排查 Azure 网络连接问题

Azure 网络连接（ANC）会定期检查环境，以确保满足所有要求，并且它处于正常状态。 如果任何检查失败，可以在 Microsoft Intune 管理中心看到错误消息。 本指南包含一些有关排查可能导致检查失败的问题的进一步说明。

Active Directory 域加入

预配云电脑后，它会自动加入提供的域。 若要测试域加入过程，每次运行 Windows 365 运行状况检查时，都会在定义的组织单位（OU）中创建一个域计算机对象，其名称类似于“CPC-Hth”。 运行状况检查完成后，将禁用这些计算机对象。 由于多种原因，Active Directory 域加入失败。 如果域加入失败，请确保：

• 域加入用户有足够的权限来加入提供的域。
• 域加入用户可以写入提供的 OU。
• 在可以加入的计算机数量中，域加入用户不受限制。 例如，每个用户的默认最大联接数为 10，此最大值可能会影响云电脑预配。
• 正在使用的子网可以访问域控制器。
• 在连接到云电脑 vNet/子网的虚拟机（VM）上使用域加入凭据进行测试 Add-Computer 。
• 可以像组织中的任何物理计算机一样对域加入失败进行故障排除。
• 如果你有可在 Internet 上解析的域名（例如 contoso.com），请确保域名系统（DNS）服务器配置为内部。 此外，请确保它们可以解析 Active Directory 域 DNS 记录，而不是公共域名。

Microsoft Entra 设备同步

在预配期间可以进行移动设备管理（MDM）注册之前，云电脑必须存在Microsoft Entra ID 对象。 此检查旨在确保组织计算机帐户及时同步到 Microsoft Entra ID。

确保Microsoft Entra 计算机对象快速显示在 Microsoft Entra ID 中。 建议它们显示在 30 分钟内，不超过 60 分钟。 如果计算机对象在 90 分钟内未到达 Microsoft Entra ID，则预配将失败。

如果预配失败，请确保：

• 正确设置Microsoft Entra ID 上的同步周期配置。 与标识团队交谈，确保目录同步速度足够快。
• Microsoft Entra ID 处于活动状态且正常。
• Microsoft Entra Connect 正常运行，并且同步服务器没有问题。
• 手动执行 Add-Computer 云电脑提供的 OU。 Microsoft Entra ID 中显示该计算机对象所需的时间。

Azure 子网 IP 地址范围使用情况

作为 ANC 设置的一部分，需要提供云电脑连接到的子网。 对于每个云电脑，预配会创建一个虚拟 NIC，并使用此子网中的 IP 地址。

确保有足够的 IP 地址分配可用于要预配的云电脑数。 此外，规划足够的地址空间来预配故障和潜在的灾难恢复。

如果此检查失败，请确保：

• 检查 Azure 虚拟网络中的子网。 它应该有足够的地址空间可用。
• 确保有足够的地址来处理三次预配重试，其中每个重试可能保留几个小时的网络地址。
• 删除任何未使用的虚拟网络接口卡（vNIC）。 最好为云电脑使用专用子网，以确保没有其他服务使用 IP 地址分配。
• 展开子网，使更多地址可用。 如果连接了设备，则无法完成此操作。

在预配尝试期间，请务必考虑可能在资源组级别或更高级别应用的任何 CanNotDelete 锁。 如果存在这些锁，则不会自动删除进程中创建的网络接口。 如果未自动删除它们，则必须手动删除 vNIC，然后才能重试。

在预配尝试期间，请务必考虑资源组级别或更高级别的任何现有锁。 如果存在这些锁，则不会自动删除进程中创建的网络接口。 如果事件发生，则必须手动删除 vNIC，然后才能重试。

Azure 租户就绪情况

执行检查时，我们将检查提供的 Azure 订阅是否有效且正常。 如果它无效且正常，则无法在预配期间将云电脑连接到虚拟网络。 计费问题等问题可能会导致订阅被禁用。

许多组织使用 Azure 策略来确保仅将资源预配到某些区域和服务中。 应确保任何 Azure 策略都考虑云电脑服务和受支持的区域。

登录到Azure 门户，并确保 Azure 订阅已启用、有效且正常运行。

此外，请访问Azure 门户并查看策略。 确保没有策略阻止资源创建。

Azure 虚拟网络就绪情况

创建 ANC 时，我们将阻止使用位于不受支持的区域的任何虚拟网络。 有关支持区域的列表，请参阅 “要求”。

如果此检查失败，请确保提供的虚拟网络位于受支持的区域列表中。

DNS 可以解析 Active Directory 域

要使 Windows 365 成功执行域加入，附加到提供的虚拟网络的云电脑必须能够解析内部 DNS 名称。

此测试尝试解析提供的域名。 例如，contoso.com 或 contoso.local。 如果此测试失败，请确保：

• Azure 虚拟网络中的 DNS 服务器已正确配置为能够成功解析域名的内部 DNS 服务器。
• 子网/vNet 已正确路由，以便云电脑可以访问提供的 DNS 服务器。
• 声明子网中的云电脑/VM 可以在 NSLOOKUP DNS 服务器上使用内部名称进行响应。

除了提供域名的标准 DNS 查找之外，我们还检查 _ldap._tcp.yourDomain.com 是否存在记录。 此记录指示提供的 DNS 服务器是 Active Directory 域控制器。 记录是确认可访问 AD 域 DNS 的可靠方法。 请确保可以通过 ANC 中提供的虚拟网络访问这些记录。

终结点连接

在预配期间，云电脑必须连接到多个公开可用的Microsoft 服务。 这些服务包括 Microsoft Intune、Microsoft Entra ID 和 Azure 虚拟桌面。

必须确保可以从云电脑使用的子网访问所有 必需的公共终结点 。

如果此测试失败，请确保：

• 使用 Azure 虚拟网络故障排除工具来确保提供的 vNet/子网可以访问文档中列出的服务终结点。
• 提供的 DNS 服务器可以正确解析外部服务。
• 云电脑子网与 Internet 之间没有代理。
• 没有防火墙规则（物理、虚拟或 Windows 中）可能会阻止所需的流量。
• 请考虑从为云电脑声明的同一子网上的 VM 测试终结点。

如果不使用 Azure CloudShell，请确保 PowerShell 执行策略配置为允许 不受限制 的脚本。 如果使用组策略设置执行策略，请确保将针对 ANC 中定义的 OU 的组策略对象（GPO）配置为允许 不受限制 的脚本。 有关详细信息，请参阅 Set-ExecutionPolicy。

环境和配置已准备就绪

此检查用于许多与基础结构相关的问题，这些问题可能与客户负责的基础结构相关。 它可以包括内部服务超时或客户在运行检查时删除/更改 Azure 资源导致的错误。

如果遇到此错误，建议重试检查。 如果仍然存在，请联系支持人员获取帮助。

第一方应用权限

创建 ANC 时，向导会授予对资源组和订阅的特定权限级别。 这些权限允许服务顺利预配云电脑。

持有此类权限的 Azure 管理员可以查看和修改这些权限。

如果撤销了其中任一权限，则此检查将失败。 确保向 Windows 365 应用lication 服务主体授予以下权限：

• Azure 订阅上的读取者 角色。
• 指定资源组上的 Windows365 网络接口参与者 角色。
• 虚拟网络上的 Windows365 网络用户 角色。

订阅上的角色分配将授予云电脑服务主体。

此外，请确保未将权限授予为 经典订阅管理员角色 或“角色（经典）。”此角色是不够的。 它必须是前面列出的 Azure 基于角色的访问控制内置角色之一。

后续步骤

了解 ANC 运行状况检查。