Активация Windows завершается ошибкой в случае принудительного туннелирования

Область применения: ✔️ Виртуальные машины Windows

В этой статье описывается, как разрешить проблемы активации сервера управления ключами, которые могут возникнуть при включении принудительного туннелирования в подключении VPN типа "сеть — сеть" или использовании ExpressRoute.

Симптом

Вы включаете принудительное туннелирование в подсетях виртуальной сети Azure, чтобы направить весь интернет-трафик обратно в локальную сеть. В этом сценарии виртуальные машины Azure, запускающие Windows, не активируют Windows.

Причина

Виртуальные машины Windows Azure должны подключиться к серверу управления ключами Azure для активации Windows. Для активации требуется, чтобы запрос на активацию поступал с общедоступного IP-адреса Azure. В случае принудительного туннелирования активация будет завершаться ошибкой, так как запрос на активацию поступает из вашей локальной сети вместо общедоступного IP-адреса Azure.

Решение

Чтобы устранить эту проблему, используйте настраиваемый маршрут Azure для направления трафика активации на сервер управления ключами Azure.

Первое DNS-имя сервера KMS для глобального облака Azure — azkms.core.windows.net это два IP-адреса: 20.118.99.224 и 40.83.235.53. Второе DNS-имя сервера KMS для глобального облака Azure имеет kms.core.windows.net IP-адрес 23.102.135.246. Если вы используете другие платформы Azure, например Azure для Германии, необходимо использовать IP-адрес соответствующего сервера управления ключами. Дополнительные сведения приведены в таблице ниже.

Платформа DNS СЕРВЕРА УПРАВЛЕНИЯ КЛЮЧАМИ IP-АДРЕС СЕРВЕРА УПРАВЛЕНИЯ КЛЮЧАМИ
Глобальная служба Azure azkms.core.windows.net
kms.core.windows.net
20.118.99.224, 40.83.235.53
23.102.135.246
Azure для Германии kms.core.cloudapi.de 51.4.143.248
Azure – Правительство США kms.core.usgovcloudapi.net
azkms.core.usgovcloudapi.net
23.97.0.13
52.126.105.2
Azure China 21Vianet azkms.core.chinacloudapi.cn
kms.core.chinacloudapi.cn
159.27.28.100, 163.228.64.161
42.159.7.249

Примечание.

Все три IP-адреса для глобального облака Azure и Китая Azure, а также два IP-адреса для Azure для государственных организаций США должны быть добавлены в пользовательский маршрут.

Чтобы добавить настраиваемый маршрут, выполните следующие действия.

Виртуальные машины Resource Manager

Примечание.

Активация использует общедоступные IP-адреса и будет влиять на конфигурацию Load Balancer стандартного номера SKU. Внимательно просмотрите исходящие подключения в Azure , чтобы узнать о требованиях.

  1. Откройте Azure PowerShell и войдите в свою подписку Azure.

  2. Выполните следующие команды:

    # First, get the virtual network that hosts the VMs that have activation problems. In this case, we get virtual network ArmVNet-DM in Resource Group ArmVNet-DM:
    $vnet = Get-AzVirtualNetwork -ResourceGroupName "ArmVNet-DM" -Name "ArmVNet-DM"
    
    # Next, create a route table:
    $RouteTable = New-AzRouteTable -Name "ArmVNet-DM-KmsDirectRoute" -ResourceGroupName "ArmVNet-DM" -Location "centralus"
    
    # Next, configure the route table:
    Add-AzRouteConfig -Name "DirectRouteToKMS" -AddressPrefix 23.102.135.246/32 -NextHopType Internet -RouteTable $RouteTable
    Add-AzRouteConfig -Name "DirectRouteToAZKMS01" -AddressPrefix 20.118.99.224/32 -NextHopType Internet -RouteTable $RouteTable
    Add-AzRouteConfig -Name "DirectRouteToAZKMS02" -AddressPrefix 40.83.235.53/32 -NextHopType Internet -RouteTable $RouteTable
    
    Set-AzRouteTable -RouteTable $RouteTable
    
    # Next, attach the route table to the subnet that hosts the VMs:
    Set-AzVirtualNetworkSubnetConfig -Name "Subnet01" -VirtualNetwork $vnet -AddressPrefix "10.0.0.0/24" -RouteTable $RouteTable
    
    Set-AzVirtualNetwork -VirtualNetwork $vnet
    
  3. Перейдите на виртуальную машину, на которой возникла проблема с активацией. Используйте команду PsPing, чтобы проверить возможность доступа к серверу управления ключами.

    psping kms.core.windows.net:1688
    psping azkms.core.windows.net:1688
    
  4. Попробуйте активировать Windows, чтобы увидеть, устранена ли проблема.

Следующие шаги

Свяжитесь с нами для получения помощи

Если у вас есть вопросы или помощь, создайте запрос на поддержку или попросите сообщества Azure. Вы также можете отправить отзыв о продукте в сообщество отзывов Azure.