Compartir a través de

Solución de problemas de conexiones de red de Azure

  • Artículo

La conexión de red de Azure (ANC) comprueba periódicamente el entorno para asegurarse de que se cumplen todos los requisitos y de que se encuentra en un estado correcto. Si se produce un error en alguna comprobación, puede ver los mensajes de error en el Centro de administración de Microsoft Intune. Esta guía contiene algunas instrucciones adicionales para solucionar problemas que podrían provocar errores en las comprobaciones.

Unión a un dominio de Active Directory

Cuando se aprovisiona un PC en la nube, se une automáticamente al dominio proporcionado. Para probar el proceso de unión a un dominio, se crea un objeto de equipo de dominio en la unidad organizativa (OU) definida con un nombre similar a "CPC-Hth" cada vez que se ejecutan comprobaciones de estado de Windows 365. Estos objetos de equipo se deshabilitan cuando se completa la comprobación de estado. El error de unión a un dominio de Active Directory puede producirse por muchas razones. Si se produce un error en la unión al dominio, asegúrese de que:

  • El usuario de unión a un dominio tiene permisos suficientes para unirse al dominio proporcionado.
  • El usuario de unión a un dominio puede escribir en la unidad organizativa proporcionada.
  • El usuario de unión a un dominio no está restringido en cuántos equipos pueden unirse. Por ejemplo, el número máximo predeterminado de combinaciones por usuario es 10 y este máximo puede afectar al aprovisionamiento de PC en la nube.
  • La subred que se usa puede llegar a un controlador de dominio.
  • Las credenciales de unión a un dominio se prueban Add-Computer en una máquina virtual (VM) conectada a la red virtual o subred del PC en la nube.
  • Puede solucionar errores de unión a un dominio como cualquier equipo físico de su organización.
  • Si tiene un nombre de dominio que se puede resolver en Internet (como contoso.com), asegúrese de que los servidores del Sistema de nombres de dominio (DNS) estén configurados como internos. Además, asegúrese de que pueden resolver registros DNS de dominio de Active Directory, no el nombre de dominio público.

Sincronización de dispositivos de Microsoft Entra

Para poder realizar la inscripción de administración de dispositivos móviles (MDM) durante el aprovisionamiento, un objeto Id. de Microsoft Entra debe estar presente para el PC en la nube. Esta comprobación está pensada para asegurarse de que las cuentas de equipo de las organizaciones se están sincronizando con el identificador de Entra de Microsoft de forma oportuna.

Asegúrese de que los objetos de equipo de Microsoft Entra aparecen rápidamente en el identificador de Microsoft Entra. Se recomienda que aparezcan en un plazo de 30 minutos y que no tengan más de 60 minutos. Si el objeto de equipo no llega a Microsoft Entra ID en un plazo de 90 minutos, se produce un error en el aprovisionamiento.

Si se produce un error en el aprovisionamiento, asegúrese de que:

  • La configuración del período de sincronización en el id. de Microsoft Entra se establece correctamente. Hable con el equipo de identidad para asegurarse de que el directorio se está sincronizando lo suficientemente rápido.
  • El identificador de Microsoft Entra está activo y en buen estado.
  • Microsoft Entra Connect se está ejecutando correctamente y no hay ningún problema con el servidor de sincronización.
  • Realice manualmente una Add-Computer en la unidad organizativa proporcionada para pc en la nube. Tiempo durante el que se tarda en que ese objeto de equipo aparezca en microsoft Entra ID.

Uso del intervalo de direcciones IP de subred de Azure

Como parte de la configuración de ANC, debe proporcionar una subred a la que se conecta el PC en la nube. Para cada PC en la nube, el aprovisionamiento crea una NIC virtual y consume una dirección IP de esta subred.

Asegúrese de que la asignación de direcciones IP suficientes esté disponible para el número de PC en la nube que espera aprovisionar. Además, planee suficiente espacio de direcciones para los errores de aprovisionamiento y la posible recuperación ante desastres.

Si se produce un error en esta comprobación, asegúrese de que:

  • Compruebe la subred de la red virtual de Azure. Debe tener suficiente espacio de direcciones disponible.
  • Asegúrese de que hay suficientes direcciones para controlar tres reintentos de aprovisionamiento, cada uno de los cuales podría contener en las direcciones de red usadas durante unas horas.
  • Quite las tarjetas de interfaz de red virtual (vNIC) sin usar. Es mejor usar una subred dedicada para pc en la nube para asegurarse de que ningún otro servicio consuma la asignación de direcciones IP.
  • Expanda la subred para que estén disponibles más direcciones. Esto no se puede completar si hay dispositivos conectados.

Durante los intentos de aprovisionamiento, es importante tener en cuenta los bloqueos CanNotDelete que se puedan aplicar en el nivel de grupo de recursos o superior. Si estos bloqueos están presentes, las interfaces de red creadas en el proceso no se eliminan automáticamente. Si no se eliminan automáticamente, debe quitar manualmente las VNIC antes de volver a intentarlo.

Durante los intentos de aprovisionamiento, es importante tener en cuenta los bloqueos existentes en el nivel de grupo de recursos o superior. Si estos bloqueos están presentes, las interfaces de red creadas en el proceso no se eliminarán automáticamente. Si se produce el evento, debe quitar manualmente las VNIC para poder volver a intentarlo.

Preparación del inquilino de Azure

Cuando se realizan comprobaciones, comprobamos que la suscripción de Azure proporcionada es válida y correcta. Si no es válido y correcto, no podemos volver a conectar los PC en la nube a la red virtual durante el aprovisionamiento. Los problemas como los problemas de facturación pueden provocar que las suscripciones se deshabiliten.

Muchas organizaciones usan directivas de Azure para asegurarse de que los recursos solo se aprovisionan en determinadas regiones y servicios. Debe asegurarse de que las directivas de Azure consideren el servicio PC en la nube y las regiones admitidas.

Inicie sesión en Azure Portal y asegúrese de que la suscripción de Azure está habilitada, válida y en buen estado.

Además, visite Azure Portal y vea Directivas. Asegúrese de que ninguna directiva bloquee la creación de recursos.

Preparación de la red virtual de Azure

Al crear un ANC, se bloquea el uso de cualquier red virtual ubicada en una región no admitida. Para obtener una lista de las regiones admitidas, consulte Requisitos.

Si se produce un error en esta comprobación, asegúrese de que la red virtual proporcionada está en una región de la lista de regiones admitidas.

DNS puede resolver el dominio de Active Directory

Para que Windows 365 realice correctamente una unión a un dominio, los PC en la nube conectados a la red virtual proporcionada deben poder resolver nombres DNS internos.

Esta prueba intenta resolver el nombre de dominio proporcionado. Por ejemplo, contoso.com o contoso.local. Si se produce un error en esta prueba, asegúrese de que:

  • Los servidores DNS de la red virtual de Azure están configurados correctamente en un servidor DNS interno que puede resolver correctamente el nombre de dominio.
  • La subred o la red virtual se enrutan correctamente para que el EQUIPO en la nube pueda acceder al servidor DNS proporcionado.
  • Los pc o máquinas virtuales en la nube de la subred declarada pueden NSLOOKUP en el servidor DNS y responde con nombres internos.

Junto con la búsqueda DNS estándar en el nombre de dominio proporcionado, también se comprueba la existencia de _ldap._tcp.yourDomain.com registros. Este registro indica que el servidor DNS proporcionado es un controlador de dominio de Active Directory. El registro es una manera confiable de confirmar que se puede acceder a DNS de dominio de AD. Asegúrese de que estos registros son accesibles a través de la red virtual proporcionada en el ANC.

Conectividad de punto de conexión

Durante el aprovisionamiento, los PC en la nube deben conectarse a varios servicios Microsoft disponibles públicamente. Estos servicios incluyen Microsoft Intune, microsoft Entra ID y Azure Virtual Desktop.

Debe asegurarse de que se pueda acceder a todos los puntos de conexión públicos necesarios desde la subred que usan los pc en la nube.

Si se produce un error en esta prueba, asegúrese de que:

  • Use las herramientas de solución de problemas de red virtual de Azure para asegurarse de que la red virtual o subred proporcionada pueda acceder a los puntos de conexión de servicio enumerados en el documento.
  • El servidor DNS proporcionado puede resolver correctamente los servicios externos.
  • No hay ningún proxy entre la subred pc en la nube e Internet.
  • No hay reglas de firewall (físicas, virtuales o en Windows) que podrían bloquear el tráfico necesario.
  • Considere la posibilidad de probar los puntos de conexión desde una máquina virtual en la misma subred declarada para equipos en la nube.

Si no usa Azure CloudShell, asegúrese de que la directiva de ejecución de PowerShell está configurada para permitir scripts sin restricciones . Si usa la directiva de grupo para establecer la directiva de ejecución, asegúrese de que el objeto de directiva de grupo (GPO) destinado a la unidad organizativa definida en el ANC está configurado para permitir scripts sin restricciones . Para obtener más información, consulte Set-ExecutionPolicy.

El entorno y la configuración están listos

Esta comprobación se usa para muchos problemas relacionados con la infraestructura que podrían estar relacionados con la infraestructura de la que son responsables los clientes. Puede incluir errores como tiempos de espera de servicio internos o errores causados por los clientes que eliminan o cambian los recursos de Azure mientras se ejecutan comprobaciones.

Se recomienda volver a intentar las comprobaciones si encuentra este error. Si persiste, póngase en contacto con el soporte técnico para obtener ayuda.

Permisos de aplicación de primera entidad

Al crear un ANC, el asistente concede un determinado nivel de permisos en el grupo de recursos y la suscripción. Estos permisos permiten que el servicio aprovisione sin problemas pc en la nube.

Los administradores de Azure que contienen estos permisos pueden verlos y modificarlos.

Si se revoca alguno de estos permisos, se produce un error en esta comprobación. Asegúrese de que se conceden los permisos siguientes a la entidad de servicio de Aplicación de Windows 365 lication:

La asignación de roles en la suscripción se concede a la entidad de servicio de PC en la nube.

Además, asegúrese de que los permisos no se conceden como roles de administrador de suscripciones clásicas o "Roles (clásico)." Este rol no es suficiente. Debe ser uno de los roles integrados de control de acceso basado en rol de Azure, tal como se ha indicado anteriormente.

Pasos siguientes

Obtenga información sobre las comprobaciones de estado de ANC.