L'attivazione di Windows non riesce nello scenario di tunneling forzato
Si applica a: ✔️ macchine virtuali di Windows
Questo articolo descrive come risolvere il problema di attivazione del server di gestione delle chiavi che potrebbe verificarsi quando viene abilitato il tunneling forzato in una connessione VPN da sito a sito o in scenari ExpressRoute.
Sintomo
Viene abilitato il tunneling forzato nelle subnet della rete virtuale di Azure per indirizzare alla rete locale tutto il traffico associato a Internet. In questo scenario, le macchine virtuali di Azure che eseguono Windows non riescono ad attivare Windows.
Causa
Le macchine virtuali Windows di Azure devono connettersi al server di gestione delle chiavi di Azure per l'attivazione di Windows. Per l'attivazione è necessario che la richiesta provenga da un indirizzo IP pubblico di Azure. Nello scenario di tunneling forzato l'attivazione avrà esito negativo poiché la richiesta proviene dalla rete locale anziché da un indirizzo IP pubblico di Azure.
Soluzione
Per risolvere questo problema, usare il traffico di attivazione da route a route personalizzato di Azure verso il server di gestione delle chiavi di Azure.
Il primo nome DNS del server del Servizio di gestione delle chiavi per il cloud globale di Azure è azkms.core.windows.net costituito da due indirizzi IP: 20.118.99.224 e 40.83.235.53. Il secondo nome DNS del server del Servizio di gestione delle chiavi per il cloud globale di Azure è kms.core.windows.net con un indirizzo IP di 23.102.135.246. Se si usano altre piattaforme di Azure, ad esempio Azure Germania, è necessario usare l'indirizzo IP del server di gestione delle chiavi corrispondente. Per altre informazioni, vedere la tabella seguente:
| Piattaforma | DNS del server di gestione delle chiavi | Indirizzo IP del server di gestione delle chiavi |
|---|---|---|
| Azure Global | azkms.core.windows.net kms.core.windows.net |
20.118.99.224, 40.83.235.53 23.102.135.246 |
| Azure Germania | kms.core.cloudapi.de | 51.4.143.248 |
| Azure Governo Statunitense | kms.core.usgovcloudapi.net azkms.core.usgovcloudapi.net |
23.97.0.13 52.126.105.2 |
| Azure Cina 21Vianet | azkms.core.chinacloudapi.cn kms.core.chinacloudapi.cn |
159.27.28.100, 163.228.64.161 42.159.7.249 |
Note
Tutti e tre gli indirizzi IP per il cloud globale di Azure e Azure Cina, nonché i due indirizzi IP per Azure US Government devono essere aggiunti alla route personalizzata.
Per aggiungere la route personalizzata, seguire questa procedura:
Per le macchine virtuali di Resource Manager
Note
L'attivazione usa indirizzi IP pubblici e sarà interessata da una configurazione di Load Balancer SKU Standard. Esaminare attentamente le connessioni in uscita in Azure per informazioni sui requisiti.
Aprire Azure PowerShell e accedere alla propria sottoscrizione di Azure.
Eseguire i comandi seguenti:
# First, get the virtual network that hosts the VMs that have activation problems. In this case, we get virtual network ArmVNet-DM in Resource Group ArmVNet-DM: $vnet = Get-AzVirtualNetwork -ResourceGroupName "ArmVNet-DM" -Name "ArmVNet-DM" # Next, create a route table: $RouteTable = New-AzRouteTable -Name "ArmVNet-DM-KmsDirectRoute" -ResourceGroupName "ArmVNet-DM" -Location "centralus" # Next, configure the route table: Add-AzRouteConfig -Name "DirectRouteToKMS" -AddressPrefix 23.102.135.246/32 -NextHopType Internet -RouteTable $RouteTable Add-AzRouteConfig -Name "DirectRouteToAZKMS01" -AddressPrefix 20.118.99.224/32 -NextHopType Internet -RouteTable $RouteTable Add-AzRouteConfig -Name "DirectRouteToAZKMS02" -AddressPrefix 40.83.235.53/32 -NextHopType Internet -RouteTable $RouteTable Set-AzRouteTable -RouteTable $RouteTable # Next, attach the route table to the subnet that hosts the VMs: Set-AzVirtualNetworkSubnetConfig -Name "Subnet01" -VirtualNetwork $vnet -AddressPrefix "10.0.0.0/24" -RouteTable $RouteTable Set-AzVirtualNetwork -VirtualNetwork $vnetPassare alla macchina virtuale che presenta problemi di attivazione. Usare PsPing per verificare se sia possibile raggiungere il server KMS:
psping kms.core.windows.net:1688 psping azkms.core.windows.net:1688Provare ad attivare Windows e verificare se il problema è stato risolto.
Passaggi successivi
- Chiavi di configurazione di client del Servizio di gestione delle chiavi
- Review and Select Activation Methods (Esaminare e selezionare i metodi di attivazione)
Contattaci per ricevere assistenza
In caso di domande o bisogno di assistenza, creare una richiesta di supporto tecnico oppure formula una domanda nel Supporto della community di Azure. È possibile anche inviare un feedback sul prodotto al feedback della community di Azure.