VPN ゲートウェイまたは接続をリセットする
1 つ以上のサイト間 VPN トンネルのクロスプレミス VPN 接続が失われた場合、Azure VPN ゲートウェイまたはゲートウェイ接続をリセットすることによって解決できる場合があります。 この状況では、オンプレミスの VPN デバイスがすべて正しく機能していますが、Azure VPN ゲートウェイとの IPsec トンネルを確立することができません。 この記事では、VPN ゲートウェイまたはゲートウェイ接続をリセットする方法について説明します。
リセット中の動作
ゲートウェイのリセット
VPN Gateway は、アクティブ/スタンバイまたはアクティブ/アクティブ構成で動作する 2 つの仮想マシン (VM) インスタンスから成ります。 ゲートウェイをリセットすると、ゲートウェイが再起動してクロスプレミス構成が再適用されます。 ゲートウェイに割り当てられているパブリック IP アドレスはそのまま維持されます。 つまり、VPN ルーターの構成を Azure VPN Gateway の新しいパブリック IP アドレスで更新する必要がありません。
このコマンドを実行してアクティブ/スタンバイ セットアップでゲートウェイをリセットすると、現在アクティブな Azure VPN Gateway のインスタンスが直ちに再起動されます。 再起動中のアクティブ インスタンスからスタンバイ インスタンスにフェールオーバーされる際に、わずかな接続の中断が想定される場合があります。
コマンドを実行してアクティブ/アクティブ セットアップでゲートウェイをリセットすると、Azure VPN Gateway のアクティブ インスタンスのいすれか (たとえば、プライマリ アクティブ インスタンス) が直ちに再起動されます。 ゲートウェイ インスタンスが再起動されると、わずかな接続の中断が想定される可能性があります。
最初の再起動後に接続が復元されていない場合、VPN Gateway がアクティブ/スタンバイとして構成されているか、アクティブ/アクティブとして構成されているかによって、次の手順が異なる場合があります。
- VPN Gateway がアクティブ/スタンバイとして構成されている場合、同じコマンドを再度実行して、2 つ目の VM インスタンス (新しくアクティブになった方のゲートウェイ) を再起動してください。
- VPN Gateway がアクティブ/アクティブとして構成されている場合、ゲートウェイのリセット操作が再度実行されると、同じインスタンスが再起動されます。 PowerShell または CLI を使用すると、VIP を使用して一方または両方のインスタンスをリセットできます。
接続のリセット
接続のリセットを選択した場合、ゲートウェイは再起動されません。 選択した接続のみがリセットおよび復元されます。
接続をリセットする
Azure portal を使用して、接続を簡単にリセットできます。
リセットしたい接続に移動します。 接続リソースを見つけるには、[すべてのリソース] で探すか、[ゲートウェイ名]-> [接続] -> [接続名] に移動します
[接続] ページの左側のペインで、[ヘルプ] セクションまで下にスクロールして、[リセット] を選びます。
[リセット] ページで、[リセット] を選択して接続をリセットします。
![[リセット] ボタンが選択されているのを示すスクリーンショット。](media/reset-gateway/reset-connection.png)
![[リセット] ボタンが選択されているのを示すスクリーンショット。](media/reset-gateway/reset-connection.png#lightbox)
ゲートウェイをリセットする
ゲートウェイをリセットする前に、IPsec サイト間 (S2S) VPN トンネルごとに、以下の主な項目を確認してください。 いずれか 1 つの項目でも不備があると、S2S VPN トンネルの接続が失われます。 オンプレミスの VPN ゲートウェイと Azure VPN Gateway に使用されている構成を確認して修正すれば、そのゲートウェイ上で正常に機能している他の接続に対して無駄な再起動や中断を行わずに済みます。
ゲートウェイをリセットする前に以下の項目をご確認ください。
- Azure とオンプレミスの両方の VPN ポリシーに、Azure VPN Gateway とオンプレミスの VPN ゲートウェイのインターネット IP アドレス (VIP) がどちらも正しく構成されていること。
- Azure の VPN ゲートウェイとオンプレミスの VPN ゲートウェイが同じ事前共有キーを持っていること。
- 暗号化、ハッシュ アルゴリズム、PFS (Perfect Forward Secrecy) など特定の IPsec/IKE 構成を適用する場合、Azure の VPN ゲートウェイとオンプレミスの VPN ゲートウェイとに、必ず同じ構成を適用すること。
Azure portal
Azure Portal を使用して Resource Manager VPN Gateway をリセットできます。
- ポータルで、リセットする仮想ネットワーク ゲートウェイにアクセスします。
- [仮想ネットワーク ゲートウェイ] ページ上の、左側のペイン内で、スクロールして [ヘルプ] -> [リセット] を見つけます。
- [リセット] ページで、[リセット] を選択します。 このコマンドを実行すると、現在アクティブな Azure VPN Gateway のインスタンスが直ちに再起動されます。 ゲートウェイをリセットすると、VPN 接続にギャップが発生し、問題の将来の根本原因分析が制限されるおそれがあります。
注: VPN Gateway がアクティブ/アクティブとして構成されている場合は、PowerShell または CLI でインスタンスの VIP を使用してゲートウェイ インスタンスをリセットできます。
PowerShell
ゲートウェイをリセットするコマンドレットは Reset-AzVirtualNetworkGateway です。 ゲートウェイがアクティブ/アクティブとして設定されている場合は、-GatewayVip <string> を使って両方のインスタンスを 1 つずつリセットします。
次の例では、TestRG1 リソース グループの VNet1GW という名前の仮想ネットワーク ゲートウェイをリセットします。
$gw = Get-AzVirtualNetworkGateway -Name VNet1GW -ResourceGroupName TestRG1
Reset-AzVirtualNetworkGateway -VirtualNetworkGateway $gw
'GatewayName' -> [Resource Health] に移動すると、Azure portal からゲートウェイのリセット履歴を表示できます。
Azure CLI
ゲートウェイをリセットするには az network vnet-gateway reset コマンドを使用します。 ゲートウェイがアクティブ/アクティブとして設定されている場合は、--gateway-vip <string> を使って両方のインスタンスを 1 つずつリセットします。
次の例では、TestRG5 リソース グループの VNet5GW という名前の仮想ネットワーク ゲートウェイをリセットします。
az network vnet-gateway reset -n VNet5GW -g TestRG5
'GatewayName' -> [Resource Health] に移動すると、Azure portal からゲートウェイのリセット履歴を表示できます。
次のステップ
VPN Gateway の詳細については、「VPN Gateway のよくあるご質問」をご覧ください。