Problembehandlung für Azure-Netzwerkverbindungen

Die Azure-Netzwerkverbindung (ANC) überprüft ihre Umgebung regelmäßig, um sicherzustellen, dass alle Anforderungen erfüllt sind und sich in einem fehlerfreien Zustand befinden. Wenn eine Überprüfung fehlschlägt, werden Fehlermeldungen im Microsoft Intune Admin Center angezeigt. Dieses Handbuch enthält einige weitere Anweisungen zur Problembehandlung, die zu Fehlern bei Prüfungen führen können.

Active Directory-Domänenbeitritt

Wenn ein Cloud-PC bereitgestellt wird, wird er automatisch mit der bereitgestellten Domäne verknüpft. Zum Testen des Domänenbeitrittsprozesses wird ein Domänencomputerobjekt in der definierten Organisationseinheit (OU) mit einem Namen erstellt, der "CPC-Hth" bei jeder Ausführung von Windows 365-Integritätsprüfungen ähnelt. Diese Computerobjekte werden deaktiviert, wenn die Integritätsprüfung abgeschlossen ist. Fehler beim Active Directory-Domänenbeitritt können aus vielen Gründen auftreten. Wenn der Domänenbeitritt fehlschlägt, stellen Sie sicher, dass:

• Der Benutzer für den Domänenbeitritt verfügt über ausreichende Berechtigungen, um der bereitgestellten Domäne beizutreten.
• Der Benutzer des Domänenbeitritts kann in die bereitgestellte Organisationseinheit (OU) schreiben.
• Der Domänenbeitrittsbenutzer ist nicht eingeschränkt, wie viele Computer sie beitreten können. Die standardmäßigen maximalen Verknüpfungen pro Benutzer sind z. B. 10, und dieses Maximum kann sich auf die Bereitstellung von Cloud-PCs auswirken.
• Das verwendete Subnetz kann einen Domänencontroller erreichen.
• Sie testen Add-Computer mithilfe der Anmeldeinformationen für den Domänenbeitritt auf einer VM (virtueller Computer), die mit dem Cloud PC vNet/Subnetz verbunden ist.
• Sie behandeln Domänenbeitrittsfehler wie jeden physischen Computer in Ihrer Organisation.
• Wenn Sie über einen Domänennamen verfügen, der im Internet aufgelöst werden kann (z. B. contoso.com), stellen Sie sicher, dass Ihre DNS-Server als intern konfiguriert sind. Stellen Sie außerdem sicher, dass sie DNS-Einträge der Active Directory-Domäne und nicht Ihren öffentlichen Domänennamen auflösen können.

Microsoft Entra-Gerätesynchronisierung

Bevor die Registrierung mobiler Geräteverwaltung (Mobile Device Management, MDM) während der Bereitstellung stattfinden kann, muss ein Microsoft Entra ID-Objekt für den Cloud-PC vorhanden sein. Diese Überprüfung soll sicherstellen, dass Ihre Organisationscomputerkonten zeitnah mit der Microsoft Entra-ID synchronisiert werden.

Stellen Sie sicher, dass Ihre Microsoft Entra-Computerobjekte schnell in der Microsoft Entra-ID angezeigt werden. Wir empfehlen innerhalb von 30 Minuten und nicht länger als 60 Minuten. Wenn das Computerobjekt innerhalb von 90 Minuten nicht in der Microsoft Entra-ID eintrifft, schlägt die Bereitstellung fehl.

Wenn die Bereitstellung fehlschlägt, stellen Sie sicher, dass:

• Die Konfiguration des Synchronisierungszeitraums für Microsoft Entra-ID ist entsprechend festgelegt. Sprechen Sie mit Ihrem Identitätsteam, um sicherzustellen, dass Ihr Verzeichnis schnell genug synchronisiert wird.
• Ihre Microsoft Entra-ID ist aktiv und gesund.
• Microsoft Entra Connect wird ordnungsgemäß ausgeführt, und es gibt keine Probleme mit dem Synchronisierungsserver.
• Sie führen manuell ein Add-Computer in der OU aus, die für Cloud-PCs bereitgestellt wird. Zeit, wie lange es dauert, bis das Computerobjekt in der Microsoft Entra-ID angezeigt wird.

Nutzung des Azure-Subnetz-IP-Adressbereichs

Im Rahmen des ANC-Setups müssen Sie ein Subnetz bereitstellen, mit dem der Cloud-PC eine Verbindung herstellt. Für jeden Cloud-PC erstellt die Bereitstellung eine virtuelle NIC und verwendet eine IP-Adresse aus diesem Subnetz.

Stellen Sie sicher, dass genügend IP-Adresszuweisung für die Anzahl der Cloud-PCs verfügbar ist, die Sie bereitstellen möchten. Planen Sie außerdem genügend Adressraum für Bereitstellungsfehler und potenzielle Notfallwiederherstellung.

Wenn diese Überprüfung fehlschlägt, stellen Sie sicher, dass Sie:

• Überprüfen Sie das Subnetz im virtuellen Azure-Netzwerk. Es sollte genügend Adressraum verfügbar sein.
• Stellen Sie sicher, dass genügend Adresse vorhanden ist, um drei Bereitstellungsversuche zu behandeln, von denen jeder die netzwerkadressen enthält, die für einige Stunden verwendet werden.
• Entfernen Sie nicht verwendete vNICs. Es empfiehlt sich, ein dediziertes Subnetz für Cloud-PCs zu verwenden, um sicherzustellen, dass keine anderen Dienste die Zuordnung von IP-Adressen nutzen.
• Erweitern Sie das Subnetz, um weitere Adressen verfügbar zu machen. Dies kann nicht abgeschlossen werden, wenn Geräte verbunden sind.

Bei Bereitstellungsversuchen ist es wichtig, alle CanNotDelete-Sperren zu berücksichtigen, die auf Ressourcengruppenebene oder höher angewendet werden können. Wenn diese Sperren vorhanden sind, werden die im Prozess erstellten Netzwerkschnittstellen nicht automatisch gelöscht. Sie werden nicht automatisch gelöscht, müssen Sie die vNICs manuell entfernen, bevor Sie den Vorgang wiederholen können.

Bei Bereitstellungsversuchen ist es wichtig, vorhandene Sperren auf Ressourcengruppenebene oder höher zu berücksichtigen. Wenn diese Sperren vorhanden sind, werden die im Prozess erstellten Netzwerkschnittstellen nicht automatisch gelöscht. In diesem Fall müssen Sie die vNICs manuell entfernen, bevor Sie den Vorgang wiederholen können.

Azure-Mandantenbereitschaft

Wenn Überprüfungen durchgeführt werden, überprüfen wir, ob das bereitgestellte Azure-Abonnement gültig und fehlerfrei ist. Wenn es nicht gültig und fehlerfrei ist, können wir Cloud-PCs während der Bereitstellung nicht mit Ihrem vNet verbinden. Probleme wie Abrechnungsprobleme können dazu führen, dass Abonnements deaktiviert werden.

Viele Organisationen verwenden Azure-Richtlinien, um sicherzustellen, dass Ressourcen nur in bestimmten Regionen und Diensten bereitgestellt werden. Sie sollten sicherstellen, dass alle Azure-Richtlinien den Cloud-PC-Dienst und die unterstützten Regionen berücksichtigen.

Melden Sie sich bei der Azure-Portal an, und stellen Sie sicher, dass das Azure-Abonnement aktiviert, gültig und fehlerfrei ist.

Besuchen Sie außerdem die Azure-Portal und zeigen Sie Richtlinien an. Stellen Sie sicher, dass keine Richtlinien vorhanden sind, die die Ressourcenerstellung blockieren.

Bereitschaft des virtuellen Azure-Netzwerks

Beim Erstellen eines ANC blockieren wir die Verwendung eines beliebigen vNets, das sich in einer nicht unterstützten Region befindet. Eine Liste der unterstützten Regionen finden Sie unter "Anforderungen".

Wenn diese Überprüfung fehlschlägt, stellen Sie sicher, dass sich das bereitgestellte vNet in einer Region in der Liste der unterstützten Regionen befindet.

DNS kann Active Directory-Domäne auflösen

Damit Windows 365 erfolgreich eine Domänenverknüpfung durchführt, müssen die mit dem bereitgestellten vNet verbundenen Cloud-PCs in der Lage sein, interne DNS-Namen aufzulösen.

Dieser Test versucht, den angegebenen Domänennamen aufzulösen. Beispiel: contoso.com oder contoso.local. Wenn dieser Test fehlschlägt, stellen Sie sicher, dass:

• Die DNS-Server im Azure vNet sind ordnungsgemäß auf einen internen DNS-Server konfiguriert, der den Domänennamen erfolgreich auflösen kann.
• Das Subnetz/vNet wird ordnungsgemäß weitergeleitet, sodass der Cloud-PC den bereitgestellten DNS-Server erreichen kann.
• Die Cloud-PCs/virtuellen Computer im deklarierten Subnetz können NSLOOKUP auf dem DNS-Server verwenden und reagiert mit internen Namen.

Neben dem Standardmäßigen DNS-Nachschlagevorgang für den angegebenen Domänennamen überprüfen wir auch, ob _ldap._tcp.yourDomain.com Einträge vorhanden sind. Dieser Eintrag gibt an, dass der bereitgestellte DNS-Server ein Active Directory-Domänencontroller ist. Der Eintrag ist eine zuverlässige Methode, um zu bestätigen, dass AD-Domänen-DNS erreichbar ist. Stellen Sie sicher, dass über das in Ihrer Azure-Netzwerkverbindung bereitgestellte vNet auf diese Datensätze zugegriffen werden kann.

Endpunktkonnektivität

Während der Bereitstellung müssen Cloud-PCs eine Verbindung mit mehreren öffentlich verfügbaren Microsoft-Diensten herstellen. Zu diesen Diensten gehören Microsoft Intune, Microsoft Entra ID und Azure Virtual Desktop.

Sie müssen sicherstellen, dass alle erforderlichen öffentlichen Endpunkte aus dem subnetz erreicht werden können, das von Cloud-PCs verwendet wird.

Wenn dieser Test fehlschlägt, stellen Sie sicher, dass:

• Sie verwenden die Azure Virtual Network-Tools zur Problembehandlung, um sicherzustellen, dass das bereitgestellte vNet/Subnetz die im Dokument aufgeführten Dienstendpunkte erreichen kann.
• Der bereitgestellte DNS-Server kann die externen Dienste ordnungsgemäß auflösen.
• Es gibt keinen Proxy zwischen dem Cloud-PC-Subnetz und dem Internet.
• Es gibt keine Firewallregeln (physisch, virtuell oder in Windows), die möglicherweise den erforderlichen Datenverkehr blockieren.
• Sie sollten die Endpunkte von einem virtuellen Computer im selben Subnetz testen, das für Cloud-PCs deklariert ist.

Wenn Sie Azure CloudShell nicht verwenden, stellen Sie sicher, dass Ihre PowerShell-Ausführungsrichtlinie so konfiguriert ist, dass uneingeschränkte Skripts zulässig sind. Wenn Sie gruppenrichtlinien zum Festlegen der Ausführungsrichtlinie verwenden, stellen Sie sicher, dass das Gruppenrichtlinienobjekt (Group Policy Object, GPO) für die organisationsweite Einheit (OU) konfiguriert ist, die in der ANC definiert ist, um uneingeschränkte Skripts zuzulassen. Weitere Informationen finden Sie unter Set-ExecutionPolicy.

Umgebung und Konfiguration sind bereit

Diese Überprüfung wird für viele Infrastrukturprobleme verwendet, die sich möglicherweise auf die Infrastruktur beziehen, für die Kunden verantwortlich sind. Es können Fehler wie z. B. interne Diensttimeouts oder Fehler enthalten, die durch Kunden verursacht werden, die Azure-Ressourcen löschen/ändern, während Prüfungen ausgeführt werden.

Es wird empfohlen, die Überprüfungen erneut durchzuführen, wenn dieser Fehler auftritt. Wenn sie weiterhin besteht, wenden Sie sich an den Support, um Hilfe zu erhalten.

App-Berechtigungen von Erstanbietern

Beim Erstellen eines ANC gewährt der Assistent eine bestimmte Berechtigungsstufe für die Ressourcengruppe und das Abonnement. Diese Berechtigungen ermöglichen es dem Dienst, Cloud-PCs reibungslos bereitzustellen.

Azure-Administratoren, die solche Berechtigungen besitzen, können diese Berechtigungen anzeigen und ändern.

Wenn eine dieser Berechtigungen widerrufen wird, schlägt diese Überprüfung fehl. Stellen Sie sicher, dass dem Dienstprinzipal der Windows 365-App lizenzierung die folgenden Berechtigungen erteilt werden:

• Leserrolle im Azure-Abonnement.
• Rolle "Mitwirkender der Windows365-Netzwerkschnittstelle" in der angegebenen Ressourcengruppe.
• Windows365-Netzwerkbenutzerrolle im virtuellen Netzwerk.

Die Rollenzuweisung für das Abonnement wird dem Cloud PC-Dienstprinzipal gewährt.

Stellen Sie außerdem sicher, dass die Berechtigungen nicht als klassische Abonnementadministratorrollen oder "Rollen (klassisch)" erteilt werden. Diese Rolle reicht nicht aus. Es muss eine der rollenbasierten Azure-Zugriffssteuerungsrollen sein, wie zuvor aufgeführt.

Nächste Schritte

Erfahren Sie mehr über die ANC-Integritätsprüfungen.