Übung: Problembehandlung bei der Cloud- und Hybridkonnektivität

  • 10 Minuten

Wichtig

Sie benötigen ein eigenes Azure-Abonnement für die Übungen in diesem Modul. Wenn Sie kein Azure-Abonnement besitzen, können Sie trotzdem das Demovideo unten auf dieser Seite anzeigen.

Wenn Sie das Skript in Lerneinheit 2 noch nicht ausgeführt haben, führen Sie es jetzt aus, damit Sie die nachstehende Übung nachvollziehen können.

Sie haben Ihr Netzwerk gemäß dem unten dargestellten Diagramm konfiguriert. Sie möchten, dass VM1 und VM2 über VnetHub kommunizieren. Benutzer beschweren sich, dass VM1 nicht mit VM2 kommunizieren kann. Sie müssen nachforschen, um das Problem zu diagnostizieren, und es dann beheben.

Es gibt drei virtuelle Netzwerke (VNets) in Azure in einer Hub-and-Spoke-Topologie.

Screenshot: Spoke-and-Hub-Topologie.

Diagnosis

Überprüfen der Netzwerktopologie

  1. Melden Sie sich beim Azure-Portal mit dem Konto an, das Sie zum Aktivieren der Sandbox verwendet haben.

  2. Machen Sie sich mit der Topologie des Netzwerks vertraut und überprüfen Sie, ob sie mit dem obigen Diagramm übereinstimmt.

  3. Überprüfen Sie die privaten IP-Adressen der Firewall (FW1) und der virtuellen Computer (VM1 und VM2). Diese werden automatisch zugewiesen. Notieren Sie sich die richtigen IP-Adressen, falls sie vom Diagramm abweichen.

Überprüfen der Konnektivität der OSI-Schicht 3

  1. Stellen Sie mithilfe von Remotedesktop mit jedem virtuellen Computer (VM1 und VM2) eine Verbindung her. Windows-Anmeldeinformationen:

  2. Benutzername: AdminXyz

  3. Kennwort: sfr9jttzrjjeoem7hrf#

  4. Öffnen Sie auf VM1 ein Eingabeaufforderungsfenster, und pingen Sie die private IP-Adresse von VM2 an.

  5. Pingen Sie die private IP-Adresse der Azure-Firewall (FW1) an.

  6. Öffnen Sie auf VM2 ein Eingabeaufforderungsfenster, und pingen Sie die private IP-Adresse von VM1 an.

  7. Pingen Sie die private IP-Adresse der Azure-Firewall (FW1) an.

    Screenshot: Eingabeaufforderung mit den Ergebnissen der Pinganforderung.

Problembehandlung

  1. Versuchen Sie die folgenden Schritte zur Problembehandlung, um herauszufinden, was das Problem verursacht:

  2. Untersuchen Sie „ipconfig /all“ sowohl auf VM1 als auch auf VM2.

  3. Untersuchen Sie die Netzwerksicherheitsgruppen und die Routingtabellen.

  4. Untersuchen Sie die Firewall und die Firewallregeln.

  5. Untersuchen Sie die Eigenschaften der Peeringverbindung.

    Das Diagramm zeigt die effektiven Routen auf VM1-NIC.

    Screenshot: effektive Routen.

Lösung

Wenn Sie die Peeringverbindungen untersucht hätten, hätten Sie festgestellt, dass die Peeringeinstellungen unterschiedlich sind.

VNET Peeringname Traffic forwarded from remote virtual network (Vom virtuellen Remotenetzwerk weitergeleiteter Datenverkehr)
VnetHub Hub-Spoke1 Zulassen (Standard)
VnetHub Hub-Spoke2 Von außerhalb dieses virtuellen Netzwerks stammenden Datenverkehr blockieren
VnetSpoke1 Spoke1-Hub Zulassen (Standard)
VnetSpoke2 Spoke2-Hub Von außerhalb dieses virtuellen Netzwerks stammenden Datenverkehr blockieren

Screenshot: Peerings.

Die Einstellungen auf Hub-Spoke2 sind falsch.

Screenshot: falsche Weiterleitungseinstellung für Spoke-Datenverkehr.

Um das Problem zu beheben, müssen Sie die Einstellung auf beiden Seiten des Peerings zwischen VnetHub und VnetSpoke2 ändern.

  • Hub-Spoke2

  • Spoke2-Hub

Der Datenverkehr, der vom virtuellen Remotenetzwerk weitergeleitet wird, muss auf Zulassen festgelegt werden.

Jetzt sollte es auf VM1 möglich sein, VM2 anzupingen.

Screenshot: Eingabeaufforderung mit funktionierender Pinganforderung.

Es wird eine kurze Verzögerung geben, bevor die neuen Einstellungen wirksam werden. Wenn der Ping zunächst fehlschlägt, versuchen Sie es erneut.

In dieser Demonstration erfahren Sie, wie Sie mithilfe des Was-wäre-wenn-Tools im Azure-Portal eine proaktive Problembehandlung von Richtlinien für den bedingten Zugriff durchführen können: