Microsoft Tunnel bewaken

  • Artikel

Na de installatie van Microsoft Tunnel kunt u de serverconfiguratie en serverstatus bekijken in het Microsoft Intune-beheercentrum.

De gebruikersinterface van het beheercentrum gebruiken

Meld u aan bij Microsoft Intune beheercentrum en ga naar Status van Tenantbeheer>Microsoft Tunnel Gateway>.

Selecteer vervolgens een server en open vervolgens het tabblad Statuscontrole om de metrische gegevens over de status van die servers weer te geven. Standaard worden voor elk metrische waarde vooraf gedefinieerde drempelwaarden gebruikt die de status bepalen. De volgende metrische gegevens ondersteunen het aanpassen van deze drempelwaarden:

  • CPU-gebruik
  • Geheugengebruik
  • Schijfruimtegebruik
  • Latency

Standaardwaarden voor metrische gegevens over serverstatus:

  • Laatste check-in : wanneer de Tunnel Gateway-server voor het laatst is ingecheckt bij Intune.

    • In orde : de laatste check-in vond plaats in de afgelopen vijf minuten.
    • Niet in orde : de laatste check-in was meer dan vijf minuten geleden.

  • Huidige verbindingen : het aantal unieke verbindingen dat actief was bij het laatste inchecken op de server.

    • In orde : er waren 4.990 of minder verbindingen
    • Niet in orde : er waren meer dan 4990 actieve verbindingen

  • Doorvoer : de megabits bits per seconde verkeer dat via de tunnelgateway-NIC gaat bij de laatste servercontrole.

  • CPU-gebruik : het gemiddelde CPU-gebruik door de Tunnel Gateway-server om de vijf minuten.

    • In orde - 95% of minder
    • Waarschuwing : 96% tot 99%
    • Niet in orde - 100% gebruik

  • CPU-kernen : het aantal CPU-kernen dat beschikbaar is op deze server.

    • In orde - 4 of meer kernen
    • Waarschuwing : 1, 2 of 3 kernen
    • Beschadigde -0 kernen

  • Geheugengebruik : het gemiddelde geheugengebruik door de Tunnel Gateway-server elke 5 minuten.

    • In orde - 95% of minder
    • Waarschuwing : 96% tot 99%
    • Niet in orde - 100% gebruik

  • Schijfruimtegebruik : de hoeveelheid schijfruimte die de Tunnel Gateway-server gebruikt.

    • In orde - boven 5 GB
    • Waarschuwing - 3-5 GB
    • Niet in orde - minder dan 3 GB

  • Latentie : de gemiddelde hoeveelheid tijd die nodig is voordat IP-pakketten binnenkomen en vervolgens de netwerkinterface verlaten.

    • In orde - minder dan 10 milliseconden
    • Waarschuwing - 10 milliseconden tot 20 milliseconden
    • Beschadigd - meer dan 20 milliseconden

  • Certificaat van beheeragent : het certificaat van de beheeragent wordt door Tunnel Gateway gebruikt om te verifiëren bij Intune, dus het is belangrijk om het te vernieuwen voordat het verloopt. Het zou zichzelf echter automatisch moeten vernieuwen.

    • In orde : het verlopen van het certificaat is meer dan 30 dagen verwijderd.
    • Waarschuwing : het verlopen van het certificaat is minder dan 30 dagen verwijderd.
    • Niet in orde : het certificaat is verlopen.

  • TLS-certificaat : het aantal dagen totdat het TLS-certificaat (Transport Layer Security) dat verkeer tussen clients en de Tunnel Gateway-server beveiligt, verloopt.

    • In orde - meer dan 30 dagen
    • Waarschuwing - 30 dagen of minder
    • Niet in orde : het certificaat is verlopen

  • TLS-certificaatintrekking : de tunnelgateway probeert de intrekkingsstatus van het TLS-certificaat (Transport Layer Security) te controleren met behulp van een OCSP-adres (Online Certificate Status Protocol) of een CRL-adres (Certificate Revocation List), zoals gedefinieerd door het TLS-certificaat. Voor deze controle moet de server toegang hebben tot het OCSP-eindpunt of het CRL-adres zoals gedefinieerd in het certificaat.

    • In orde : het TLS-certificaat is niet ingetrokken.
    • Waarschuwing: kan niet controleren of het TLS-certificaat is ingetrokken. Zorg ervoor dat de eindpunten die in het certificaat zijn gedefinieerd, toegankelijk zijn vanaf de tunnelserver.
    • Beschadigd : het TLS-certificaat is ingetrokken.

    Een ingetrokken TLS-certificaat vervangen.

    Zie Online Certificate Status Protocol op wikipedia.org voor meer informatie over OCSP (Online Certificate Status Protocol ).

  • Interne netwerktoegankelijkheid : status van de meest recente controle van de interne URL. U configureert de URL als onderdeel van een configuratie van een tunnelsite.

    • In orde : de server heeft toegang tot de URL die is opgegeven in de site-eigenschappen.
    • Beschadigd : de server heeft geen toegang tot de URL die is opgegeven in de site-eigenschappen.
    • Onbekend : deze status wordt weergegeven wanneer u geen URL hebt ingesteld in de site-eigenschappen. Deze status heeft geen invloed op de algehele status van de site.

  • Upgradebaarheid : de mogelijkheid van de server om contact op te maken met de Microsoft Container Repository, waardoor Tunnel Gateway een upgrade kan uitvoeren wanneer er versies beschikbaar zijn.

    • In orde : de server heeft de afgelopen 5 minuten geen contact opgenomen met de Microsoft Container Repository.
    • Niet in orde : de server heeft meer dan 5 minuten geen contact opgenomen met de Microsoft Container Repository.

  • Serverversie : de status van de Tunnel Gateway Server-software, in relatie tot de meest recente versie.

    • In orde : up-to-date met de meest recente softwareversie
    • Waarschuwing : één versie achter
    • Niet in orde : twee of meer versies achter en worden niet ondersteund

    Als de serverversie niet in orde is, kunt u upgrades voor Microsoft Tunnel installeren.

  • Servercontainer : bepaalt of de container die als host fungeert voor de Microsoft Tunnel-server wordt uitgevoerd.

    • In orde : servercontainerstatus is in orde.
    • Niet in orde : de status van de servercontainer is niet in orde.

  • Serverconfiguratie: bepaalt of de serverconfiguratie is toegepast op de tunnelserver vanuit Microsoft Intune site-instellingen.

    • In orde : serverconfiguratie is toegepast.
    • Niet in orde : serverconfiguratie kan niet worden toegepast.

  • Serverlogboeken : bepaalt of logboeken in de afgelopen 60 minuten zijn geüpload naar de server.

    • In orde : serverlogboeken zijn in de afgelopen 60 minuten geüpload.
    • Niet in orde : serverlogboeken zijn in de afgelopen 60 minuten geüpload.

Drempelwaarden voor status beheren

U kunt de volgende metrische gegevens over de status van Microsoft Tunnel aanpassen om de drempelwaarden te wijzigen die worden gebruikt om hun status te rapporteren. Aanpassingen zijn tenantbreed en zijn van toepassing op alle tunnelservers. De metrische gegevens voor statuscontrole die u kunt aanpassen, zijn onder andere:

  • CPU-gebruik
  • Geheugengebruik
  • Schijfruimtegebruik
  • Latency

Een drempelwaarde voor metrische gegevens wijzigen:

Schermopname van het selecteren en configureren van drempelwaarden voor statusstatus.

  1. Meld u aan bij Microsoft Intune-beheercentrum en ga naar Status van Tenantbeheer>Microsoft Tunnel Gateway>.

  2. Selecteer Drempelwaarden configureren.

  3. Stel op de pagina Geconfigureerde drempelwaarden nieuwe drempelwaarden in voor elke statuscontrolecategorie die u wilt aanpassen.

    • Drempelwaarden zijn van toepassing op alle servers op alle sites.
    • Selecteer Standaardinstelling herstellen om alle drempelwaarden terug te zetten naar de standaardwaarden.

  4. Kies Opslaan.

  5. Selecteer in het deelvenster Status de optie Vernieuwen om de status van alle servers bij te werken op basis van de aangepaste drempelwaarden.

Nadat u drempelwaarden hebt gewijzigd, worden de waarden op het tabblad Statuscontrole van een server automatisch bijgewerkt om de status ervan weer te geven, op basis van de huidige drempelwaarden.

Schermopname van een server Statuscontroleweergave.

Statustrends van Microsoft Tunnel Gateway weergeven in de vorm van een grafiek. Gegevens voor de grafieken worden gemiddeld berekend over een blok van drie uur en kunnen als zodanig tot drie uur worden uitgesteld.

De trenddiagrammen voor status zijn beschikbaar voor de volgende metrische gegevens:

  • Connections
  • CPU-gebruik
  • Schijfruimtegebruik
  • Geheugengebruik
  • Gemiddelde latentie
  • Doorvoer

Trenddiagrammen weergeven:

  1. Meld u aan bij het Microsoft Intune-beheercentrum.

  2. Ga naar Tenantbeheer>Status van Microsoft Tunnel Gateway>>Selecteer een server en selecteer vervolgens Trends

  3. Gebruik de vervolgkeuzelijst Metrische gegevens om de grafiek met metrische gegevens te selecteren die u wilt weergeven.

Opdrachtregelprogramma mst-cli gebruiken

Gebruik het opdrachtregelprogramma mst-cli om informatie op te halen over de Microsoft Tunnel-server. Dit bestand wordt toegevoegd aan de Linux-server wanneer de Microsoft Tunnel wordt geïnstalleerd. Het hulpprogramma bevindt zich op: /usr/sbin/mst-cli.

Zie het opdrachtregelprogramma mst-cli voor Microsoft Tunnel voor meer informatie en opdrachtregelvoorbeelden.

Microsoft Tunnel-logboeken weergeven

Microsoft Tunnel registreert gegevens in de Linux-serverlogboeken in de syslog-indeling . Als u logboekvermeldingen wilt weergeven, gebruikt u de opdracht journalctl -t gevolgd door een of meer tags die specifiek zijn voor Microsoft Tunnel-vermeldingen:

  • mstunnel-agent: agentlogboeken weergeven.

  • mstunnel_monitor: logboeken voor bewakingstaken weergeven.

  • ocserv : serverlogboeken weergeven.

  • ocserv-access : toegangslogboeken weergeven.

    Logboekregistratie van toegang is standaard uitgeschakeld. Het inschakelen van toegangslogboeken kan de prestaties verminderen, afhankelijk van het aantal actieve verbindingen en gebruikspatronen op de server. Logboekregistratie voor DNS-verbindingen verhoogt de uitgebreidheid van de logboeken, die luidruchtig kunnen worden.

    Access-logboeken hebben de volgende indeling: <Server timestamp><Server Name><ProcessID on Server><userId><deviceId><protocol><src IP and port><dst IP and port><bytes sent><bytes received><connection time in seconds> Bijvoorbeeld:

    • 25 februari 16:37:56 MSTunnelTest-VM ocserv-access[9528]: ACCESS_LOG,41150dc4-238x-4dwv-9q89-55e987f30c32,f5132455-ef2dd-225a-a693-afbbqed482dce,tcp,169.254.54.149:49462,10.88.0.5:80,112,60,10

    Belangrijk

    In ocserv-access identificeert de waarde deviceId het unieke installatie-exemplaar van Microsoft Defender dat wordt uitgevoerd op een apparaat en identificeert niet de Intune-apparaat-id of Microsoft Entra apparaat-id. Als Defender wordt verwijderd en vervolgens opnieuw wordt geïnstalleerd op een apparaat, wordt er een nieuw exemplaar voor de DeviceId* gegenereerd.

    Logboekregistratie van toegang inschakelen:

    1. TRACE_SESSIONS=1 instellen in /etc/mstunnel/env.sh
    2. TRACE_SESSIONS=2 instellen om logboekregistratie voor DNS-verbindingen op te nemen
    3. Voer uit mst-cli server restart om de server opnieuw op te starten.

    Als toegangslogboeken te luidruchtig zijn, kunt u logboekregistratie van DNS-verbindingen uitschakelen door TRACE_SESSIONS=1 in te stellen en de server opnieuw op te starten.

  • OCSERV_TELEMETRY : telemetriegegevens weergeven voor verbindingen met Tunnel.

    Telemetrielogboeken hebben de volgende indeling, waarbij de waarden voor bytes_in, bytes_out en duur alleen worden gebruikt voor verbroken bewerkingen: <operation><client_ip><server_ip><gateway_ip><assigned_ip><user_id><device_id><user_agent><bytes_in><bytes_out><duration> bijvoorbeeld:

    • 20 oktober 19:32:15 mstunnel ocserv[4806]: OCSERV_TELEMETRY,verbinden,31258,73.20.85.75,172.17.0.3,3169.254.0.1,169.254.107.209,3780e1fc-3ac2-4268-a1fd-dd910ca8c13c, 5A683ECC-D909-4E5F-9C67-C0F595A4A70E,MobileAccess iOS 1.1.34040102

    Belangrijk

    In OCSERV_TELEMETRY identificeert de waarde deviceId het unieke installatie-exemplaar van Microsoft Defender dat op een apparaat wordt uitgevoerd en identificeert niet de Intune-apparaat-id of Microsoft Entra apparaat-id. Als Defender wordt verwijderd en vervolgens opnieuw wordt geïnstalleerd op een apparaat, wordt er een nieuw exemplaar voor de DeviceId* gegenereerd.

Opdrachtregelvoorbeelden voor journalctl:

  • Voer uit om informatie voor alleen de tunnelserver weer te geven journalctl -t ocserv.
  • Voer uit om het telemetrielogboek weer te geven journalctl -t ocserv | grep TELEMETRY
  • Als u informatie voor alle logboekopties wilt weergeven, kunt u uitvoeren journalctl -t ocserv -t ocserv-access -t mstunnel-agent -t mstunnel_monitor.
  • Voeg toe -f aan de opdracht om een actieve en doorlopende weergave van het logboekbestand weer te geven. Als u bijvoorbeeld actieve processen voor Microsoft Tunnel wilt bewaken, voert u uit journalctl -t mstunnel_monitor -f.

Meer opties voor journalctl:

  • journalctl -h – Help voor de opdracht weer te geven voor journalctl.
  • man journalctl – Aanvullende informatie weergeven.
  • man journalctl.conf Informatie over configuratie weergeven Voor meer informatie over journalctl raadpleegt u de documentatie voor de versie van Linux die u gebruikt.

Eenvoudig uploaden van diagnostische logboeken voor tunnelservers

Als diagnostisch hulpmiddel kunt u met één klik in het Intune-beheercentrum uitgebreide logboeken van een Tunnel Gateway Server rechtstreeks bij Microsoft inschakelen, verzamelen en verzenden. Deze uitgebreide logboeken zijn vervolgens rechtstreeks beschikbaar voor Microsoft wanneer u met Microsoft werkt om problemen met een tunnelserver te identificeren of op te lossen.

U kunt uitgebreide logboeken van een gebeurtenis verzamelen en uploaden voordat u een ondersteuningsincident opent, of op verzoek als u al met Microsoft werkt om een tunnelserverbewerking te onderzoeken.

Ga als volgt te werk om deze mogelijkheid te gebruiken:

  1. Open het Microsoft Intune beheercentrum ga naar Tenantbeheer>Microsoft Tunnel Gateway> selecteer een server> en selecteer vervolgens het tabblad Logboeken.

  2. Zoek op het tabblad Logboeken de sectie Uitgebreide serverlogboeken verzenden en selecteer Logboeken verzenden.

Wanneer u Logboeken voor een tunnelserver verzenden selecteert, wordt het volgende proces gestart:

  • Eerst legt Intune de huidige set tunnelserverlogboeken vast en uploadt deze rechtstreeks naar Microsoft. Deze logboeken worden verzameld met behulp van het huidige uitgebreidheidsniveau van de servers. Standaard is het uitgebreidheidsniveau van de server nul (0).
  • Vervolgens schakelt Intune een uitgebreidheidsniveau van vier (4) in voor de tunnelserverlogboeken. Dit uitgebreidheidsniveau van details wordt gedurende acht uur verzameld.
  • Tijdens de acht uur uitgebreide logboekverzameling moet het probleem of de bewerking die wordt onderzocht, worden gereproduceerd om de uitgebreide details in de logboeken vast te leggen.
  • Na acht uur verzamelt Intune een tweede set serverlogboeken met de uitgebreide details en uploadt deze naar Microsoft. Op het moment van uploaden stelt Intune ook de tunnelserverlogboeken opnieuw in, zodat het standaard uitgebreidheidsniveau van nul (0) wordt gebruikt. Als u eerder het uitgebreidheidsniveau van de server hebt verhoogd, kunt u, nadat Intune de uitgebreidheid op nul heeft ingesteld, uw aangepaste uitgebreidheidsniveau herstellen.

Elke set logboeken die Intune verzamelt en uploadt, wordt geïdentificeerd als een afzonderlijke set met de volgende details die worden weergegeven in het beheercentrum onder de knop Logboeken verzenden :

  • Een begin- en eindtijd van de logboekverzameling
  • Wanneer de upload is gegenereerd
  • Het logboek stelt uitgebreidheidsniveau in
  • Een incident-id die kan worden gebruikt om die specifieke logboekset te identificeren

Schermopname met de interface uitgebreide serverlogboeken verzenden.

Nadat u een probleem hebt vastgelegd tijdens het uitvoeren van uitgebreide logboekverzameling, kunt u de incident-id van dat logboek opgeven die is ingesteld op Microsoft om te helpen bij het onderzoek.

Over logboekverzameling

  • Intune stopt of start de tunnelserver niet opnieuw op om uitgebreide logboekregistratie in of uit te schakelen.
  • De uitgebreide logboekregistratieperiode van acht uur kan niet worden verlengd of vroegtijdig worden gestopt.
  • U kunt het proces Logboeken verzenden zo vaak als nodig gebruiken om een probleem met uitgebreide logboekregistratie vast te leggen. Een grotere uitgebreidheid van logboeken voegt echter belasting toe aan de tunnelserver en wordt niet aanbevolen als een normale configuratie.
  • Nadat uitgebreide logboekregistratie is beëindigd, wordt het standaard uitgebreidheidsniveau nul ingesteld voor tunnelserverlogboeken, ongeacht de eerder ingestelde uitgebreidheidsniveaus.
  • De volgende logboeken worden verzameld via dit proces:
    • mstunnel-agent (agentlogboeken)
    • mstunnel_monitor (taaklogboeken bewaken)
    • ocserv (serverlogboeken)

De ocserv-access-logboeken worden niet verzameld of geüpload.

Bekende problemen

Hier volgen bekende problemen voor Microsoft Tunnel.

Serverstatus

Clients kunnen de tunnel gebruiken wanneer de status van de server wordt weergegeven als offline

Probleem: op het tabblad Status van tunnel wordt de status van een server als offline gerapporteerd, wat aangeeft dat de verbinding is verbroken, ook al kunnen gebruikers de tunnelserver bereiken en verbinding maken met de resources van de organisatie.

Oplossing: om dit probleem op te lossen, moet u Microsoft Tunnel opnieuw installeren, waarmee de Tunnel-serveragent opnieuw wordt ingeschreven bij Intune. Als u dit probleem wilt voorkomen, installeert u updates voor de Tunnel-agent en -server kort nadat deze zijn uitgebracht. Gebruik de metrische gegevens van de tunnelserverstatus in het Microsoft Intune-beheercentrum om de serverstatus te bewaken.

Met Podman ziet u 'Fout bij het uitvoeren van controle' in het mstunnel_monitor-logboek

Probleem: Podman kan de actieve containers niet identificeren of zien en meldt 'Fout bij het uitvoeren van controle' in het mstunnel_monitor logboek van de tunnelserver. Hier volgen voorbeelden van de fouten:

  • Agent:

    Error executing Checkup
Error details
\tscript: 561 /usr/sbin/mst-cli
\t\tcommand: $ctr_cli exec $agent_name mstunnel checkup 2> >(FailLogger)
\tstack:
\t\t<> Checkup /usr/sbin/mst-cli Message: NA
\t\t<> MonitorServices /usr/sbin/mst-cli Message: Failure starting service mstunnel-agent
\t\t<> main /usr/sbin/mstunnel_monitor Message: NA

  • Server:

    Error executing Checkup
Error details
\tscript: 649 /usr/sbin/mst-cli
\t\tcommand: $ctr_cli exec $agent_name mstunnel checkup 2> >(FailLogger)
\tstack:
\t\t<> Checkup /usr/sbin/mst-cli Message: NA
\t\t<> MonitorServices /usr/sbin/mst-cli Message: Failure starting service mstunnel-server
\t\t<> main /usr/sbin/mstunnel_monitor Message: NA

Oplossing: u kunt dit probleem oplossen door de Podman-containers handmatig opnieuw te starten. Podman moet vervolgens de containers kunnen identificeren. Als het probleem zich blijft voordoen of terugkeert, kunt u overwegen om cron te gebruiken om een taak te maken waarmee de containers automatisch opnieuw worden gestart wanneer dit probleem wordt waargenomen.

Met Podman ziet u System.DateTime-fouten in het logboek mstunnel-agent

Probleem: wanneer u Podman gebruikt, kan het logboek mstunnel-agent fouten bevatten die vergelijkbaar zijn met de volgende vermeldingen:

  • Failed to parse version-info.json for version information.
  • System.Text.Json.JsonException: The JSON value could not be converted to System.DateTime

Dit probleem treedt op vanwege verschillen in opmaakdatums tussen Podman en Tunnel Agent. Deze fouten duiden niet op een dodelijk probleem en verhinderen de connectiviteit. Vanaf containers die na oktober 2022 zijn uitgebracht, moeten de opmaakproblemen zijn opgelost.

Oplossing: U kunt deze problemen oplossen door de agentcontainer (Podman of Docker) bij te werken naar de nieuwste versie. Wanneer er nieuwe bronnen van deze fouten worden gedetecteerd, blijven we deze in volgende versie-updates oplossen.

Connectiviteit met tunnel

Apparaten kunnen geen verbinding maken met de tunnelserver

Probleem: apparaten kunnen geen verbinding maken met de server en het ocserv-logboekbestand van de tunnelserver bevat een vermelding die lijkt op de volgende vermelding: main: tun.c:655: Can't open /dev/net/tun: Operation not permitted

Zie Microsoft Tunnel-logboeken weergeven in dit artikel voor hulp bij het weergeven van tunnellogboeken.

Oplossing: Start de server opnieuw op nadat mst-cli server restart de Linux-server opnieuw is opgestart.

Als dit probleem zich blijft voordoen, kunt u overwegen om de opdracht voor opnieuw opstarten te automatiseren met behulp van het hulpprogramma cron-planning. Zie Cron gebruiken in Linux op opensource.com.

Volgende stappen

Naslaginformatie voor Microsoft Tunnel