Megosztás a következőn keresztül:

A Microsoft Tunnel megfigyelése

  • Cikk

A Microsoft Tunnel telepítése után a kiszolgáló konfigurációját és állapotát a Microsoft Intune Felügyeleti központban tekintheti meg.

A Felügyeleti központ felhasználói felületének használata

Jelentkezzen be Microsoft Intune Felügyeleti központba, és lépjen a Bérlőfelügyelet>Microsoft Tunnel Gateway>állapota elemre.

Ezután válasszon ki egy kiszolgálót, majd nyissa meg az Állapotellenőrzés lapot a kiszolgálók állapotmetrikáinak megtekintéséhez. Alapértelmezés szerint minden metrika előre definiált küszöbértékeket használ, amelyek meghatározzák az állapotot. A következő metrikák támogatják a küszöbértékek testreszabását:

  • CPU-használat
  • Memóriahasználat
  • Lemezterület-használat
  • Késleltetés

A kiszolgáló állapotmetrikáinak alapértelmezett értékei:

  • Utolsó bejelentkezés – Amikor az Alagútátjáró-kiszolgáló utoljára jelentkezett be az Intune-nal.

    • Kifogástalan – Az utolsó bejelentkezés az elmúlt öt percben történt.
    • Nem kifogástalan – Az utolsó bejelentkezés több mint öt perccel ezelőtt történt.

  • Aktuális kapcsolatok – Azoknak az egyedi kapcsolatoknak a száma, amelyek az utolsó bejelentkezéskor voltak aktívak.

    • Kifogástalan – 4990 vagy kevesebb kapcsolat volt
    • Nem kifogástalan – Több mint 4990 aktív kapcsolat volt

  • Átviteli sebesség – Az alagútátjáró hálózati adapterén áthaladó forgalom másodpercenkénti megabit bitenkénti száma az utolsó kiszolgáló-bejelentkezéskor.

  • CPU-használat – Az alagútátjáró-kiszolgáló átlagos processzorhasználata öt percenként.

    • Egészséges - 95% vagy kevesebb
    • Figyelmeztetés – 96%–99%
    • Nem kifogástalan – 100%-os használat

  • CPU-magok – A kiszolgálón elérhető CPU-magok száma.

    • Kifogástalan – 4 vagy több mag
    • Figyelmeztetés – 1, 2 vagy 3 mag
    • Nem megfelelő állapotú -0 mag

  • Memóriahasználat – Az alagútátjáró-kiszolgáló átlagos memóriahasználata 5 percenként.

    • Egészséges - 95% vagy kevesebb
    • Figyelmeztetés – 96%–99%
    • Nem kifogástalan – 100%-os használat

  • Lemezterület-használat – Az alagútátjáró-kiszolgáló által felhasznált lemezterület mennyisége.

    • Kifogástalan – 5 GB felett
    • Figyelmeztetés – 3–5 GB
    • Nem kifogástalan – 3 GB alatt

  • Késés – Az IP-csomagok beérkezéséhez, majd a hálózati adapterből való kilépéshez szükséges átlagos idő.

    • Egészséges – kevesebb, mint 10 ezredmásodperc
    • Figyelmeztetés – 10 ezredmásodperc és 20 ezredmásodperc között
    • Nem kifogástalan – Több mint 20 ezredmásodperc

  • Felügyeleti ügynök tanúsítványa – A felügyeleti ügynök tanúsítványát az Alagútátjáró használja az Intune-nal való hitelesítéshez, ezért fontos megújítani, mielőtt lejár. Ennek azonban automatikusan meg kell újulnia.

    • Kifogástalan – A tanúsítvány lejárata több mint 30 nap.
    • Figyelmeztetés – A tanúsítvány lejárata kevesebb, mint 30 nap.
    • Nem kifogástalan – A tanúsítvány lejárt.

  • TLS-tanúsítvány – Az ügyfelek és az alagútátjáró-kiszolgáló közötti forgalmat biztonságossá tevő Transport Layer Security-(TLS-) tanúsítvány lejáratáig eltelt napok száma.

    • Egészséges - Több mint 30 nap
    • Figyelmeztetés – legfeljebb 30 nap
    • Nem kifogástalan – A tanúsítvány lejárt

  • TLS-tanúsítvány visszavonása – Az alagútátjáró a TLS-tanúsítvány által meghatározott online tanúsítványállapot-protokoll (OCSP) vagy visszavont tanúsítványok listájának (CRL) címével kísérli meg ellenőrizni a Transport Layer Security -tanúsítvány (TLS) visszavonási állapotát. Ehhez az ellenőrzéshez a kiszolgálónak hozzá kell férnie a tanúsítványban meghatározott OCSP-végponthoz vagy CRL-címhez.

    • Kifogástalan – A TLS-tanúsítvány nincs visszavonva.
    • Figyelmeztetés – Nem lehet ellenőrizni, hogy visszavonták-e a TLS-tanúsítványt. Győződjön meg arról, hogy a tanúsítványban definiált végpontok elérhetők az Alagútkiszolgálóról.
    • Nem kifogástalan – A TLS-tanúsítványt visszavonták.

    Tervezze meg a visszavont TLS-tanúsítvány cseréjét.

    Az Online Certificate Status Protocol (OCSP) szolgáltatással kapcsolatos további információkért lásd: Online tanúsítványállapot-protokoll a wikipedia.org.

  • Belső hálózati akadálymentesség – A belső URL-cím legutóbbi ellenőrzésének állapota. Az URL-címet egy alagúthely konfigurációjának részeként konfigurálhatja.

    • Kifogástalan – A kiszolgáló hozzáférhet a webhely tulajdonságaiban megadott URL-címhez.
    • Nem kifogástalan – A kiszolgáló nem fér hozzá a webhely tulajdonságaiban megadott URL-címhez.
    • Ismeretlen – Ez az állapot akkor jelenik meg, ha nem állított be URL-címet a webhely tulajdonságai között. Ez az állapot nincs hatással a webhely általános állapotára.

  • Frissíthetőség – A kiszolgáló azon képessége, hogy kapcsolatba lépjen a Microsoft Tárolóadattárral, amely lehetővé teszi az Alagútátjáró frissítését a verziók elérhetővé válásakor.

    • Kifogástalan – A kiszolgáló az elmúlt 5 percben nem lépett kapcsolatba a Microsoft Container Repository-ral.
    • Nem megfelelő állapot – A kiszolgáló több mint 5 perce nem lépett kapcsolatba a Microsoft tárolóadattárával.

  • Kiszolgáló verziója – Az Alagútátjáró kiszolgáló szoftverének állapota a legújabb verzióhoz képest.

    • Kifogástalan – Naprakész a legújabb szoftververzióval
    • Figyelmeztetés – Egy verzió van hátra
    • Nem megfelelő állapot – Két vagy több verzió van a háttérben, és nem támogatott

    Ha a kiszolgáló verziója nem kifogástalan, tervezze meg a Microsoft Tunnel frissítéseinek telepítését.

  • Kiszolgálótároló – Meghatározza, hogy fut-e a Microsoft Tunnel-kiszolgálót üzemeltető tároló.

    • Kifogástalan – A kiszolgálótároló állapota kifogástalan.
    • Nem kifogástalan – A kiszolgálótároló állapota nem kifogástalan.

  • Kiszolgálókonfiguráció – Azt határozza meg, hogy a kiszolgáló konfigurációja sikeresen alkalmazva van-e az Alagútkiszolgálóra Microsoft Intune helybeállításokból.

    • Kifogástalan – A kiszolgáló konfigurációjának alkalmazása sikerült.
    • Nem kifogástalan – A kiszolgáló konfigurációja nem alkalmazható.

  • Kiszolgálónaplók – Meghatározza, hogy a naplók fel lettek-e töltve a kiszolgálóra az elmúlt 60 percben.

    • Kifogástalan állapot – A kiszolgálónaplók feltöltése az elmúlt 60 percben megtörtént.
    • Nem kifogástalan – A kiszolgálónaplók feltöltése az elmúlt 60 percben megtörtént.

Állapotküszöbök kezelése

Az alábbi Microsoft Tunnel állapotmetrikák testreszabásával módosíthatja az egyes használati küszöbértékeket az állapot jelentéséhez. A testreszabások bérlői szintűek, és minden alagút-kiszolgálóra érvényesek. A testre szabható állapot-ellenőrzési metrikák a következők:

  • CPU-használat
  • Memóriahasználat
  • Lemezterület-használat
  • Késleltetés

Metrikák küszöbértékének módosítása:

Képernyőkép az állapotküszöbök kiválasztásáról és konfigurálásáról.

  1. Jelentkezzen be Microsoft Intune Felügyeleti központba, és lépjen a Bérlőfelügyelet>Microsoft Tunnel Gateway>állapota elemre.

  2. Válassza a Küszöbértékek konfigurálása lehetőséget.

  3. A Konfigurált küszöbértékek lapon állítson be új küszöbértékeket minden testre szabni kívánt állapot-ellenőrzési kategóriához.

    • A küszöbértékek az összes helyen lévő összes kiszolgálóra vonatkoznak.
    • A Visszaállítás alapértelmezettre lehetőséget választva visszaállíthatja az összes küszöbértéket az alapértelmezett értékekre.

  4. Válassza a Mentés elemet.

  5. Az Állapot panelen válassza a Frissítés lehetőséget az összes kiszolgáló állapotának a testre szabott küszöbértékek alapján történő frissítéséhez.

A küszöbértékek módosítása után a kiszolgálók Állapotellenőrzés lapján lévő értékek automatikusan frissülnek, hogy az aktuális küszöbértékek alapján tükrözzék az állapotát.

A kiszolgálók állapot-ellenőrzési nézetének képernyőképe.

Az állapottrendek megtekintése a Microsoft Tunnel Gateway állapotmetrikáinak diagram formájában. A diagramok adatainak átlagolása háromórás blokkban történik, így akár három órát is késleltethet.

Az állapottrend-diagramok a következő metrikákhoz érhetők el:

  • Connections
  • CPU-használat
  • Lemezterület-használat
  • Memóriahasználat
  • Átlagos késés
  • Átmenő

Trenddiagramok megtekintése:

  1. Jelentkezzen be a Microsoft Intune Felügyeleti központba.

  2. Lépjen a Bérlőfelügyelet>Microsoft Tunnel Gateway>állapota>Kiszolgáló kiválasztása, majd a Trendek elemre.

  3. A Metrika legördülő listában válassza ki a megtekinteni kívánt metrikadiagramot.

Az mst-cli parancssori eszköz használata

Az mst-cli parancssori eszközzel információkat kérhet le a Microsoft Tunnel-kiszolgálóról. Ezt a fájlt a Rendszer hozzáadja a Linux-kiszolgálóhoz a Microsoft Tunnel telepítésekor. Az eszköz helye: /usr/sbin/mst-cli.

További információt és parancssori példákat a Microsoft Tunnel mst-cli parancssori eszközében talál.

Microsoft Tunnel-naplók megtekintése

A Microsoft Tunnel syslog formátumban naplózza az adatokat a Linux-kiszolgáló naplóiba. A naplóbejegyzések megtekintéséhez használja a journalctl -t parancsot, amelyet egy vagy több, a Microsoft Tunnel bejegyzésére jellemző címke követ:

  • mstunnel-agent: Ügynöknaplók megjelenítése.

  • mstunnel_monitor: Figyelési feladatnaplók megjelenítése.

  • ocserv – Kiszolgálónaplók megjelenítése.

  • ocserv-access – Hozzáférési naplók megjelenítése.

    Alapértelmezés szerint a hozzáférés naplózása le van tiltva. A hozzáférési naplók engedélyezése csökkentheti a teljesítményt a kiszolgálón található aktív kapcsolatok és használati minták számától függően. A DNS-kapcsolatok naplózása növeli a naplók részletességét, ami zajossá válhat.

    Az Access-naplók formátuma például a következő: <Server timestamp><Server Name><ProcessID on Server><userId><deviceId><protocol><src IP and port><dst IP and port><bytes sent><bytes received><connection time in seconds>

    • Feb 25 16:37:56 MSTunnelTest-VM ocserv-access[9528]: ACCESS_LOG,41150dc4-238x-4dwv-9q89-55e987f30c32,f5132455-ef2dd-225a-a693-afbbqed482dce,tcp,169.254.54.149:49462,10.88.0.5:80,112,60,10

    Fontos

    Az ocserv-accessben a deviceId érték azonosítja az eszközön futó Microsoft Defender egyedi telepítési példányát, és nem azonosítja sem az Intune-eszközazonosítót, sem az Microsoft Entra eszközazonosítót. Ha a Defendert eltávolítják, majd újratelepítik egy eszközön, létrejön a DeviceId* új példánya.

    A hozzáférés naplózásának engedélyezése:

    1. set TRACE_SESSIONS=1 in /etc/mstunnel/env.sh
    2. TRACE_SESSIONS=2 beállítása a DNS-kapcsolatok naplózásának belefoglalására
    3. Futtassa a parancsot mst-cli server restart a kiszolgáló újraindításához.

    Ha a hozzáférési naplók túl zajosak, kikapcsolhatja a DNS-kapcsolat naplózását a TRACE_SESSIONS=1 beállításával és a kiszolgáló újraindításával.

  • OCSERV_TELEMETRY – Az alagútkapcsolatok telemetriai adatainak megjelenítése.

    A telemetriai naplók formátuma a következő: a bytes_in, bytes_out és időtartam értékeit csak kapcsolatbontási műveletekhez használják: <operation><client_ip><server_ip><gateway_ip><assigned_ip><user_id><device_id><user_agent><bytes_in><bytes_out><duration> Például:

    • Okt 20 19:32:15 mstunnel ocserv[4806]: OCSERV_TELEMETRY,connect,31258,73.20.85.75,172.17.0.3,3 169.254.0.1,169.254.107.209,3780e1fc-3ac2-4268-a1fd-dd910ca8c13c, 5A683ECC-D909-4E5F-9C67-C0F595A4A70E,MobileAccess iOS 1.1.34040102

    Fontos

    A OCSERV_TELEMETRYdeviceId értéke azonosítja az eszközön futó Microsoft Defender egyedi telepítési példányát, és nem azonosítja sem az Intune-eszközazonosítót, sem Microsoft Entra eszközazonosítót. Ha a Defendert eltávolítják, majd újratelepítik egy eszközön, létrejön a DeviceId* új példánya.

Parancssori példák a journalctl-hez:

  • Ha csak az alagútkiszolgáló adatait szeretné megtekinteni, futtassa a parancsot journalctl -t ocserv.
  • A telemetriai napló megtekintéséhez futtassa a következőt: journalctl -t ocserv | grep TELEMETRY
  • Az összes naplóbeállítás adatainak megtekintéséhez futtassa a parancsot journalctl -t ocserv -t ocserv-access -t mstunnel-agent -t mstunnel_monitor.
  • Adja hozzá -f a parancshoz a naplófájl aktív és folyamatos nézetének megjelenítéséhez. Például a Microsoft Tunnel folyamatban lévő folyamatainak aktív figyeléséhez futtassa a parancsot journalctl -t mstunnel_monitor -f.

További lehetőségek a journalctl-hez:

  • journalctl -h – A journalctl parancs súgójának megjelenítése.
  • man journalctl – További információk megjelenítése.
  • man journalctl.conf Információk megjelenítése a konfigurációról A journalctl-ről további információt a használt Linux-verzió dokumentációjában talál.

Alagútkiszolgálók diagnosztikai naplóinak egyszerű feltöltése

Diagnosztikai segítségként az Intune felügyeleti központjában egyetlen kattintással engedélyezheti, gyűjtheti és küldheti el a részletes naplókat az Alagútátjáró-kiszolgálóról közvetlenül a Microsoftnak. Ezek a részletes naplók akkor érhetők el közvetlenül a Microsoft számára, amikor a Microsofttal dolgozik az alagútkiszolgálóval kapcsolatos problémák azonosításán vagy megoldásán.

Támogatási incidens megnyitása előtt részletes naplókat gyűjthet és tölthet fel egy eseményből, vagy ha már dolgozik a Microsofttal egy alagútkiszolgáló-művelet vizsgálatán.

A funkció használatához:

  1. Nyissa meg a Microsoft Intune Felügyeleti központot, lépjen a Bérlői felügyelet>Microsoft Tunnel Gateway> válasszon ki egy kiszolgálót>, majd válassza a Naplók lapot.

  2. A Naplók lapon keresse meg a Részletes kiszolgálónaplók küldése szakaszt , és válassza a Naplók küldése lehetőséget.

Amikor a Naplók küldése alagútkiszolgálóhoz lehetőséget választja, a következő folyamat kezdődik:

  • Az Intune először rögzíti az alagútkiszolgáló aktuális naplóit, és feltölti őket közvetlenül a Microsoftnak. Ezeket a naplókat a rendszer a kiszolgálók aktuális naplórészletességi szintjével gyűjti össze. Alapértelmezés szerint a kiszolgáló részletességi szintje nulla (0).
  • Ezután az Intune négy (4) részletességi szintet tesz lehetővé az Alagútkiszolgáló naplóihoz. Ezt a részletességi szintet nyolc órán keresztül gyűjtjük össze.
  • A részletes naplógyűjtés nyolc órája alatt a vizsgált problémát vagy műveletet reprodukálni kell a naplók részletes részleteinek rögzítéséhez.
  • Nyolc óra elteltével az Intune összegyűjti a kiszolgálónaplók egy második készletét, amely tartalmazza a részletes adatokat, és feltölti őket a Microsoftnak. A feltöltés időpontjában az Intune alaphelyzetbe állítja az Alagútkiszolgáló naplóit is, hogy az alapértelmezett nulla részletességi szintet (0) használja. Ha korábban a kiszolgáló részletességi szintjét emelte, az Intune a részletesség nullára állítása után visszaállíthatja az egyéni részletességi szintet.

Az Intune által gyűjtött és feltöltött naplók mindegyike külön halmazként van azonosítva, és a következő részletek jelennek meg a felügyeleti központban a Naplók küldése gomb alatt:

  • A naplógyűjtés kezdési és befejezési időpontja
  • A feltöltés létrehozásakor
  • A napló részletességi szintet állít be
  • Incidensazonosító, amely az adott naplókészlet azonosítására használható

Képernyőfelvétel, amely a Részletes kiszolgálónaplók küldése felületet mutatja.

Miután rögzített egy problémát a részletes naplógyűjtés futtatásakor, megadhatja a naplókészlet incidensazonosítóját a Microsoft számára a vizsgálat elősegítése érdekében.

Tudnivalók a naplógyűjtésről

  • Az Intune nem állítja le vagy indítja újra az Alagútkiszolgálót a részletes naplózás engedélyezéséhez vagy letiltásához.
  • A nyolcórás részletes naplózási időszak nem hosszabbható meg vagy állítható le korán.
  • A részletes naplózással kapcsolatos problémák rögzítéséhez szükség szerint használhatja a Naplók küldése folyamatot. A naplók részletességének növelése azonban megterheli az alagútkiszolgálót, ezért nem ajánlott normál konfigurációként.
  • A részletes naplózás befejezése után a rendszer a korábban beállított részletességi szintektől függetlenül beállítja a nulla alapértelmezett részletességi szintjét az Alagútkiszolgáló naplóihoz.
  • A következő naplók gyűjtése ezen a folyamaton keresztül történik:
    • mstunnel-agent (ügynöknaplók)
    • mstunnel_monitor (Tevékenységnaplók monitorozása)
    • ocserv (kiszolgálónaplók)

A rendszer nem gyűjti és nem tölti fel az ocserv-access naplókat.

Ismert problémák

Az alábbiakban a Microsoft Tunnel ismert problémáit ismertetjük.

Kiszolgáló állapota

Az ügyfelek sikeresen használhatják az alagutat, ha a kiszolgáló állapota offline állapotúként jelenik meg

Probléma: Az Alagút állapota lapon a kiszolgáló állapotjelentései offline állapotot jeleznek, jelezve, hogy a kapcsolat megszakadt, annak ellenére, hogy a felhasználók elérhetik az alagútkiszolgálót, és csatlakozhatnak a szervezet erőforrásaihoz.

Megoldás: A probléma megoldásához újra kell telepítenie a Microsoft Tunnelt, amely újra regisztrálja az Alagútkiszolgáló-ügynököt az Intune-ban. A probléma elkerülése érdekében a kiadásuk után nem sokkal telepítse az Alagútügynök és -kiszolgáló frissítéseit. A kiszolgáló állapotának figyeléséhez használja az alagútkiszolgáló állapotmetrikáit a Microsoft Intune Felügyeleti központban.

A Podman esetében a "Hiba az ellenőrzés végrehajtásakor" üzenet jelenik meg a mstunnel_monitor naplóban

Probléma: A Podman nem tudja azonosítani vagy megtekinteni az aktív tárolók futását, és "Hiba történt az ellenőrzés végrehajtásakor" hibát jelent az alagútkiszolgáló mstunnel_monitor naplójában . Az alábbiakban példákat láthat a hibákra:

  • Ügynök:

    Error executing Checkup
Error details
\tscript: 561 /usr/sbin/mst-cli
\t\tcommand: $ctr_cli exec $agent_name mstunnel checkup 2> >(FailLogger)
\tstack:
\t\t<> Checkup /usr/sbin/mst-cli Message: NA
\t\t<> MonitorServices /usr/sbin/mst-cli Message: Failure starting service mstunnel-agent
\t\t<> main /usr/sbin/mstunnel_monitor Message: NA

  • Szerver:

    Error executing Checkup
Error details
\tscript: 649 /usr/sbin/mst-cli
\t\tcommand: $ctr_cli exec $agent_name mstunnel checkup 2> >(FailLogger)
\tstack:
\t\t<> Checkup /usr/sbin/mst-cli Message: NA
\t\t<> MonitorServices /usr/sbin/mst-cli Message: Failure starting service mstunnel-server
\t\t<> main /usr/sbin/mstunnel_monitor Message: NA

Megoldás: A probléma megoldásához indítsa újra manuálisan a Podman-tárolókat. A Podmannek ezután képesnek kell lennie azonosítani a tárolókat. Ha a probléma továbbra is fennáll vagy visszatér, érdemes lehet cron használatával létrehozni egy olyan feladatot, amely automatikusan újraindítja a tárolókat, amikor ez a probléma jelentkezik.

A Podmanben System.DateTime hibák jelennek meg az mstunnel-agent naplójában

Probléma: A Podman használatakor az mstunnel-agent napló az alábbi bejegyzésekhez hasonló hibákat tartalmazhat:

  • Failed to parse version-info.json for version information.
  • System.Text.Json.JsonException: The JSON value could not be converted to System.DateTime

Ez a probléma a Podman és az Alagútügynök közötti formázási dátumok eltérése miatt fordul elő. Ezek a hibák nem jeleznek végzetes problémát, és nem akadályozzák meg a kapcsolatot. A 2022 októbere után kiadott tárolókkal kezdődően a formázási problémákat meg kell oldani.

Megoldás: A problémák megoldásához frissítse az ügynöktárolót (Podman vagy Docker) a legújabb verzióra. A hibák új forrásainak felderítését követően a következő verziófrissítésekben továbbra is kijavítjuk őket.

Csatlakozás az alagúthoz

Az eszközök nem csatlakoznak az alagútkiszolgálóhoz

Probléma: Az eszközök nem csatlakoznak a kiszolgálóhoz, és az Alagútkiszolgáló ocserv naplófájlja az alábbi bejegyzéshez hasonló bejegyzést tartalmaz: main: tun.c:655: Can't open /dev/net/tun: Operation not permitted

Az alagútnaplók megtekintésével kapcsolatos útmutatásért tekintse meg a jelen cikk Microsoft-alagútnaplók megtekintése című szakaszát.

Megoldás: Indítsa újra a kiszolgálót a linuxos mst-cli server restart kiszolgáló újraindítása után.

Ha a probléma továbbra is fennáll, fontolja meg az újraindítási parancs automatizálását a cron scheduling segédprogrammal. Lásd : A cron használata Linuxon a opensource.com.

Következő lépések

A Microsoft Tunnel referenciája