Azure 間の VM ネットワーク接続の問題のトラブルシューティング

  • [アーティクル]

この記事では、あるリージョンから別のリージョンに Azure 仮想マシン (VM) をレプリケートして復旧するときのネットワーク接続に関連する一般的な問題について説明します。 ネットワーク要件の詳細については、Azure VM をレプリケートするための接続要件に関するページを参照してください。

Site Recovery レプリケーションを動作させるには、VM から特定の URL または IP 範囲への送信接続が必要です。 VM がファイアウォールの内側にあるか、ネットワーク セキュリティ グループ (NSG) ルールを使用して送信接続を制御している場合は、次のいずれかの問題に直面することがあります。

名前 商用 政府 説明
ストレージ *.blob.core.windows.net *.blob.core.usgovcloudapi.net VM からソース リージョンのキャッシュ ストレージ アカウントにデータを書き込むことができるようにするために必要です。 VM のすべてのキャッシュ ストレージ アカウントを把握している場合は、特定のストレージ アカウント URL に対して許可リストを使用できます。 たとえば、*.blob.core.windows.net ではなく、cache1.blob.core.windows.netcache2.blob.core.windows.net などです。
Microsoft Entra ID login.microsoftonline.com login.microsoftonline.us Site Recovery サービス URL に対する承認と認証に必要です。
レプリケーション *.hypervrecoverymanager.windowsazure.com *.hypervrecoverymanager.windowsazure.us VM から Site Recovery サービス通信を実行できるようにするために必要です。 ファイアウォール プロキシによって IP がサポートされている場合は、該当する Site Recovery IP を使用できます。
Service Bus *.servicebus.windows.net *.servicebus.usgovcloudapi.net VM から Site Recovery の監視および診断データを書き込むことができるようにするために必要です。 ファイアウォール プロキシによって IP がサポートされている場合は、該当する Site Recovery Monitoring IP を使用できます。

Site Recovery URL または IP 範囲の送信接続 (エラー コード 151037 または 151072)

問題 1:Azure 仮想マシンを Site Recovery に登録できませんでした (151195)

考えられる原因

ドメイン ネーム システム (DNS) を解決できないため、Site Recovery エンドポイントとの接続を確立できません。 この問題が頻繁に発生するのは、VM をフェールオーバーして再保護を行っているときに、ディザスター リカバリー (DR) リージョンから DNS サーバーに到達できない場合です。

解像度

カスタム DNS を使っている場合は、ディザスター リカバリー リージョンから DNS サーバーにアクセスできることを確認します。

VM がカスタム DNS 設定を使用するかどうかを確認するには、次を実行します。

  1. [仮想マシン] を開いて、VM を選択します。
  2. VM の [設定] に移動し、 [ネットワーク] を選択します。
  3. [仮想ネットワーク/サブネット] で、仮想ネットワークのリソース ページを開くためのリンクを選択します。
  4. [設定] に移動して、 [DNS サーバー] を選択します。

仮想マシンから DNS サーバーにアクセスを試みます。 DNS サーバーにアクセスできない場合は、DNS サーバーをフェールオーバーするか、または DR ネットワークと DNS の間にサイトのラインを作成して、アクセスできるようにします。

com-error

問題 2:Site Recovery の構成に失敗しました (151196)

Note

VM が Standard 内部ロード バランサーの背後にある場合、既定では、login.microsoftonline.com などの Microsoft 365 IP にアクセスすることはできません。 送信アクセスの場合は、Azure NAT ゲートウェイを作成します。 詳細については、「クイックスタート NAT ゲートウェイを作成する - Azure CLI」を参照してください。

考えられる原因

Microsoft 365 認証と ID IP4 エンドポイントへの接続を確立できません。

解像度

  • Azure Site Recovery では、認証のために Microsoft 365 の IP 範囲にアクセスする必要があります。
  • VM での発信ネットワーク接続の制御に Azure ネットワーク セキュリティ グループ (NSG) のルールやファイアウォール プロキシを使用している場合は、Microsoft 365 の IP 範囲への通信を確実に許可します。 Microsoft Entra に対応するすべての IP アドレスへのアクセスを許可するには、Microsoft Entra ID サービス タグ ベースの NSG 規則を作成します。
  • 今後、新しいアドレスが Microsoft Entra ID に追加された場合は、新しい NSG 規則を作成する必要があります。

NSG 構成の例

この例は、レプリケートする VM に対して NSG ルールを構成する方法を示しています。

  • NSG ルールを使用して送信接続を制御している場合は、必要なすべての IP アドレス範囲のポート 443 に対して、"HTTPS 送信を許可" ルールを使用します。
  • この例では、VM ソースの場所は米国東部で、ターゲットの場所は米国中部であると仮定します。

NSG ルール - 米国東部

  1. 次のスクリーンショットで示すように、NSG の HTTPS 送信セキュリティ ルールを作成します。 この例では、次の [宛先サービス タグ] を使用します。Storage.EastUS および [宛先ポート範囲] : 443

    Storage.EastUS のセキュリティ規則の [送信セキュリティ規則の追加] ウィンドウを示すスクリーンショット。

  2. 次のスクリーンショットで示すように、NSG の HTTPS 送信セキュリティ ルールを作成します。 この例では、次の [宛先サービス タグ] を使用します。AzureActiveDirectory および [宛先ポート範囲] : 443

    スクリーンショットには、Microsoft Entra ID のセキュリティ規則の [送信セキュリティ規則の追加] ペインが示されています。

  3. 上記のセキュリティ規則と同様に、ターゲットの場所に対応する NSG 上の "EventHub.CentralUS" に対して送信方向の HTTPS (443) セキュリティ規則を作成します。 これにより、Site Recovery 監視にアクセスできるようになります。

  4. NSG 上の "AzureSiteRecovery" に対して送信方向の HTTPS (443) セキュリティ規則を作成します。 これにより、任意のリージョンの Site Recovery Service にアクセスできます。

NSG ルール - 米国中部

この例では、フェールオーバー後にターゲット リージョンからソース リージョンへのレプリケーションが有効になるようにするには、以下の NSG ルールが必要です。

  1. Storage.CentralUS に対して、HTTPS 送信セキュリティ ルールを作成します。

    • [宛先サービス タグ] : Storage.CentralUS
    • [宛先ポート範囲] : 443

  2. AzureActiveDirectory に対して、HTTPS 送信セキュリティ ルールを作成します。

    • [宛先サービス タグ] : AzureActiveDirectory
    • [宛先ポート範囲] : 443

  3. 上記のセキュリティ規則と同様に、ソースの場所に対応する NSG 上の "EventHub.EastUS" に対して送信方向の HTTPS (443) セキュリティ規則を作成します。 これにより、Site Recovery 監視にアクセスできるようになります。

  4. NSG 上の "AzureSiteRecovery" に対して送信方向の HTTPS (443) セキュリティ規則を作成します。 これにより、任意のリージョンの Site Recovery Service にアクセスできます。

問題 3:Site Recovery の構成に失敗しました (151197)

考えられる原因

Azure Site Recovery サービスのエンドポイントに対する接続を確立できません。

解像度

マシンでの発信ネットワーク接続の制御に Azure ネットワーク セキュリティ グループ (NSG) 規則またはファイアウォール プロキシを使用している場合は、許可が必要なサービス タグがいくつか存在します。 詳細については、こちらを参照してください

問題 4:ネットワーク トラフィックがオンプレミス プロキシ サーバーを経由するときに Azure 間レプリケーションが失敗しました (151072)

考えられる原因

カスタム プロキシ設定が無効であり、Azure Site Recovery Mobility Service エージェントが Internet Explorer (IE) からプロキシ設定を自動検出しませんでした。

解像度

  1. モビリティ サービス エージェントは、Windows では IE から、Linux では /etc/environment からプロキシ設定を検出します。

  2. プロキシを Azure Site Recovery Mobility Service にのみ設定する場合は、次の場所にある ProxyInfo.conf 内にプロキシの詳細を指定できます。

    • Linux: /usr/local/InMage/config/
    • Windows: C:\ProgramData\Microsoft Azure Site Recovery\Config

  3. ProxyInfo.conf 内のプロキシ設定は、次の INI 形式になっている必要があります。

    [proxy]
Address=http://1.2.3.4
Port=567

Note

Azure Site Recovery Mobility Service エージェントでは、認証されていないプロキシのみがサポートされます

問題の解決

必要な URL または必要な IP 範囲を許可するには、ネットワーク ガイダンスのドキュメントの次の手順に従ってください。

次のステップ

Azure VM を別の Azure リージョンにレプリケートします