Karma VPN bağlantısında sorun gidermeTroubleshoot a hybrid VPN connection

Bu makalede, şirket içi ağınız ve Azure arasında bir VPN gateway bağlantısı sorun giderme için bazı ipuçları verilmektedir.This article gives some tips for troubleshooting a VPN gateway connection between an on-premises network and Azure. VPN ile ilgili yaygın sorunları giderme hakkında genel bilgi için bkz. VPN ile ilgili yaygın sorunları giderme.For general information on troubleshooting common VPN-related errors, see Troubleshooting common VPN related errors.

VPN cihazının düzgün çalıştığını doğrulamaVerify the VPN appliance is functioning correctly

Aşağıdaki öneriler şirket içi VPN cihazınızın düzgün çalışıp çalışmadığını belirlemek için yararlıdır.The following recommendations are useful for determining if your on-premises VPN appliance is functioning correctly.

VPN uygulaması tarafından oluşturulan günlük dosyalarının hata veya arıza içerip içermediğine bakın.Check any log files generated by the VPN appliance for errors or failures. Bu, VPN cihazının düzgün çalışıp çalışmadığını belirlemenize yardımcı olur.This will help you determine if the VPN appliance is functioning correctly. Bu bilgilerin konumu cihazınıza göre değişir.The location of this information will vary according to your appliance. Örneğin, Windows Server 2012'de RRAS kullanıyorsanız, RRAS hizmetinde hata olayı bilgilerini görüntülemek için aşağıdaki PowerShell komutunu kullanabilirsiniz:For example, if you are using RRAS on Windows Server 2012, you can use the following PowerShell command to display error event information for the RRAS service:

Get-EventLog -LogName System -EntryType Error -Source RemoteAccess | Format-List -Property *

Her girişin İleti özelliği hatanın bir açıklamasını sağlar.The Message property of each entry provides a description of the error. Sık karşılaşılan örneklerden bazıları şunlardır:Some common examples are:

  • , Büyük olasılıkla Azure VPN ağ geçidi RRAS VPN ağ arabirimi yapılandırmasında belirtilen yanlış bir IP adresi nedeniyle bağlanamama.Inability to connect, possibly due to an incorrect IP address specified for the Azure VPN gateway in the RRAS VPN network interface configuration.

    EventID            : 20111
    MachineName        : on-prem-vm
    Data               : {41, 3, 0, 0}
    Index              : 14231
    Category           : (0)
    CategoryNumber     : 0
    EntryType          : Error
    Message            : RoutingDomainID- {00000000-0000-0000-0000-000000000000}: A demand dial connection to the remote
                            interface AzureGateway on port VPN2-4 was successfully initiated but failed to complete
                            successfully because of the  following error: The network connection between your computer and
                            the VPN server could not be established because the remote server is not responding. This could
                            be because one of the network devices (for example, firewalls, NAT, routers, and so on) between your computer
                            and the remote server is not configured to allow VPN connections. Please contact your
                            Administrator or your service provider to determine which device may be causing the problem.
    Source             : RemoteAccess
    ReplacementStrings : {{00000000-0000-0000-0000-000000000000}, AzureGateway, VPN2-4, The network connection between
                            your computer and the VPN server could not be established because the remote server is not
                            responding. This could be because one of the network devices (for example, firewalls, NAT, routers, and so on)
                            between your computer and the remote server is not configured to allow VPN connections. Please
                            contact your Administrator or your service provider to determine which device may be causing the
                            problem.}
    InstanceId         : 20111
    TimeGenerated      : 3/18/2016 1:26:02 PM
    TimeWritten        : 3/18/2016 1:26:02 PM
    UserName           :
    Site               :
    Container          :
    
  • RRAS VPN ağ arabirimi yapılandırmasında belirtilen yanlış paylaşılan anahtarı.The wrong shared key being specified in the RRAS VPN network interface configuration.

    EventID            : 20111
    MachineName        : on-prem-vm
    Data               : {233, 53, 0, 0}
    Index              : 14245
    Category           : (0)
    CategoryNumber     : 0
    EntryType          : Error
    Message            : RoutingDomainID- {00000000-0000-0000-0000-000000000000}: A demand dial connection to the remote
                            interface AzureGateway on port VPN2-4 was successfully initiated but failed to complete
                            successfully because of the  following error: Internet key exchange (IKE) authentication credentials are unacceptable.
    
    Source             : RemoteAccess
    ReplacementStrings : {{00000000-0000-0000-0000-000000000000}, AzureGateway, VPN2-4, IKE authentication credentials are
                            unacceptable.
                            }
    InstanceId         : 20111
    TimeGenerated      : 3/18/2016 1:34:22 PM
    TimeWritten        : 3/18/2016 1:34:22 PM
    UserName           :
    Site               :
    Container          :
    

RRAS hizmeti aracılığıyla bağlanma girişimleri hakkında bilgi edinmek için olay günlüğünde aşağıdaki PowerShell komutunu kullanabilirsiniz:You can also obtain event log information about attempts to connect through the RRAS service using the following PowerShell command:

Get-EventLog -LogName Application -Source RasClient | Format-List -Property *

Bağlanma hatası durumunda, bu günlük şunlara benzer hatalar içerir:In the event of a failure to connect, this log will contain errors that look similar to the following:

EventID            : 20227
MachineName        : on-prem-vm
Data               : {}
Index              : 4203
Category           : (0)
CategoryNumber     : 0
EntryType          : Error
Message            : CoId={B4000371-A67F-452F-AA4C-3125AA9CFC78}: The user SYSTEM dialed a connection named
                        AzureGateway that has failed. The error code returned on failure is 809.
Source             : RasClient
ReplacementStrings : {{B4000371-A67F-452F-AA4C-3125AA9CFC78}, SYSTEM, AzureGateway, 809}
InstanceId         : 20227
TimeGenerated      : 3/18/2016 1:29:21 PM
TimeWritten        : 3/18/2016 1:29:21 PM
UserName           :
Site               :
Container          :

Bağlantısını doğrulaVerify connectivity

VPN ağ geçidi üzerinde bağlantı ve yönlendirmeyi doğrulayın.Verify connectivity and routing across the VPN gateway. VPN cihazı Azure VPN Gateway üzerinden trafiği doğru yönlendirmiyor olabilir.The VPN appliance may not be correctly routing traffic through the Azure VPN Gateway. VPN ağ geçidi üzerinde bağlantı ve yönlendirmeyi doğrulamak için PsPing gibi bir araç kullanın.Use a tool such as PsPing to verify connectivity and routing across the VPN gateway. Örneğin, bir şirket içi makineden VNet üzerinde bulunan bir web sunucusuna bağlantıyı test etmek için aşağıdaki komutu çalıştırın (<<web-server-address>> değerini web sunucusunun adresi ile değiştirin):For example, to test connectivity from an on-premises machine to a web server located on the VNet, run the following command (replacing <<web-server-address>> with the address of the web server):

PsPing -t <<web-server-address>>:80

Şirket içi makine trafiği web sunucusuna yönlendirebiliyorsa, aşağıdakine benzer bir çıktı görmeniz gerekir:If the on-premises machine can route traffic to the web server, you should see output similar to the following:

D:\PSTools>psping -t 10.20.0.5:80

PsPing v2.01 - PsPing - ping, latency, bandwidth measurement utility
Copyright (C) 2012-2014 Mark Russinovich
Sysinternals - www.sysinternals.com

TCP connect to 10.20.0.5:80:
Infinite iterations (warmup 1) connecting test:
Connecting to 10.20.0.5:80 (warmup): 6.21ms
Connecting to 10.20.0.5:80: 3.79ms
Connecting to 10.20.0.5:80: 3.44ms
Connecting to 10.20.0.5:80: 4.81ms

    Sent = 3, Received = 3, Lost = 0 (0% loss),
    Minimum = 3.44ms, Maximum = 4.81ms, Average = 4.01ms

Şirket içi makine belirtilen hedefle iletişim kuramıyorsa şunlar gibi iletiler görürsünüz:If the on-premises machine cannot communicate with the specified destination, you will see messages like this:

D:\PSTools>psping -t 10.20.1.6:80

PsPing v2.01 - PsPing - ping, latency, bandwidth measurement utility
Copyright (C) 2012-2014 Mark Russinovich
Sysinternals - www.sysinternals.com

TCP connect to 10.20.1.6:80:
Infinite iterations (warmup 1) connecting test:
Connecting to 10.20.1.6:80 (warmup): This operation returned because the timeout period expired.
Connecting to 10.20.1.6:80: This operation returned because the timeout period expired.
Connecting to 10.20.1.6:80: This operation returned because the timeout period expired.
Connecting to 10.20.1.6:80: This operation returned because the timeout period expired.
Connecting to 10.20.1.6:80:
    Sent = 3, Received = 0, Lost = 3 (100% loss),
    Minimum = 0.00ms, Maximum = 0.00ms, Average = 0.00ms

Şirket içi güvenlik duvarının VPN trafiğinin geçmesine izin verdiğinden ve doğru bağlantı noktalarının açıldığından emin olun.Verify that the on-premises firewall allows VPN traffic to pass and that the correct ports are opened.

Şirket içi VPN cihazı Azure VPN ağ geçidi ile uyumlu bir şifreleme yöntemini kullandığını doğrulayın.Verify that the on-premises VPN appliance uses an encryption method that is compatible with the Azure VPN gateway. İlke tabanlı yönlendirme için Azure VPN ağ geçidi AES256, AES128 ve 3DES şifreleme algoritmalarını destekler.For policy-based routing, the Azure VPN gateway supports the AES256, AES128, and 3DES encryption algorithms. Rota tabanlı ağ geçitleri AES256 ve 3DES destekler.Route-based gateways support AES256 and 3DES. Daha fazla bilgi için VPN cihazları hakkında ve siteden siteye VPN Gateway bağlantıları için IPSec/IKE parametreleri.For more information, see About VPN devices and IPsec/IKE parameters for Site-to-Site VPN Gateway connections.

Azure VPN ağ geçidi ile ilgili sorunlar olup olmadığını denetleyinCheck for problems with the Azure VPN gateway

Aşağıdaki öneriler, Azure VPN ağ geçidi ile ilgili bir sorun varsa bu sorunu belirlemek için yararlıdır:The following recommendations are useful for determining if there is a problem with the Azure VPN gateway:

Olası sorunlar için Azure VPN ağ geçidi tanılama günlüklerini inceleyin.Examine Azure VPN gateway diagnostic logs for potential issues. Bkz: adım adım: Azure Resource Manager sanal ağ geçidi tanılama günlüklerini yakalama.See Step-by-Step: Capturing Azure Resource Manager VNET Gateway Diagnostic Logs.

Azure VPN ağ geçidi ve şirket içi VPN cihazının aynı paylaşılan kimlik doğrulama anahtarı ile yapılandırıldığından emin olun.Verify that the Azure VPN gateway and on-premises VPN appliance are configured with the same shared authentication key. Aşağıdaki Azure CLI komutu kullanarak Azure VPN ağ geçidi tarafından depolanan paylaşılan anahtarı görüntüleyebilirsiniz:You can view the shared key stored by the Azure VPN gateway using the following Azure CLI command:

azure network vpn-connection shared-key show <<resource-group>> <<vpn-connection-name>>

Bu cihaz için yapılandırılan paylaşılan anahtarı göstermek için şirket içi VPN cihazınızda uygun komutu kullanın.Use the command appropriate for your on-premises VPN appliance to show the shared key configured for that appliance.

Azure VPN ağ geçidinin bulunduğu GatewaySubnet alt ağının bir NSG ile ilişkili olmadığından emin olun.Verify that the GatewaySubnet subnet holding the Azure VPN gateway is not associated with an NSG.

Aşağıdaki Azure CLI komutu kullanarak alt ağ ayrıntılarını görüntüleyebilirsiniz:You can view the subnet details using the following Azure CLI command:

azure network vnet subnet show -g <<resource-group>> -e <<vnet-name>> -n GatewaySubnet

Adlı bir veri alan bulunduğundan emin olun ağ güvenlik grubu kimliği.Ensure there is no data field named Network Security Group ID. Aşağıdaki örnekte, atanmış bir NSG’ye (VPN-Gateway-Group) sahip bir GatewaySubnet’in bir örneği için sonuçlar gösterilmiştir.The following example shows the results for an instance of the GatewaySubnet that has an assigned NSG (VPN-Gateway-Group). Bu durum, bu NSG için tanımlanmış kurallar varsa ağ geçidinin doğru çalışmasını engelleyebilir.This can prevent the gateway from working correctly if there are any rules defined for this NSG.

C:\>azure network vnet subnet show -g profx-prod-rg -e profx-vnet -n GatewaySubnet
    info:    Executing command network vnet subnet show
    + Looking up virtual network "profx-vnet"
    + Looking up the subnet "GatewaySubnet"
    data:    Id                              : /subscriptions/########-####-####-####-############/resourceGroups/profx-prod-rg/providers/Microsoft.Network/virtualNetworks/profx-vnet/subnets/GatewaySubnet
    data:    Name                            : GatewaySubnet
    data:    Provisioning state              : Succeeded
    data:    Address prefix                  : 10.20.3.0/27
    data:    Network Security Group id       : /subscriptions/########-####-####-####-############/resourceGroups/profx-prod-rg/providers/Microsoft.Network/networkSecurityGroups/VPN-Gateway-Group
    info:    network vnet subnet show command OK

Azure VNet’teki sanal makinelerin VNet dışından gelen trafiğe izin verecek şekilde yapılandırıldığını doğrulayın.Verify that the virtual machines in the Azure VNet are configured to permit traffic coming in from outside the VNet. Bu sanal makineleri içeren alt ağlar ile ilişkili NSG kurallarını denetleyin.Check any NSG rules associated with subnets containing these virtual machines. Aşağıdaki Azure CLI komutunu kullanarak tüm NSG kurallarını görüntüleyebilirsiniz:You can view all NSG rules using the following Azure CLI command:

azure network nsg show -g <<resource-group>> -n <<nsg-name>>

Azure VPN ağ geçidinin bağlı olduğunu doğrulayın.Verify that the Azure VPN gateway is connected. Azure VPN bağlantısının geçerli durumunu denetlemek için aşağıdaki Azure PowerShell komutunu kullanabilirsiniz.You can use the following Azure PowerShell command to check the current status of the Azure VPN connection. <<connection-name>> parametresi, sanal ağ geçidi ve yerel ağ geçidini bağlayan Azure VPN bağlantısının adıdır.The <<connection-name>> parameter is the name of the Azure VPN connection that links the virtual network gateway and the local gateway.

Get-AzureRmVirtualNetworkGatewayConnection -Name <<connection-name>> - ResourceGroupName <<resource-group>>

Aşağıdaki kod parçacıkları, ağ geçidinin (ilk örnek) bağlı ve bağlantısı kesilmiş (ikinci örnek) olduğu durumlardaki çıktıları gösterir:The following snippets highlight the output generated if the gateway is connected (the first example), and disconnected (the second example):

PS C:\> Get-AzureRmVirtualNetworkGatewayConnection -Name profx-gateway-connection -ResourceGroupName profx-prod-rg

AuthorizationKey           :
VirtualNetworkGateway1     : Microsoft.Azure.Commands.Network.Models.PSVirtualNetworkGateway
VirtualNetworkGateway2     :
LocalNetworkGateway2       : Microsoft.Azure.Commands.Network.Models.PSLocalNetworkGateway
Peer                       :
ConnectionType             : IPsec
RoutingWeight              : 0
SharedKey                  : ####################################
ConnectionStatus           : Connected
EgressBytesTransferred     : 55254803
IngressBytesTransferred    : 32227221
ProvisioningState          : Succeeded
...
PS C:\> Get-AzureRmVirtualNetworkGatewayConnection -Name profx-gateway-connection2 -ResourceGroupName profx-prod-rg

AuthorizationKey           :
VirtualNetworkGateway1     : Microsoft.Azure.Commands.Network.Models.PSVirtualNetworkGateway
VirtualNetworkGateway2     :
LocalNetworkGateway2       : Microsoft.Azure.Commands.Network.Models.PSLocalNetworkGateway
Peer                       :
ConnectionType             : IPsec
RoutingWeight              : 0
SharedKey                  : ####################################
ConnectionStatus           : NotConnected
EgressBytesTransferred     : 0
IngressBytesTransferred    : 0
ProvisioningState          : Succeeded
...

Çeşitli sorunlarıMiscellaneous issues

Aşağıdaki öneriler, konak VM yapılandırması, ağ bant genişliği kullanımı veya uygulama performansı ile ilgili bir sorun varsa belirlemek için yararlıdır:The following recommendations are useful for determining if there is an issue with Host VM configuration, network bandwidth utilization, or application performance:

Güvenlik duvarı yapılandırmasını doğrulayın.Verify firewall configuration. Şirket içi IP aralıklarından gelen izin verilen trafiğe izin vermek Güvenlik Duvarı'nda alt ağdaki Azure vm'lerinde çalışan konuk işletim sisteminin doğru yapılandırılmış olduğunu doğrulayın.Verify that the firewall in the guest operating system running on the Azure VMs in the subnet is configured correctly to allow permitted traffic from the on-premises IP ranges.

Trafik hacminin Azure VPN ağ geçidi için kullanılabilir bant genişliği sınırına yakın olmadığından emin olun.Verify that the volume of traffic is not close to the limit of the bandwidth available to the Azure VPN gateway. Bunu nasıl doğrulayacağınız şirket içinde çalışan VPN cihazınıza bağlıdır.How to verify this depends on the VPN appliance running on-premises. Örneğin, Windows Server 2012'de RRAS kullanıyorsanız, VPN bağlantısından alınan ve aktarılan verilerin hacmini izlemek için Performans İzleyicisi'ni kullanabilirsiniz.For example, if you are using RRAS on Windows Server 2012, you can use Performance Monitor to track the volume of data being received and transmitted over the VPN connection. RAS Toplam nesnesini kullanarak, Alınan Bayt/Sn ve Aktarılan Bayt/Sn sayaçlarını seçin:Using the RAS Total object, select the Bytes Received/Sec and Bytes Transmitted/Sec counters:

VPN ağ trafiğini izlemek için performans sayaçları

(Başlangıç, 100 MB/sn için temel SKU VpnGw3 SKU için 1,25 GB/sn) ve VPN ağ geçidi sonuçları kullanılabilir bant genişliği ile karşılaştırmanız gerekir:You should compare the results with the bandwidth available to the VPN gateway (from 100 Mbps for the Basic SKU to 1.25 Gbps for VpnGw3 SKU):

Örnek VPN ağ performansı grafiği

Uygulama yükünüz için doğru sayıda ve boyutta VM'ler dağıttığınızdan emin olun.Verify that you have deployed the right number and size of VMs for your application load. Azure VNet’teki sanal makinelerden herhangi birinin yavaş çalışıp çalışmadığını belirleyin.Determine if any of the virtual machines in the Azure VNet are running slowly. Yavaş çalışan VM’ler varsa, bunlar aşırı yüklenmiş olabilir, yükü işlemek için yeterli sayıda olmayabilir veya yük dengeleyici düzgün yapılandırılmamış olabilir.If so, they may be overloaded, there may be too few to handle the load, or the load-balancers may not be configured correctly. Bunu belirlemek için tanılama bilgilerini toplayın ve analiz edin.To determine this, capture and analyze diagnostic information. Azure portalını kullanarak sonuçları inceleyebilirsiniz, ancak performans verileri hakkında ayrıntılı öngörüler sağlayabilen çok sayıda üçüncü taraf araç da vardır.You can examine the results using the Azure portal, but many third-party tools are also available that can provide detailed insights into the performance data.

Uygulamanın bulut kaynaklarını verimli kullanıldığından emin olun.Verify that the application is making efficient use of cloud resources. Uygulamaların kaynakları en iyi şekilde kullandığından emin olmak için her VM’de çalıştırılan uygulama kodlarını izleyin.Instrument application code running on each VM to determine whether applications are making the best use of resources. Application Insights gibi araçları kullanabilirsiniz.You can use tools such as Application Insights.