Rozwiązywanie problemów z połączeniami sieciowymi platformy Azure

Połączenie sieciowe (ANC) platformy Azure okresowo sprawdza środowisko, aby upewnić się, że wszystkie wymagania są spełnione i czy jest w dobrej kondycji. Jeśli sprawdzanie nie powiedzie się, w centrum administracyjnym usługi Microsoft Intune będą widoczne komunikaty o błędach. Ten przewodnik zawiera dodatkowe instrukcje dotyczące rozwiązywania problemów, które mogą powodować niepowodzenie sprawdzania.

Przyłącz do domeny usługi Active Directory

Po aprowizacji komputera w chmurze jest on automatycznie przyłączony do podanej domeny. Aby przetestować proces przyłączania do domeny, obiekt komputera domeny jest tworzony w zdefiniowanej jednostce organizacyjnej o nazwie podobnej do "CPC-Hth" za każdym razem, gdy są uruchamiane testy kondycji systemu Windows 365. Te obiekty komputerów są wyłączone po zakończeniu sprawdzania kondycji. Z wielu powodów może wystąpić błąd przyłączania do domeny usługi Active Directory. Jeśli dołączanie do domeny zakończy się niepowodzeniem, upewnij się, że:

• Użytkownik przyłączania do domeny ma wystarczające uprawnienia, aby dołączyć do podanej domeny.
• Użytkownik przyłączania do domeny może zapisywać dane w podanej jednostki organizacyjnej.
• Użytkownik przyłączania do domeny nie jest ograniczony w tylu komputerach, które mogą dołączyć. Na przykład domyślna maksymalna liczba sprzężeń na użytkownika wynosi 10, a ta maksymalna liczba może mieć wpływ na aprowizację komputera w chmurze.
• Używana podsieć może uzyskać dostęp do kontrolera domeny.
• Add-Computer Testujesz przy użyciu poświadczeń przyłączania do domeny na maszynie wirtualnej połączonej z siecią wirtualną/podsiecią cloud PC.
• Rozwiązywanie problemów z błędami przyłączania do domeny, takimi jak każdy komputer fizyczny w organizacji.
• Jeśli masz nazwę domeny, którą można rozpoznać w Internecie (na przykład contoso.com), upewnij się, że serwery systemu nazw domen (DNS) są skonfigurowane jako wewnętrzne. Upewnij się również, że mogą rozpoznawać rekordy DNS domeny usługi Active Directory, a nie nazwę domeny publicznej.

Synchronizacja urządzenia Firmy Microsoft Entra

Przed rozpoczęciem rejestracji w usłudze zarządzania urządzeniami przenośnymi (MDM) podczas aprowizacji musi znajdować się obiekt Microsoft Entra ID dla komputera w chmurze. Ta kontrola ma na celu upewnienie się, że konta komputerów w organizacji są synchronizowane z identyfikatorem Entra firmy Microsoft w odpowiednim czasie.

Upewnij się, że obiekty komputerów Entra firmy Microsoft są wyświetlane w identyfikatorze Entra firmy Microsoft szybko. Zalecamy, aby były wyświetlane w ciągu 30 minut i nie dłużej niż 60 minut. Jeśli obiekt komputera nie zostanie dostarczony do identyfikatora Entra firmy Microsoft w ciągu 90 minut, aprowizowanie nie powiedzie się.

Jeśli aprowizowanie nie powiedzie się, upewnij się, że:

• Konfiguracja okresu synchronizacji w identyfikatorze Entra firmy Microsoft jest odpowiednio ustawiona. Porozmawiaj z zespołem ds. tożsamości, aby upewnić się, że katalog jest wystarczająco szybki.
• Twój identyfikator Entra firmy Microsoft jest aktywny i w dobrej kondycji.
• Program Microsoft Entra Connect działa poprawnie i nie ma problemów z serwerem synchronizacji.
• Ręcznie należy wykonać Add-Computer jednostki organizacyjnej dostarczonej dla komputerów w chmurze. Czas wyświetlania tego obiektu komputera w identyfikatorze Entra firmy Microsoft.

Użycie zakresu adresów IP podsieci platformy Azure

W ramach konfiguracji usługi ANC musisz podać podsieć, z którą łączy się komputer w chmurze. Dla każdego komputera w chmurze aprowizowanie tworzy wirtualną kartę sieciową i korzysta z adresu IP z tej podsieci.

Upewnij się, że wystarczająca alokacja adresów IP jest dostępna dla liczby komputerów w chmurze, które mają być aprowizowania. Ponadto zaplanuj wystarczającą przestrzeń adresową na potrzeby aprowizacji awarii i potencjalnego odzyskiwania po awarii.

Jeśli to sprawdzenie nie powiedzie się, upewnij się, że:

• Sprawdź podsieć w sieci wirtualnej platformy Azure. Powinna mieć wystarczającą ilość dostępnej przestrzeni adresowej.
• Upewnij się, że istnieje wystarczająca liczba adresów do obsługi trzech ponownych prób aprowizacji, z których każdy może trzymać się adresów sieciowych używanych przez kilka godzin.
• Usuń wszystkie nieużywane wirtualne karty sieciowe (vNICs). Najlepiej użyć dedykowanej podsieci dla komputerów w chmurze, aby upewnić się, że żadne inne usługi nie korzystają z alokacji adresów IP.
• Rozwiń podsieć, aby udostępnić więcej adresów. Nie można tego ukończyć, jeśli są połączone urządzenia.

Podczas prób aprowizacji należy wziąć pod uwagę wszelkie blokady CanNotDelete, które mogą być stosowane na poziomie grupy zasobów lub wyższym. Jeśli te blokady są obecne, interfejsy sieciowe utworzone w procesie nie zostaną automatycznie usunięte. Jeśli nie zostaną one automatycznie usunięte, należy ręcznie usunąć karty vNICs, zanim będzie można ponowić próbę.

Podczas próby aprowizacji należy rozważyć wszelkie istniejące blokady na poziomie grupy zasobów lub wyższym. Jeśli te blokady są obecne, interfejsy sieciowe utworzone w procesie nie zostaną automatycznie usunięte. Jeśli wystąpi zdarzenie, należy ręcznie usunąć karty vNICs, zanim będzie można ponowić próbę.

Gotowość dzierżawy platformy Azure

Podczas sprawdzania sprawdzamy, czy podana subskrypcja platformy Azure jest prawidłowa i w dobrej kondycji. Jeśli jest on nieprawidłowy i w dobrej kondycji, nie możemy połączyć komputerów w chmurze z powrotem z siecią wirtualną podczas aprowizacji. Problemy, takie jak problemy z rozliczeniami, mogą spowodować wyłączenie subskrypcji.

Wiele organizacji korzysta z zasad platformy Azure, aby upewnić się, że zasoby są aprowidowane tylko w określonych regionach i usługach. Upewnij się, że wszystkie zasady platformy Azure uwzględniają usługę Cloud PC i obsługiwane regiony.

Zaloguj się do witryny Azure Portal i upewnij się, że subskrypcja platformy Azure jest włączona, prawidłowa i w dobrej kondycji.

Odwiedź również witrynę Azure Portal i wyświetl zasady. Upewnij się, że żadne zasady nie blokują tworzenia zasobów.

Gotowość sieci wirtualnej platformy Azure

Podczas tworzenia anc blokujemy użycie dowolnej sieci wirtualnej znajdującej się w nieobsługiwanym regionie. Aby uzyskać listę obsługiwanych regionów, zobacz Wymagania.

Jeśli to sprawdzenie nie powiedzie się, upewnij się, że podana sieć wirtualna znajduje się w regionie na liście obsługiwanych regionów.

Usługa DNS może rozpoznać domenę usługi Active Directory

Aby system Windows 365 pomyślnie wykonał przyłączenie do domeny, komputery w chmurze dołączone do podanej sieci wirtualnej muszą mieć możliwość rozpoznawania wewnętrznych nazw DNS.

Ten test próbuje rozpoznać podaną nazwę domeny. Na przykład contoso.com lub contoso.local. Jeśli ten test zakończy się niepowodzeniem, upewnij się, że:

• Serwery DNS w sieci wirtualnej platformy Azure są poprawnie skonfigurowane do wewnętrznego serwera DNS, który może pomyślnie rozpoznać nazwę domeny.
• Podsieć/sieć wirtualna jest prawidłowo kierowana, aby komputer w chmurze mógł uzyskać dostęp do dostarczonego serwera DNS.
• Komputery/maszyny wirtualne w chmurze w zadeklarowanej podsieci mogą znajdować NSLOOKUP się na serwerze DNS i odpowiadają za pomocą nazw wewnętrznych.

Oprócz standardowego wyszukiwania DNS w podanej nazwie domeny sprawdzamy również istnienie rekordów _ldap._tcp.yourDomain.com . Ten rekord wskazuje, że podany serwer DNS jest kontrolerem domeny usługi Active Directory. Rekord jest niezawodnym sposobem potwierdzenia, że usługa DNS domeny usługi AD jest osiągalna. Upewnij się, że te rekordy są dostępne za pośrednictwem sieci wirtualnej udostępnionej w usłudze ANC.

Łączność z punktem końcowym

Podczas aprowizacji komputery w chmurze muszą łączyć się z wieloma publicznie dostępnymi usługi firmy Microsoft. Te usługi obejmują usługi Microsoft Intune, Microsoft Entra ID i Azure Virtual Desktop.

Upewnij się, że wszystkie wymagane publiczne punkty końcowe można uzyskać z podsieci używanej przez komputery w chmurze.

Jeśli ten test zakończy się niepowodzeniem, upewnij się, że:

• Użyj narzędzi do rozwiązywania problemów z siecią wirtualną platformy Azure, aby upewnić się, że podana sieć wirtualna/podsieć może uzyskać dostęp do punktów końcowych usługi wymienionych w dokumentu.
• Podany serwer DNS może poprawnie rozpoznać usługi zewnętrzne.
• Nie ma serwera proxy między podsiecią Cloud PC i Internetem.
• Nie ma reguł zapory (fizycznych, wirtualnych lub w systemie Windows), które mogą blokować wymagany ruch.
• Rozważ przetestowanie punktów końcowych z maszyny wirtualnej w tej samej podsieci zadeklarowanej dla komputerów w chmurze.

Jeśli nie używasz programu Azure CloudShell, upewnij się, że zasady wykonywania programu PowerShell zostały skonfigurowane tak, aby zezwalały na wykonywanie skryptów bez ograniczeń. Jeśli zasady grupy są używane do ustawiania zasad wykonywania, upewnij się, że obiekt zasad grupy (GPO) przeznaczony dla jednostki organizacyjnej zdefiniowanej w ANC jest skonfigurowany tak, aby zezwalać na nieograniczone skrypty. Aby uzyskać więcej informacji, zobacz Set-ExecutionPolicy.

Środowisko i konfiguracja są gotowe

Ta kontrola jest używana w przypadku wielu problemów związanych z infrastrukturą, które mogą być związane z infrastrukturą, za którą są odpowiedzialni klienci. Może zawierać błędy, takie jak limity czasu usługi wewnętrznej lub błędy spowodowane przez klientów usuwających/zmieniając zasoby platformy Azure podczas przeprowadzania testów.

Zalecamy ponowienie próby sprawdzenia, czy wystąpi ten błąd. Jeśli będzie się powtarzać, skontaktuj się z pomocą techniczną, aby uzyskać pomoc.

Uprawnienia aplikacji pierwszej firmy

Podczas tworzenia usługi ANC kreator udziela określonego poziomu uprawnień dla grupy zasobów i subskrypcji. Te uprawnienia pozwalają usłudze bezproblemowo aprowizować komputery w chmurze.

Administratorzy platformy Azure, którzy mają takie uprawnienia, mogą je wyświetlać i modyfikować.

Jeśli którekolwiek z tych uprawnień zostanie odwołane, sprawdzanie zakończy się niepowodzeniem. Upewnij się, że do jednostki usługi aplikacja Windows 365 lication udzielono następujących uprawnień:

• Rola czytelnika w subskrypcji platformy Azure.
• Rola Współautor interfejsu sieciowego systemu Windows365 w określonej grupie zasobów.
• Rola użytkownika sieci systemu Windows365 w sieci wirtualnej.

Przypisanie roli w subskrypcji jest przyznawane jednostce usługi Cloud PC.

Upewnij się również, że uprawnienia nie są przyznawane jako klasyczne role administratora subskrypcji ani "Role (klasyczne)." Ta rola nie jest wystarczająca. Musi to być jedna z wbudowanych ról kontroli dostępu na platformie Azure, jak pokazano wcześniej.

Następne kroki

Dowiedz się więcej na temat kontroli kondycji usługi ANC.