Resolver problemas de um híbrido ligação VPNTroubleshoot a hybrid VPN connection

Este artigo fornece algumas sugestões para resolução de problemas de uma ligação de gateway VPN entre uma rede no local e o Azure.This article gives some tips for troubleshooting a VPN gateway connection between an on-premises network and Azure. Para obter informações gerais sobre como resolver erros comuns relacionados com a VPN, veja Troubleshooting common VPN related errors (Resolução de erros comuns relacionados com a VPN).For general information on troubleshooting common VPN-related errors, see Troubleshooting common VPN related errors.

Certifique-se de que a aplicação VPN está a funcionar corretamenteVerify the VPN appliance is functioning correctly

As seguintes recomendações são úteis para determinar se a aplicação VPN no local está a funcionar corretamente.The following recommendations are useful for determining if your on-premises VPN appliance is functioning correctly.

Verifique a existência de erros ou falhas em quaisquer ficheiros de registo gerados pela aplicação VPN.Check any log files generated by the VPN appliance for errors or failures. Este procedimento ajudará a determinar se o dispositivo VPN está a funcionar corretamente.This will help you determine if the VPN appliance is functioning correctly. A localização destas informações varia de acordo com a sua aplicação.The location of this information will vary according to your appliance. Por exemplo, se estiver a utilizar o RRAS no Windows Server 2012, poderá utilizar o seguinte comando do PowerShell para apresentar informações de eventos de erro para o serviço RRAS:For example, if you are using RRAS on Windows Server 2012, you can use the following PowerShell command to display error event information for the RRAS service:

Get-EventLog -LogName System -EntryType Error -Source RemoteAccess | Format-List -Property *

A propriedade Mensagem de cada entrada apresenta uma descrição do erro.The Message property of each entry provides a description of the error. Alguns exemplos comuns:Some common examples are:

  • Incapacidade de ligar, possivelmente devido a um endereço IP incorreto especificado para o gateway de VPN do Azure na configuração de interface de rede de VPN do RRAS.Inability to connect, possibly due to an incorrect IP address specified for the Azure VPN gateway in the RRAS VPN network interface configuration.

    EventID            : 20111
    MachineName        : on-prem-vm
    Data               : {41, 3, 0, 0}
    Index              : 14231
    Category           : (0)
    CategoryNumber     : 0
    EntryType          : Error
    Message            : RoutingDomainID- {00000000-0000-0000-0000-000000000000}: A demand dial connection to the remote
                            interface AzureGateway on port VPN2-4 was successfully initiated but failed to complete
                            successfully because of the  following error: The network connection between your computer and
                            the VPN server could not be established because the remote server is not responding. This could
                            be because one of the network devices (for example, firewalls, NAT, routers, and so on) between your computer
                            and the remote server is not configured to allow VPN connections. Please contact your
                            Administrator or your service provider to determine which device may be causing the problem.
    Source             : RemoteAccess
    ReplacementStrings : {{00000000-0000-0000-0000-000000000000}, AzureGateway, VPN2-4, The network connection between
                            your computer and the VPN server could not be established because the remote server is not
                            responding. This could be because one of the network devices (for example, firewalls, NAT, routers, and so on)
                            between your computer and the remote server is not configured to allow VPN connections. Please
                            contact your Administrator or your service provider to determine which device may be causing the
                            problem.}
    InstanceId         : 20111
    TimeGenerated      : 3/18/2016 1:26:02 PM
    TimeWritten        : 3/18/2016 1:26:02 PM
    UserName           :
    Site               :
    Container          :
    
  • A chave partilhada errada que está a ser especificada na configuração de interface de rede de VPN do RRAS.The wrong shared key being specified in the RRAS VPN network interface configuration.

    EventID            : 20111
    MachineName        : on-prem-vm
    Data               : {233, 53, 0, 0}
    Index              : 14245
    Category           : (0)
    CategoryNumber     : 0
    EntryType          : Error
    Message            : RoutingDomainID- {00000000-0000-0000-0000-000000000000}: A demand dial connection to the remote
                            interface AzureGateway on port VPN2-4 was successfully initiated but failed to complete
                            successfully because of the  following error: Internet key exchange (IKE) authentication credentials are unacceptable.
    
    Source             : RemoteAccess
    ReplacementStrings : {{00000000-0000-0000-0000-000000000000}, AzureGateway, VPN2-4, IKE authentication credentials are
                            unacceptable.
                            }
    InstanceId         : 20111
    TimeGenerated      : 3/18/2016 1:34:22 PM
    TimeWritten        : 3/18/2016 1:34:22 PM
    UserName           :
    Site               :
    Container          :
    

Também pode obter informações de registo de eventos sobre tentativas de estabelecer ligação através do serviço RRAS através do seguinte comando do PowerShell:You can also obtain event log information about attempts to connect through the RRAS service using the following PowerShell command:

Get-EventLog -LogName Application -Source RasClient | Format-List -Property *

Em caso de uma falha na ligação, este registo conterá erros semelhantes ao seguinte:In the event of a failure to connect, this log will contain errors that look similar to the following:

EventID            : 20227
MachineName        : on-prem-vm
Data               : {}
Index              : 4203
Category           : (0)
CategoryNumber     : 0
EntryType          : Error
Message            : CoId={B4000371-A67F-452F-AA4C-3125AA9CFC78}: The user SYSTEM dialed a connection named
                        AzureGateway that has failed. The error code returned on failure is 809.
Source             : RasClient
ReplacementStrings : {{B4000371-A67F-452F-AA4C-3125AA9CFC78}, SYSTEM, AzureGateway, 809}
InstanceId         : 20227
TimeGenerated      : 3/18/2016 1:29:21 PM
TimeWritten        : 3/18/2016 1:29:21 PM
UserName           :
Site               :
Container          :

Verificar a conectividadeVerify connectivity

Verifique a conectividade e o encaminhamento em todo o gateway de VPN.Verify connectivity and routing across the VPN gateway. A aplicação VPN pode não estar a encaminhar corretamente o tráfego através do Gateway de VPN do Azure.The VPN appliance may not be correctly routing traffic through the Azure VPN Gateway. Utilize uma ferramenta como PsPing para verificar a conectividade e o encaminhamento em todo o gateway de VPN.Use a tool such as PsPing to verify connectivity and routing across the VPN gateway. Por exemplo, para testar a conectividade de um computador local para um servidor Web, localizado na VNet, execute o seguinte comando (ao substituir <<web-server-address>> pelo endereço do servidor Web):For example, to test connectivity from an on-premises machine to a web server located on the VNet, run the following command (replacing <<web-server-address>> with the address of the web server):

PsPing -t <<web-server-address>>:80

Se o computador local puder encaminhar o tráfego para o servidor Web, deverá ver um resultado semelhante ao seguinte:If the on-premises machine can route traffic to the web server, you should see output similar to the following:

D:\PSTools>psping -t 10.20.0.5:80

PsPing v2.01 - PsPing - ping, latency, bandwidth measurement utility
Copyright (C) 2012-2014 Mark Russinovich
Sysinternals - www.sysinternals.com

TCP connect to 10.20.0.5:80:
Infinite iterations (warmup 1) connecting test:
Connecting to 10.20.0.5:80 (warmup): 6.21ms
Connecting to 10.20.0.5:80: 3.79ms
Connecting to 10.20.0.5:80: 3.44ms
Connecting to 10.20.0.5:80: 4.81ms

    Sent = 3, Received = 3, Lost = 0 (0% loss),
    Minimum = 3.44ms, Maximum = 4.81ms, Average = 4.01ms

Se o computador local não conseguir comunicar com o destino especificado, verá mensagens como esta:If the on-premises machine cannot communicate with the specified destination, you will see messages like this:

D:\PSTools>psping -t 10.20.1.6:80

PsPing v2.01 - PsPing - ping, latency, bandwidth measurement utility
Copyright (C) 2012-2014 Mark Russinovich
Sysinternals - www.sysinternals.com

TCP connect to 10.20.1.6:80:
Infinite iterations (warmup 1) connecting test:
Connecting to 10.20.1.6:80 (warmup): This operation returned because the timeout period expired.
Connecting to 10.20.1.6:80: This operation returned because the timeout period expired.
Connecting to 10.20.1.6:80: This operation returned because the timeout period expired.
Connecting to 10.20.1.6:80: This operation returned because the timeout period expired.
Connecting to 10.20.1.6:80:
    Sent = 3, Received = 0, Lost = 3 (100% loss),
    Minimum = 0.00ms, Maximum = 0.00ms, Average = 0.00ms

Verifique se a firewall no local permite que o tráfego de VPN seja transmitido e se estão abertas as portas corretas.Verify that the on-premises firewall allows VPN traffic to pass and that the correct ports are opened.

Certifique-se de que a aplicação de VPN no local utiliza um método de encriptação que é compatível com o gateway de VPN do Azure.Verify that the on-premises VPN appliance uses an encryption method that is compatible with the Azure VPN gateway. Para um encaminhamento baseado em políticas, o gateway de VPN do Azure suporta algoritmos de encriptação AES256, AES128 e 3DES.For policy-based routing, the Azure VPN gateway supports the AES256, AES128, and 3DES encryption algorithms. Os gateways baseados na rota suportam AES256 e 3DES.Route-based gateways support AES256 and 3DES. Para obter mais informações, consulte acerca dos dispositivos VPN e parâmetros IPsec/IKE para ligações de Gateway de VPN de Site a Site.For more information, see About VPN devices and IPsec/IKE parameters for Site-to-Site VPN Gateway connections.

Verifique a existência de problemas com o gateway de VPN do AzureCheck for problems with the Azure VPN gateway

As seguintes recomendações são úteis para determinar se existe um problema com o gateway de VPN do Azure:The following recommendations are useful for determining if there is a problem with the Azure VPN gateway:

Examine os registos de diagnóstico de gateway de VPN do Azure para potenciais problemas.Examine Azure VPN gateway diagnostic logs for potential issues. Consulte passo a passo: Captura os registos de diagnóstico do Gateway de VNET de Gestor de recursos do Azure.See Step-by-Step: Capturing Azure Resource Manager VNET Gateway Diagnostic Logs.

Verifique se a aplicação VPN no local e o gateway de VPN do Azure estão configurados com a mesma chave de autenticação partilhada.Verify that the Azure VPN gateway and on-premises VPN appliance are configured with the same shared authentication key. Pode ver a chave partilhada armazenada pelo gateway de VPN do Azure com o seguinte comando da CLI do Azure:You can view the shared key stored by the Azure VPN gateway using the following Azure CLI command:

azure network vpn-connection shared-key show <<resource-group>> <<vpn-connection-name>>

Utilize o comando adequado para a sua aplicação VPN no local para mostrar a chave partilhada configurada para essa aplicação.Use the command appropriate for your on-premises VPN appliance to show the shared key configured for that appliance.

Garanta que a sub-rede GatewaySubnet, que contém o gateway de VPN do Azure, não está associada a um NSG.Verify that the GatewaySubnet subnet holding the Azure VPN gateway is not associated with an NSG.

Pode ver os detalhes da sub-rede com o seguinte comando da CLI do Azure:You can view the subnet details using the following Azure CLI command:

azure network vnet subnet show -g <<resource-group>> -e <<vnet-name>> -n GatewaySubnet

Certifique-se de que não há nenhum campo de dados com o nome ID do grupo de segurança de rede.Ensure there is no data field named Network Security Group ID. O exemplo seguinte mostra os resultados para uma instância do GatewaySubnet que tenha um NSG atribuído (VPN-Gateway-Grupo).The following example shows the results for an instance of the GatewaySubnet that has an assigned NSG (VPN-Gateway-Group). Tal poderá impedir que o gateway funcione corretamente se existirem quaisquer regras definidas para este NSG.This can prevent the gateway from working correctly if there are any rules defined for this NSG.

C:\>azure network vnet subnet show -g profx-prod-rg -e profx-vnet -n GatewaySubnet
    info:    Executing command network vnet subnet show
    + Looking up virtual network "profx-vnet"
    + Looking up the subnet "GatewaySubnet"
    data:    Id                              : /subscriptions/########-####-####-####-############/resourceGroups/profx-prod-rg/providers/Microsoft.Network/virtualNetworks/profx-vnet/subnets/GatewaySubnet
    data:    Name                            : GatewaySubnet
    data:    Provisioning state              : Succeeded
    data:    Address prefix                  : 10.20.3.0/27
    data:    Network Security Group id       : /subscriptions/########-####-####-####-############/resourceGroups/profx-prod-rg/providers/Microsoft.Network/networkSecurityGroups/VPN-Gateway-Group
    info:    network vnet subnet show command OK

Verifique se as máquinas virtuais na VNet do Azure estão configuradas para permitir o tráfego proveniente de fora da VNet.Verify that the virtual machines in the Azure VNet are configured to permit traffic coming in from outside the VNet. Verifique todas as regras do NSG associadas às sub-redes que contêm estas máquinas virtuais.Check any NSG rules associated with subnets containing these virtual machines. Pode ver todas as regras do NSG através do seguinte comando da CLI do Azure:You can view all NSG rules using the following Azure CLI command:

azure network nsg show -g <<resource-group>> -n <<nsg-name>>

Verifique se o gateway de VPN do Azure está ligado.Verify that the Azure VPN gateway is connected. Pode utilizar o seguinte comando do Azure PowerShell para verificar o estado atual da ligação VPN do Azure.You can use the following Azure PowerShell command to check the current status of the Azure VPN connection. O parâmetro <<connection-name>> é o nome da ligação VPN do Azure que liga o gateway de rede virtual e o gateway local.The <<connection-name>> parameter is the name of the Azure VPN connection that links the virtual network gateway and the local gateway.

Get-AzureRmVirtualNetworkGatewayConnection -Name <<connection-name>> - ResourceGroupName <<resource-group>>

Os seguintes fragmentos realçarão o resultado gerado se o gateway estiver ligado (o primeiro exemplo) e desligado (o segundo exemplo):The following snippets highlight the output generated if the gateway is connected (the first example), and disconnected (the second example):

PS C:\> Get-AzureRmVirtualNetworkGatewayConnection -Name profx-gateway-connection -ResourceGroupName profx-prod-rg

AuthorizationKey           :
VirtualNetworkGateway1     : Microsoft.Azure.Commands.Network.Models.PSVirtualNetworkGateway
VirtualNetworkGateway2     :
LocalNetworkGateway2       : Microsoft.Azure.Commands.Network.Models.PSLocalNetworkGateway
Peer                       :
ConnectionType             : IPsec
RoutingWeight              : 0
SharedKey                  : ####################################
ConnectionStatus           : Connected
EgressBytesTransferred     : 55254803
IngressBytesTransferred    : 32227221
ProvisioningState          : Succeeded
...
PS C:\> Get-AzureRmVirtualNetworkGatewayConnection -Name profx-gateway-connection2 -ResourceGroupName profx-prod-rg

AuthorizationKey           :
VirtualNetworkGateway1     : Microsoft.Azure.Commands.Network.Models.PSVirtualNetworkGateway
VirtualNetworkGateway2     :
LocalNetworkGateway2       : Microsoft.Azure.Commands.Network.Models.PSLocalNetworkGateway
Peer                       :
ConnectionType             : IPsec
RoutingWeight              : 0
SharedKey                  : ####################################
ConnectionStatus           : NotConnected
EgressBytesTransferred     : 0
IngressBytesTransferred    : 0
ProvisioningState          : Succeeded
...

Diversos problemasMiscellaneous issues

As seguintes recomendações são úteis para determinar se existe um problema com a configuração da VM de anfitrião, a utilização da largura de banda da rede ou o desempenho de aplicações:The following recommendations are useful for determining if there is an issue with Host VM configuration, network bandwidth utilization, or application performance:

Certifique-se a configuração da firewall.Verify firewall configuration. Certifique-se de que a firewall no sistema operativo convidado em execução nas VMs do Azure na sub-rede está configurado corretamente para permitir o tráfego permitido proveniente de intervalos IP no local.Verify that the firewall in the guest operating system running on the Azure VMs in the subnet is configured correctly to allow permitted traffic from the on-premises IP ranges.

Verifique se o volume de tráfego não está próximo do limite da largura de banda disponível para o gateway de VPN do Azure.Verify that the volume of traffic is not close to the limit of the bandwidth available to the Azure VPN gateway. Esta verificação depende da aplicação VPN em execução no local.How to verify this depends on the VPN appliance running on-premises. Por exemplo, se estiver a utilizar o RRAS no Windows Server 2012, poderá utilizar o Monitor de Desempenho para controlar o volume de dados recebidos e transmitidos através da ligação VPN.For example, if you are using RRAS on Windows Server 2012, you can use Performance Monitor to track the volume of data being received and transmitted over the VPN connection. Utilize o objeto Total RAS, selecione os contadores Bytes Recebidos/S e Bytes Transmitidos/S:Using the RAS Total object, select the Bytes Received/Sec and Bytes Transmitted/Sec counters:

Contadores de desempenho para monitorização do tráfego de rede VPN

Deve comparar os resultados com a largura de banda disponível para o gateway de VPN (a partir de 100 Mbps para o SKU básico para 1.25 Gbps para VpnGw3 SKU):You should compare the results with the bandwidth available to the VPN gateway (from 100 Mbps for the Basic SKU to 1.25 Gbps for VpnGw3 SKU):

Gráfico de desempenho de rede VPN de exemplo

Verifique se implementou o número e tamanho corretos das VMs para a carga de aplicação.Verify that you have deployed the right number and size of VMs for your application load. Determine se alguma uma das máquinas virtuais na VNet do Azure está com uma execução lenta.Determine if any of the virtual machines in the Azure VNet are running slowly. Se for o caso, poderão estar sobrecarregadas, poderão não ser suficientes para processar a carga ou os balanceadores de carga poderão não estar corretamente configurados.If so, they may be overloaded, there may be too few to handle the load, or the load-balancers may not be configured correctly. Para determinar esta situação, capture e analise informações de diagnóstico.To determine this, capture and analyze diagnostic information. Pode examinar os resultados através do portal do Azure, mas muitas ferramentas de terceiros também estão disponíveis para obter informações detalhadas sobre os dados de desempenho.You can examine the results using the Azure portal, but many third-party tools are also available that can provide detailed insights into the performance data.

Verifique se a aplicação está a utilizar de forma eficiente os recursos na cloud.Verify that the application is making efficient use of cloud resources. Instrumente o código de aplicação em execução em cada VM para determinar se as aplicações estão a utilizar de forma eficiente os recursos.Instrument application code running on each VM to determine whether applications are making the best use of resources. Pode utilizar ferramentas como Application Insights.You can use tools such as Application Insights.