Risolvere i problemi di Azure Bastion
Questo articolo illustra come risolvere i problemi di Azure Bastion.
Non è possibile creare un gruppo di sicurezza di rete in AzureBastionSubnet
D: Quando si tenta di creare un gruppo di sicurezza di rete nella subnet di Azure Bastion, viene visualizzato l'errore seguente: "Il nome> del gruppo di sicurezza di rete del gruppo <di sicurezza di rete non ha le regole necessarie per la subnet azure Bastion di AzureBastionSubnet" .
R: Se si crea e si applica un gruppo di sicurezza di rete ad AzureBastionSubnet, assicurarsi di aver aggiunto le regole necessarie al gruppo di sicurezza di rete. Per un elenco delle regole necessarie, vedere Uso dell'accesso al gruppo di sicurezza di rete e di Azure Bastion. Se non si aggiungono queste regole, la creazione/aggiornamento del gruppo di sicurezza di rete avrà esito negativo.
Un esempio di regole del gruppo di sicurezza di rete è disponibile per riferimento nel modello di avvio rapido. Per altre informazioni, vedere Linee guida per il gruppo di sicurezza di rete per Azure Bastion.
Non è possibile usare la chiave SSH con Azure Bastion
D: Quando si tenta di esplorare il file di chiave SSH, viene visualizzato l'errore seguente: "La chiave privata SSH deve iniziare con -----BEGIN RSA/DSA/OPENSSH PRIVATE KEY----- e termina con -----END RSA/DSA/OPENSSH PRIVATE KEY-----".
R: Azure Bastion supporta attualmente chiavi private RSA, DSA e OPENSSH. Assicurarsi di esplorare un file di chiave RSA, DSA o OPENSSH per SSH, con la chiave pubblica di cui è stato effettuato il provisioning nella macchina virtuale di destinazione.
Ad esempio, è possibile usare il comando seguente per creare una nuova chiave SSH RSA:
ssh-keygen -t rsa -b 4096 -C "email@domain.com"
Output:
ashishj@dreamcatcher:~$ ssh-keygen -t rsa -b 4096 -C "email@domain.com"
Generating public/private rsa key pair.
Enter file in which to save the key (/home/ashishj/.ssh/id_rsa):
Enter passphrase (empty for no passphrase):
Enter same passphrase again:
Your identification has been saved in /home/ashishj/.ssh/id_rsa.
Your public key has been saved in /home/ashishj/.ssh/id_rsa.pub.
The key fingerprint is:
SHA256:c+SBciKXnwceaNQ8Ms8C4h46BsNosYx+9d+AUxdazuE email@domain.com
The key's randomart image is:
+---[RSA 4096]----+
| .o |
| .. ..oo+. + |
|=.o...B==.O o |
|==o =.*oO E |
|++ .. ..S = |
|oo.. + = |
|... o o |
| . . |
| |
+----[SHA256]-----+
Non è possibile accedere alla macchina virtuale Windows aggiunta a un dominio
D: Non è possibile connettersi alla macchina virtuale Windows aggiunta a un dominio.
R: Azure Bastion supporta l'accesso alla macchina virtuale aggiunto al dominio solo per l'accesso al dominio basato su password utente. Quando si specificano le credenziali di dominio nella portale di Azure, usare il formato UPN (username@domain) anziché il formato domain\username per accedere. Questa funzionalità è supportata per le macchine virtuali aggiunte a un dominio o aggiunte a un dominio (sia aggiunte a un dominio che a Microsoft Entra). Non è supportato per le macchine virtuali aggiunte solo a Microsoft Entra.
Impossibile connettersi alla macchina virtuale
D: Non è possibile connettersi alla macchina virtuale e non si verificano i problemi precedenti.
R: È possibile risolvere i problemi di connettività passando alla scheda Risoluzione dei problemi di Connessione ion (nella sezione Monitoraggio) della risorsa Azure Bastion nella portale di Azure. Risoluzione dei problemi di Network Watcher Connessione ion offre la possibilità di controllare una connessione TCP diretta da una macchina virtuale (VM) a una macchina virtuale, un nome di dominio completo (FQDN), un URI o un indirizzo IPv4. Per iniziare, scegliere un'origine da cui avviare la connessione e la destinazione a cui connettersi e selezionare "Controlla". Per altre informazioni, vedere Risoluzione dei problemi di Connessione ion.
Se JIT (Just-In-Time) è abilitato, potrebbe essere necessario aggiungere altre assegnazioni di ruolo per connettersi a Bastion. Aggiungere le autorizzazioni seguenti all'utente e quindi provare a riconnettersi a Bastion. Per altre informazioni, vedere Abilitare l'accesso JUST-In-Time alle macchine virtuali.
| Impostazione | Descrizione |
|---|---|
| Microsoft.Security/locations/jitNetworkAccessPolicies/read | Ottiene i criteri di accesso alla rete JIT |
| Microsoft.Security/locations/jitNetworkAccessPolicies/write | Crea un nuovo criterio di accesso alla rete JIT o ne aggiorna uno esistente |
Problemi di trasferimento di file
D: Il trasferimento di file è supportato con Azure Bastion?
R: Il trasferimento di file non è attualmente supportato. Stiamo lavorando per aggiungere il supporto.
Schermata nera nel portale di Azure
D: Quando si prova a connettersi usando Azure Bastion, non è possibile connettersi alla macchina virtuale di destinazione e viene visualizzata una schermata nera nel portale di Azure.
R: Ciò si verifica quando si verifica un problema di connettività di rete tra il Web browser e Azure Bastion (il firewall Internet del client potrebbe bloccare il traffico WebSocket o simile) o tra Azure Bastion e la macchina virtuale di destinazione. La maggior parte dei casi include un gruppo di sicurezza di rete applicato ad AzureBastionSubnet o nella subnet della macchina virtuale di destinazione che blocca il traffico RDP/SSH nella rete virtuale. Consentire il traffico WebSocket nel firewall Internet del client e controllare i gruppi di sicurezza di rete nella subnet della macchina virtuale di destinazione. Vedere Impossibile connettersi alla macchina virtuale per informazioni su come usare la risoluzione dei problemi di Connessione ion per risolvere i problemi di connettività.
Passaggi successivi
Per altre informazioni, vedere Le domande frequenti su Bastion.