Error de activación de Windows en el escenario de tunelización forzada

En este artículo se describe cómo resolver el problema de activación de KMS que podría experimentar al habilitar la tunelización forzada en escenarios de conexión VPN de sitio a sitio o ExpressRoute.

Síntoma

La tunelización forzada se habilita en las subredes de red virtual de Azure para dirigir todo el tráfico vinculado a Internet de vuelta a la red local. En este escenario, las máquinas virtuales de Azure que ejecutan Windows no podrán activar este.

Causa

Las máquinas virtuales Windows de Azure se deben conectar al servidor de KMS de Azure para la activación de Windows. La activación requiere que la solicitud de activación proceda de una dirección IP pública de Azure. En el escenario de tunelización forzada, se produce un error en la activación porque la solicitud de activación procede de la red local en lugar de una dirección IP pública de Azure.

Solución

Para resolver este problema, use la ruta personalizada de Azure para dirigir el tráfico de activación al servidor de KMS de Azure.

El primer nombre DNS del servidor KMS para la nube de Azure Global es azkms.core.windows.net con dos direcciones IP: 20.118.99.224 y 40.83.235.53. El segundo nombre DNS del servidor KMS para la nube de Azure Global es kms.core.windows.net con una dirección IP de 23.102.135.246. Si usa otras plataformas de Azure como Azure Alemania, tendrá que usar la dirección IP del servidor de KMS correspondiente. Para más información, vea la tabla siguiente:

Plataforma	DNS DE KMS	DIRECCIÓN IP DE KMS
Azure Global	azkms.core.windows.net kms.core.windows.net	20.118.99.224, 40.83.235.53 23.102.135.246
Azure Alemania	kms.core.cloudapi.de	51.4.143.248
Azure US Government	kms.core.usgovcloudapi.net azkms.core.usgovcloudapi.net	23.97.0.13 52.126.105.2
Azure China 21Vianet	azkms.core.chinacloudapi.cn kms.core.chinacloudapi.cn	159.27.28.100, 163.228.64.161 42.159.7.249

Nota:

Las tres direcciones IP de la nube global de Azure y Azure China, así como las dos direcciones IP de Azure US Government, deben agregarse a la ruta personalizada.

Para agregar la ruta personalizada, siga estos pasos:

Para máquinas virtuales de Resource Manager

Nota:

La activación utiliza direcciones IP públicas y se verá afectada por una configuración de Load Balancer SKU estándar. Revise cuidadosamente las conexiones salientes en Azure para obtener información sobre los requisitos.

1. Abra Azure PowerShell y después inicie sesión en la suscripción de Azure.

2. Ejecute los comandos siguientes:

   # First, get the virtual network that hosts the VMs that have activation problems. In this case, we get virtual network ArmVNet-DM in Resource Group ArmVNet-DM:
   $vnet = Get-AzVirtualNetwork -ResourceGroupName "ArmVNet-DM" -Name "ArmVNet-DM"
   
   # Next, create a route table:
   $RouteTable = New-AzRouteTable -Name "ArmVNet-DM-KmsDirectRoute" -ResourceGroupName "ArmVNet-DM" -Location "centralus"
   
   # Next, configure the route table:
   Add-AzRouteConfig -Name "DirectRouteToKMS" -AddressPrefix 23.102.135.246/32 -NextHopType Internet -RouteTable $RouteTable
   Add-AzRouteConfig -Name "DirectRouteToAZKMS01" -AddressPrefix 20.118.99.224/32 -NextHopType Internet -RouteTable $RouteTable
   Add-AzRouteConfig -Name "DirectRouteToAZKMS02" -AddressPrefix 40.83.235.53/32 -NextHopType Internet -RouteTable $RouteTable
   
   Set-AzRouteTable -RouteTable $RouteTable
   
   # Next, attach the route table to the subnet that hosts the VMs:
   Set-AzVirtualNetworkSubnetConfig -Name "Subnet01" -VirtualNetwork $vnet -AddressPrefix "10.0.0.0/24" -RouteTable $RouteTable
   
   Set-AzVirtualNetwork -VirtualNetwork $vnet
   

3. Vaya a la máquina virtual que tiene problemas de activación. Use PsPing para probar si puede alcanzar el servidor de KMS:

   psping kms.core.windows.net:1688
   psping azkms.core.windows.net:1688
   

4. Intente activar Windows y compruebe si el problema se ha resuelto.

Para máquinas virtuales clásicas

Importante

Las MV clásicas se retirarán el 1 de marzo de 2023.

Si usa recursos de IaaS de ASM, complete su migración antes del 1 de marzo de 2023. Le recomendamos que haga el cambio antes para aprovechar las numerosas mejoras de funciones de Azure Resource Manager.

Para obtener más información, consulte Migrar sus recursos de IaaS a Azure Resource Manager antes del 1 de marzo de 2023.

1. Abra Azure PowerShell y después inicie sesión en la suscripción de Azure.

2. Ejecute los comandos siguientes:

   # First, create a new route table:
   New-AzureRouteTable -Name "VNet-DM-KmsRouteGroup" -Label "Route table for KMS" -Location "Central US"
   
   # Next, get the route table that was created:
   $rt = Get-AzureRouteTable -Name "VNet-DM-KmsRouteTable"
   
   # Next, create routes:
   Set-AzureRoute -RouteTable $rt -RouteName "AzureKMS" -AddressPrefix "23.102.135.246/32" -NextHopType Internet
   Set-AzureRoute -RouteTable $rt -RouteName "AzureAZKMS01" -AddressPrefix "20.118.99.224/32" -NextHopType Internet
   Set-AzureRoute -RouteTable $rt -RouteName "AzureAZKMS02" -AddressPrefix "40.83.235.53/32" -NextHopType Internet
   
   # Apply the KMS route table to the subnet that hosts the problem VMs (in this case, we apply it to the subnet that's named Subnet-1):
   Set-AzureSubnetRouteTable -VirtualNetworkName "VNet-DM" -SubnetName "Subnet-1" 
   -RouteTableName "VNet-DM-KmsRouteTable"
   
   

3. Vaya a la máquina virtual que tiene problemas de activación. Use PsPing para probar si puede alcanzar el servidor de KMS:

   psping kms.core.windows.net:1688
   psping azkms.core.windows.net:1688
   

4. Intente activar Windows y compruebe si el problema se ha resuelto.

Pasos siguientes

• Claves de configuración de cliente KMS
• Review and Select Activation Methods (Revisión y selección de métodos de activación)

Ponte en contacto con nosotros para obtener ayuda

Si tiene preguntas o necesita ayuda, cree una solicitud de soporte o busque consejo en la comunidad de Azure. También puede enviar comentarios sobre el producto con los comentarios de la comunidad de Azure.