Примечание.
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
Эта статья помогает диагностировать и устранять распространенные проблемы с Бастионом Azure.
Ознакомьтесь с этими распространенными проблемами и решениями перед обращением в службу поддержки. Мы регулярно обновляем эту информацию по мере того, как новые решения становятся доступными.
Проблемы с развертыванием и конфигурацией
В этом разделе описываются распространенные проблемы развертывания и конфигурации и их решения.
| Проблема | Описание | Резолюция |
|---|---|---|
| Ошибка добавления подсети | При попытке использовать "Развернуть бастион" на портале возникает ошибка "Не удалось добавить подсеть". | В настоящее время для большинства адресных пространств необходимо добавить подсеть с именем AzureBastionSubnet в виртуальную сеть перед выбором " Развернуть бастион". |
| Сбои развертывания | Развертывание Azure Bastion не удаётся из-за ошибок. | Изучите все сообщения об ошибках и при необходимости подайте запрос на поддержку на портале Azure. Сбои развертывания могут привести к ограничениям подписки Azure, квотам и ограничениям. В частности, клиенты могут столкнуться с ограничением количества общедоступных IP-адресов, разрешенных для каждой подписки, что приводит к сбою развертывания Бастиона Azure. |
| Перемещение виртуальной сети в другую группу ресурсов | Вы хотите переместить виртуальную сеть в другую группу ресурсов. | Перемещение виртуальной сети с использованием Bastion не поддерживается напрямую. Сначала необходимо удалить Бастион из виртуальной сети, а затем переместить виртуальную сеть в новую группу ресурсов. После того как виртуальная сеть перемещена в новую группу ресурсов, вы можете развернуть Bastion в виртуальной сети. |
| Принудительное туннелирование интернет-трафика | Вы рекламизируете маршрут по умолчанию (0.0.0.0/0) через ExpressRoute или VPN. | Принудительное туннелирование с помощью Бастиона Azure не поддерживается, если вы рекламизируете маршрут по умолчанию через ExpressRoute или VPN. Бастион Azure должен взаимодействовать с определенными внутренними конечными точками. Убедитесь, что виртуальная сеть узла не связана с частной зоной DNS с такими точными именами: management.azure.com, blob.core.windows.NET, core.windows.NET, vaultcore.windows.NET, vault.azure.NET или azure.com. Можно использовать частные зоны DNS, заканчивающиеся этими именами (например, privatelink.blob.core.windows.NET). Azure Bastion не поддерживается в Частных зонах DNS Azure в национальных облаках. |
Проблемы с обновлением номера SKU
В этом разделе описываются распространенные проблемы при обновлении SKU Azure Bastion и способы их решения. Инструкции по обновлению можно найти в статье Просмотр или обновление SKU Бастиона Azure.
| Проблема | Описание | Резолюция |
|---|---|---|
| Обновление не запускается | При попытке обновить SKU Бастиона операция завершается сбоем сразу. | Убедитесь, что у вас есть роль Участника или Владельца в группе ресурсов, содержащей Bastion host. |
| Сбой обновления с ошибкой подсети | Обновление с SKU разработчика завершается ошибкой, связанной с подсетью. | Создайте подсеть с именем AzureBastionSubnet с префиксом /26 или более крупным префиксом перед обновлением. SKU разработчика использует общую инфраструктуру, в то время как для базовой, стандартной и премиум требуется выделенная подсеть. |
| Время выполнения обновления истекло | Операция обновления длится дольше, чем ожидалось, или истекает по времени. | Процесс обновления обычно занимает около 10 минут. Подождите несколько минут и проверьте состояние хоста Бастиона в его портале. Если состояние показывает "обновление", подождите, пока оно не завершится. Если статус отображается как "неудача", повторите попытку обновления. |
| Функции, недоступные после обновления | После обновления ожидаемые функции недоступны. | Компоненты должны быть явно включены после обновления. Перейдите к узлу Бастиона, выберите "Конфигурация" и включите необходимые функции, доступные для нового уровня SKU. |
Проблемы с DNS и приватным каналом
В этом разделе описываются распространенные проблемы DNS и приватного канала и их решения.
| Проблема | Описание | Резолюция |
|---|---|---|
| privatelink.azure.com не удается преобразовать в management.privatelink.azure.com | Разрешение DNS завершается ошибкой для management.privatelink.azure.com в зоне privatelink.azure.com. | Эта проблема может возникать, когда частная зона DNS для privatelink.azure.com связана с виртуальной сетью Бастиона, что приводит к разрешению management.azure.com CNAMEs в management.privatelink.azure.com. Чтобы устранить эту проблему, создайте запись CNAME в зоне privatelink.azure.com для management.privatelink.azure.com для arm-frontdoor-prod.trafficmanager.NET. |
Проблемы с конфигурацией группы безопасности сети (NSG)
В этом разделе описываются распространенные проблемы конфигурации NSG и их решения.
| Проблема | Описание | Резолюция |
|---|---|---|
| Не удалось создать группу безопасности сети (NSG) в AzureBastionSubnet | При попытке создать группу безопасности сети в подсети Бастиона Azure вы получите следующую ошибку: "Имя< группы >безопасности сети NSG не имеет необходимых правил для Подсети Бастиона AzureBastionSubnet". | Если вы создаете и применяете группу безопасности сети к AzureBastionSubnet, добавьте необходимые правила в группу безопасности сети. Список обязательных правил см. в разделе Работа с доступом NSG и Azure Bastion. Если вы не добавите эти правила, создание или обновление группы безопасности сети не удастся. Пример правил NSG см. в шаблоне быстрого запуска. Для получения более подробной информации см. руководство по группе сетевой безопасности (NSG) для Azure Bastion. |
Проблемы с проверкой подлинности
В этом разделе описываются распространенные проблемы проверки подлинности и их решения.
| Проблема | Описание | Резолюция |
|---|---|---|
| Не удается использовать ключ SSH с Бастионом Azure | При попытке просмотреть файл ключа SSH вы получите следующую ошибку: "Закрытый ключ SSH должен начинаться с -----BEGIN RSA/DSA/OPENSH PRIVATE KEY----- и заканчивается -----END RSA/DSA/OPENSH PRIVATE KEY-----". | Бастион Azure в настоящее время поддерживает закрытые ключи RSA, DSA и OPENSH. Убедитесь, что вы просматриваете файл ключа, который является закрытым ключом RSA, DSA или OPENSH для SSH, с открытым ключом, подготовленным на целевой виртуальной машине. Например, для создания нового ключа RSA SSH можно использовать следующую команду: ssh-keygen -t rsa -b 4096 -C "email@domain.com" Пример выходных данных см. в примере создания ключей SSH. |
| Не удалось войти в виртуальную машину, присоединенную к домену Windows | Не удается подключиться к виртуальной машине Windows, присоединенной к домену. | Azure Bastion поддерживает вход для виртуальных машин, присоединённых к домену, только с использованием имени пользователя и пароля. При указании учетных данных домена в портале Azure используйте формат UPN (username@domain) вместо формата домен\имя пользователя для входа. Это поддерживается для виртуальных машин, присоединенных к домену или гибридных (присоединенных к домену и Microsoft Entra). Она не поддерживается для виртуальных машин, присоединенных только к Microsoft Entra. |
Пример создания ключей SSH
В следующем примере показаны выходные данные при создании нового ключа SSH RSA:
ashishj@dreamcatcher:~$ ssh-keygen -t rsa -b 4096 -C "email@domain.com"
Generating public/private rsa key pair.
Enter file in which to save the key (/home/ashishj/.ssh/id_rsa):
Enter passphrase (empty for no passphrase):
Enter same passphrase again:
Your identification has been saved in /home/ashishj/.ssh/id_rsa.
Your public key has been saved in /home/ashishj/.ssh/id_rsa.pub.
The key fingerprint is:
SHA256:c+SBciKXnwceaNQ8Ms8C4h46BsNosYx+9d+AUxdazuE email@domain.com
The key's randomart image is:
+---[RSA 4096]----+
| .o |
| .. ..oo+. + |
|=.o...B==.O o |
|==o =.*oO E |
|++ .. ..S = |
|oo.. + = |
|... o o |
| . . |
| |
+----[SHA256]-----+
Проблемы с подключением
В этом разделе описываются распространенные проблемы с подключением и их решения.
| Проблема | Описание | Резолюция |
|---|---|---|
| Не удается подключиться к виртуальной машине | Вы не можете подключиться к виртуальной машине (и вы не столкнулись с другими проблемами, перечисленными в этой статье). | Вы можете устранить проблемы с подключением, перейдя на вкладку "Устранение неполадок подключения " (в разделе справки ) ресурса Бастиона Azure на портале Azure. Устранение неполадок подключения наблюдателя за сетями позволяет проверить прямое TCP-подключение с виртуальной машины на виртуальную машину, полное доменное имя (FQDN), URI или IPv4-адрес. Чтобы начать, выберите источник для запуска подключения и назначения, к которому вы хотите подключиться, и нажмите кнопку "Проверить". Дополнительные сведения см. в разделе "Устранение неполадок подключения". Если включен JIT, может потребоваться добавить дополнительные назначения ролей для подключения к Бастиону. Добавьте разрешения, перечисленные в таблице разрешений JIT , пользователю, а затем попробуйте повторно подключиться к Бастиону. Дополнительные сведения см. в Включение JIT-доступа на виртуальных машинах. |
| Передача файлов не работает | Передача файлов не работает должным образом с Бастионом Azure. | Бастион Azure поддерживает передачу файлов между целевой виртуальной машиной и локальным компьютером с помощью Бастиона и клиента RDP или SSH. В настоящее время вы не можете отправлять или скачивать файлы с помощью PowerShell или на портале Azure. Дополнительные сведения см. в статье Отправка и скачивание файлов с помощью собственного клиента. |
| Черный экран на портале Azure | При попытке подключиться с помощью Бастиона Azure вы не можете подключиться к целевой виртуальной машине, и на портале Azure вы получите черный экран. | Это происходит при возникновении проблемы с сетевым подключением между веб-браузером и Бастионом Azure (ваш клиентский брандмауэр Интернета может блокировать трафик WebSockets или аналогичный), или между Бастионом Azure и целевой виртуальной машиной. В большинстве случаев NSG применяется либо к AzureBastionSubnet, либо к целевой подсети виртуальной машины, которая блокирует трафик RDP/SSH в виртуальной сети. Разрешите трафик WebSockets на клиентском брандмауэре Интернета и проверьте группы безопасности сети в целевой подсети виртуальной машины. См. строку Не удалось подключиться к виртуальной машине в этой таблице, чтобы узнать, как использовать Устранение неполадок подключения для решения проблем с подключением. |
| Ошибка: сессия истекла | Вы получите сообщение об ошибке "Срок действия сеанса истекло" перед началом сеанса Бастиона. | Если вы перешли по URL-адресу непосредственно из другого сеанса браузера или вкладки, эта ошибка закономерна. Она призвана обеспечивать безопасность сеанса и возможность его запуска только на портале Azure. Войдите на портал Azure и заново начните сеанс. |
Разрешения JIT
В следующей таблице перечислены разрешения, необходимые для доступа just-in-time (JIT):
| Настройка | Описание |
|---|---|
| Microsoft.Security/locations/jitNetworkAccessPolicies/read | Возвращает политики доступа к сети с функцией Just-In-Time (JIT). |
| Microsoft.Security/locations/jitNetworkAccessPolicies/write | Создает новую политику JIT-доступа к сети или обновляет существующую. |
Проблемы с общими ссылками
В этом разделе описываются распространенные проблемы с общими ссылками и их решения.
| Проблема | Описание | Резолюция |
|---|---|---|
| Пользовательские домены не поддерживаются | Пользовательские домены не поддерживаются с общими ссылками Bastion. | Пользовательские домены не поддерживаются с общими ссылками Bastion. Пользователи получают ошибку сертификата при попытке добавить определенные домены в CN/SAN сертификата узла Бастиона. Это текущее ограничение. |
| Сброс пароля недоступен для пользователей, использующих общие ссылки | Кнопка сброса пароля отображается, но не работает для локальных пользователей, подключающихся через общую ссылку. | Некоторые организации имеют политики компании, требующие сброса пароля при первом входе пользователя в локальную учетную запись. При использовании общих ссылок вы не можете изменить пароль, даже если может появиться кнопка "Сброс пароля". Это известное ограничение. |
Проблемы пиринга между виртуальными сетями
В этом разделе описываются распространенные проблемы пиринга между виртуальными сетями и их решения.
| Проблема | Описание | Резолюция |
|---|---|---|
| Не удается просмотреть виртуальную машину в одноранговой виртуальной сети | У вас есть доступ к одноранговой виртуальной сети, но вы не видите развернутую там виртуальную машину. | Убедитесь, что у вас есть доступ на чтение как к виртуальной машине, так и к одноранговой виртуальной сети. Кроме того, проверьте в IAM, есть ли у вас доступ на чтение к следующим ресурсам: Роль чтеца на виртуальной машине • Роль читателя в сетевом адаптере с частным IP-адресом виртуальной машины • Роль читателя в ресурсе Бастиона Azure • Роль читателя в виртуальной сети (не требуется, если нет пиринговой виртуальной сети) Полный список необходимых разрешений см. в таблице разрешений пиринга виртуальной сети. |
Разрешения пиринга виртуальной сети
В следующей таблице перечислены разрешения, необходимые для доступа к виртуальным машинам в одноранговых виртуальных сетях:
| Permissions | Описание | Тип разрешения |
|---|---|---|
| Microsoft.Network/bastionHosts/read | Получение сервера-бастиона | Действие |
| Microsoft.Network/virtualNetworks/BastionHosts/action | Получает ссылки на экземпляры Bastion Host в виртуальной сети. | Действие |
| Microsoft.Network/virtualNetworks/bastionHosts/default/action | Получает ссылки на экземпляры Bastion Host в виртуальной сети. | Действие |
| Microsoft.Network/networkInterfaces/read (чтение сетевых интерфейсов) | Возвращает определение сетевого интерфейса. | Действие |
| Microsoft.Network/networkInterfaces/ipconfigurations/read | Возвращает определение IP-конфигурации сетевого интерфейса. | Действие |
| Microsoft.Network/виртуальные_сети/читать | Получите определение виртуальной сети. | Действие |
| Microsoft.Network/virtualNetworks/subnets/virtualMachines/read | Возвращает ссылки на все виртуальные машины в подсети виртуальной сети. | Действие |
| Microsoft.Network/virtualNetworks/virtualMachines/read | Возвращает ссылки на все виртуальные машины в виртуальной сети. | Действие |