Устранение неполадок сетевых подключений Azure
Сетевое подключение Azure (ANC) периодически проверяет среду, чтобы убедиться, что выполнены все требования и что она находится в работоспособном состоянии. Если проверка завершается ошибкой, в Центре администрирования Microsoft Intune отображаются сообщения об ошибках. В этом руководстве содержатся дополнительные инструкции по устранению неполадок, которые могут привести к сбою проверок.
Присоединение к домену Active Directory
При подготовке облачного компьютера он автоматически присоединяется к указанному домену. Для проверки процесса присоединения к домену объект компьютера домена создается в определенном подразделении с именем, аналогичным CPC-Hth при каждом запуске проверок работоспособности Windows 365. Эти объекты компьютера отключены при завершении проверки работоспособности. Сбой присоединения к домену Active Directory может возникать по многим причинам. Если присоединение к домену завершается ошибкой, убедитесь, что:
- Пользователь, присоединенный к домену, имеет достаточные разрешения для присоединения к указанному домену.
- Пользователь, присоединенный к домену, может записывать данные в указанную подразделение.
- Пользователь присоединения к домену не ограничивается количеством компьютеров, к которым они могут присоединиться. Например, максимальное число соединений по умолчанию для каждого пользователя равно 10, и это максимальное значение может повлиять на подготовку облачных компьютеров.
- Используемая подсеть может получить доступ к контроллеру домена.
- Вы проверяете
Add-Computerиспользование учетных данных присоединения к домену на виртуальной машине, подключенной к виртуальной сети или подсети облачного компьютера. - Устранение неполадок при присоединении к домену, таких как любой физический компьютер в организации.
- Если у вас есть доменное имя, которое можно разрешить в Интернете (например
contoso.com), убедитесь, что серверы системы доменных имен (DNS) настроены как внутренние. Кроме того, убедитесь, что они могут разрешать записи DNS домена Active Directory, а не имя общедоступного домена.
Синхронизация устройств Microsoft Entra
Перед регистрацией управления мобильными устройствами (MDM) во время подготовки объект идентификатора Microsoft Entra должен присутствовать для облачного компьютера. Эта проверка предназначена для своевременной синхронизации учетных записей компьютеров организаций с идентификатором Microsoft Entra.
Убедитесь, что объекты компьютера Microsoft Entra отображаются быстро в идентификаторе Microsoft Entra. Рекомендуется отображать их в течение 30 минут и не более 60 минут. Если объект компьютера не поступает в идентификатор Microsoft Entra в течение 90 минут, подготовка завершается ошибкой.
Если подготовка завершается ошибкой, убедитесь, что:
- Конфигурация периода синхронизации в идентификаторе Microsoft Entra ID настроена соответствующим образом. Обратитесь к группе удостоверений, чтобы убедиться, что каталог синхронизируется достаточно быстро.
- Идентификатор Microsoft Entra активен и работоспособен.
- Microsoft Entra Connect работает правильно, и нет проблем с сервером синхронизации.
- Вы вручную выполняете
Add-Computerвход в подразделение, предоставленное для облачных компьютеров. Время, сколько времени требуется для отображения этого объекта компьютера в идентификаторе Microsoft Entra.
Использование диапазона IP-адресов подсети Azure
В рамках установки ANC необходимо предоставить подсеть, к которой подключается облачный компьютер. Для каждого облачного компьютера подготовка создает виртуальный сетевой адаптер и использует IP-адрес из этой подсети.
Убедитесь, что достаточное выделение IP-адресов доступно для количества облачных компьютеров, которые требуется подготовить. Кроме того, запланируйте достаточное адресное пространство для подготовки сбоев и потенциального аварийного восстановления.
Если эта проверка завершается ошибкой, убедитесь, что вы:
- Проверьте подсеть в виртуальной сети Azure. У него должно быть достаточно адресного пространства.
- Убедитесь, что достаточно адресов для обработки трех повторных попыток подготовки, каждый из которых может храниться на сетевых адресах, используемых в течение нескольких часов.
- Удалите все неиспользуемые карты виртуальной сети (виртуальные сетевые адаптеры). Рекомендуется использовать выделенную подсеть для облачных компьютеров, чтобы убедиться, что другие службы не используют выделение IP-адресов.
- Разверните подсеть, чтобы сделать больше адресов доступными. Это невозможно сделать, если подключены устройства.
Во время попыток подготовки важно учитывать любые блокировки CanNotDelete, которые могут применяться на уровне группы ресурсов или выше. Если эти блокировки присутствуют, сетевые интерфейсы, созданные в процессе, не удаляются автоматически. Если они не удаляются автоматически, необходимо вручную удалить виртуальные сетевые адаптеры, прежде чем повторить попытку.
Во время попыток подготовки важно учитывать все существующие блокировки на уровне группы ресурсов или выше. Если эти блокировки присутствуют, сетевые интерфейсы, созданные в процессе, не будут автоматически удалены. При возникновении события необходимо вручную удалить виртуальные сетевые адаптеры, прежде чем повторить попытку.
Готовность клиента Azure
При выполнении проверок убедитесь, что указанная подписка Azure действительна и работоспособна. Если это недопустимо и работоспособно, мы не можем подключить облачные компьютеры к виртуальной сети во время подготовки. Такие проблемы, как выставление счетов, могут привести к отключению подписок.
Многие организации используют политики Azure, чтобы убедиться, что ресурсы подготовлены только в определенных регионах и службах. Убедитесь, что все политики Azure рассматривают службу облачных компьютеров и поддерживаемые регионы.
Войдите в портал Azure и убедитесь, что подписка Azure включена, действительна и работоспособна.
Кроме того, посетите портал Azure и просмотрите политики. Убедитесь, что политики не блокируют создание ресурсов.
Готовность виртуальной сети Azure
При создании ANC мы блокируем использование любой виртуальной сети, расположенной в неподдерживаемом регионе. Список поддерживаемых регионов см. в разделе "Требования".
Если эта проверка завершается ошибкой, убедитесь, что виртуальная сеть указана в регионе в списке поддерживаемых регионов.
DNS может разрешить домен Active Directory
Для успешного присоединения к домену Windows 365 облачные компьютеры, подключенные к виртуальной сети, должны иметь возможность разрешать внутренние DNS-имена.
Этот тест пытается разрешить указанное доменное имя. Например, contoso.com или contoso.local. Если этот тест завершается ошибкой, убедитесь, что:
- DNS-серверы в виртуальной сети Azure правильно настроены на внутренний DNS-сервер, который может успешно разрешить доменное имя.
- Подсеть или виртуальная сеть правильно направляется таким образом, чтобы облачный компьютер смог получить доступ к предоставленному DNS-серверу.
- Облачные компьютеры и виртуальные машины в объявленной подсети могут
NSLOOKUPна DNS-сервере и отвечают внутренним именам.
Наряду со стандартным поиском DNS по указанному доменному имени мы также проверяем наличие _ldap._tcp.yourDomain.com записей. Эта запись указывает, что DNS-сервер предоставляется контроллером домена Active Directory. Запись является надежным способом подтверждения доступности DNS домена AD. Убедитесь, что эти записи доступны через виртуальную сеть, предоставленную в ANC.
Подключение к конечной точке
Во время подготовки облачные компьютеры должны подключаться к нескольким общедоступным службы Майкрософт. К этим службам относятся Microsoft Intune, идентификатор Microsoft Entra и виртуальный рабочий стол Azure.
Необходимо убедиться, что все необходимые общедоступные конечные точки можно получить из подсети, используемой облачными компьютерами.
Если этот тест завершается ошибкой, убедитесь, что:
- Средства устранения неполадок с виртуальной сетью Azure используются для обеспечения доступа к конечным точкам службы, перечисленным в документации.
- Dns-сервер, предоставленный, может правильно разрешать внешние службы.
- Прокси-сервер между подсетью Cloud PC и Интернетом отсутствует.
- Нет правил брандмауэра (физических, виртуальных или в Windows), которые могут блокировать необходимый трафик.
- Вы рассмотрите возможность тестирования конечных точек из виртуальной машины в той же подсети, объявленной для облачных компьютеров.
Если вы не используете Azure CloudShell, убедитесь, что политика выполнения PowerShell настроена для разрешения неограниченных сценариев. Если вы используете групповую политику для установки политики выполнения, убедитесь, что объект групповой политики , предназначенный для подразделения, определенного в ANC, настроен для разрешения неограниченных сценариев. Дополнительные сведения см. в разделе Set-ExecutionPolicy.
Среда и конфигурация готовы
Эта проверка используется для многих проблем, связанных с инфраструктурой, которые могут быть связаны с инфраструктурой, за которую отвечают клиенты. Она может включать такие ошибки, как время ожидания внутренней службы или ошибки, вызванные удалением или изменением ресурсов Azure во время выполнения проверок.
Рекомендуется повторить проверку, если возникла эта ошибка. Если он сохраняется, обратитесь в службу поддержки.
Разрешения приложения первой стороны
При создании ANC мастер предоставляет определенный уровень разрешений для группы ресурсов и подписки. Эти разрешения позволяют службе плавно подготавливать облачные компьютеры.
Администраторы Azure, имеющие такие разрешения, могут просматривать и изменять их.
Если какие-либо из этих разрешений отозваны, эта проверка завершается ошибкой. Убедитесь, что следующие разрешения предоставляются субъекту-службе приложение Windows 365 ликации:
- Роль читателя в подписке Azure.
- Роль участника сетевого интерфейса Windows365 в указанной группе ресурсов.
- Роль сетевого пользователя Windows365 в виртуальной сети.
Назначение ролей в подписке предоставляется субъекту-службе Cloud PC.
Кроме того, убедитесь, что разрешения не предоставляются в качестве ролей администратора классических подписок или ролей (классических). Эта роль недостаточно. Это должна быть одна из встроенных ролей управления доступом на основе ролей Azure, как указано ранее.