  • Die Standardsicherheitsregeln blockieren den eingehenden Zugriff über das Internet und lassen nur eingehenden Datenverkehr über das virtuelle Netzwerk zu.Default security rules block inbound access from the internet, and only permit inbound traffic from the virtual network. Um eingehenden Datenverkehr aus dem Internet zuzulassen, fügen Sie Sicherheitsregeln mit einer höheren Priorität als der der Standardregeln hinzu.To allow inbound traffic from the Internet, add security rules with a higher priority than default rules. Erfahren Sie mehr über Standardsicherheitsregeln, oder das Erstellen einer Sicherheitsregel.Learn more about default security rules, or how to add a security rule.
  • Beim Peering virtueller Netzwerke wird das Diensttag VIRTUAL_NETWORK standardmäßig automatisch erweitert, sodass Präfixe für die per Peering verknüpften virtuellen Netzwerke einbezogen werden.If you have peered virtual networks, by default, the VIRTUAL_NETWORK service tag automatically expands to include prefixes for peered virtual networks. Um Probleme im Hinblick auf Peerings virtueller Netzwerke zu beheben, können Sie diese Präfixe in der Liste ExpandedAddressPrefix anzeigen.To troubleshoot any issues related to virtual network peering, you can view the prefixes in the ExpandedAddressPrefix list. Weitere Informationen hierzu finden Sie unter Peering virtueller Netzwerke und Diensttags.Learn more about virtual network peering and service tags.
  • Effektive Sicherheitsregeln werden nur dann für eine Netzwerkschnittstelle angezeigt, wenn der Netzwerkschnittstelle und/oder dem Subnetz der VM eine NSG zugeordnet ist und die VM den Ausführungsstatus aufweist.Effective security rules are only shown for a network interface if there is an NSG associated with the VM's network interface and, or, subnet, and if the VM is in the running state.
  • Wenn der Netzwerkschnittstelle oder dem Subnetz keine NSGs zugeordnet sind und der VM eine öffentliche IP-Adresse zugewiesen ist, sind alle Ports für den eingehenden und ausgehenden Zugriff auf beliebige Ziele geöffnet.If there are no NSGs associated with the network interface or subnet, and you have a public IP address assigned to a VM, all ports are open for inbound access from and outbound access to anywhere. Wenn die VM eine öffentliche IP-Adresse aufweist, sollten Sie eine NSG auf das Subnetz der Netzwerkschnittstelle anwenden.If the VM has a public IP address, we recommend applying an NSG to the subnet the network interface.

Zusätzliche DiagnoseAdditional diagnosis

  • Um anhand eines Schnelltests festzustellen, ob Datenverkehr an eine oder von einer VM zugelassen wird, verwenden Sie die Funktion IP-Fluss überprüfen von Azure Network Watcher.To run a quick test to determine if traffic is allowed to or from a VM, use the IP flow verify capability of Azure Network Watcher. Die Überprüfung des IP-Flusses gibt Aufschluss darüber, ob Datenverkehr zugelassen oder abgelehnt wird.IP flow verify tells you if traffic is allowed or denied. Falls dieser verweigert wird, können Sie mit der Überprüfung des IP-Flusses feststellen, durch welche Sicherheitsregel der Datenverkehr abgelehnt wird.If denied, IP flow verify tells you which security rule is denying the traffic.
  • Wenn bei der Netzwerkkonnektivität einer VM nicht aufgrund von Sicherheitsregeln Fehler auftreten, kann das Problem folgende Ursachen haben:If there are no security rules causing a VM's network connectivity to fail, the problem may be due to:
    • Firewallsoftware, die im Betriebssystem des virtuellen Computers ausgeführt wirdFirewall software running within the VM's operating system
    • Es sind Routen für virtuelle Geräte oder den lokalen Datenverkehr konfiguriert.Routes configured for virtual appliances or on-premises traffic. Der Internetdatenverkehr kann über die Tunnelerzwingung an Ihr lokales Netzwerk umgeleitet werden.Internet traffic can be redirected to your on-premises network via forced-tunneling. Wenn Sie die Tunnelerzwingung für den Internetdatenverkehr auf eine virtuelle Appliance oder einem lokalen Gerät erzwingen, können Sie möglicherweise keine Verbindung mit der VM über das Internet herstellen.If you force tunnel internet traffic to a virtual appliance, or on-premises, you may not be able to connect to the VM from the internet. Um zu erfahren, wie Sie Routingprobleme diagnostizieren, die möglicherweise den ausgehenden Datenverkehrsfluss der VM beeinträchtigen, lesen Sie Diagnostizieren eines Problems mit der Weiterleitung von Netzwerkdatenverkehr virtueller Computer.To learn how to diagnose route problems that may impede the flow of traffic out of the VM, see Diagnose a virtual machine network traffic routing problem.

Nächste SchritteNext steps