Устранение неполадок подключения к сети
Эта статья поможет вам устранить проблемы с сетевым подключением при использовании службы "Миграция Azure" с частными конечными точками.
Проверка конфигурации частных конечных точек
Убедитесь, что частная конечная точка находится в состоянии "Утверждено".
Перейдите на страницу свойств "Миграция Azure": обнаружение и оценка и миграция и модернизация .
На этой странице свойств содержится список частных конечных точек и полных доменных имен для приватного канала, которые были автоматически созданы в службе "Миграция Azure".
Выберите частную конечную точку, которую хотите диагностировать.
a. Убедитесь, что для подключения задано состояние Утверждено. b. Если подключение находится в состоянии "Ожидание", его нужно утвердить. c. Вы также можете перейти к ресурсу частной конечной точки и проверить, соответствует ли виртуальная сеть проекта "Миграция" виртуальной сети частной конечной точки проекта.
Проверка потока данных через частные конечные точки
Просмотрите метрики потока данных, чтобы проверить поток трафика через частные конечные точки. Выберите частную конечную точку на странице "Миграция Azure: оценка сервера и миграция" и "Свойства модернизации". Вы перейдете в раздел обзора частной конечной точки в Центре Приватного канала Azure. В меню слева выберите Метрики, чтобы просмотреть сведения о входящих байтах данных и исходящих байтах данных для просмотра потока трафика.
Проверка разрешения DNS
Локальный модуль (или поставщик репликации) будет обращаться к ресурсам службы "Миграция Azure" по их полным доменным именам (FQDN) в приватном канале. Для разрешения частного IP-адреса частных конечных точек из исходной среды могут потребоваться дополнительные параметры DNS. В этой статье описаны сценарии настройки DNS, которые позволяют устранить неполадки с сетевым подключением любого типа.
Чтобы проверить подключение приватного канала, выполните разрешение DNS для конечных точек ресурса службы "Миграция Azure" (полных доменных имен ресурсов в приватном канале) с локального сервера, на котором размещается модуль службы "Миграция Azure", и убедитесь, что частный IP-адрес успешно разрешается.
Чтобы получить сведения о частной конечной точке для проверки разрешения DNS:
Сведения о частной конечной точке и полные доменные имена ресурсов приватного канала доступны на страницах свойств обнаружения и оценки и миграции и модернизации. Чтобы просмотреть список, щелкните Download DNS settings (Скачать параметры DNS). Обратите внимание, что ниже перечислены только частные конечные точки, которые были автоматически созданы службой "Миграция Azure".
Если вы создали частную конечную точку для учетных записей хранения для репликации по частной сети, вы можете получить полное доменное имя приватного канала и IP-адрес, как показано ниже.
Перейдите к подключениям к частной конечной точке учетной записи>>хранения и выберите созданную частную конечную точку.
Перейдите к конфигурации DNS параметров>, чтобы получить полное доменное имя учетной записи хранения и частный IP-адрес.
Пример, демонстрирующий разрешение DNS для полного доменного имени учетной записи хранения в приватном канале.
Введите
nslookup <storage-account-name>_.blob.core.windows.net.
"Заменить<storage-account-name>
" именем учетной записи хранения, используемой для службы "Миграция Azure".Вы увидите сообщение такого вида:
Для учетной записи хранения возвращается частный IP-адрес 10.1.0.5. Этот адрес относится к подсети виртуальной сети частной конечной точки.
Аналогичным образом вы можете проверить разрешение DNS для других артефактов службы "Миграция Azure".
Если разрешение DNS выполняется неверно, сделайте следующее:
Рекомендуется вручную обновить записи DNS исходной среды, изменив файл узлов DNS на локальном устройстве с полным доменным именем ресурса приватного канала и связанными с ними частными IP-адресами.
- Если вы используете собственный DNS-сервер, проверьте параметры DNS и убедитесь, что вся конфигурация DNS настроена правильно. Инструкции см. в обзоре частных конечных точек и конфигурации DNS.
- Если вы используете предоставляемые Azure DNS-серверы, перейдите к разделу по устранению неполадок ниже.
Совет
Для тестирования можно вручную обновить записи DNS исходной среды, изменив файл узлов DNS на локальном устройстве с полным доменным именем ресурса приватного канала и связанными с ними частными IP-адресами.
Проверка частной зоны DNS
Если разрешение DNS не работает, как описано в предыдущем разделе, может возникнуть проблема с зоной Частная зона DNS.
Проверка наличия необходимого ресурса частной зоны DNS
По умолчанию служба "Миграция Azure" также создает частную зону DNS с поддоменом privatelink для каждого типа ресурсов. Частная зона DNS создается в той же группе ресурсов Azure, что и группа ресурсов частной конечной точки. Группа ресурсов Azure должна содержать ресурсы частной зоны DNS в следующем формате:
- privatelink.vaultcore.azure.net для хранилища ключей;
- privatelink.blob.core.windows.net для учетной записи хранения;
- privatelink.siterecovery.windowsazure.com для хранилища Служб восстановления (для репликации на основе Hyper-V и агента);
- privatelink.prod.migration.windowsazure.com для проекта миграции, проекта оценки и сайта обнаружения.
Служба "Миграция Azure" автоматически создает частную зону DNS (за исключением учетной записи хранения для кэша и репликации, которую выбирает пользователь). Чтобы найти связанную частную зону DNS, перейдите на страницу частной конечной точки и выберите конфигурации DNS. Вы должны увидеть настроенную частную зону DNS в разделе интеграции с частной зоной DNS.
Если зона DNS отсутствует (как показано ниже), создайте новый ресурс Частная зона DNS zone.
Проверка наличия связи между частной зоной DNS и виртуальной сетью
Частная зона DNS должна быть связана с виртуальной сетью, которая содержит частную конечную точку, чтобы запросы DNS успешно разрешали частный IP-адрес конечной точки ресурса. Если частная зона DNS не связана с правильным виртуальная сеть, разрешение DNS из этой виртуальной сети будет игнорировать частную зону DNS.
Перейдите к ресурсу частной зоны DNS на портале Azure и щелкните пункт меню "Связи виртуальных сетей" слева. Вы должны увидеть связанные виртуальные сети.
В этом разделе показан список ссылок, каждый из которых содержит имя виртуальной сети в подписке. Этот список должен включать виртуальную сеть, которая содержит ресурс частной конечной точки. В противном случае следуйте указаниям в этой статье, чтобы связать частную зону DNS с виртуальной сетью.
После подключения частной зоны DNS к виртуальной сети DNS-запросы, исходящие из виртуальной сети, ищут записи DNS в частной зоне DNS. Это необходимо для правильного разрешения адреса виртуальной сети, в которой была создана частная конечная точка.
Проверка того, что частная зона DNS содержит правильную запись типа A
Перейдите к частной зоне DNS, в которой вы устраняете неполадки. На странице "Обзор" отображаются все записи DNS для этой частной зоны DNS. Убедитесь, что для нужного ресурса существует запись DNS типа A. Кроме того, значение такой записи (IP-адрес) должно содержать правильный частный IP-адрес этого ресурса. Если вы нашли запись типа A, которая указывает на неправильный IP-адрес, необходимо удалить этот IP-адрес и добавить новый. Мы рекомендуем удалить всю запись A и добавить новую, а также выполнить очистку DNS на локальном исходном модуле.
Пример, демонстрирующий запись DNS типа A для учетной записи хранения в частной зоне DNS:
Пример, демонстрирующий записи DNS типа A для микрослужб хранилища Служб восстановления в частной зоне DNS:
Примечание.
При удалении или изменении записи A компьютер может по-прежнему разрешаться на старый IP-адрес, так как значение TTL (Time To Live) еще не истекло.
Элементы, которые могут повлиять на подключение к приватным каналом
Следующий список элементов, которые можно найти в расширенных или сложных сценариях, не является исчерпывающим.
- Параметры брандмауэра: брандмауэр Azure, подключенный к виртуальной сети, или пользовательское решение для брандмауэра, развернутое на компьютере, где запущен модуль.
- Пиринг сети, который может повлиять на использование DNS-серверов и способ маршрутизации трафика.
- Решения пользовательского шлюза (NAT) могут повлиять на маршрутизацию трафика, включая трафик из DNS-запросов.
Дополнительные сведения см. в статье Руководство по устранению неполадок с подключением к частной конечной точке.
Распространенные проблемы при использовании службы "Миграция Azure" с частными конечными точками
В этом разделе мы перечислим некоторые распространенные проблемы и рекомендуем выполнить действия по устранению неполадок самостоятельно.
Сбой регистрации устройства с ошибкой ForbiddenToAccessKeyVault
Сбой операции создания или обновления Azure Key Vault для <KeyVaultName> из-за ошибки <ErrorMessage>
Возможные причины
Эта проблема может возникать, если учетная запись Azure, используемая для регистрации устройства, не имеет необходимых разрешений или устройство Миграции Azure не имеет доступа к Key Vault.
Серверы
Действия по устранению проблем с доступом к Key Vault:
- Убедитесь, что у используемой для регистрации устройства учетной записи пользователя Azure есть по крайней мере разрешения участника в подписке.
- Убедитесь, что пользователь пытается зарегистрировать устройство с доступом к Key Vault и имеет политику доступа, назначенную в разделе политики доступа Key Vault>. Подробнее
- Подробнее о требуемых ролях и разрешениях Azure.
Действия по устранению проблем с подключением к Key Vault: если вы включили для устройства подключение к частной конечной точке, выполните указанные ниже действия, чтобы устранить неполадки с сетевым подключением.
Убедитесь в том, что устройство размещено в той же виртуальной сети или подключено к целевой виртуальной сети Azure (где была создана частная конечная точка Key Vault) по частному каналу. Частная конечная точка Key Vault создается в виртуальной сети, выбранной во время создания проекта. Сведения о виртуальной сети можно проверить на странице "Свойства миграции > Azure".
Убедитесь в том, что устройство имеет сетевое подключение к Key Vault через приватный канал. Чтобы проверить подключение через приватный канал, выполните разрешение DNS для конечной точки ресурса Key Vault с локального сервера, на котором размещается устройство, и убедитесь в том, что она разрешается в частный IP-адрес.
Перейдите в службу "Миграция Azure: свойства обнаружения и оценки>", чтобы найти сведения о частных конечных точках для ресурсов, таких как Key Vault, созданный на этапе создания ключей.
Чтобы скачать сопоставления DNS, щелкните Скачать параметры DNS.
Откройте командную строку и выполните приведенную ниже команду nslookup, чтобы проверить сетевое подключение к URL-адресу Key Vault, упомянутому в файле параметров DNS.
nslookup <your-key-vault-name>.vault.azure.net
Если выполните команду nslookup, чтобы разрешить IP-адрес хранилища ключей через общедоступную конечную точку, вы увидите следующий результат:
c:\ >nslookup <your-key-vault-name>.vault.azure.net Non-authoritative answer: Name: Address: (public IP address) Aliases: <your-key-vault-name>.vault.azure.net
Если выполните команду nslookup, чтобы разрешить IP-адрес хранилища ключей через частную конечную точку, вы увидите следующий результат:
c:\ >nslookup your_vault_name.vault.azure.net Non-authoritative answer: Name: Address: 10.12.4.20 (private IP address) Aliases: <your-key-vault-name>.vault.azure.net <your-key-vault-name>.privatelink.vaultcore.azure.net
Команда nslookup должна разрешаться в частный IP-адрес, как упоминалось выше. Частный IP-адрес должен соответствовать указанному в файле параметров DNS.
Если разрешение DNS выполняется неверно, сделайте следующее:
Вручную обновите DNS-записи исходной среды, отредактировав файл DNS-узлов на локальном устройстве с сопоставлениями DNS и связанными частными IP-адресами. Этот вариант рекомендуется для тестирования.
Если вы используете собственный DNS-сервер, проверьте параметры DNS и убедитесь в том, что вся конфигурация DNS настроена правильно. Инструкции см. в обзоре частных конечных точек и конфигурации DNS.
Рекомендации по прокси-серверу. Если устройство использует прокси-сервер для исходящего подключения, может потребоваться проверить параметры сети и конфигурации, чтобы убедиться, что URL-адреса приватного канала доступны и могут быть перенаправлены должным образом.
- Если прокси-сервер предназначен для подключения к Интернету, может потребоваться добавить сервер пересылки трафика или правила для обхода прокси-сервера для полного доменного имени приватного канала. Дополнительные сведения о добавлении правил обхода прокси-сервера.
- Кроме того, если прокси-сервер предназначен для всего исходящего трафика, убедитесь, что прокси-сервер может разрешить полное доменное имя приватного канала к соответствующим частным IP-адресам. Для быстрого обходного решения можно вручную обновить записи DNS на прокси-сервере с помощью сопоставлений DNS и связанных частных IP-адресов, как показано выше. Этот вариант рекомендуется для тестирования.
Если проблема не исчезнет, обратитесь к этому разделу для дальнейшего устранения неполадок.
Проверив подключение, повторите процесс регистрации.
Проверка сетевого подключения частной конечной точки
С помощью команды Test-NetConnection в PowerShell можно проверить, доступен ли порт от устройства к частной конечной точке. Убедитесь, что вы можете разрешить учетную запись хранения и Хранилище ключей для проекта миграции Azure с помощью частного IP-адреса.
Сбой запуска обнаружения с ошибкой AgentNotConnected
Устройство не удалось инициировать обнаружение, так как локальный агент не может взаимодействовать с конечной точкой службы миграции Azure: <URLname> в Azure.
Возможные причины
Эта проблема может возникать, если устройству не удается подключиться к конечным точкам службы, указанным в сообщении об ошибке.
Серверы
Убедитесь в том, что устройство подключено либо напрямую, либо через прокси-сервер и может разрешить конечную точку службы, указанную в сообщении об ошибке.
Если вы включили для устройства подключение к частной конечной точке, убедитесь в том, что устройство подключено к виртуальной сети Azure через приватный канал и может разрешить конечные точки службы, указанные в сообщении об ошибке.
Действия по устранению неполадок с подключением через приватный канал к конечным точкам службы Миграции Azure:
если вы включили для устройства подключение к частной конечной точке, выполните указанные ниже действия, чтобы устранить неполадки с сетевым подключением.
- Убедитесь в том, что устройство размещено в той же виртуальной сети или подключено к целевой виртуальной сети Azure (где были созданы частные конечные точки) по приватному каналу. Частные конечные точки для служб Миграции Azure создаются в виртуальной сети, выбранной во время создания проекта. Сведения о виртуальной сети можно проверить на странице "Свойства миграции > Azure".
Убедитесь в том, что устройство имеет сетевое подключение к URL-адресам конечных точек службы и другим URL-адресам, указанным в сообщении об ошибке, через приватный канал. Чтобы проверить подключение через приватный канал, выполните разрешение DNS для URL-адресов с локального сервера, на котором размещается устройство, и убедитесь в том, что она разрешается в частные IP-адреса.
Перейдите в службу "Миграция Azure: свойства обнаружения и оценки>", чтобы найти сведения о частных конечных точках для конечных точек службы, созданных на этапе создания ключей.
Чтобы скачать сопоставления DNS, щелкните Скачать параметры DNS.
Сопоставления DNS с URL-адресами частных конечных точек | Сведения |
---|---|
*.disc.privatelink.prod.migration.windowsazure.com | Конечная точка службы обнаружения Миграции Azure |
*.asm.privatelink.prod.migration.windowsazure.com | Конечная точка службы оценки Миграции Azure |
*.hub.privatelink.prod.migration.windowsazure.com | Конечная точка концентратора службы "Миграция Azure" для получения данных из других предложений Майкрософт или независимых поставщиков программного обеспечения (ISV) |
*.privatelink.siterecovery.windowsazure.com | Конечная точка службы Azure Site Recovery для оркестрации репликаций |
*.vault.azure.net | Конечная точка Key Vault |
*.blob.core.windows.net | Конечная точка учетной записи хранения для данных по зависимостям и производительности |
Помимо указанных выше URL-адресов, устройству требуется доступ к следующим URL-адресам через Интернет напрямую или через прокси-сервер.
Другие URL-адреса общедоступного облака (URL-адреса общедоступных конечных точек) |
Сведения |
---|---|
*.portal.azure.com | Перейдите на портал Azure. |
.windows.net .msftauth.net .msauth.net .microsoft.com .live.com .office.com .microsoftonline.com .microsoftonline-p.com |
Используется для управления доступом и управления удостоверениями с помощью идентификатора Microsoft Entra |
management.azure.com | Для запуска развертываний Azure Resource Manager |
*.services.visualstudio.com (необязательно) | Передача журналов устройства, используемых для внутреннего мониторинга. |
aka.ms/* (необязательно) | Разрешить доступ также как ссылки; используется для скачивания и установки последних обновлений для служб устройств |
download.microsoft.com/download | Разрешение скачивания из Центра загрузки Майкрософт |
Откройте командную строку и выполните приведенную ниже команду nslookup, чтобы проверить подключение через приватный канал к URL-адресам, указанным в файле параметров DNS. Повторите этот шаг для всех URL-адресов в файле параметров DNS.
Иллюстрация: проверка подключения через приватный канал к конечной точке службы обнаружения
nslookup 04b8c9c73f3d477e966c8d00f352889c-agent.cus.disc.privatelink.prod.migration.windowsazure.com
Если запрос может достичь конечной точки службы обнаружения через частную конечную точку, вы увидите результат наподобие следующего:
nslookup 04b8c9c73f3d477e966c8d00f352889c-agent.cus.disc.privatelink.prod.migration.windowsazure.com Non-authoritative answer: Name: Address: 10.12.4.23 (private IP address) Aliases: 04b8c9c73f3d477e966c8d00f352889c-agent.cus.disc.privatelink.prod.migration.windowsazure.com prod.cus.discoverysrv.windowsazure.com
Команда nslookup должна разрешаться в частный IP-адрес, как упоминалось выше. Частный IP-адрес должен соответствовать указанному в файле параметров DNS.
Если разрешение DNS выполняется неверно, сделайте следующее:
Вручную обновите DNS-записи исходной среды, отредактировав файл DNS-узлов на локальном устройстве с сопоставлениями DNS и связанными частными IP-адресами. Этот вариант рекомендуется для тестирования.
Если вы используете собственный DNS-сервер, проверьте параметры DNS и убедитесь в том, что вся конфигурация DNS настроена правильно. Инструкции см. в обзоре частных конечных точек и конфигурации DNS.
Рекомендации по прокси-серверу. Если устройство использует прокси-сервер для исходящего подключения, может потребоваться проверить параметры сети и конфигурации, чтобы убедиться, что URL-адреса приватного канала доступны и могут быть перенаправлены должным образом.
- Если прокси-сервер предназначен для подключения к Интернету, может потребоваться добавить сервер пересылки трафика или правила для обхода прокси-сервера для полного доменного имени приватного канала. Дополнительные сведения о добавлении правил обхода прокси-сервера.
- Кроме того, если прокси-сервер предназначен для всего исходящего трафика, убедитесь, что прокси-сервер может разрешить полное доменное имя приватного канала к соответствующим частным IP-адресам. Для быстрого обходного решения можно вручную обновить записи DNS на прокси-сервере с помощью сопоставлений DNS и связанных частных IP-адресов, как показано выше. Этот вариант рекомендуется для тестирования.
Если проблема не исчезнет, обратитесь к этому разделу для дальнейшего устранения неполадок.
Проверив подключение, повторите процесс обнаружения.
Запрос на импорт/экспорт завершился ошибкой "403: этот запрос не авторизован для выполнения этой операции"
Запрос отчета об экспорте/импорте/загрузке завершается ошибкой "403: этот запрос не авторизован для выполнения этой операции" для проектов с подключением к частной конечной точке.
Возможные причины
Эта ошибка может возникнуть, если запрос на экспорт/импорт и скачивание не был инициирован из авторизованной сети. Это может произойти, если запрос на импорт/экспорт/загрузку был инициирован от клиента, который не подключен к службе миграции Azure (виртуальная сеть Azure) через частную сеть.
Серверы
Вариант 1 (рекомендуется):
Чтобы устранить эту ошибку, повторите операцию импорта/экспорта/загрузки с клиента, находящегося в виртуальной сети, подключенной к Azure по частной ссылке. Вы можете открыть портал Azure в своей локальной сети или на виртуальной машине устройства и повторить операцию.
Вариант 2.
Запрос на импорт/экспорт/загрузку устанавливает соединение с учетной записью хранения для загрузки/выгрузки отчетов. Вы также можете изменить сетевые настройки учетной записи хранения, используемой для операции импорта/экспорта/загрузки, и разрешить доступ к учетной записи хранения через другие сети (общедоступные сети).
Чтобы настроить учетную запись хранения для подключения к общедоступной конечной точке,
Поиск учетной записи хранения: имя учетной записи хранения доступно на странице свойств "миграция Azure: обнаружение и оценка". Имя учетной записи хранения будет иметь суффикс usa.
Перейдите к учетной записи хранения и отредактируйте сетевые свойства учетной записи хранения, чтобы разрешить доступ из всех/других сетей.
Кроме того, вы можете ограничить доступ к выбранным сетям и добавить общедоступный IP-адрес клиента, с которого вы пытаетесь получить доступ к порталу Azure.
Использование частных конечных точек для репликации требует выполнения служб устройства службы "Миграция Azure" в следующих версиях.
Возможные причины
Эта проблема может возникнуть, если службы, работающие на устройстве, не выполняются в последней версии. Агент DRA управляет репликацией сервера и координирует обмен данными между реплицированными серверами и Azure. Агент шлюза отправляет реплицированные данные в Azure.
Примечание.
Эта ошибка применима только для миграции виртуальных машин VMware без агента.
Серверы
Убедитесь, что службы, работающие на устройстве, обновлены до последних версий.
Для этого запустите диспетчер конфигурации устройства с сервера устройства и выберите "Просмотреть службы устройств" на панели предварительных требований программы установки. Устройство и его компоненты автоматически обновляются. В противном случае следуйте инструкциям по обновлению служб устройств вручную.
Не удалось сохранить конфигурацию: время ожидания шлюза 504
Возможные причины
Эта проблема может возникнуть, если устройство службы "Миграция Azure" не может получить доступ к конечной точке службы, предоставленной в сообщении об ошибке.
Серверы
Чтобы проверить подключение к приватным каналом, выполните разрешение DNS конечных точек службы "Миграция Azure" (полное доменное имя ресурса приватного канала) с локального сервера, на котором размещено устройство "Миграция" и убедитесь, что они разрешаются на частные IP-адреса.
Чтобы получить сведения о частной конечной точке для проверки разрешения DNS:
Сведения о частной конечной точке и полное доменное имя ресурса приватного канала доступны на страницах свойств обнаружения и оценки и миграции и модернизации. Выберите "Скачать параметры DNS" на обеих страницах свойств, чтобы просмотреть полный список.
Затем ознакомьтесь с этим руководством , чтобы проверить разрешение DNS.