Azure 网络连接疑难解答
Azure 网络连接 (ANC) 定期检查环境,以确保所有要求都得到满足且处于正常运行状态。 如果任何检查失败,可以在Microsoft Intune管理中心看到错误消息。 本指南包含一些进一步的说明,用于排查可能导致检查失败的问题。
Active Directory 域加入
预配云电脑后,它会自动加入提供的域。 若要测试域加入过程,每次运行 Windows 365 运行状况检查时,都会在定义的组织单位 (OU) 中创建一个域计算机对象,其名称类似于“CPC-Hth”。 运行状况检查完成后,将禁用这些计算机对象。 出现 Active Directory 域加入失败的原因有很多。 如果域加入失败,请确保:
- 域加入用户具有足够的权限来加入提供的域。
- 域加入用户可以写入提供的组织单位 (OU)。
- 域加入用户可加入的计算机数量不受限制。 例如,每个用户的默认最大加入数为 10,但此最大值可能会影响云电脑预配。
- 使用的子网可以访问域控制器。
- ) 连接到云电脑 vNet/子网的 VM (虚拟机上使用域加入凭据测试 Add-Computer。
- 像组织中的任何物理计算机一样,排查域加入失败问题。
- 如果你有可以在 Internet 上解析的域名(例如 contoso.com),请确保 DNS 服务器配置为内部服务器。 此外,请确保它们可以解析 Active Directory 域 DNS 记录,而不是你的公共域名。
Microsoft Entra设备同步
在预配期间进行移动设备管理 (MDM) 注册之前,云电脑必须存在Microsoft Entra ID对象。 此检查旨在确保组织计算机帐户及时同步到Microsoft Entra ID。
确保Microsoft Entra计算机对象快速显示在Microsoft Entra ID中。 建议在 30 分钟内显示,且不超过 60 分钟。 如果计算机对象未在 90 分钟内到达 Microsoft Entra ID,预配将失败。
如果预配失败,请确保:
- Microsoft Entra ID上的同步周期配置已正确设置。 与标识团队沟通,确保目录同步的速度足够快。
- 你的Microsoft Entra ID是活跃和健康的。
- Microsoft Entra Connect 正常运行,并且同步服务器没有问题。
- 可以手动在为云电脑提供的 OU 中执行 Add-Computer。 该计算机对象在Microsoft Entra ID中显示所需的时间。
Azure 子网 IP 地址范围使用情况
作为 ANC 设置的一部分,需要提供云电脑将连接到的子网。 对于每台云电脑,预配会创建一个虚拟 NIC,并使用此子网中的 IP 地址。
确保有足够的 IP 地址分配可用于预期预配的云电脑数量。 此外,请规划足够的地址空间来处理预配故障和潜在的灾难恢复。
如果此检查失败,请确保:
- 检查 Azure 虚拟网络 中的子网。 它应由足够的可用地址空间。
- 确保有足够的地址来处理三次预配重试,每个重试都可以保留数小时的使用网络地址。
- 删除所有未使用的 vNIC。 最好为云电脑使用专用子网,以确保没有其他服务使用 IP 地址分配。
- 展开子网,使更多地址可用。 如果连接了设备,则无法完成此操作。
在预配尝试期间,请务必考虑可能在资源组级别或更高级别应用的任何 CanNotDelete 锁。 如果存在这些锁,则不会自动删除进程中创建的网络接口。 在它们不会自动删除中,必须先手动删除 vNIC,然后才能重试。
在预配尝试期间,请务必考虑资源组级别或更高级别的任何现有锁。 如果存在这些锁,则不会自动删除进程中创建的网络接口。 如果发生这种情况,必须先手动删除 vNIC,然后才能重试。
Azure 租户准备情况
执行检查时,我们将检查提供的 Azure 订阅是否有效且运行正常。 如果它无效且运行不正常,则我们无法在预配期间将云电脑连接回你的 vNet。 计费问题等问题可能导致订阅变为禁用状态。
许多组织使用 Azure 策略来确保仅将资源预配到某些区域和服务中。 应确保任何 Azure 策略都考虑云电脑服务和受支持的区域。
登录到 Azure 门户并确保 Azure 订阅已启用、有效且运行正常。
此外,请访问 Azure 门户并查看策略。 确保不存在阻止创建资源的策略。
Azure 虚拟网络就绪情况
创建 ANC 时,我们将阻止使用位于不受支持区域的任何 vNet。 有关受支持的区域的列表,请参阅要求。
如果此检查失败,请确保提供的 vNet 位于受支持区域列表中的区域。
DNS 可以解析 Active Directory 域
要使 Windows 365 成功执行域加入,附加到提供的 vNet 的云电脑必须能够解析内部 DNS 名称。
此测试尝试解析提供的域名。 例如 contoso.com 或 contoso.local。 如果此测试失败,请确保:
- Azure vNet 中的 DNS 服务器已正确配置为可以成功解析域名的内部 DNS 服务器。
- 子网/vNet 已正确路由,以便云电脑可以访问提供的 DNS 服务器。
- 声明的子网中的云电脑/虚拟机可以在 DNS 服务器上 NSLOOKUP,并使用内部名称进行响应。
除针对所提供域名进行标准 DNS 查找外,我们还检查是否存在 _ldap._tcp.yourDomain.com 记录。 此记录指示提供的 DNS 服务器是 Active Directory 域控制器。 记录是确认 AD 域 DNS 是否可以访问的可靠方法。 请确保可以通过 Azure 网络连接中提供的 vNet 访问这些记录。
终结点连接
在预配期间,云电脑必须连接到多个 Microsoft 公开可用的服务。 这些服务包括Microsoft Intune、Microsoft Entra ID和 Azure 虚拟桌面。
必须确保可以从云电脑使用的子网访问所有 必需的公共终结点 。
如果此测试失败,请确保:
- 使用 Azure 虚拟网络故障排除工具确保提供的 vNet/子网可以访问文档中列出的服务终结点。
- 提供的 DNS 服务器可以正确解析外部服务。
- 云电脑子网和 Internet 之间没有代理。
- 没有可能阻止所需流量的防火墙规则(物理、虚拟或在 Windows 中)。
- 请考虑从为云电脑声明的同一子网中的 VM 测试终结点。
如果未使用 Azure CloudShell,请确保 PowerShell 执行策略配置为允许不受限制的脚本。 如果使用组策略设置执行策略,请确保针对 ANC 中定义的组织单位 (OU) 的组策略对象 (GPO) 配置为允许不限制的脚本。 有关详细信息,请参阅 Set-ExecutionPolicy。
环境和配置已准备就绪
此检查用于许多与基础结构相关的问题,这些问题可能与客户负责的基础结构相关。 这可能包括内部服务超时等错误,或客户在检查运行时删除/更改 Azure 资源所导致的错误。
如果遇到此错误,建议重试检查。 如果问题仍然存在,请联系支持人员寻求帮助。
第一方应用权限
创建 ANC 时,向导会授予对资源组和订阅一定级别的权限。 借助这些权限,服务能够顺利预配云电脑。
拥有此类权限的 Azure 管理员可以查看和修改这些权限。
如果撤销了这些权限中的任何一个,则此检查将失败。 确保向 Windows 365 应用程序服务主体授予以下权限:
- Azure 订阅上的读取者角色。
- 指定资源组上的 Windows365 网络接口参与者角色。
- 虚拟网络上的 Windows365 网络用户 角色。
订阅上的角色分配将授予云电脑服务主体。
此外,请确保未将权限授予为 经典订阅管理员角色 或“经典) 角色 (”。 此角色是不够的。 它必须是前面列出的 Azure 基于角色的访问控制内置角色之一。