Felsöka Azure-nätverksanslutningar

Azure-nätverksanslutningen (ANC) kontrollerar regelbundet din miljö för att se till att alla krav uppfylls och att den är i ett felfritt tillstånd. Om en kontroll misslyckas kan du se felmeddelanden i administrationscentret för Microsoft Intune. Den här guiden innehåller några ytterligare instruktioner för felsökningsproblem som kan orsaka att kontrollerna misslyckas.

Active Directory-domänanslutning

När en molndator etableras ansluts den automatiskt till den angivna domänen. För att testa domänanslutningsprocessen skapas ett domändatorobjekt i den definierade organisationsenheten (OU) med ett namn som liknar "CPC-Hth" varje gång Windows 365-hälsokontroller körs. Dessa datorobjekt inaktiveras när hälsokontrollen är klar. Active Directory-domänanslutningsfel kan inträffa av många orsaker. Om domänanslutningen misslyckas kontrollerar du att:

• Domänanslutningsanvändaren har tillräcklig behörighet för att ansluta till den angivna domänen.
• Domänanslutningsanvändaren kan skriva till den angivna organisationsenheten.
• Domänanslutningsanvändaren är inte begränsad till hur många datorer de kan ansluta till. Till exempel är det maximala standardantalet kopplingar per användare 10, och det högsta antalet kan påverka etableringen av molndatorer.
• Det undernät som används kan nå en domänkontrollant.
• Du testar Add-Computer med autentiseringsuppgifterna för domänanslutning på en virtuell dator (VM) som är ansluten till cloud pc vNet/undernätet.
• Du felsöker domänanslutningsfel som alla fysiska datorer i din organisation.
• Om du har ett domännamn som kan matchas på Internet (till exempel contoso.com) kontrollerar du att DNS-servrarna (Domain Name System) är konfigurerade som interna. Kontrollera också att de kan matcha DNS-poster för Active Directory-domänen, inte ditt offentliga domännamn.

Microsoft Entra-enhetssynkronisering

Innan registrering av hantering av mobila enheter (MDM) kan ske under etableringen måste ett Microsoft Entra-ID-objekt finnas för molndatorn. Den här kontrollen är avsedd att se till att organisationens datorkonton synkroniseras med Microsoft Entra-ID i tid.

Kontrollera att dina Microsoft Entra-datorobjekt visas snabbt i Microsoft Entra-ID: t. Vi rekommenderar att de visas inom 30 minuter och inte längre än 60 minuter. Om datorobjektet inte tas emot i Microsoft Entra-ID inom 90 minuter misslyckas etableringen.

Om etableringen misslyckas kontrollerar du att:

• Konfigurationen av synkroniseringsperioden på Microsoft Entra-ID är korrekt inställd. Tala med ditt identitetsteam för att se till att katalogen synkroniseras tillräckligt snabbt.
• Ditt Microsoft Entra-ID är aktivt och hälsosamt.
• Microsoft Entra Connect körs korrekt och det finns inga problem med synkroniseringsservern.
• Du utför en Add-Computer manuellt i den organisationsenhet som tillhandahålls för molndatorer. Tid hur lång tid det tar för datorobjektet att visas i Microsoft Entra-ID.

Användning av IP-adressintervall för Azure-undernät

Som en del av ANC-installationen måste du ange ett undernät som Cloud PC ansluter till. För varje molndator skapar etablering ett virtuellt nätverkskort och använder en IP-adress från det här undernätet.

Se till att tillräcklig IP-adressallokering är tillgänglig för det antal molndatorer som du förväntar dig att etablera. Planera också tillräckligt med adressutrymme för etableringsfel och potentiell haveriberedskap.

Om den här kontrollen misslyckas kontrollerar du att du:

• Kontrollera undernätet i det virtuella Azure-nätverket. Den bör ha tillräckligt med adressutrymme.
• Se till att det finns tillräckligt med adresser för att hantera tre etableringsförsök, som var och en kan innehålla de nätverksadresser som används i några timmar.
• Ta bort eventuella oanvända virtuella nätverkskort (vNICs). Det är bäst att använda ett dedikerat undernät för molndatorer för att se till att inga andra tjänster förbrukar allokeringen av IP-adresser.
• Expandera undernätet för att göra fler adresser tillgängliga. Detta kan inte slutföras om det finns enheter anslutna.

Under etableringsförsök är det viktigt att överväga eventuella CanNotDelete-lås som kan tillämpas på resursgruppsnivå eller högre. Om dessa lås finns tas inte de nätverksgränssnitt som skapats i processen bort automatiskt. Om de inte tas bort automatiskt måste du ta bort de virtuella nätverkskorten manuellt innan du kan försöka igen.

Under etableringsförsök är det viktigt att överväga eventuella befintliga lås på resursgruppsnivå eller högre. Om dessa lås finns tas inte de nätverksgränssnitt som skapades i processen bort automatiskt. Om händelsen inträffar måste du ta bort de virtuella nätverkskorten manuellt innan du kan försöka igen.

Beredskap för Azure-klientorganisation

När kontroller utförs kontrollerar vi att den angivna Azure-prenumerationen är giltig och felfri. Om det inte är giltigt och felfritt kan vi inte ansluta molndatorer tillbaka till ditt virtuella nätverk under etableringen. Problem som faktureringsproblem kan göra att prenumerationer inaktiveras.

Många organisationer använder Azure-principer för att se till att resurser endast etableras i vissa regioner och tjänster. Du bör se till att alla Azure-principer tar hänsyn till Cloud PC-tjänsten och de regioner som stöds.

Logga in på Azure Portal och kontrollera att Azure-prenumerationen är aktiverad, giltig och felfri.

Besök även Azure Portal och visa principer. Kontrollera att inga principer blockerar skapandet av resurser.

Beredskap för virtuella Azure-nätverk

När du skapar en ANC blockerar vi användningen av alla virtuella nätverk som finns i en region som inte stöds. En lista över regioner som stöds finns i Krav.

Om den här kontrollen misslyckas kontrollerar du att det virtuella nätverk som tillhandahålls finns i en region i listan över regioner som stöds.

DNS kan matcha Active Directory-domänen

För att Windows 365 ska kunna utföra en domänanslutning måste molndatorerna som är anslutna till det virtuella nätverket kunna matcha interna DNS-namn.

Det här testet försöker matcha det angivna domännamnet. Till exempel contoso.com eller contoso.local. Om det här testet misslyckas kontrollerar du att:

• DNS-servrarna i det virtuella Azure-nätverket är korrekt konfigurerade till en intern DNS-server som kan matcha domännamnet.
• Undernätet/vNet dirigeras korrekt så att molndatorn kan nå den angivna DNS-servern.
• Molndatorerna/de virtuella datorerna i det deklarerade undernätet kan NSLOOKUP på DNS-servern och svarar med interna namn.

Tillsammans med standard-DNS-sökningen på det angivna domännamnet kontrollerar vi även att det finns _ldap._tcp.yourDomain.com poster. Den här posten anger att den ANGIVNA DNS-servern är en Active Directory-domänkontrollant. Posten är ett tillförlitligt sätt att bekräfta att AD-domänens DNS kan nås. Kontrollera att de här posterna är tillgängliga via det virtuella nätverk som tillhandahålls i ANC.

Slutpunktsanslutning

Under etableringen måste molndatorer ansluta till flera offentligt tillgängliga Microsoft-tjänster. Dessa tjänster omfattar Microsoft Intune, Microsoft Entra ID och Azure Virtual Desktop.

Du måste se till att alla nödvändiga offentliga slutpunkter kan nås från det undernät som används av molndatorer.

Om det här testet misslyckas kontrollerar du att:

• Du använder felsökningsverktygen för virtuella Azure-nätverk för att säkerställa att det angivna virtuella nätverket/undernätet kan nå tjänstslutpunkterna som anges i dokumentet.
• Den angivna DNS-servern kan matcha de externa tjänsterna på rätt sätt.
• Det finns ingen proxy mellan Cloud PC-undernätet och Internet.
• Det finns inga brandväggsregler (fysiska, virtuella eller i Windows) som kan blockera nödvändig trafik.
• Du kan testa slutpunkterna från en virtuell dator på samma undernät som deklarerats för molndatorer.

Om du inte använder Azure CloudShell kontrollerar du att din PowerShell-körningsprincip är konfigurerad för att tillåta obegränsade skript. Om du använder grupprincip för att ange körningsprincip kontrollerar du att det grupprincip objekt (GPO) som är riktat mot den organisationsenhet som definierats i ANC har konfigurerats för att tillåta obegränsade skript. Mer information finns i Set-ExecutionPolicy.

Miljö och konfiguration är klara

Den här kontrollen används för många infrastrukturrelaterade problem som kan vara relaterade till infrastruktur som kunderna ansvarar för. Det kan innehålla fel som interna tidsgränser för tjänsten eller fel som orsakas av att kunder tar bort/ändrar Azure-resurser när kontroller körs.

Vi rekommenderar att du försöker kontrollera igen om det här felet uppstår. Kontakta supporten om den kvarstår.

Appbehörigheter från första part

När du skapar en ANC ger guiden en viss behörighetsnivå för resursgruppen och prenumerationen. Med de här behörigheterna kan tjänsten smidigt etablera molndatorer.

Azure-administratörer som har sådana behörigheter kan visa och ändra dem.

Om någon av dessa behörigheter återkallas misslyckas den här kontrollen. Kontrollera att följande behörigheter har beviljats tjänstens huvudnamn för Windows 365-app licering:

• Läsarroll i Azure-prenumerationen.
• Rollen Deltagare i Windows365-nätverksgränssnitt i den angivna resursgruppen.
• Windows365-nätverksanvändarroll i det virtuella nätverket.

Rolltilldelningen för prenumerationen beviljas tjänstens huvudnamn för Cloud PC.

Kontrollera också att behörigheterna inte beviljas som klassiska administratörsroller för prenumerationer eller roller (klassisk)." Den här rollen räcker inte. Det måste vara en av de inbyggda rollrollerna för rollbaserad åtkomstkontroll i Azure enligt föregående lista.

Nästa steg

Läs mer om ANC-hälsokontrollerna.