Problemen met Azure-netwerkverbindingen oplossen

De Azure-netwerkverbinding (ANC) controleert regelmatig uw omgeving om ervoor te zorgen dat aan alle vereisten wordt voldaan en of deze in orde is. Als er een controle mislukt, ziet u foutberichten in het Microsoft Intune-beheercentrum. Deze handleiding bevat enkele verdere instructies voor het oplossen van problemen waardoor controles kunnen mislukken.

Active Directory-domeindeelname

Wanneer een cloud-pc is ingericht, wordt deze automatisch toegevoegd aan het opgegeven domein. Als u het domeindeelnameproces wilt testen, wordt er een domeincomputerobject gemaakt in de gedefinieerde organisatie-eenheid (OE) met een naam die vergelijkbaar is met CPC-Hth telkens wanneer Windows 365-statuscontroles worden uitgevoerd. Deze computerobjecten worden uitgeschakeld wanneer de statuscontrole is voltooid. Active Directory-domeindeelnamefout kan om verschillende redenen optreden. Als de domeindeelname mislukt, controleert u of:

• De gebruiker voor domeindeelname heeft voldoende machtigingen om lid te worden van het opgegeven domein.
• De gebruiker van de domeindeelname kan schrijven naar de opgegeven organisatie-eenheid.
• De gebruiker voor domeindeelname is niet beperkt tot het aantal computers waaraan ze kunnen deelnemen. Het standaard maximum aantal joins per gebruiker is bijvoorbeeld 10 en dit maximum kan van invloed zijn op het inrichten van cloud-pc's.
• Het subnet dat wordt gebruikt, kan een domeincontroller bereiken.
• U test Add-Computer het gebruik van de referenties voor domeindeelname op een virtuele machine (VM) die is verbonden met het vNet/subnet van de cloud-pc.
• U lost fouten met domeindeelname op, zoals elke fysieke computer in uw organisatie.
• Als u een domeinnaam hebt die kan worden omgezet op internet (zoals contoso.com), moet u ervoor zorgen dat uw DNS-servers (Domain Name System) zijn geconfigureerd als intern. Zorg er ook voor dat ze DNS-records voor Active Directory-domeinen kunnen omzetten, niet uw openbare domeinnaam.

Microsoft Entra-apparaatsynchronisatie

Voordat mdm-inschrijving (Mobile Device Management) kan plaatsvinden tijdens het inrichten, moet er een Microsoft Entra ID-object aanwezig zijn voor de cloud-pc. Deze controle is bedoeld om ervoor te zorgen dat de computeraccounts van uw organisatie tijdig worden gesynchroniseerd met De Microsoft Entra-id.

Zorg ervoor dat uw Microsoft Entra-computerobjecten snel worden weergegeven in Microsoft Entra-id. U wordt aangeraden ze binnen 30 minuten en niet langer dan 60 minuten weer te geven. Als het computerobject binnen 90 minuten niet binnen 90 minuten in Microsoft Entra-id aankomt, mislukt het inrichten.

Als het inrichten mislukt, controleert u of:

• De configuratie van de synchronisatieperiode op Microsoft Entra-id is juist ingesteld. Neem contact op met uw identiteitsteam om ervoor te zorgen dat uw directory snel genoeg wordt gesynchroniseerd.
• Uw Microsoft Entra-id is actief en in orde.
• Microsoft Entra Connect wordt correct uitgevoerd en er zijn geen problemen met de synchronisatieserver.
• U voert handmatig een Add-Computer in de organisatie-eenheid uit die is opgegeven voor cloud-pc's. Hoe lang het duurt voordat dat computerobject wordt weergegeven in Microsoft Entra-id.

Gebruik van IP-adresbereik van Azure-subnet

Als onderdeel van de ANC-installatie moet u een subnet opgeven waarmee de cloud-pc verbinding maakt. Voor elke cloud-pc maakt inrichting een virtuele NIC en verbruikt een IP-adres van dit subnet.

Zorg ervoor dat er voldoende IP-adrestoewijzing beschikbaar is voor het aantal cloud-pc's dat u verwacht in te richten. Plan ook voldoende adresruimte voor inrichtingsfouten en mogelijk herstel na noodgevallen.

Als deze controle mislukt, controleert u of u het volgende doet:

• Controleer het subnet in het virtuele Azure-netwerk. Er moet voldoende adresruimte beschikbaar zijn.
• Zorg ervoor dat er voldoende adressen zijn om drie nieuwe pogingen voor het inrichten af te handelen, die elk enkele uren kunnen worden vastgeslagen op de netwerkadressen die gedurende een paar uur worden gebruikt.
• Verwijder ongebruikte virtuele netwerkinterfacekaarten (vNIC's). Het is raadzaam om een toegewezen subnet voor cloud-pc's te gebruiken om ervoor te zorgen dat er geen andere services de toewijzing van IP-adressen gebruiken.
• Vouw het subnet uit om meer adressen beschikbaar te maken. Dit kan niet worden voltooid als er apparaten zijn verbonden.

Tijdens het inrichten is het belangrijk dat u rekening houdt met eventuele CanNotDelete-vergrendelingen die op het niveau van de resourcegroep of hoger kunnen worden toegepast. Als deze vergrendelingen aanwezig zijn, worden de netwerkinterfaces die in het proces zijn gemaakt, niet automatisch verwijderd. Als ze niet automatisch worden verwijderd, moet u de vNIC's handmatig verwijderen voordat u het opnieuw kunt proberen.

Tijdens het inrichten is het belangrijk om eventuele bestaande vergrendelingen op het niveau van de resourcegroep of hoger te overwegen. Als deze vergrendelingen aanwezig zijn, worden de netwerkinterfaces die in het proces zijn gemaakt, niet automatisch verwijderd. Als de gebeurtenis zich voordoet, moet u de vNIC's handmatig verwijderen voordat u het opnieuw kunt proberen.

Gereedheid van Azure-tenant

Wanneer er controles worden uitgevoerd, controleren we of het opgegeven Azure-abonnement geldig en in orde is. Als het niet geldig en in orde is, kunnen we geen cloud-pc's opnieuw verbinden met uw virtuele netwerk tijdens het inrichten. Problemen zoals factureringsproblemen kunnen ertoe leiden dat abonnementen worden uitgeschakeld.

Veel organisaties gebruiken Azure-beleid om ervoor te zorgen dat resources alleen worden ingericht in bepaalde regio's en services. Zorg ervoor dat elk Azure-beleid rekening houdt met de cloud-pc-service en de ondersteunde regio's.

Meld u aan bij Azure Portal en zorg ervoor dat het Azure-abonnement is ingeschakeld, geldig en in orde is.

Ga ook naar Azure Portal en bekijk beleidsregels. Zorg ervoor dat er geen beleid is dat het maken van resources wordt geblokkeerd.

Gereedheid voor virtuele Azure-netwerken

Bij het maken van een ANC blokkeren we het gebruik van een virtueel netwerk in een niet-ondersteunde regio. Zie Vereisten voor een lijst met ondersteunde regio's.

Als deze controle mislukt, controleert u of het opgegeven virtuele netwerk zich in een regio in de lijst met ondersteunde regio's bevindt.

DNS kan het Active Directory-domein omzetten

Windows 365 kan alleen een domeindeelname uitvoeren als de cloud-pc's die aan het virtuele netwerk zijn gekoppeld, interne DNS-namen kunnen omzetten.

Met deze test wordt geprobeerd de opgegeven domeinnaam op te lossen. Bijvoorbeeld contoso.com of contoso.local. Als deze test mislukt, controleert u of:

• De DNS-servers in het virtuele Azure-netwerk zijn correct geconfigureerd voor een interne DNS-server die de domeinnaam kan omzetten.
• Het subnet/vNet wordt correct gerouteerd, zodat de cloud-pc de opgegeven DNS-server kan bereiken.
• De cloud-pc's/VM's in het gedeclareerde subnet kunnen NSLOOKUP op de DNS-server en reageren met interne namen.

Naast de standaard DNS-zoekactie op de opgegeven domeinnaam, controleren we ook of er records bestaan _ldap._tcp.yourDomain.com . Deze record geeft aan dat de opgegeven DNS-server een Active Directory-domeincontroller is. De record is een betrouwbare manier om te bevestigen dat AD-domein-DNS bereikbaar is. Zorg ervoor dat deze records toegankelijk zijn via het virtuele netwerk dat is opgegeven in uw ANC.

Eindpuntconnectiviteit

Tijdens het inrichten moeten cloud-pc's verbinding maken met meerdere openbaar beschikbare Microsoft-services. Deze services omvatten Microsoft Intune, Microsoft Entra ID en Azure Virtual Desktop.

U moet ervoor zorgen dat alle vereiste openbare eindpunten kunnen worden bereikt vanuit het subnet dat wordt gebruikt door cloud-pc's.

Als deze test mislukt, controleert u of:

• U gebruikt de hulpprogramma's voor het oplossen van problemen met virtuele Netwerken van Azure om ervoor te zorgen dat het opgegeven vNet/subnet de service-eindpunten kan bereiken die worden vermeld in het document.
• De opgegeven DNS-server kan de externe services correct oplossen.
• Er is geen proxy tussen het cloud-pc-subnet en internet.
• Er zijn geen firewallregels (fysiek, virtueel of in Windows) die vereist verkeer kunnen blokkeren.
• U kunt overwegen de eindpunten van een VIRTUELE machine te testen op hetzelfde subnet dat is gedeclareerd voor cloud-pc's.

Als u Azure CloudShell niet gebruikt, moet u ervoor zorgen dat uw PowerShell-uitvoeringsbeleid is geconfigureerd om onbeperkte scripts toe te staan. Als u Groepsbeleid gebruikt om uitvoeringsbeleid in te stellen, moet u ervoor zorgen dat het groepsbeleidsobject (GPO) dat is gericht op de organisatie-eenheid die is gedefinieerd in de ANC is geconfigureerd om onbeperkte scripts toe te staan. Zie Set-ExecutionPolicy voor meer informatie.

Omgeving en configuratie zijn gereed

Deze controle wordt gebruikt voor veel problemen met betrekking tot de infrastructuur waarvoor klanten verantwoordelijk zijn. Het kan fouten bevatten, zoals interne servicetime-outs of fouten die worden veroorzaakt door klanten die Azure-resources verwijderen/wijzigen terwijl controles worden uitgevoerd.

U wordt aangeraden de controles opnieuw uit te voeren als deze fout optreedt. Als deze blijft bestaan, neemt u contact op met de ondersteuning voor hulp.

App-machtigingen van derden

Wanneer u een ANC maakt, verleent de wizard een bepaald machtigingsniveau voor de resourcegroep en het abonnement. Met deze machtigingen kan de service cloud-pc's soepel inrichten.

Azure-beheerders met dergelijke machtigingen kunnen deze bekijken en wijzigen.

Als een van deze machtigingen wordt ingetrokken, mislukt deze controle. Zorg ervoor dat de volgende machtigingen zijn verleend aan de service-principal voor Windows 365-app licatie:

• De rol Lezer van het Azure-abonnement.
• Rol Inzender voor Windows365-netwerkinterface in de opgegeven resourcegroep.
• De rol Windows365-netwerkgebruiker in het virtuele netwerk.

De roltoewijzing voor het abonnement wordt verleend aan de cloud-pc-service-principal.

Zorg er ook voor dat de machtigingen niet worden verleend als klassieke abonnementsbeheerdersrollen of 'Rollen (klassiek).' Deze rol is niet voldoende. Het moet een van de ingebouwde rollen voor op rollen gebaseerd toegangsbeheer van Azure zijn, zoals eerder vermeld.

Volgende stappen

Meer informatie over de ANC-statuscontroles.