Problembehandlung für Azure-Netzwerkverbindungen

Die Azure-Netzwerkverbindung (ANC) überprüft Ihre Umgebung regelmäßig, um sicherzustellen, dass alle Anforderungen erfüllt sind und dass sie sich in einem fehlerfreien Zustand befinden. Wenn eine Überprüfung fehlschlägt, werden Fehlermeldungen im Microsoft Intune Admin Center angezeigt. Dieses Handbuch enthält einige weitere Anweisungen zur Problembehandlung, die zu Fehlern bei Prüfungen führen können.

Active Directory-Domänenbeitritt

Wenn ein Cloud-PC bereitgestellt wird, wird er automatisch mit der bereitgestellten Domäne verknüpft. Zum Testen des Domänenbeitrittsprozesses wird jedes Mal, wenn Windows 365-Integritätsprüfungen ausgeführt werden, ein Domänencomputerobjekt in der definierten Organisationseinheit (OU) mit einem Namen wie "CPC-Hth" erstellt. Diese Computerobjekte werden deaktiviert, wenn die Integritätsprüfung abgeschlossen ist. Fehler beim Active Directory-Domänenbeitritt können aus vielen Gründen auftreten. Wenn der Domänenbeitritt fehlschlägt, stellen Sie sicher, dass:

• Der Benutzer für den Domänenbeitritt verfügt über ausreichende Berechtigungen, um der bereitgestellten Domäne beizutreten.
• Der Domänenbeitrittsbenutzer kann in die bereitgestellte OU schreiben.
• Der Domänenbeitrittsbenutzer ist nicht eingeschränkt, wie viele Computer sie beitreten können. Die standardmäßige maximale Anzahl von Verknüpfungen pro Benutzer beträgt beispielsweise 10, und diese maximale Anzahl kann sich auf die Bereitstellung von Cloud-PCs auswirken.
• Das verwendete Subnetz kann einen Domänencontroller erreichen.
• Sie testen Add-Computer die Verwendung der Anmeldeinformationen für den Domänenbeitritt auf einem virtuellen Computer (VM), der mit dem Cloud PC vNet/Subnetz verbunden ist.
• Sie behandeln Domänenbeitrittsfehler wie jeden physischen Computer in Ihrer Organisation.
• Wenn Sie über einen Domänennamen verfügen, der im Internet aufgelöst werden kann (z contoso.com. B.), stellen Sie sicher, dass Ihre DNS-Server (Domain Name System) als intern konfiguriert sind. Stellen Sie außerdem sicher, dass sie DNS-Einträge der Active Directory-Domäne auflösen können, nicht Ihren öffentlichen Domänennamen.

Microsoft Entra-Gerätesynchronisierung

Bevor die Registrierung mobiler Geräteverwaltung (Mobile Device Management, MDM) während der Bereitstellung stattfinden kann, muss ein Microsoft Entra ID-Objekt für den Cloud-PC vorhanden sein. Diese Überprüfung soll sicherstellen, dass Ihre Organisationscomputerkonten zeitnah mit der Microsoft Entra-ID synchronisiert werden.

Stellen Sie sicher, dass Ihre Microsoft Entra-Computerobjekte schnell in der Microsoft Entra-ID angezeigt werden. Es wird empfohlen, dass sie innerhalb von 30 Minuten und nicht mehr als 60 Minuten angezeigt werden. Wenn das Computerobjekt innerhalb von 90 Minuten nicht in der Microsoft Entra-ID eintrifft, schlägt die Bereitstellung fehl.

Wenn die Bereitstellung fehlschlägt, stellen Sie sicher, dass:

• Die Konfiguration des Synchronisierungszeitraums für Microsoft Entra-ID ist entsprechend festgelegt. Sprechen Sie mit Ihrem Identitätsteam, um sicherzustellen, dass Ihr Verzeichnis schnell genug synchronisiert wird.
• Ihre Microsoft Entra-ID ist aktiv und gesund.
• Microsoft Entra Connect wird ordnungsgemäß ausgeführt, und es gibt keine Probleme mit dem Synchronisierungsserver.
• Sie führen manuell eine Add-Computer in die OU ein, die für Cloud-PCs bereitgestellt wird. Zeit, wie lange es dauert, bis das Computerobjekt in der Microsoft Entra-ID angezeigt wird.

Nutzung des Azure-Subnetz-IP-Adressbereichs

Im Rahmen des ANC-Setups müssen Sie ein Subnetz bereitstellen, mit dem der Cloud-PC eine Verbindung herstellt. Für jeden Cloud-PC erstellt die Bereitstellung eine virtuelle NIC und verwendet eine IP-Adresse aus diesem Subnetz.

Stellen Sie sicher, dass die ausreichende IP-Adresszuweisung für die Anzahl der Cloud-PCs verfügbar ist, die Sie bereitstellen möchten. Planen Sie außerdem genügend Adressraum für Bereitstellungsfehler und potenzielle Notfallwiederherstellung.

Wenn diese Überprüfung fehlschlägt, stellen Sie sicher, dass Sie:

• Überprüfen Sie das Subnetz im virtuellen Azure-Netzwerk. Es sollte genügend Adressraum verfügbar sein.
• Stellen Sie sicher, dass genügend Adressen vorhanden sind, um drei Bereitstellungsversuche zu behandeln, von denen jeder die netzwerkadressen enthält, die für einige Stunden verwendet werden.
• Entfernen Sie alle nicht verwendeten virtuellen Netzwerkschnittstellenkarten (vNICs). Es empfiehlt sich, ein dediziertes Subnetz für Cloud-PCs zu verwenden, um sicherzustellen, dass keine anderen Dienste die Zuordnung von IP-Adressen nutzen.
• Erweitern Sie das Subnetz, um weitere Adressen verfügbar zu machen. Dies kann nicht abgeschlossen werden, wenn Geräte verbunden sind.

Bei Bereitstellungsversuchen ist es wichtig, alle CanNotDelete-Sperren zu berücksichtigen, die auf Ressourcengruppenebene oder höher angewendet werden können. Wenn diese Sperren vorhanden sind, werden die im Prozess erstellten Netzwerkschnittstellen nicht automatisch gelöscht. Wenn sie nicht automatisch gelöscht werden, müssen Sie die vNICs manuell entfernen, bevor Sie den Vorgang wiederholen können.

Bei Bereitstellungsversuchen ist es wichtig, vorhandene Sperren auf Ressourcengruppenebene oder höher zu berücksichtigen. Wenn diese Sperren vorhanden sind, werden die im Prozess erstellten Netzwerkschnittstellen nicht automatisch gelöscht. Wenn das Ereignis auftritt, müssen Sie die vNICs manuell entfernen, bevor Sie den Vorgang wiederholen können.

Azure-Mandantenbereitschaft

Wenn Überprüfungen durchgeführt werden, überprüfen wir, ob das bereitgestellte Azure-Abonnement gültig und fehlerfrei ist. Wenn es nicht gültig und fehlerfrei ist, können wir Cloud-PCs während der Bereitstellung nicht mit Ihrem virtuellen Netzwerk verbinden. Probleme wie Abrechnungsprobleme können dazu führen, dass Abonnements deaktiviert werden.

Viele Organisationen verwenden Azure-Richtlinien, um sicherzustellen, dass Ressourcen nur in bestimmten Regionen und Diensten bereitgestellt werden. Sie sollten sicherstellen, dass alle Azure-Richtlinien den Cloud-PC-Dienst und die unterstützten Regionen berücksichtigen.

Melden Sie sich bei der Azure-Portal an, und stellen Sie sicher, dass das Azure-Abonnement aktiviert, gültig und fehlerfrei ist.

Besuchen Sie außerdem die Azure-Portal und zeigen Sie Richtlinien an. Stellen Sie sicher, dass keine Richtlinien die Ressourcenerstellung blockieren.

Bereitschaft des virtuellen Azure-Netzwerks

Beim Erstellen eines ANC blockieren wir die Verwendung eines virtuellen Netzwerks, das sich in einer nicht unterstützten Region befindet. Eine Liste der unterstützten Regionen finden Sie unter "Anforderungen".

Wenn diese Überprüfung fehlschlägt, stellen Sie sicher, dass sich das bereitgestellte virtuelle Netzwerk in einer Region in der Liste der unterstützten Regionen befindet.

DNS kann die Active Directory-Domäne auflösen

Damit Windows 365 erfolgreich einen Domänenbeitritt durchführt, müssen die mit dem virtuellen Netzwerk verbundenen Cloud-PCs in der Lage sein, interne DNS-Namen aufzulösen.

Dieser Test versucht, den angegebenen Domänennamen aufzulösen. Beispiel: contoso.com oder contoso.local. Wenn dieser Test fehlschlägt, stellen Sie sicher, dass:

• Die DNS-Server im virtuellen Azure-Netzwerk sind ordnungsgemäß auf einen internen DNS-Server konfiguriert, der den Domänennamen erfolgreich auflösen kann.
• Das Subnetz/vNet wird ordnungsgemäß weitergeleitet, sodass der Cloud-PC den bereitgestellten DNS-Server erreichen kann.
• Die Cloud-PCs/VMs im deklarierten Subnetz können NSLOOKUP sich auf dem DNS-Server befinden und reagiert mit internen Namen.

Zusammen mit dem standardmäßigen DNS-Nachschlagevorgang für den angegebenen Domänennamen überprüfen wir auch das Vorhandensein von Einträgen _ldap._tcp.yourDomain.com . Dieser Eintrag gibt an, dass der bereitgestellte DNS-Server ein Active Directory-Domänencontroller ist. Der Eintrag ist eine zuverlässige Methode, um zu bestätigen, dass AD-Domänen-DNS erreichbar ist. Stellen Sie sicher, dass auf diese Datensätze über das virtuelle Netzwerk zugegriffen werden kann, das in Ihrem ANC bereitgestellt wird.

Endpunktkonnektivität

Während der Bereitstellung müssen Cloud-PCs eine Verbindung mit mehreren öffentlich verfügbaren Microsoft-Dienste herstellen. Zu diesen Diensten gehören Microsoft Intune, Microsoft Entra ID und Azure Virtual Desktop.

Sie müssen sicherstellen, dass alle erforderlichen öffentlichen Endpunkte aus dem subnetz erreicht werden können, das von Cloud-PCs verwendet wird.

Wenn dieser Test fehlschlägt, stellen Sie sicher, dass:

• Sie verwenden die Azure Virtual Network-Tools zur Problembehandlung, um sicherzustellen, dass das bereitgestellte vNet/Subnetz die im Dokument aufgeführten Dienstendpunkte erreichen kann.
• Der bereitgestellte DNS-Server kann die externen Dienste ordnungsgemäß auflösen.
• Es gibt keinen Proxy zwischen dem Cloud-PC-Subnetz und dem Internet.
• Es gibt keine Firewallregeln (physisch, virtuell oder in Windows), die möglicherweise den erforderlichen Datenverkehr blockieren.
• Sie sollten die Endpunkte von einem virtuellen Computer im selben Subnetz testen, das für Cloud-PCs deklariert ist.

Wenn Sie Azure CloudShell nicht verwenden, stellen Sie sicher, dass Ihre PowerShell-Ausführungsrichtlinie so konfiguriert ist, dass uneingeschränkte Skripts zulässig sind. Wenn Sie gruppenrichtlinien zum Festlegen der Ausführungsrichtlinie verwenden, stellen Sie sicher, dass das Gruppenrichtlinienobjekt (Group Policy Object, GPO) für die in der ANC definierte OU so konfiguriert ist, dass uneingeschränkte Skripts zugelassen werden. Weitere Informationen finden Sie unter Set-ExecutionPolicy.

Umgebung und Konfiguration sind bereit

Diese Überprüfung wird für viele infrastrukturbezogene Probleme verwendet, die möglicherweise mit der Infrastruktur zusammenhängen, für die Kunden verantwortlich sind. Sie kann Fehler wie interne Diensttimeouts oder Fehler enthalten, die durch Kunden verursacht werden, die Azure-Ressourcen löschen/ändern, während Prüfungen ausgeführt werden.

Es wird empfohlen, die Überprüfungen erneut durchzuführen, wenn dieser Fehler auftritt. Wenn sie weiterhin besteht, wenden Sie sich an den Support, um Hilfe zu erhalten.

App-Berechtigungen von Erstanbietern

Wenn Sie eine ANC erstellen, gewährt der Assistent eine bestimmte Berechtigungsstufe für die Ressourcengruppe und das Abonnement. Diese Berechtigungen ermöglichen es dem Dienst, Cloud-PCs reibungslos bereitzustellen.

Azure-Administratoren, die solche Berechtigungen besitzen, können diese anzeigen und ändern.

Wenn eine dieser Berechtigungen widerrufen wird, schlägt diese Überprüfung fehl. Stellen Sie sicher, dass dem Dienstprinzipal der Windows 365-App lizenzierung die folgenden Berechtigungen erteilt werden:

• Leserrolle im Azure-Abonnement.
• Rolle "Mitwirkender der Windows365-Netzwerkschnittstelle" in der angegebenen Ressourcengruppe.
• Windows365-Netzwerkbenutzerrolle im virtuellen Netzwerk.

Die Rollenzuweisung für das Abonnement wird dem Cloud PC-Dienstprinzipal gewährt.

Stellen Sie außerdem sicher, dass die Berechtigungen nicht als klassische Abonnementadministratorrollen oder "Rollen (klassisch)" erteilt werden. Diese Rolle reicht nicht aus. Es muss eine der rollenbasierten Azure-Zugriffssteuerungsrollen sein, wie zuvor aufgeführt.

Nächste Schritte

Erfahren Sie mehr über die ANC-Integritätsprüfungen.