Falha na ativação do Windows no cenário de túnel forçado
Este artigo descreve como resolve o problema de ativação do KMS que você pode enfrentar ao habilitar o túnel forçado em cenários de conexão VPN site a site ou ExpressRoute.
Sintoma
Você habilita o túnel forçado em sub-redes de rede virtual do Azure para direcionar todo o tráfego vinculado à Internet de volta para sua rede local. Nesse cenário, as VMs (máquinas virtuais) do Azure que executam o Windows não ativam o Windows.
Motivo
As VMs do Windows do Azure precisam se conectar ao servidor KMS do Azure para ativação do Windows. A ativação requer que a solicitação de ativação venha de um endereço IP público do Azure. No cenário de túnel forçado, a ativação falha porque a solicitação de ativação vem da rede local em vez de de um endereço IP público do Azure.
Solução
Para resolve esse problema, use a rota personalizada do Azure para rotear o tráfego de ativação para o servidor KMS do Azure.
O primeiro nome DNS do servidor KMS para a nuvem do Azure Global é azkms.core.windows.net com dois endereços IP: 20.118.99.224 e 40.83.235.53. O segundo nome DNS do servidor KMS para a nuvem do Azure Global é kms.core.windows.net com um endereço IP de 23.102.135.246. Se você usar outras plataformas do Azure, como o Azure Alemanha, deverá usar o endereço IP do servidor KMS correspondente. Para obter mais informações, confira a seguinte tabela:
| Plataforma | KMS DNS | KMS IP |
|---|---|---|
| Azure Global | azkms.core.windows.net kms.core.windows.net |
20.118.99.224, 40.83.235.53 23.102.135.246 |
| Azure Alemanha | kms.core.cloudapi.de | 51.4.143.248 |
| Azure Governo dos EUA | kms.core.usgovcloudapi.net azkms.core.usgovcloudapi.net |
23.97.0.13 52.126.105.2 |
| Azure China 21Vianet | azkms.core.chinacloudapi.cn kms.core.chinacloudapi.cn |
159.27.28.100, 163.228.64.161 42.159.7.249 |
Observação
Todos os três endereços IP para a nuvem global do Azure e o Azure China, bem como os dois endereços IP do Azure US Government devem ser adicionados à rota personalizada.
Para adicionar a rota personalizada, siga estas etapas:
Para VMs Resource Manager
Observação
A ativação usa endereços IP públicos e será afetada por uma configuração de Load Balancer de SKU Padrão. Examine cuidadosamente as conexões de saída no Azure para saber mais sobre os requisitos.
Abra Azure PowerShell e entre na assinatura do Azure.
Execute os seguintes comandos:
# First, get the virtual network that hosts the VMs that have activation problems. In this case, we get virtual network ArmVNet-DM in Resource Group ArmVNet-DM: $vnet = Get-AzVirtualNetwork -ResourceGroupName "ArmVNet-DM" -Name "ArmVNet-DM" # Next, create a route table: $RouteTable = New-AzRouteTable -Name "ArmVNet-DM-KmsDirectRoute" -ResourceGroupName "ArmVNet-DM" -Location "centralus" # Next, configure the route table: Add-AzRouteConfig -Name "DirectRouteToKMS" -AddressPrefix 23.102.135.246/32 -NextHopType Internet -RouteTable $RouteTable Add-AzRouteConfig -Name "DirectRouteToAZKMS01" -AddressPrefix 20.118.99.224/32 -NextHopType Internet -RouteTable $RouteTable Add-AzRouteConfig -Name "DirectRouteToAZKMS02" -AddressPrefix 40.83.235.53/32 -NextHopType Internet -RouteTable $RouteTable Set-AzRouteTable -RouteTable $RouteTable # Next, attach the route table to the subnet that hosts the VMs: Set-AzVirtualNetworkSubnetConfig -Name "Subnet01" -VirtualNetwork $vnet -AddressPrefix "10.0.0.0/24" -RouteTable $RouteTable Set-AzVirtualNetwork -VirtualNetwork $vnetVá para a VM que tem problemas de ativação. Use psPing para testar se ele pode alcançar o servidor KMS:
psping kms.core.windows.net:1688 psping azkms.core.windows.net:1688Tente ativar o Windows e veja se o problema está resolvido.
Para VMs clássicas
Importante
As VMs clássicas serão desativadas em 1º de setembro de 2023
Se você usa recursos de IaaS do ASM, conclua sua migração até 1º de setembro de 2023. Incentivamos você a fazer a troca mais cedo para aproveitar os muitos aprimoramentos de recursos no Azure Resource Manager.
Para obter mais informações, consulte Migrar seus recursos de IaaS para o Azure Resource Manager até 1º de setembro de 2023.
Abra Azure PowerShell e entre na assinatura do Azure.
Execute os seguintes comandos:
# First, create a new route table: New-AzureRouteTable -Name "VNet-DM-KmsRouteGroup" -Label "Route table for KMS" -Location "Central US" # Next, get the route table that was created: $rt = Get-AzureRouteTable -Name "VNet-DM-KmsRouteTable" # Next, create routes: Set-AzureRoute -RouteTable $rt -RouteName "AzureKMS" -AddressPrefix "23.102.135.246/32" -NextHopType Internet Set-AzureRoute -RouteTable $rt -RouteName "AzureAZKMS01" -AddressPrefix "20.118.99.224/32" -NextHopType Internet Set-AzureRoute -RouteTable $rt -RouteName "AzureAZKMS02" -AddressPrefix "40.83.235.53/32" -NextHopType Internet # Apply the KMS route table to the subnet that hosts the problem VMs (in this case, we apply it to the subnet that's named Subnet-1): Set-AzureSubnetRouteTable -VirtualNetworkName "VNet-DM" -SubnetName "Subnet-1" -RouteTableName "VNet-DM-KmsRouteTable"Vá para a VM que tem problemas de ativação. Use psPing para testar se ele pode alcançar o servidor KMS:
psping kms.core.windows.net:1688 psping azkms.core.windows.net:1688Tente ativar o Windows e veja se o problema está resolvido.
Próximas etapas
Entre em contato conosco para obter ajuda
Se você tiver dúvidas ou precisar de ajuda, crie uma solicitação de suporte ou peça ajuda à comunidade de suporte do Azure. Você também pode enviar comentários sobre o produto para a comunidade de comentários do Azure.
Comentários
Brevemente: Ao longo de 2024, vamos descontinuar progressivamente o GitHub Issues como mecanismo de feedback para conteúdos e substituí-lo por um novo sistema de feedback. Para obter mais informações, veja: https://aka.ms/ContentUserFeedback.
Submeter e ver comentários