L'attivazione di Windows non riesce nello scenario di tunneling forzato
Questo articolo descrive come risolvere il problema di attivazione del Servizio di gestione delle chiavi che potrebbe verificarsi quando si abilita il tunneling forzato in scenari di connessione VPN da sito a sito o ExpressRoute.
Sintomo
È possibile abilitare il tunneling forzato nelle subnet di rete virtuale di Azure per indirizzare tutto il traffico associato a Internet alla rete locale. In questo scenario, le macchine virtuali di Azure che eseguono Windows non riescono ad attivare Windows.
Causa
Le macchine virtuali Windows di Azure devono connettersi al server del Servizio di gestione delle chiavi di Azure per l'attivazione di Windows. L'attivazione richiede che la richiesta di attivazione provengano da un indirizzo IP pubblico di Azure. Nello scenario di tunneling forzato, l'attivazione ha esito negativo perché la richiesta di attivazione proviene dalla rete locale anziché da un indirizzo IP pubblico di Azure.
Soluzione
Per risolvere questo problema, usare la route personalizzata di Azure per instradare il traffico di attivazione al server del Servizio di gestione delle chiavi di Azure.
Il primo nome DNS del server del Servizio di gestione delle chiavi per il cloud globale di Azure è azkms.core.windows.net
con due indirizzi IP: 20.118.99.224
e 40.83.235.53
. Il secondo nome DNS del server del Servizio di gestione delle chiavi per il cloud globale di Azure è kms.core.windows.net
con un indirizzo IP di 23.102.135.246
. Se si usano altre piattaforme di Azure, ad esempio Azure Germania, è necessario usare l'indirizzo IP del server del Servizio di gestione delle chiavi corrispondente. Per altre informazioni, vedere la tabella seguente:
Piattaforma | DNS del servizio di gestione delle chiavi | IP del Servizio di gestione delle chiavi |
---|---|---|
Azure Global | azkms.core.windows.net kms.core.windows.net |
20.118.99.224, 40.83.235.53 23.102.135.246 |
Azure Germania | kms.core.cloudapi.de | 51.4.143.248 |
Azure Governo Statunitense | kms.core.usgovcloudapi.net azkms.core.usgovcloudapi.net |
23.97.0.13 52.126.105.2 |
Azure Cina 21Vianet | azkms.core.chinacloudapi.cn kms.core.chinacloudapi.cn |
159.27.28.100, 163.228.64.161 42.159.7.249 |
Nota
Tutti e tre gli indirizzi IP per il cloud globale di Azure e Azure Cina, nonché i due indirizzi IP per Azure US Government devono essere aggiunti alla route personalizzata.
Per aggiungere la route personalizzata, seguire questa procedura:
Per le macchine virtuali Resource Manager
Nota
L'attivazione usa indirizzi IP pubblici e sarà interessata da una configurazione dello SKU Standard Load Balancer. Esaminare attentamente le connessioni in uscita in Azure per informazioni sui requisiti.
Aprire Azure PowerShell e quindi accedere alla sottoscrizione di Azure.
Eseguire i comandi seguenti:
# First, get the virtual network that hosts the VMs that have activation problems. In this case, we get virtual network ArmVNet-DM in Resource Group ArmVNet-DM: $vnet = Get-AzVirtualNetwork -ResourceGroupName "ArmVNet-DM" -Name "ArmVNet-DM" # Next, create a route table: $RouteTable = New-AzRouteTable -Name "ArmVNet-DM-KmsDirectRoute" -ResourceGroupName "ArmVNet-DM" -Location "centralus" # Next, configure the route table: Add-AzRouteConfig -Name "DirectRouteToKMS" -AddressPrefix 23.102.135.246/32 -NextHopType Internet -RouteTable $RouteTable Add-AzRouteConfig -Name "DirectRouteToAZKMS01" -AddressPrefix 20.118.99.224/32 -NextHopType Internet -RouteTable $RouteTable Add-AzRouteConfig -Name "DirectRouteToAZKMS02" -AddressPrefix 40.83.235.53/32 -NextHopType Internet -RouteTable $RouteTable Set-AzRouteTable -RouteTable $RouteTable # Next, attach the route table to the subnet that hosts the VMs: Set-AzVirtualNetworkSubnetConfig -Name "Subnet01" -VirtualNetwork $vnet -AddressPrefix "10.0.0.0/24" -RouteTable $RouteTable Set-AzVirtualNetwork -VirtualNetwork $vnet
Passare alla macchina virtuale che presenta problemi di attivazione. Usare PsPing per verificare se può raggiungere il server del Servizio di gestione delle chiavi:
psping kms.core.windows.net:1688 psping azkms.core.windows.net:1688
Provare ad attivare Windows e verificare se il problema è stato risolto.
Per macchine virtuali classiche
Importante
Le macchine virtuali classiche verranno ritirate il 1° settembre 2023
Se si utilizzano risorse IaaS da ASM, completare la migrazione entro il 1° settembre 2023. Ti invitiamo a effettuare il passaggio prima per sfruttare i numerosi miglioramenti delle funzionalità in Azure Resource Manager.
Per ulteriori informazioni, consultare Migrazione delle risorse IaaS in Azure Resource Manager entro il 1° settembre 2023.
Aprire Azure PowerShell e quindi accedere alla sottoscrizione di Azure.
Eseguire i comandi seguenti:
# First, create a new route table: New-AzureRouteTable -Name "VNet-DM-KmsRouteGroup" -Label "Route table for KMS" -Location "Central US" # Next, get the route table that was created: $rt = Get-AzureRouteTable -Name "VNet-DM-KmsRouteTable" # Next, create routes: Set-AzureRoute -RouteTable $rt -RouteName "AzureKMS" -AddressPrefix "23.102.135.246/32" -NextHopType Internet Set-AzureRoute -RouteTable $rt -RouteName "AzureAZKMS01" -AddressPrefix "20.118.99.224/32" -NextHopType Internet Set-AzureRoute -RouteTable $rt -RouteName "AzureAZKMS02" -AddressPrefix "40.83.235.53/32" -NextHopType Internet # Apply the KMS route table to the subnet that hosts the problem VMs (in this case, we apply it to the subnet that's named Subnet-1): Set-AzureSubnetRouteTable -VirtualNetworkName "VNet-DM" -SubnetName "Subnet-1" -RouteTableName "VNet-DM-KmsRouteTable"
Passare alla macchina virtuale che presenta problemi di attivazione. Usare PsPing per verificare se può raggiungere il server del Servizio di gestione delle chiavi:
psping kms.core.windows.net:1688 psping azkms.core.windows.net:1688
Provare ad attivare Windows e verificare se il problema è stato risolto.
Passaggi successivi
- Chiavi di configurazione client del Servizio di gestione delle chiavi
- Esaminare e selezionare i metodi di attivazione
Contattaci per ricevere assistenza
In caso di domande o bisogno di assistenza, creare una richiesta di supporto tecnico oppure formula una domanda nel Supporto della community di Azure. È possibile anche inviare un feedback sul prodotto al feedback della community di Azure.
Commenti e suggerimenti
https://aka.ms/ContentUserFeedback.
Presto disponibile: Nel corso del 2024 verranno gradualmente disattivati i problemi di GitHub come meccanismo di feedback per il contenuto e ciò verrà sostituito con un nuovo sistema di feedback. Per altre informazioni, vedereInvia e visualizza il feedback per