排查已启用 Azure Arc 的服务器网络问题

本文提供有关排查已启用 Arc 的服务器可能出现的网络问题的信息。

排查连接问题时，请确保环境满足所有 已启用 Azure Arc 的服务器网络要求。

Windows TLS 配置问题

从连接计算机代理 1.56 版本（仅 Windows）开始，如果即使在环境中允许终结点的情况下，代理仍然无法访问 Azure 终结点，请确保为至少一个推荐的 TLS 版本启用了以下密码套件：

• TLS 1.3 （按服务器首选顺序排列的套件）：
  • TLS_AES_256_GCM_SHA384 （0x1302） ECDH secp521r1 （等同于 15360 位 RSA） FS
  • TLS_AES_128_GCM_SHA256 （0x1301） ECDH secp256r1 （eq. 3072 位 RSA） FS
• TLS 1.2 （按服务器首选顺序排列的套件）
  • TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384 (0xc030) ECDH secp521r1（相当于15360 位 RSA）FS
  • TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256 （0xc02f） ECDH secp256r1 （eq. 3072 位 RSA） FS

可以使用以下 PowerShell 命令检查计算机上的密码套件：

Get-TlsCipherSuite | Format-List Name

若要启用密码套件，可以使用以下方法之一：

使用组策略启用密码套件

1. 打开 “SSL 密码套件顺序 ”窗口。
2. 编辑 密码套件 框（逗号分隔列表），以包含所需的最小密码套件。

使用 PowerShell 启用密码套件（无需重启）

对于 TLS 1.3：

Enable-TlsCipherSuite -Name "TLS_AES_256_GCM_SHA384"
Enable-TlsCipherSuite -Name "TLS_AES_128_GCM_SHA256"

对于 TLS 1.2：

Enable-TlsCipherSuite -Name "TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384"
Enable-TlsCipherSuite -Name "TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256"

使用手动编辑注册表来启用加密套件

1. 导航到注册表项： HKLM\SYSTEM\CurrentControlSet\Control\Cryptography\Configuration\Local\SSL\00010002.
2. 编辑“Functions” REG_MULTI_SZ 值，将所需的密码套件添加到列表中（每个密码套件在其自己的行上）。
3. 重启计算机，使更改生效。

后续步骤

如果你的问题未在本文中列出，或者无法解决你遇到的问题，请尝试通过以下途径之一获取支持：

• 通过 Microsoft Q&A 获取 Azure 专家的解答。
• 提出支持请求以获取帮助。 有关详细信息，请参阅创建 Azure 支持请求。