Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
Mit der Zunahme anspruchsvoller und leistungsstarker Workloads in Azure ist es wichtig, dass mehr Sichtbarkeit und Kontrolle über den Betriebszustand komplexer Netzwerke erforderlich sind, die diese Workloads ausführen. Solche komplexen Netzwerke werden mithilfe von Netzwerksicherheitsgruppen, Firewalls, benutzerdefinierten Routen und Ressourcen implementiert, die von Azure bereitgestellt werden. Komplexe Konfigurationen stellen eine große Herausforderung bei der Behandlung von Konnektivitätsproblemen dar.
Die Verbindungsproblembehandlungsfunktion von Azure Network Watcher hilft, die Zeit für die Diagnose und Behandlung von Netzwerkverbindungsproblemen zu reduzieren. Die zurückgegebenen Ergebnisse können Erkenntnisse über die Grundursache des Konnektivitätsproblems und darüber, ob es sich um ein Problem mit der Plattform- oder Benutzerkonfiguration handelt, liefern.
Bei der Problembehandlung für Verbindungen wird die Durchschnittszeit bis zur Auflösung (Mean Time To Resolution, MTTR) reduziert, indem eine umfassende Methode zum Durchführen aller Hauptüberprüfungen der Verbindung bereitgestellt wird, um Probleme im Zusammenhang mit Netzwerksicherheitsgruppen, benutzerdefinierten Routen und blockierten Ports zu erkennen. Sie liefert die folgenden Ergebnisse mit verwertbaren Erkenntnissen, wenn eine Schritt-für-Schritt-Anleitung oder entsprechende Dokumentation für eine schnellere Lösung bereitgestellt wird:
- Konnektivitätstest mit verschiedenen Zieltypen (VM, URI, FQDN oder IP-Adresse)
- Konfigurationsprobleme, die sich auf die Erreichbarkeit auswirken
- Latenz (Mindest-, maximale und Durchschnittslatenz zwischen Quelle und Ziel)
- Grafische Topologieansicht von der Quelle zum Ziel
- Anzahl der Tests, die während der Überprüfung der Verbindungsproblembehandlung abgelegt wurden
Agentlose Erfahrung (Vorschau)
Die Problemlösung für Verbindungen unterstützt jetzt eine agentlose Nutzung (derzeit in der Vorschauphase). Sie müssen die Erweiterung des virtuellen Network Watcher-Agents nicht mehr auf Ihren virtuellen Computern installieren, um Verbindungstests auszuführen. Features und Funktionen können sich vor der allgemeinen Verfügbarkeit ändern.
Zuvor erforderten Verbindungstests mit der Verbindungsproblembehandlungs-Funktion, dass die Network Watcher-Agent-VM-Erweiterung auf dem virtuellen Quellcomputer installiert war. Diese Erweiterung war erforderlich, um Tests von der VM auszuführen.
Neuerungen
Mit der agentlosen Erfahrung können Sie jetzt Konnektivitätstests zwischen Azure Ressourcen ausführen, ohne Diagnose-Agent oder VM-Erweiterung zu installieren. Dies vereinfacht das Einrichten, reduziert den Betriebsaufwand und ermöglicht eine schnellere Problembehandlung direkt über das Azure Portal.
- Keine Agenteninstallation erforderlich: Konnektivitätstests können initiiert werden, ohne die Network Watcher-Agent-VM-Erweiterung auf Ihren Windows- oder Linux-VMs bereitstellen oder aktualisieren zu müssen.
- Streamlined-Erfahrung: Alle Diagnosen werden mithilfe Azure Plattform-APIs durchgeführt, wodurch der Prozess nahtlos und effizient wird.
Unterstützte Quell- und Zieltypen
Die Verbindungsproblembehandlung bietet die Möglichkeit, TCP- oder ICMP-Verbindungen von einer der folgenden Azure-Ressourcen zu überprüfen:
- Virtuelle Computer
- VM-Skalierungsgruppen
- Azure Bastion Instanzen
- Application Gateways v2 mit Ausnahme von Gateways, die bei der Bereitstellung des privaten Application Gateway registriert sind
Bei der Problembehandlung für Verbindungen können Verbindungen mit einem der folgenden Ziele getestet werden:
- Virtuelle Computer
- Vollqualifizierte Domänennamen (FQDNs)
- Uniform Resource Identifiers (URIs)
- IP-Adressen
Probleme, die bei der Problembehandlung für Verbindungen erkannt wurden
Die Verbindungsproblembehandlung kann die folgenden Arten von Problemen erkennen, die sich auf die Konnektivität auswirken können:
- Hohe CPU-Auslastung der VM
- Hohe Speicherauslastung der VM
- VM-Firewallregeln (Gast) blockieren Datenverkehr
- Fehler bei der DNS-Auflösung
- Falsch konfigurierte oder fehlende Routen
- Regeln für Netzwerksicherheitsgruppen (NSG), die Datenverkehr blockieren
- Unfähigkeit, einen Socket am angegebenen Quellport zu öffnen
- Fehlende Adressenauflösungsprotokolleinträge für Azure ExpressRoute Schaltungen
- Server, die nicht an den vorgesehenen Zielports lauschen
Antwort
Die folgende Tabelle zeigt die Eigenschaften, die nach der Ausführung der Problembehandlung für Verbindungen zurückgegeben werden:
| Eigenschaft | BESCHREIBUNG |
|---|---|
| Verbindungsstatus | Status der Konnektivitätsprüfung. Mögliche Ergebnisse sind Erreichbar und Nicht erreichbar. |
| AvgLatencyInMs | Durchschnittliche Wartezeit während der Konnektivitätsprüfung in Millisekunden. (Wird nur angezeigt, wenn der Status „Erreichbar“ ist) |
| MinLatencyInMs | Minimale Wartezeit während der Konnektivitätsprüfung in Millisekunden. (Wird nur angezeigt, wenn der Status „Erreichbar“ ist) |
| MaxLatencyInMs | Maximale Wartezeit während der Konnektivitätsprüfung in Millisekunden. (Wird nur angezeigt, wenn der Status „Erreichbar“ ist) |
| ProbesSent | Anzahl der Tests, die während der Überprüfung gesendet werden. Der Maximalwert ist 100. |
| ProbesFailed | Anzahl der fehlerhaften Tests während der Überprüfung. Der Maximalwert ist 100. |
| Hopfen | Hop-by-Hop-Pfad von der Quelle zum Ziel. |
| Hops[].Type | Ressourcentyp. Mögliche Werte sind Source, VirtualAppliance, VnetLocal und Internet. |
| Hops[].Id | Eindeutiger Bezeichner des Hops. |
| Hops[].Address | IP-Adresse des Hops. |
| Hops[].ResourceId | Ressourcen-ID des Hops, wenn der Hop eine Azure Ressource ist. Wenn es sich um eine Internetressource handelt, lautet die Ressourcen-ID Internet. |
| Hops[].NextHopIds | Eindeutiger Bezeichner des nächsten Hops. |
| Hops[].Issues | Eine Sammlung der Probleme, die während der Überprüfung des Hops aufgetreten sind. Wert ist leer, wenn keine Probleme aufgetreten sind. |
| Hops[].Issues[].Origin | Auf dem aktuellen Hop, wo das Problem aufgetreten ist. Mögliche Werte: Eingehend: Das Problem liegt in der Verbindung vom vorherigen Hop zum aktuellen Hop. Ausgehend: Das Problem liegt in der Verbindung vom aktuellen Hop zum nächsten Hop. Lokal: Problem befindet sich auf dem aktuellen Hop. |
| Hops[].Issues[].Severity | Der Schweregrad des gefundenen Problems. Mögliche Werte sind Error und Warning. |
| Hops[].Issues[].Type | Der Typ des gefundenen Problems. Mögliche Werte: CPU Memory GuestFirewall DnsResolution NetworkSecurityRule UserDefinedRoute |
| Hops[].Issues[].Context | Details zum erkannten Problem. |
| Hops[].Issues[].Context[].key | Schlüssel des zurückgegebenen Schlüssel-Wert-Paars. |
| Hops[].Issues[].Context[].value | Wert des zurückgegebenen Schlüssel-Wert-Paars. |
| NextHopAnalysis.NextHopType | Der Typ des nächsten Hops. Mögliche Werte: HyperNetGateway Internet None VirtualAppliance VirtualNetworkGateway VnetLocal |
| NextHopAnalysis.NextHopIpAddress | Die IP-Adresse des nächsten Hops. |
| Der Ressourcenbezeichner der Routingtabelle, die der zurückgegebenen Route zugeordnet ist. Wenn die zurückgegebene Route keinen benutzerseitig erstellten Routen entspricht, ist dieses Feld die Zeichenfolge Systemroute. | |
| SourceSecurityRuleAnalysis.Results[].Profile | Das Profil der Netzwerkkonfigurationsdiagnose. |
| SourceSecurityRuleAnalysis.Results[].Profile.Source | Die Datenverkehrsquelle. Mögliche Werte sind: *****, IP-Adresse/CIDR und Diensttag. |
| SourceSecurityRuleAnalysis.Results[].Profile.Destination | Das Ziel für den Datenverkehr. Mögliche Werte sind: *****, IP-Adresse/CIDR und Diensttag. |
| SourceSecurityRuleAnalysis.Results[].Profile.DestinationPort | Der Zielport für den Datenverkehr. Mögliche Werte: * und ein einzelner Port im Bereich (0–65535). |
| SourceSecurityRuleAnalysis.Results[].Profile.Protocol | Das zu überprüfende Protokoll. Mögliche Werte sind: *****, TCP und UDP. |
| SourceSecurityRuleAnalysis.Results[].Profile.Direction | Die Richtung des Datenverkehrs. Mögliche Werte: Eingehend und Ausgehend. |
| SourceSecurityRuleAnalysis.Results[].NetworkSecurityGroupResult | Das Ergebnis für Netzwerksicherheitsgruppen. |
| SourceSecurityRuleAnalysis.Results[].NetworkSecurityGroupResult.EvaluatedSecurityGroups[] | Die Liste der Diagnoseergebnisse für Netzwerksicherheitsgruppen. |
| SourceSecurityRuleAnalysis.Results[].NetworkSecurityGroupResult.SecurityRuleAccessResult | Der Netzwerkdatenverkehr wird zugelassen oder verweigert. Mögliche Werte: Zulassen und Verweigern. |
| SourceSecurityRuleAnalysis.Results[].NetworkSecurityGroupResult.EvaluatedSecurityGroups[].AppliedTo | Die Ressourcen-ID der Netzwerkkarte oder des Subnetzes, auf die/das die Netzwerksicherheitsgruppe angewendet wird. |
| SourceSecurityRuleAnalysis.Results[].NetworkSecurityGroupResult.EvaluatedSecurityGroups[].MatchedRule | Die entsprechende Netzwerksicherheitsregel. |
| SourceSecurityRuleAnalysis.Results[].NetworkSecurityGroupResult.EvaluatedSecurityGroups[].MatchedRule.Action | Der Netzwerkdatenverkehr wird zugelassen oder verweigert. Mögliche Werte: Zulassen und Verweigern. |
| SourceSecurityRuleAnalysis.Results[].NetworkSecurityGroupResult.EvaluatedSecurityGroups[].MatchedRule.RuleName | Der Name der entsprechenden Netzwerksicherheitsregel. |
| SourceSecurityRuleAnalysis.Results[].NetworkSecurityGroupResult.EvaluatedSecurityGroups[].NetworkSecurityGroupId | Die ID der Netzwerksicherheitsgruppe. |
| SourceSecurityRuleAnalysis.Results[].NetworkSecurityGroupResult.RulesEvaluationResult[] | Die Liste mit den Auswertungsergebnissen für Netzwerksicherheitsregeln. |
| SourceSecurityRuleAnalysis.Results[].NetworkSecurityGroupResult.RulesEvaluationResult[].DestinationMatched | Der Wert gibt an, ob das Ziel übereinstimmt. Boolesche Werte. |
| SourceSecurityRuleAnalysis.Results[].NetworkSecurityGroupResult.RulesEvaluationResult[].DestinationPortMatched | Der Wert gibt an, ob der Zielport übereinstimmt. Boolesche Werte. |
| SourceSecurityRuleAnalysis.Results[].NetworkSecurityGroupResult.RulesEvaluationResult[].Name | Der Name der Netzwerksicherheitsregel. |
| SourceSecurityRuleAnalysis.Results[].NetworkSecurityGroupResult.RulesEvaluationResult[].ProtocolMatched | Der Wert gibt an, ob das Protokoll übereinstimmt. Boolesche Werte. |
| SourceSecurityRuleAnalysis.Results[].NetworkSecurityGroupResult.RulesEvaluationResult[].SourceMatched | Der Wert gibt an, ob die Quelle übereinstimmt. Boolesche Werte. |
| SourceSecurityRuleAnalysis.Results[].NetworkSecurityGroupResult.RulesEvaluationResult[].SourcePortMatched | Der Wert gibt an, ob der Quellport übereinstimmt. Boolesche Werte. |
| DestinationSecurityRuleAnalysis | Identisch mit dem SourceSecurityRuleAnalysis-Format. |
| SourcePortStatus | Bestimmt, ob der Port an der Quelle erreichbar ist oder nicht. Mögliche Werte sind: Unbekannt Reachable Unstable NoConnection Timeout |
| DestinationPortStatus | Bestimmt, ob der Port am Ziel erreichbar ist oder nicht. Mögliche Werte sind: Unbekannt Reachable Unstable NoConnection Timeout |
Das folgende Beispiel zeigt ein in einem Hop gefundenes Problem.
"Issues": [
{
"Origin": "Outbound",
"Severity": "Error",
"Type": "NetworkSecurityRule",
"Context": [
{
"key": "RuleName",
"value": "UserRule_Port80"
}
]
}
]
Fehler
Die Verbindungsdiagnose zeigt die folgenden Fehlermeldungen an.
| Fehlertyp | BESCHREIBUNG |
|---|---|
| AgentStopped | Der Network Watcher Agent auf der Quell-VM wurde beendet oder reagiert nicht mehr. |
| GuestFirewall | Der Datenverkehr wird von der Gastbetriebssystemfirewall auf der Quell- oder Ziel-VM blockiert. |
| DNSResolution | Fehler bei der DNS-Suche für den Ziel-Hostnamen für den Quell-Agent. |
| Socketfehler | Der Quellagent konnte nicht die erforderlichen lokalen Sockets binden oder überwachen (z. B. SocketBindFailed oder ListenFailed). |
| NetworkSecurityRule | Eine NSG-Regel verweigert eingehenden oder ausgehenden Datenverkehr zwischen der Quelle und dem Ziel. |
| UserDefinedRoute | Eine UserDefinedRoute wurde gefunden, die den Datenverkehr an einen nächstenNone-Hop weiterleitet und ein Blackhole-Routing erstellt. |
| Plattform | Ein Azure Problem auf Plattformebene wirkt sich auf die Konnektivität aus. |
| NetworkError | Ein allgemeiner Netzwerkfehler ist aufgetreten (z. B. Timeout der Verbindung, Fehlgeschlagene Verbindung, keine Antwort oder Sende-/Empfangsfehler). |
| CPU | Die CPU-Auslastung auf der Quell- oder Ziel-VM hat den Schwellenwert überschritten. |
| Memory | Die Speicherauslastung auf der Quell- oder Ziel-VM hat den Schwellenwert überschritten. |
| ARPMissing | Die ARP-Tabelle auf dem Microsoft Edge (ExpressRoute)-Hop fehlt oder hat einen unvollständigen Eintrag für die Ip-Adresse des Kunden/Microsoft edge. |
| RouteMissing | Wird ausgelöst, wenn bei einem Hop keine gültige Route zum Ziel gefunden wird. |
| VMRebooting | Die Quell- oder Ziel-VM befindet sich derzeit in einem Neustartstatus. |
| VMNotAllocated | VM ist nicht zugewiesen (freigegeben/gestoppt). |
| NoListenerOnDestination | Die Zielkonnektivitätsprüfung hat bestätigt, dass kein Prozess auf dem angegebenen Port lauscht. |
| DIPProbeDown | Der SLB-Integritätstest meldet das Backend-DIP (Ziel-IP) als Down. |
| NoRouteLearned | Der SLB oder Virtual Hub hat keine effektive Route zum Ziel gefunden. |
| PeeringInfoNotFound | Die Peeringinformationen zwischen zwei VNets konnten nicht abgerufen werden. |
| VMStarting | Die Ziel-VM befindet sich in einem Startzustand und ist noch nicht bereit, Datenverkehr zu akzeptieren. |
| VMStopped | Die Ziel-VM ist gestoppt (aber weiterhin zugewiesen), sodass sie keinen Netzwerkdatenverkehr akzeptieren kann. |
| VMStopping | Die Ziel-VM befindet sich im Prozess des Herunterfahrens und nimmt nicht zuverlässig Datenverkehr an. |
| VMDeallocating | Die Zuordnung der Ziel-VM wird aufgehoben und die VM ist dabei, ihre Ressourcen freizugeben, sodass sie vorübergehend nicht erreichbar ist. |
| VMDeallocated | Die Zuordnung der Ziel-VM wurde vollständig aufgehoben. |
| SystemError | Es ist ein interner System- oder Infrastrukturfehler aufgetreten. |
| UDRLoop | Benutzerdefinierte Route gefunden. Dies führt zu einer Routingschleife, da die nächste Hop-IP mit der aktuellen Hop-IP übereinstimmt. |
| IP-WeiterleitungNichtAktiviert | Die virtuelle Maschine NVA (Virtual Appliance), durch welche der Datenverkehr geleitet wird, hat keine aktivierte IP-Weiterleitung auf der Netzwerkkarte. |
| VnetAccessNotAllowed | Die Peeringverknüpfung für virtuelle Netzwerke hat AllowVNetAccess auf "false" festgelegt, sodass der Datenverkehr nicht die Peeringgrenze überschreitet. |
| AllowGatewayTransitNotEnabled | Für das Peering auf der Hub-/Gatewayseite ist AllowGatewayTransit nicht aktiviert. |
| MultiNICsInSameSubnet | Mehrere NICs auf dem virtuellen Computer befinden sich im selben Subnetz, was zu asymmetrischer Routing und unvorhersehbaren Datenverkehrsverhalten führen kann. |
| StandardILBOutboundInternetNotAllowed | Wird ausgelöst, wenn ein virtueller Computer im Back-End-Pool eines Standard Internal Load Balancer versucht, das Internet zu erreichen. Standard-ILB-Back-Ends haben keinen standardmäßigen ausgehenden Internetzugriff, im Gegensatz zu Basic ILB. |
| MultiNICsInSameSubnetWithWeakHostSendEnabled | Mehrere NICs befinden sich im selben Subnetz und schwache Hostsendungen sind aktiviert, was dazu führen kann, dass Datenverkehr von einer unerwarteten Schnittstelle aus geht. |
| MultiNICsInSameSubnetWithWeakHostEnabled | Mehrere NICs befinden sich im selben Subnetz, und der Weak Host-Modus (Senden/Empfangen) ist auf der VM aktiviert, was dazu führen kann, dass Pakete über unbeabsichtigte Schnittstellen geleitet werden. |
| SourcePortInUse | Der vom Agent ausgewählte Quellport befindet sich bereits im TIME_WAIT Zustand (ein beibehaltener TCP-Socket), der verhindert, dass eine neue Verbindung über diesen Port hergestellt wird. |
| InvalidResponseFromServer | Ein DNS-Prüfpunkt hat den Server abgefragt, aber keine übereinstimmenden Einträge erhalten. |
| DNSResponseValidationFailed | Bei der DNS-Prüfpunktantwort ist eine konfigurierte Gültigkeitsprüfungsregel fehlgeschlagen (z. B. falsche Datensatzanzahl, falsche Rekursionsunterstützung, falsche RCode oder falsche Autoritätskennzeichnung). |
| Nicht unterstütztesSystem | Der Agent wird auf einer Betriebssystem- oder Systemkonfiguration ausgeführt, die den angeforderten Probetyp nicht unterstützt. |
| Unvollständige Topologie | Der Dienst konnte keinen vollständigen Hoppfad zum Ziel erstellen. |
| DestinationUnreachable | Der Agent auf dem Quellcomputer konnte das Ziel nicht erreichen. |
| TraceRouteUnavailable | Der Agent hat kein Traceroute-Ergebnis (keine Pfade) zurückgegeben, sodass der Verbindungsstatus zwischen Quelle und Ziel nicht bestimmt werden kann. |
| Teilweise erreichbares Ziel | Einige, aber nicht alle Traceroute-Pfade vom Agent haben das Ziel erfolgreich erreicht. |
| GatewayNotProvisioned | Das VPN/ExpressRoute-Gateway hat einen GatewayNotProvisioned-Fehler zurückgegeben. |
| ResourceHealthUnavailable | Azure Resource Health meldet die Hopressource (VM, Gateway, Firewall usw.) als Unavailable. |
| ResourceHealthDegraded | Azure Resource Health meldet die Hopressource als Degraded. |
| VirtualHubNotProvisioned | Der dem Pfad zugeordnete Virtual WAN Hub befindet sich nicht in einem Succeeded Bereitstellungsstatus. |
| StatusCodeValidationFailed | Der HTTP-Prüfpunkt hat eine Antwort empfangen, der zurückgegebene HTTP-Statuscode stimmte jedoch nicht mit dem erwarteten Wert überein. |
| Kopfzeilenvalidierungfehlgeschlagen | Die HTTP-Prüfung hat eine Antwort empfangen, aber mindestens ein erwarteter HTTP-Antwortheader fehlte oder stimmte nicht überein. |
| ContentValidationFailed | Der HTTP-Prüfpunkt hat eine Antwort empfangen, aber der Inhalt des Antworttexts entspricht nicht dem erwarteten Wert. |
| KeineVerbindungKonfiguriert | Es ist keine Verbindung zwischen den Quell- und Zielendpunkten in den Verbindungsüberwachungseinstellungen konfiguriert. |
| ConnectionStateDisconnected | Die überwachte Verbindung befindet sich in einem unterbrochenen Zustand, was auf eine Unterbrechung im logischen Verbindungspfad hinweist. |
| BasicILBNotSupportedWithGlobalPeering | Ein grundlegender interner Load-Balancer unterstützt kein globales virtuelles Netzwerk-Peering. |
| BGPRoutePropogationDisabled | Die BGP-Routenverteilung ist in der Route-Tabelle deaktiviert, die dem Quellsubnetz zugeordnet ist. |
| UseRemoteGatewaysNotEnabled | Für das Peering auf der Speichenseite ist „UseRemoteGateways” nicht aktiviert. |
| Unerwartete Verbindung des virtuellen Netzwerk-Gateways | Es wurde eine unerwartete Verbindung mit einem virtuellen Netzwerkgateway im Pfad gefunden. |
Fehlertypen
Die Problembehandlung für Verbindungen gibt Fehlertypen der Verbindung zurück. Die folgende Tabelle listet alle möglichen zurückgegebenen Fehlertypen auf.
| type | BESCHREIBUNG |
|---|---|
| Prozessor | Hohe CPU-Auslastung. |
| Arbeitsspeicher | Hohe Speicherauslastung. |
| GuestFirewall | Datenverkehr wird aufgrund der Firewall-Konfiguration eines virtuellen Computers blockiert. Ein TCP-Ping ist ein besonderer Anwendungsfall, bei dem die Firewall selbst auf die TCP-Pinganforderung des Clients antwortet, auch wenn der TCP-Ping die Ziel-IP-Adresse bzw. den FQDN nicht erreicht, wenn es keine Zulassungsregel gibt. Dieses Ereignis wird nicht protokolliert. Wenn eine Netzwerkregel vorhanden ist, die den Zugriff auf die IP-Zieladresse bzw. den FQDN zulässt, erreicht die Pinganforderung den Zielserver, und die Antwort wird an den Client zurückgeleitet. Dieses Ereignis wird im Protokoll für Netzwerkregeln protokolliert. |
| DNSResolution | Fehler bei DNS-Auflösung für Zieladresse. |
| Netzwerksicherheitsregel | Datenverkehr wird durch eine Netzwerksicherheitsgruppenregel blockiert (Sicherheitsregel wird zurückgegeben). |
| Benutzerdefinierte Route | Datenverkehr wird aufgrund einer benutzerdefinierten oder Systemroute verworfen. |
Nächster Schritt
Um zu erfahren, wie Sie das Problembehandlungstool für Verbindungen verwenden, um Verbindungen zu testen und Probleme zu lösen, fahren Sie mit folgendem Artikel fort: