Beheben von Problemen mit dem Azure Load Balancer-Integritätsteststatus

Diese Seite enthält Informationen zur Problembehandlung für häufige Fragen zum Azure Load Balancer-Integritätstest.

Symptom: VMs hinter dem Load Balancer antworten nicht auf Integritätstests.

Damit Back-End-Server Teil einer Load Balancer-Gruppe sein können, müssen sie die Überprüfung bestehen. Weitere Informationen zu Integritätstests finden Sie unter Grundlegendes zu Load Balancer-Tests

Die VMs des Load Balancer-Back-End-Pools antworten möglicherweise aus einem der folgenden Gründe nicht auf die Tests:

  • Die VM des Load Balancer-Back-End-Pools ist fehlerhaft
  • Die VM des Load Balancer-Back-End-Pools lauscht nicht am Testport
  • Die Firewall oder eine Netzwerksicherheitsgruppe blockiert den Port auf den VMs des Load Balancer-Back-End-Pools
  • Andere Fehlkonfigurationen im Load Balancer

Ursache 1: Die VM des Load Balancer-Back-End-Pools ist fehlerhaft

Überprüfung und Lösung

Um dieses Problem zu beheben, melden Sie sich an den beteiligten VMs an und überprüfen Sie, ob der Zustand der VM in Ordnung ist und ob sie auf PsPing oder TCPing von einer anderen VM im Pool antwortet. Wenn die VM fehlerhaft ist oder nicht auf den Test antworten kann, müssen Sie das Problem beheben und die VM wieder in einen fehlerfreien Status versetzen, bevor sie am Lastenausgleich teilnehmen kann.

Ursache 2: Die VM des Load Balancer-Back-End-Pools lauscht nicht am Testport

Wenn die VM fehlerfrei ist, aber nicht auf den Test antwortet, könnte eine mögliche Ursache sein, dass der Testport auf der entsprechenden VM nicht geöffnet ist oder dass die VM nicht an diesem Port lauscht.

Überprüfung und Lösung

  1. Melden Sie sich bei der Back-End-VM an.
  2. Öffnen Sie eine Eingabeaufforderung, und führen Sie den folgenden Befehl aus, um zu überprüfen, ob eine Anwendung am Testport lauscht: netstat -an
  3. Wenn der Portstatus nicht als EMPFANGSBEREIT aufgeführt ist, konfigurieren Sie den richtigen Port.
  4. Wählen Sie alternativ einen anderen Port aus, der als EMPFANGSBEREIT aufgeführt wird, und aktualisieren Sie die Load Balancer-Konfiguration entsprechend.

Ursache 3: Die Firewall oder eine Netzwerksicherheitsgruppe blockiert den Port auf den VMs des Load Balancer-Back-End-Pools

Wenn die Firewall auf der VM den Testport blockiert oder eine oder mehrere Netzwerksicherheitsgruppen, die für das Subnetz oder die VM konfiguriert sind, nicht zulassen, dass der Test den Port erreicht, kann die VM nicht auf den Integritätstest antworten.

Überprüfung und Lösung

  1. Wenn die Firewall aktiviert ist, überprüfen Sie, ob sie so konfiguriert ist, dass der Testport zulässig ist. Wenn dies nicht der Fall ist, konfigurieren Sie die Firewall zum Zulassen von Datenverkehr am Testport, und führen Sie den Test erneut aus.
  • Stellen Sie sicher, dass Ihre VM-Firewall nicht den Datenverkehr des Tests von der IP-Adresse 168.63.129.16 blockiert
  • Sie können Überwachungsports überprüfen, indem Sie netstat -a über eine Windows-Eingabeaufforderung oder netstat -l über ein Linux-Terminal ausführen.
  • Sie können Ihre Firewall-Profile abfragen, um zu überprüfen, ob Ihre Richtlinien den eingehenden Datenverkehr blockieren, indem Sie netsh advfirewall show allprofiles | more von einer Windows-Eingabeaufforderung oder sudo iptables -L von einem Linux-Terminal aus ausführen, um alle konfigurierten Firewall-Regeln anzuzeigen.
  • Weitere Details zur Behandlung von Firewallproblemen für Azure VMs finden Sie unter Azure VM Guest OS Firewall blockiert eingehenden Datenverkehr.
  1. Überprüfen Sie anhand der Liste der Netzwerksicherheitsgruppen, ob beim eingehenden oder ausgehenden Datenverkehr am Testport Störungen auftreten.
  2. Überprüfen Sie auch, ob eine Regel Alle verweigern für Netzwerksicherheitsgruppen der NIC der VM oder des Subnetzes eine höhere Priorität als die Standardregel aufweist, die Load Balancer-Tests und -Datenverkehr zulässt (Netzwerksicherheitsgruppen müssen die Load Balancer-IP-Adresse 168.63.129.16 zulassen).
  3. Wenn eine dieser Regeln den Testdatenverkehr blockiert, entfernen und konfigurieren Sie die Regeln, um den Testdatenverkehr zuzulassen. 
  4. Testen Sie, ob die VM jetzt auf Integritätstests antwortet.

Ursache 4: Andere Fehlkonfigurationen im Load Balancer

Wenn alle vorangegangenen Ursachen überprüft und korrekt behoben wurden und die Back-End-VM immer noch nicht auf Integritätstests antwortet, dann testen Sie manuell die Konnektivität und erfassen Sie einige Ablaufverfolgungen, um die Konnektivität zu analysieren.

Überprüfung und Lösung

  1. Verwenden Sie Psping von einer der anderen VMs im VNET, um die Testportantwort zu testen (Beispiel: .\psping.exe -t 10.0.0.4:3389), und zeichnen Sie die Ergebnisse auf.
  2. Verwenden Sie TCPing von einer der anderen VMs im VNET, um die Testportantwort zu testen (Beispiel: .\tcping.exe 10.0.0.4 3389), und zeichnen Sie die Ergebnisse auf.
  3. Wenn in diesen Pingtests keine Antwort empfangen wird, gehen Sie wie folgt vor:
    • Führen Sie eine gleichzeitige Netsh-Ablaufverfolgung für die Ziel-Back-End-Pool-VM und eine andere Test-VM im selben VNET aus. Führen Sie jetzt für einige Zeit einen PsPing-Test aus, erfassen Sie einige Netzwerk-Ablaufverfolgungen, und beenden Sie den Test.
    • Analysieren Sie die erfassten Netzwerkdaten, und stellen Sie fest, ob es eingehende und ausgehende Pakete im Zusammenhang mit der Pingabfrage gibt.
      • Wenn keine eingehenden Pakete auf der Back-End-Pool-VM festgestellt werden, blockiert möglicherweise die Fehlkonfiguration von Netzwerksicherheitsgruppen oder UDR den Datenverkehr.
      • Wenn keine ausgehenden Pakete auf der Back-End-Pool-VM festgestellt werden, muss die VM auf andere Probleme (z. B. das Blockieren des Testports durch eine Anwendung) überprüft werden.
    • Überprüfen Sie, ob die Testpakete zwangsweise an ein anderes Ziel gesendet werden (möglicherweise über UDR-Einstellungen), bevor sie den Load Balancer erreichen. Dies kann verursachen, dass der Datenverkehr die Back-End-VM nicht erreicht.
  4. Ändern Sie den Testtyp (z.B. von HTTP in TCP), und konfigurieren Sie den entsprechenden Port in Netzwerksicherheitsgruppen-ACLs und der Firewall, um zu prüfen, ob das Problem in der Konfiguration der Testantwort liegt. Weitere Informationen zur Konfiguration von Integritätstests finden Sie unter Endpoint Load Balancing health probe configuration (Konfiguration von Integritätstests für den Endpunktlastenausgleich).

Nächste Schritte

Sollte sich das Problem mit den oben genannten Schritten nicht beheben lassen, erstellen Sie ein Supportticket.