다음을 통해 공유

Azure 네트워크 연결 문제 해결

  • 아티클

ANC(Azure 네트워크 연결)는 환경을 주기적으로 검사하여 모든 요구 사항이 충족되고 정상 상태인지 확인합니다. 확인에 실패하면 Microsoft Intune 관리 센터에서 오류 메시지를 볼 수 있습니다. 이 가이드에는 검사가 실패할 수 있는 문제를 해결하기 위한 몇 가지 추가 지침이 포함되어 있습니다.

Active Directory 도메인 가입

클라우드 PC가 프로비전되면 제공된 도메인에 자동으로 가입됩니다. 도메인 가입 프로세스를 테스트하기 위해 도메인 컴퓨터 개체는 Windows 365 상태 검사를 실행할 때마다 "CPC-Hth"와 유사한 이름으로 정의된 OU(조직 구성 단위)에 만들어집니다. 상태 검사가 완료되면 이러한 컴퓨터 개체를 사용할 수 없습니다. Active Directory 도메인 조인 실패는 여러 가지 이유로 발생할 수 있습니다. 도메인 조인이 실패하는 경우 다음을 확인합니다.

  • 도메인 가입 사용자에게 제공된 도메인에 가입할 수 있는 충분한 권한이 있습니다.
  • 도메인 가입 사용자는 제공된 OU에 쓸 수 있습니다.
  • 도메인 가입 사용자는 가입할 수 있는 컴퓨터 수에 제한이 없습니다. 예를 들어 사용자당 기본 최대 조인 수는 10개이며, 이 최대값은 클라우드 PC 프로비저닝에 영향을 줄 수 있습니다.
  • 사용 중인 서브넷은 도메인 컨트롤러에 연결할 수 있습니다.
  • 클라우드 PC vNet/서브넷에 연결된 VM(가상 머신)에서 도메인 조인 자격 증명을 사용하여 테스트 Add-Computer 합니다.
  • 조직의 물리적 컴퓨터와 같은 도메인 가입 실패 문제를 해결합니다.
  • 인터넷에서 확인할 수 있는 도메인 이름(예: contoso.com)이 있는 경우 DNS(도메인 이름 시스템) 서버가 내부 서버로 구성되어 있는지 확인합니다. 또한 공용 도메인 이름이 아닌 Active Directory 도메인 DNS 레코드를 확인할 수 있는지 확인합니다.

Microsoft Entra 디바이스 동기화

프로비전하는 동안 MDM(모바일 디바이스 관리) 등록을 수행하려면 클라우드 PC에 Microsoft Entra ID 개체가 있어야 합니다. 이 검사는 조직 컴퓨터 계정이 적시에 Microsoft Entra ID와 동기화되는지 확인하기 위한 것입니다.

Microsoft Entra 컴퓨터 개체가 Microsoft Entra ID에 빠르게 표시되는지 확인합니다. 30분 이내에 60분 이내로 표시되는 것이 좋습니다. 컴퓨터 개체가 90분 이내에 Microsoft Entra ID에 도착하지 않으면 프로비전이 실패합니다.

프로비저닝이 실패하는 경우 다음을 확인합니다.

  • Microsoft Entra ID의 동기화 기간 구성이 적절하게 설정됩니다. ID 팀과 문의하여 디렉터리가 충분히 빠르게 동기화되는지 확인합니다.
  • Microsoft Entra ID가 활성 상태이고 정상입니다.
  • Microsoft Entra Connect가 올바르게 실행되고 있으며 동기화 서버에는 문제가 없습니다.
  • 클라우드 PC에 Add-Computer 제공된 OU를 수동으로 수행합니다. 해당 컴퓨터 개체가 Microsoft Entra ID에 표시되는 데 걸리는 시간입니다.

Azure 서브넷 IP 주소 범위 사용

ANC 설정의 일부로 클라우드 PC가 연결되는 서브넷을 제공해야 합니다. 각 클라우드 PC에 대해 프로비전은 가상 NIC를 만들고 이 서브넷의 IP 주소를 사용합니다.

프로비전할 클라우드 PC 수에 충분한 IP 주소 할당을 사용할 수 있는지 확인합니다. 또한 프로비전 오류 및 잠재적인 재해 복구를 위한 충분한 주소 공간을 계획합니다.

이 검사가 실패하면 다음을 확인합니다.

  • Azure 가상 네트워크에서 서브넷을 확인합니다. 사용 가능한 주소 공간이 충분해야 합니다.
  • 세 가지 프로비전 재시도를 처리할 수 있는 충분한 주소가 있는지 확인합니다. 각 주소는 몇 시간 동안 사용된 네트워크 주소를 유지할 수 있습니다.
  • 사용되지 않는 vNIC(가상 네트워크 인터페이스 카드)를 제거합니다. 클라우드 PC용 전용 서브넷을 사용하여 다른 서비스가 IP 주소 할당을 사용하지 않도록 하는 것이 가장 좋습니다.
  • 서브넷을 확장하여 더 많은 주소를 사용할 수 있도록 합니다. 연결된 디바이스가 있는 경우 이 작업을 완료할 수 없습니다.

프로비저닝을 시도하는 동안 리소스 그룹 수준 이상에서 적용될 수 있는 CanNotDelete 잠금을 고려하는 것이 중요합니다. 이러한 잠금이 있는 경우 프로세스에서 만든 네트워크 인터페이스는 자동으로 삭제되지 않습니다. 자동으로 삭제되지 않는 경우 다시 시도하려면 먼저 vNIC를 수동으로 제거해야 합니다.

프로비저닝을 시도하는 동안 리소스 그룹 수준 이상에서 기존 잠금을 고려하는 것이 중요합니다. 이러한 잠금이 있는 경우 프로세스에서 만든 네트워크 인터페이스는 자동으로 삭제되지 않습니다. 이벤트가 발생하는 경우 다시 시도하려면 먼저 vNIC를 수동으로 제거해야 합니다.

Azure 테넌트 준비 상태

검사가 수행되면 제공된 Azure 구독이 유효하고 정상인지 확인합니다. 유효하지 않고 정상이 아니면 프로비전하는 동안 클라우드 PC를 가상 네트워크에 다시 연결할 수 없습니다. 청구 문제와 같은 문제로 인해 구독이 비활성화될 수 있습니다.

많은 조직에서 Azure 정책을 사용하여 리소스가 특정 지역 및 서비스에만 프로비전되도록 합니다. Azure 정책은 클라우드 PC 서비스 및 지원되는 지역을 고려해야 합니다.

Azure Portal에 로그인하고 Azure 구독이 활성화되고 유효하며 정상 상태인지 확인합니다.

또한 Azure Portal을 방문하여 정책을 봅니다. 리소스 생성을 차단하는 정책이 없는지 확인합니다.

Azure 가상 네트워크 준비 상태

ANC를 만들 때 지원되지 않는 지역에 있는 모든 가상 네트워크의 사용을 차단합니다. 지원되는 지역 목록은 요구 사항을 참조 하세요.

이 검사가 실패하면 제공된 가상 네트워크가 지원되는 지역 목록의 지역에 있는지 확인합니다.

DNS는 Active Directory 도메인을 확인할 수 있습니다.

Windows 365가 도메인 가입을 성공적으로 수행하려면 제공된 가상 네트워크에 연결된 클라우드 PC가 내부 DNS 이름을 확인할 수 있어야 합니다.

이 테스트는 제공된 도메인 이름을 확인하려고 시도합니다. 예를 들어 contoso.com 또는 contoso.local입니다. 이 테스트가 실패하면 다음을 확인합니다.

  • Azure 가상 네트워크의 DNS 서버는 도메인 이름을 성공적으로 확인할 수 있는 내부 DNS 서버로 올바르게 구성됩니다.
  • 서브넷/vNet은 클라우드 PC가 제공된 DNS 서버에 연결할 수 있도록 올바르게 라우팅됩니다.
  • 선언된 서브넷의 클라우드 PC/VM은 DNS 서버에서 사용할 수 NSLOOKUP 있으며 내부 이름으로 응답합니다.

제공된 도메인 이름에 대한 표준 DNS 조회와 함께 레코드가 _ldap._tcp.yourDomain.com 있는지도 확인합니다. 이 레코드는 제공된 DNS 서버가 Active Directory 도메인 컨트롤러임을 나타냅니다. 이 레코드는 AD 도메인 DNS에 연결할 수 있는지 확인하는 신뢰할 수 있는 방법입니다. 이러한 레코드는 ANC에 제공된 가상 네트워크를 통해 액세스할 수 있는지 확인합니다.

엔드포인트 연결

프로비저닝하는 동안 클라우드 PC는 공개적으로 사용 가능한 여러 Microsoft 서비스 연결해야 합니다. 이러한 서비스에는 Microsoft Intune, Microsoft Entra ID 및 Azure Virtual Desktop이 포함됩니다.

클라우드 PC에서 사용하는 서브넷에서 필요한 모든 퍼블릭 엔드포인트 에 연결할 수 있는지 확인해야 합니다.

이 테스트가 실패하면 다음을 확인합니다.

  • Azure 가상 네트워크 문제 해결 도구를 사용하여 제공된 vNet/서브넷이 문서에 나열된 서비스 엔드포인트에 도달할 수 있는지 확인합니다.
  • 제공된 DNS 서버는 외부 서비스를 올바르게 확인할 수 있습니다.
  • 클라우드 PC 서브넷과 인터넷 사이에는 프록시가 없습니다.
  • 필요한 트래픽을 차단할 수 있는 방화벽 규칙(물리적, 가상 또는 Windows)이 없습니다.
  • 클라우드 PC에 대해 선언된 동일한 서브넷의 VM에서 엔드포인트를 테스트하는 것이 좋습니다.

Azure CloudShell을 사용하지 않는 경우 무제한 스크립트를 허용 하도록 PowerShell 실행 정책이 구성되어 있는지 확인합니다. 그룹 정책을 사용하여 실행 정책을 설정하는 경우 ANC에 정의된 OU를 대상으로 하는 GPO(그룹 정책 개체)가 무제한 스크립트를 허용하도록 구성되어 있는지 확인합니다. 자세한 내용은 Set-ExecutionPolicy를 참조 하세요.

환경 및 구성이 준비되었습니다.

이 검사는 고객이 담당하는 인프라와 관련될 수 있는 많은 인프라 관련 문제에 사용됩니다. 여기에는 내부 서비스 시간 제한 또는 검사가 실행되는 동안 고객이 Azure 리소스를 삭제/변경하여 발생하는 오류와 같은 오류가 포함될 수 있습니다.

이 오류가 발생하면 검사를 다시 시도하는 것이 좋습니다. 계속되면 지원팀에 문의하여 도움을 요청하세요.

자사 앱 권한

ANC를 만들 때 마법사는 리소스 그룹 및 구독에 대해 특정 수준의 권한을 부여합니다. 이러한 권한을 통해 서비스는 클라우드 PC를 원활하게 프로비전할 수 있습니다.

이러한 권한을 보유한 Azure 관리자는 해당 권한을 보고 수정할 수 있습니다.

이러한 사용 권한이 취소된 경우 이 검사가 실패합니다. Windows 365 앱사용 서비스 주체에 다음 권한이 부여되었는지 확인합니다.

구독에 대한 역할 할당은 클라우드 PC 서비스 주체에게 부여됩니다.

또한 사용 권한이 클래식 구독 관리자 역할 또는 "역할(클래식)"으로 부여되지 않았는지 확인합니다. 이 역할로는 충분하지 않습니다. 이전에 나열된 Azure 역할 기반 액세스 제어 기본 제공 역할 중 하나여야 합니다.

다음 단계

ANC 상태 검사에 대해 알아봅니다.