對網路連線能力進行疑難排解
本文可協助您針對搭配私人端點使用 Azure Migrate 的網路連線問題進行疑難排解。
驗證私人端點組態
請確定私人端點處於已核准狀態。
移至 [Azure Migrate]:[探索和評量] 和 [移轉和現代化] 屬性頁面。
屬性頁面包含 Azure Migrate 自動建立的私人端點和私人連結 FQDN 清單。
選取您想要診斷的私人端點。
a. 驗證連線狀態是否為 [已核准]。
b. 如果連線處於擱置狀態,您必須核准。
c. 您也可以導覽至私人端點資源,並檢閱虛擬網路是否符合 Migrate 專案私人端點虛擬網路。
驗證透過私人端點的資料流程
檢閱資料流程計量,以確認流量流經私人端點。 在 [Azure Migrate:伺服器評量] 和 [移轉和現代化] 屬性頁面中,選取私人端點。 這樣會重新導向至 Azure Private Link 中心的私人端點概觀一節。 在左側功能表中,選取 [計量] 以檢視 [輸入資料位元組] 和 [輸出資料位元組] 資訊,以檢視流量。
驗證 DNS 解析
內部部署設備 (或複寫提供者) 會使用其完整私人連結網域名稱 (FQDN) 來存取 Azure Migrate 資源。 您可能需要其他 DNS 設定來解析來源環境中私人端點的私人 IP 位址。 請參閱這篇文章以了解 DNS 組態案例,協助針對任何網路連線問題進行疑難排解。
若要驗證私人連結連線,請從裝載 Migrate 設備的內部部署伺服器執行 Azure Migrate 資源端點 (私人連結資源 FQDN) 的 DNS 解析,並確保可解析為私人 IP 位址。
若要取得私人端點詳細資料以驗證 DNS 解析:
私人端點詳細資料和私人連結資源 FQDN 的資訊可在 [探索和評量] 和 [移轉和現代化] 屬性頁面中取得。 選取 [下載 DNS 設定] 以檢視清單。 請注意,下方只會列出由 Azure Migrate 自動建立的私人端點。
如果您已為儲存體帳戶建立私人端點以透過私人網路進行複寫,您可以取得私人連結 FQDN 和 IP 位址,如下所示。
移至 [儲存體帳戶]> [網路]> [私人端點連線],然後選取建立的私人端點。
移至 [設定]> [DNS 組態] 以取得儲存體帳戶 FQDN 和私人 IP 位址。
儲存體帳戶私人連結 FQDN 的 DNS 解析說明範例。
輸入
nslookup <storage-account-name>_.blob.core.windows.net.將<storage-account-name>取代為用於 Azure Migrate 的儲存體帳戶名稱。您會收到以下的訊息:
針對儲存體帳戶傳回 10.1.0.5 的私人 IP 位址。 此位址屬於私人端點虛擬網路子網路。
您可以使用類似的方法來驗證其他 Azure Migrate 成品的 DNS 解析。
如果 DNS 解析不正確,請遵循下列步驟:
建議:藉由使用私人連結資源 FQDN 和相關聯的私人 IP 位址,編輯內部部署設備上的 DNS 主機檔案,以手動更新您的來源環境 DNS 記錄。
- 如果您使用自訂 DNS,請檢閱您的自訂 DNS 設定,並驗證 DNS 設定是否正確。 如需指導,請參閱私人端點概觀:DNS 組態。
- 如果您使用 Azure 提供的 DNS 伺服器,請參閱下一節以取得進一步的疑難排解。
提示
針對測試,您可以藉由使用私人連結資源 FQDN 和相關聯的私人 IP 位址,編輯內部部署設備上的 DNS 主機檔案,手動更新您的來源環境 DNS 記錄。
驗證私人 DNS 區域
如果 DNS 解析未如上一節所述運作,則表示私人 DNS 區域可能發生問題。
確認必要的私人 DNS 區域資源存在
根據預設,Azure Migrate 也會為每個資源類型建立對應至 privatelink 子網域的私人 DNS 區域。 私人 DNS 區域會建立在與私人端點資源群組相同的 Azure 資源群組中。 Azure 資源群組應包含具有下列格式的私人 DNS 區域資源:
- 針對金鑰保存庫為 privatelink.vaultcore.azure.net
- 針對儲存體帳戶為 privatelink.blob.core.windows.net
- 針對復原服務保存庫 (適用於 Hyper-V 和代理程式型複寫) 為 privatelink.siterecovery.windowsazure.com
- privatelink.prod.migration.windowsazure.com - 移轉專案、評量專案和探索網站。
Azure Migrate 會自動建立私人 DNS 區域 (但是使用者選取的快取/複寫儲存體帳戶除外)。 您可以瀏覽至私人端點頁面並選取 DNS 組態,以找出連結的私人 DNS 區域。 在這裡,您應該會在私人 DNS 整合區段下看到私人 DNS 區域。
如果 DNS 區域不存在 (如下所示),則請建立新的私人 DNS 區域資源。
確認私人 DNS 區域已連結至虛擬網路
私人 DNS 區域應該連結到包含私人端點的虛擬網路,讓 DNS 查詢解析資源端點的私人 IP 位址。 如果私人 DNS 區域未連結至正確的虛擬網路,則源自該虛擬網路的任何 DNS 解析都會忽略私人 DNS 區域。
瀏覽至 Azure 入口網站中的私人 DNS 區域資源,然後選取左側功能表中的虛擬網路連結。 您應該會看到連結的虛擬網路。
這會顯示連結清單,而且各有訂用帳戶中的虛擬網路名稱。 其中必須列出包含私人端點資源的虛擬網路。 否則,請遵循這篇文章,將私人 DNS 區域連結至虛擬網路。
私人 DNS 區域連結至虛擬網路之後,來自虛擬網路的 DNS 要求會在私人 DNS 區域中尋找 DNS 記錄。 必須如此才能正確解析至私人端點建立所在的虛擬網路。
確認私人 DNS 區域包含正確的 A 記錄
移至您想要進行疑難排解的私人 DNS 區域。 [概觀] 頁面會顯示該私人 DNS 區域的所有 DNS 記錄。 確認資源的 DNS A 記錄存在。 A 記錄 (IP 位址) 的值必須是資源的私人 IP 位址。 如果您找到 A 記錄,但包含錯誤 IP 位址,則您必須移除錯誤 IP 位址,然後新增新的位址。 建議您移除整個 A 記錄並新增一筆記錄,並且在內部部署來源設備上執行 DNS 排清。
私人 DNS 區域中儲存體帳戶 DNS A 記錄的說明範例:
私人 DNS 區域中復原服務保存庫微服務 DNS A 記錄的說明範例:
注意
您移除或修改 A 記錄時,因為 TTL (存留時間) 值可能尚未過期,所以機器可能仍然會解析為舊的 IP 位址。
可能會影響私人連結連線的項目
以下未詳盡列舉進階或複雜情節中可能出現的項目:
- 防火牆設定,可能是連線至虛擬網路的 Azure 防火牆,或部署於設備機器中的自訂防火牆解決方案。
- 網路對等互連,可能會影響所使用的 DNS 伺服器以及流量的路由傳送方式。
- 自訂閘道 (NAT) 解決方案可能會影響流量的路由傳送方式,包括來自 DNS 查詢的流量。
如需詳細資訊,請檢閱私人端點連線問題的疑難排解指南。
使用 Azure Migrate 搭配私人端點時的常見問題
在本節中,我們將會列出一些常見問題,並建議自行執行疑難排解步驟來補救問題。
設備註冊失敗,並且有 ForbiddenToAccessKeyVault 錯誤
由於錯誤 <ErrorMessage>,所以 <KeyVaultName> 的 Azure Key Vault 建立或更新作業失敗
可能的原因:
如果用來註冊設備的 Azure 帳戶沒有必要的權限,或 Azure Migrate 設備無法存取 Key Vault,就會發生此問題。
補救措施:
針對 Key Vault 存取問題進行疑難排解的步驟:
- 請確定用來註冊設備的 Azure 使用者帳戶在訂用帳戶上至少具有「參與者」權限。
- 請確定嘗試註冊設備的使用者可以存取 Key Vault,並且在 [Key Vault] > [存取原則] 區段中指派存取原則。 深入了解
- 深入了解所需的 Azure 角色和權限。
針對 Key Vault 連線問題進行疑難排解的步驟:如果您已啟用設備進行私人端點連線,請使用下列步驟針對網路連線問題進行疑難排解:
請確定設備裝載在相同的虛擬網路中,或透過私人連結連線到目標 Azure 虛擬網路 (其中已建立 Key Vault 私人端點)。 Key Vault 私人端點會在專案建立體驗期間所選取的虛擬網路中建立。 您可以在 [Azure Migrate] > [屬性] 頁面中確認虛擬網路詳細資料。
確定設備具有透過私人連結與 Key Vault 的網路連線能力。 若要驗證私人連結連線能力,請從裝載設備的內部部署伺服器執行 Key Vault 資源端點的 DNS 解析,並確定其解析為私人 IP 位址。
前往 [Azure Migrate:探索和評量] > [屬性],尋找金鑰產生步驟期間所建立 Key Vault 等資源的私人端點詳細資料。
選取 [下載 DNS 設定] 以下載 DNS 對應。
開啟命令列並執行下列 nslookup 命令,以驗證 DNS 設定檔案中所提及 Key Vault URL 的網路連線能力。
nslookup <your-key-vault-name>.vault.azure.net如果您執行 ns lookup 命令以透過公用端點解析金鑰保存庫的 IP 位址,您會看到如下所示的結果:
c:\ >nslookup <your-key-vault-name>.vault.azure.net Non-authoritative answer: Name: Address: (public IP address) Aliases: <your-key-vault-name>.vault.azure.net如果您執行 ns lookup 命令以透過私人端點解析金鑰保存庫的 IP 位址,您會看到如下所示的結果:
c:\ >nslookup your_vault_name.vault.azure.net Non-authoritative answer: Name: Address: 10.12.4.20 (private IP address) Aliases: <your-key-vault-name>.vault.azure.net <your-key-vault-name>.privatelink.vaultcore.azure.netnslookup 命令應該解析為如上所述的私人 IP 位址。 私人 IP 位址應該符合 DNS 設定檔案中列出的 IP 位址。
如果 DNS 解析不正確,請遵循下列步驟:
使用 DNS 對應和相關聯的私人 IP 位址,編輯內部部署設備的 DNS 主機檔案,以手動更新來源環境 DNS 記錄。 建議使用此選項進行測試。
如果您使用自訂 DNS 伺服器,請檢閱您的自訂 DNS 設定,並驗證 DNS 組態是否正確。 如需指導,請參閱 私人端點概觀:DNS 設定。
Proxy 伺服器考量:如果設備使用 Proxy 伺服器進行輸出連線,則您可能需要驗證網路設定,以確保可連線至私人連結 URL,並且可如預期地路由傳送。
- 如果 Proxy 伺服器適用於網際網路連線,則您可能需要新增流量轉寄站或規則,以略過私人連結 FQDN 的 Proxy 伺服器。 深入了解如何新增 Proxy 略過規則。
- 或者,如果 Proxy 伺服器適用於所有輸出流量,請確定 Proxy 伺服器可以將私人連結 FQDN 解析為其各自的私人 IP 位址。 如需快速因應措施,您可以使用 DNS 對應和相關聯的私人 IP 位址,手動更新 Proxy 伺服器上的 DNS 記錄,如上所示。 建議使用此選項進行測試。
如果問題仍然持續發生,請參閱本節以取得進一步的疑難排解。
驗證連線之後,請重試註冊程序。
驗證私人端點網路連線
您可以在 PowerShell 中使用 Test-NetConnection 命令,以檢查是否可以將連接埠從設備連線至私人端點。 請確定您可以使用私人 IP 位址來解析 Azure Migrate 專案的儲存體帳戶和金鑰保存庫。
啟動探索失敗,並且有 AgentNotConnected 錯誤
設備無法起始探索,因為內部部署代理程式無法與 Azure 中的 Azure Migrate 服務端點通訊:<URLname>。
可能的原因:
如果設備無法連線到錯誤訊息中所提及的服務端點,就會發生此問題。
補救措施:
請確定設備具有直接或透過 Proxy 的連線能力,而且可以解析錯誤訊息中所提供的服務端點。
如果您已啟用設備進行私人端點連線,請確定設備是透過私人連結連線到 Azure 虛擬網路,而且可以解析錯誤訊息中提供的服務端點。
針對 Azure Migrate 服務端點的私人連結連線問題進行疑難排解的步驟:
如果您已啟用設備進行私人端點連線,請使用下列步驟針對網路連線問題進行疑難排解:
請確定設備裝載在相同的虛擬網路中,或透過私人連結連線到目標 Azure 虛擬網路 (其中已建立私人端點)。 Azure Migrate 服務的私人端點會在專案建立體驗期間選取的虛擬網路中建立。 您可以在 [Azure Migrate] > [屬性] 頁面中確認虛擬網路詳細資料。
請確定設備具有透過私人連結連線,與錯誤訊息中所述服務端點 URL 和其他 URL 的網路連線能力。 若要驗證私人連結連線能力,請從裝載設備的內部部署伺服器執行 URL 的 DNS 解析,並確定其解析為私人 IP 位址。
前往 [Azure Migrate:探索和評量] > [屬性],尋找金鑰產生步驟期間所建立服務端點的私人端點詳細資料。
選取 [下載 DNS 設定] 以下載 DNS 對應。
| 包含私人端點 URL 的 DNS 對應 | 詳細資料 |
|---|---|
| *.disc.privatelink.prod.migration.windowsazure.com | Azure Migrate 探索服務端點 |
| *.asm.privatelink.prod.migration.windowsazure.com | Azure Migrate 評量服務端點 |
| *.hub.privatelink.prod.migration.windowsazure.com | Azure Migrate 中樞端點,從其他 Microsoft 或外部獨立軟體廠商 (ISV) 供應項目接收資料 |
| *.privatelink.siterecovery.windowsazure.com | 用來協調複寫的 Azure Site Recovery 服務端點 |
| *.vault.azure.net | Key Vault 端點 |
| *.blob.core.windows.net | 相依性和效能資料的儲存體帳戶端點 |
除了上述 URL 之外,設備還需要透過網際網路直接或透過 Proxy 存取下列 URL。
| 其他公用雲端 URL (公用端點 URL) |
詳細資料 |
|---|---|
| *.portal.azure.com | 瀏覽至 Azure 入口網站 |
| * windows.net *.msftauth.net *.msauth.net *.microsoft.com *.live.com *.office.com *.microsoftonline.com *.microsoftonline-p.com |
Microsoft Entra ID 用於管理存取控制和身分識別 |
| management.azure.com | 適用於觸發 Azure Resource Manager 部署 |
| *.services.visualstudio.com (選用) | 上傳用於內部監視的設備記錄。 |
| aka.ms/* (選用) | 允許存取 也稱為 連結;用來下載並安裝設備服務的最新更新 |
| download.microsoft.com/download | 允許來自 Microsoft 下載中心的下載項目 |
開啟命令列並執行下列 nslookup 命令,以驗證 DNS 設定檔案中所列出 URL 的 privatelink 連線能力。 針對 DNS 設定檔案中的所有 URL 重複此步驟。
圖例:驗證探索服務端點的私人連結連線能力
nslookup 04b8c9c73f3d477e966c8d00f352889c-agent.cus.disc.privatelink.prod.migration.windowsazure.com如果要求可以透過私人端點連線到探索服務端點,您會看到如下所示的結果:
nslookup 04b8c9c73f3d477e966c8d00f352889c-agent.cus.disc.privatelink.prod.migration.windowsazure.com Non-authoritative answer: Name: Address: 10.12.4.23 (private IP address) Aliases: 04b8c9c73f3d477e966c8d00f352889c-agent.cus.disc.privatelink.prod.migration.windowsazure.com prod.cus.discoverysrv.windowsazure.comnslookup 命令應該解析為如上所述的私人 IP 位址。 私人 IP 位址應該符合 DNS 設定檔案中列出的 IP 位址。
如果 DNS 解析不正確,請遵循下列步驟:
使用 DNS 對應和相關聯的私人 IP 位址,編輯內部部署設備的 DNS 主機檔案,以手動更新來源環境 DNS 記錄。 建議使用此選項進行測試。
如果您使用自訂 DNS 伺服器,請檢閱您的自訂 DNS 設定,並驗證 DNS 組態是否正確。 如需指導,請參閱 私人端點概觀:DNS 設定。
Proxy 伺服器考量:如果設備使用 Proxy 伺服器進行輸出連線,則您可能需要驗證網路設定,以確保可連線至私人連結 URL,並且可如預期地路由傳送。
- 如果 Proxy 伺服器適用於網際網路連線,則您可能需要新增流量轉寄站或規則,以略過私人連結 FQDN 的 Proxy 伺服器。 深入了解如何新增 Proxy 略過規則。
- 或者,如果 Proxy 伺服器適用於所有輸出流量,請確定 Proxy 伺服器可以將私人連結 FQDN 解析為其各自的私人 IP 位址。 如需快速因應措施,您可以使用 DNS 對應和相關聯的私人 IP 位址,手動更新 Proxy 伺服器上的 DNS 記錄,如上所示。 建議使用此選項進行測試。
如果問題仍然持續發生,請參閱本節以取得進一步的疑難排解。
驗證連線之後,請重試探索程序。
匯入/匯出要求失敗,錯誤為「403:此要求沒有權限執行此作業」
匯出/匯入/下載報告要求失敗,錯誤為「403:此要求沒有權限執行此作業」,適用於具有私人端點連線的專案。
可能的原因:
如果未從授權的網路起始匯出/匯入/下載要求,則可能會發生此錯誤。 如果匯入/匯出/下載要求是從未透過私人網路連線到 Azure Migrate 服務 (Azure 虛擬網路) 的用戶端起始,就會發生這種情況。
補救
選項 1(建議):
若要解決此錯誤,請從位於虛擬網路中且透過私人連結連線至 Azure 的用戶端重試匯入/匯出/下載作業。 您可以在內部部署網路或設備 VM 中開啟 Azure 入口網站,然後重試作業。
選項 2:
匯入/匯出/下載要求會連線到儲存體帳戶以上傳/下載報告。 您也可以變更用於匯入/匯出/下載作業的儲存體帳戶網路設定,並允許透過其他網路 (公用網路) 存取儲存體帳戶。
若要設定儲存體帳戶進行公用端點連線,
找出儲存體帳戶:儲存體帳戶名稱可在 [Azure Migrate:探索和評量] 屬性頁面上取得。 儲存體帳戶名稱將具有尾碼 usa。
瀏覽至儲存體帳戶並編輯儲存體帳戶網路屬性,以允許從所有其他網路存取。
或者,您可以限制對所選取網路的存取,並從您嘗試存取 Azure 入口網站的用戶端新增公用 IP 位址。
使用私人端點進行複寫需要 Azure Migrate 設備服務在下列版本上執行
可能的原因:
如果設備上執行的服務未以其最新版本執行,就會發生此問題。 DRA 代理程式會協調伺服器複寫,並協調複寫伺服器與 Azure 之間的通訊。 閘道代理程式會將複寫的資料傳送至 Azure。
注意
此錯誤僅適用於無代理程式 VMware VM 移轉。
補救措施:
驗證設備上執行的服務是否更新為最新版本。
若要這樣做,請從設備伺服器啟動設備組態管理員,然後從 [設定必要條件] 面板選取 [檢視設備服務]。 設備及其元件會自動更新。 如果沒有,請遵循指示手動更新設備服務。
無法儲存組態:504 閘道逾時
可能的原因:
如果 Azure Migrate 設備無法連線到錯誤訊息中所提供的服務端點,就會發生此問題。
補救措施:
若要驗證私人連結連線,請從裝載 Migrate 設備的內部部署伺服器執行 Azure Migrate 服務端點 (私人連結資源 FQDN) 的 DNS 解析,並確保可解析為私人 IP 位址。
若要取得私人端點詳細資料以驗證 DNS 解析:
私人端點詳細資料和私人連結資源 FQDN 的資訊可在 [探索和評量] 和 [移轉和現代化] 屬性頁面中取得。 選取兩個屬性頁面上的 [下載 DNS 設定] 以檢視完整清單。
接下來,請參閱本指南來驗證 DNS 解析。