VPN 疑難排解概觀

  • 發行項

虛擬網路閘道提供內部部署資源與 Azure 虛擬網絡之間的連線。 監視虛擬網路閘道及其連線對於確保通訊不會中斷至關重要。 Azure 網路監看員提供針對虛擬網路閘道及其連線進行疑難排解的功能。 您可以透過 Azure 入口網站、Azure PowerShell、Azure CLI 或 REST API 來呼叫此功能。 呼叫時,網路監看員診斷閘道或連線的健康情況,並傳回適當的結果。 要求是長時間執行的交易。 診斷完成後會傳回結果。

Screenshot of Azure Network Watcher VPN troubleshoot in the Azure portal.

支援的閘道類型

下表列出網路監看員疑難排解支援哪些閘道和連線:

閘道或連線 支援
閘道類型
VPN 支援
ExpressRoute 不支援
VPN 類型
路由型 支援
原則型 不支援
連線類型
IPsec 支援
VNet2VNet 支援
ExpressRoute 不支援
VPNClient 不支援

結果

傳回的初步結果會呈現資源健康情況的整體情況。 您可以針對資源提供更深入的資訊,如下列章節所示:

下列清單是使用疑難排解 API 傳回的值:

  • startTime - 此值是 API 呼叫疑難排解開始的時間。
  • endTime - 此值是疑難排解結束的時間。
  • code - 如果發生單一診斷失敗,此值為 UnHealthy。
  • results - 結果是在連線或虛擬網路閘道上傳回的結果集合。
    • id - 此值是錯誤類型。
    • summary - 此值是錯誤的摘要。
    • detailed - 此值提供錯誤的詳細描述。
    • recommendedActions - 此屬性是建議採取的動作集合。
      • actionText - 此值包含描述要採取之動作的文字。
      • actionUri - 此值會提供 URI 給如何採取行動的檔。
      • actionUriText - 此值是動作文字的簡短描述。

下表顯示可用的不同錯誤類型( 上述清單的結果底下識別碼),以及錯誤是否建立記錄檔。

閘道

錯誤類型 原因 記錄
NoFault 未偵測到錯誤時 Yes
GatewayNotFound 找不到閘道或閘道未布建 No
計劃性維護 閘道實例正在維護中 No
UserDrivenUpdate 此錯誤會在更新使用者期間發生。 此更新可能是調整大小作業。 No
VipUnResponsive 此錯誤會在因健康情況探查失敗而無法連線到閘道的主要執行個體時發生。 No
PlatformInActive 平台發生問題。 No
ServiceNotRunning 基礎服務未執行。 No
否連線ionsFoundForGateway 閘道上沒有連線。 這個錯誤只是警告。 No
連線ionsNot連線ed 連線未連線。 這個錯誤只是警告。 Yes
GatewayCPUUsageExceeded 目前的閘道 CPU 使用量為 > 95%。 Yes

連線

錯誤類型 原因 記錄
NoFault 未偵測到錯誤時 Yes
GatewayNotFound 找不到閘道或閘道未布建 No
計劃性維護 閘道實例正在維護中 No
UserDrivenUpdate 此錯誤會在更新使用者期間發生。 此更新可能是調整大小作業。 No
VipUnResponsive 此錯誤會在因健康情況探查失敗而無法連線到閘道的主要執行個體時發生。 No
連線ionEntityNotFound 遺漏連線組態 No
連線ionIsMarkedDisconnected 連線標示為「已中斷連線」 No
連線ionNotConfiguredOnGateway 基礎服務未設定連線。 Yes
連線ionMarkedStandby 基礎服務會標示為待命。 Yes
驗證 預先共用金鑰不符 Yes
PeerReachability 無法連線到對等閘道。 Yes
IkePolicyMismatch 對等閘道具有 Azure 不支援的 IKE 原則。 Yes
WfpParse 錯誤 剖析 WFP 記錄檔時發生錯誤。 Yes

記錄檔

資源疑難排解記錄檔會在資源疑難排解完成後儲存在儲存體帳戶中。 下圖顯示導致錯誤的呼叫範例內容。

Screenshot shows the content of the downloaded zipped log files.

注意

  1. 在某些情況下,只會將記錄檔的子集寫入儲存體。
  2. 針對較新的閘道版本,IkeErrors.txt、Scrubbed-wfpdiag.txt 和 wfpdiag.txt.sum 已由包含整個 IKE 活動的 IkeLogs.txt 檔案取代(不只是錯誤)。

如需從 Azure 儲存體帳戶下載檔案的指示,請參閱 下載區塊 Blob 。 另一個可以使用的工具是儲存體總管。 如需 Azure 儲存體 Explorer 的相關資訊,請參閱 使用 Azure 儲存體 Explorer 下載 Blob

連線ionStats.txt

連線ionStats.txt 檔案包含連線的整體統計資料,包括輸入和輸出位元組、連線ion 狀態,以及建立連線的時間。

注意

如果對疑難排解 API 的呼叫傳回狀況良好,zip 檔案中傳回的唯一 專案就是 連線ionStats.txt 檔案。

此檔案的內容類別似下列範例:

Connectivity State : Connected
Remote Tunnel Endpoint :
Ingress Bytes (since last connected) : 288 B
Egress Bytes (Since last connected) : 288 B
Connected Since : 2/1/2017 8:22:06 PM

CPUStats.txt

CPUStats.txt 檔案包含測試時可用的 CPU 使用量和記憶體。 此檔案的內容類別似下列範例:

Current CPU Usage : 0 % Current Memory Available : 641 MBs

IKElogs.txt

IKElogs.txt 檔案包含監視期間找到的任何 IKE 活動。

下列範例顯示 IKElogs.txt 檔案的內容。

Remote <IPaddress>:500: Local <IPaddress>:500: [RECEIVED][SA_AUTH] Received IKE AUTH message
Remote <IPaddress>:500: Local <IPaddress>:500: Received Traffic Selector payload request- [Tsid 0x729  ]Number of TSIs 2: StartAddress 10.20.0.0 EndAddress 10.20.255.255 PortStart 0 PortEnd 65535 Protocol 0, StartAddress 192.168.100.0 EndAddress 192.168.100.255 PortStart 0 PortEnd 65535 Protocol 0 Number of TSRs 1:StartAddress 0.0.0.0 EndAddress 255.255.255.255 PortStart 0 PortEnd 65535 Protocol 0
Remote <IPaddress>:500: Local <IPaddress>:500: [SEND] Proposed Traffic Selector payload will be (Final Negotiated) - [Tsid 0x729  ]Number of TSIs 2: StartAddress 10.20.0.0 EndAddress 10.20.255.255 PortStart 0 PortEnd 65535 Protocol 0, StartAddress 192.168.100.0 EndAddress 192.168.100.255 PortStart 0 PortEnd 65535 Protocol 0 Number of TSRs 1:StartAddress 0.0.0.0 EndAddress 255.255.255.255 PortStart 0 PortEnd 65535 Protocol 0
Remote <IPaddress>:500: Local <IPaddress>:500: [RECEIVED]Received IPSec payload: Policy1:Cipher=DESIntegrity=Md5
IkeCleanupQMNegotiation called with error 13868 and flags a
Remote <IPaddress>:500: Local <IPaddress>:500: [SEND][NOTIFY] Sending Notify Message - Policy Mismatch

IKEErrors.txt

IKEErrors.txt 檔案包含監視期間發現的任何 IKE 錯誤。

下列範例顯示 IKEErrors.txt 檔案的內容。 您的錯誤可能會因問題而有所不同。

Error: Authentication failed. Check shared key. Check crypto. Check lifetimes. 
	 based on log : Peer failed with Windows error 13801(ERROR_IPSEC_IKE_AUTH_FAIL)
Error: On-prem device sent invalid payload. 
	 based on log : IkeFindPayloadInPacket failed with Windows error 13843(ERROR_IPSEC_IKE_INVALID_PAYLOAD)

Scrubbed-wfpdiag.txt

Scrubbed-wfpdiag.txt 記錄檔包含糧食計畫記錄檔。 此記錄包含封包捨棄和 IKE/AuthIP 失敗的記錄。

下列範例顯示 Scrubbed-wfpdiag.txt 檔案的內容。 在此範例中,連線的預先共用索引鍵不正確,從底部的第三行可以看到。 下列範例只是整個記錄檔的程式碼片段,因為視問題而定,記錄可能會很冗長。

...
[0]0368.03A4::02/02/2017-17:36:01.496 [ikeext] 3038|52.161.24.36|Deleted ICookie from the high priority thread pool list
[0]0368.03A4::02/02/2017-17:36:01.496 [ikeext] 3038|52.161.24.36|IKE diagnostic event:
[0]0368.03A4::02/02/2017-17:36:01.496 [ikeext] 3038|52.161.24.36|Event Header:
[0]0368.03A4::02/02/2017-17:36:01.496 [ikeext] 3038|52.161.24.36|  Timestamp: 1601-01-01T00:00:00.000Z
[0]0368.03A4::02/02/2017-17:36:01.496 [ikeext] 3038|52.161.24.36|  Flags: 0x00000106
[0]0368.03A4::02/02/2017-17:36:01.496 [ikeext] 3038|52.161.24.36|    Local address field set
[0]0368.03A4::02/02/2017-17:36:01.496 [ikeext] 3038|52.161.24.36|    Remote address field set
[0]0368.03A4::02/02/2017-17:36:01.496 [ikeext] 3038|52.161.24.36|    IP version field set
[0]0368.03A4::02/02/2017-17:36:01.496 [ikeext] 3038|52.161.24.36|  IP version: IPv4
[0]0368.03A4::02/02/2017-17:36:01.496 [ikeext] 3038|52.161.24.36|  IP protocol: 0
[0]0368.03A4::02/02/2017-17:36:01.496 [ikeext] 3038|52.161.24.36|  Local address: 13.78.238.92
[0]0368.03A4::02/02/2017-17:36:01.496 [ikeext] 3038|52.161.24.36|  Remote address: 52.161.24.36
[0]0368.03A4::02/02/2017-17:36:01.496 [ikeext] 3038|52.161.24.36|  Local Port: 0
[0]0368.03A4::02/02/2017-17:36:01.496 [ikeext] 3038|52.161.24.36|  Remote Port: 0
[0]0368.03A4::02/02/2017-17:36:01.496 [ikeext] 3038|52.161.24.36|  Application ID:
[0]0368.03A4::02/02/2017-17:36:01.496 [ikeext] 3038|52.161.24.36|  User SID: <invalid>
[0]0368.03A4::02/02/2017-17:36:01.496 [ikeext] 3038|52.161.24.36|Failure type: IKE/Authip Main Mode Failure
[0]0368.03A4::02/02/2017-17:36:01.496 [ikeext] 3038|52.161.24.36|Type specific info:
[0]0368.03A4::02/02/2017-17:36:01.496 [ikeext] 3038|52.161.24.36|  Failure error code:0x000035e9
[0]0368.03A4::02/02/2017-17:36:01.496 [ikeext] 3038|52.161.24.36|    IKE authentication credentials are unacceptable
[0]0368.03A4::02/02/2017-17:36:01.496 [ikeext] 3038|52.161.24.36|
[0]0368.03A4::02/02/2017-17:36:01.496 [ikeext] 3038|52.161.24.36|  Failure point: Remote
...

wfpdiag.txt.sum

wfpdiag.txt.sum 檔案是一個記錄檔,其中顯示已處理的緩衝區和事件。

下列範例是 wfpdiag.txt.sum 檔案的內容。

Files Processed:
	C:\Resources\directory\924336c47dd045d5a246c349b8ae57f2.GatewayTenantWorker.DiagnosticsStorage\2017-02-02T17-34-23\wfpdiag.etl
Total Buffers Processed 8
Total Events  Processed 2169
Total Events  Lost      0
Total Format  Errors    0
Total Formats Unknown   486
Elapsed Time            330 sec
+-----------------------------------------------------------------------------------+
|EventCount    EventName            EventType   TMF                                 |
+-----------------------------------------------------------------------------------+
|        36    ikeext               ike_addr_utils_c844  a0c064ca-d954-350a-8b2f-1a7464eef8b6|
|        12    ikeext               ike_addr_utils_c857  a0c064ca-d954-350a-8b2f-1a7464eef8b6|
|        96    ikeext               ike_addr_utils_c832  a0c064ca-d954-350a-8b2f-1a7464eef8b6|
|         6    ikeext               ike_bfe_callbacks_c133  1dc2d67f-8381-6303-e314-6c1452eeb529|
|         6    ikeext               ike_bfe_callbacks_c61  1dc2d67f-8381-6303-e314-6c1452eeb529|
|        12    ikeext               ike_sa_management_c5698  7857a320-42ee-6e90-d5d9-3f414e3ea2d3|
|         6    ikeext               ike_sa_management_c8447  7857a320-42ee-6e90-d5d9-3f414e3ea2d3|
|        12    ikeext               ike_sa_management_c494  7857a320-42ee-6e90-d5d9-3f414e3ea2d3|
|        12    ikeext               ike_sa_management_c642  7857a320-42ee-6e90-d5d9-3f414e3ea2d3|
|         6    ikeext               ike_sa_management_c3162  7857a320-42ee-6e90-d5d9-3f414e3ea2d3|
|        12    ikeext               ike_sa_management_c3307  7857a320-42ee-6e90-d5d9-3f414e3ea2d3|

考量

  • 每個訂用帳戶一次只能執行一個 VPN 疑難排解作業。 若要執行另一個 VPN 疑難排解作業,請等候先前的 VPN 作業完成。 在先前的作業尚未完成時觸發新作業,會導致後續作業失敗。
  • CLI Bug:如果您使用 Azure CLI 來執行命令,VPN 閘道和儲存體帳戶必須位於相同的資源群組中。 具有不同資源群組中資源的客戶可以改用 PowerShell 或Azure 入口網站。

後續步驟

若要瞭解如何診斷虛擬網路閘道或閘道連線的問題,請參閱 診斷虛擬網路 之間的通訊問題。