Problembehandlung bei Azure-Netzwerkverbindungen
Die Azure-Netzwerkverbindung (ANC) überprüft in regelmäßigen Abständen Ihre Umgebung, um sicherzustellen, dass alle Anforderungen erfüllt sind und sich in einem fehlerfreien Zustand befinden. Wenn bei einer Überprüfung ein Fehler auftritt, werden im Microsoft Intune Admin Center Fehlermeldungen angezeigt. Diese Anleitung enthält einige weitere Anweisungen zur Behandlung von Problemen, die zu Fehlern bei Überprüfungen führen können.
Active Directory-Domänenbeitritt
Wenn ein Cloud-PC bereitgestellt wird, wird er automatisch in die bereitgestellte Domäne eingebunden. Zum Testen des Domänenbeitrittsprozesses wird jedes Mal, wenn Windows 365-Integritätsprüfungen ausgeführt werden, ein Domänencomputerobjekt in der definierten Organisationseinheit (OU) mit einem ähnlichen Namen wie "CPC-Hth" erstellt. Diese Computerobjekte werden deaktiviert, wenn die Integritätsprüfung abgeschlossen ist. Fehler beim Beitritt zur Active Directory-Domäne können aus vielen Gründen auftreten. Wenn der Domänenbeitritt fehlschlägt, stellen Sie Folgendes sicher:
- Der Benutzer für den Domänenbeitritt verfügt über ausreichende Berechtigungen zum Beitreten zur bereitgestellten Domäne.
- Der Benutzer für den Domänenbeitritt kann in die bereitgestellte Organisationseinheit schreiben.
- Für den Benutzer für den Domänenbeitritt gelten keine Einschränkungen bei der Anzahl der Computer, denen er beitreten kann. Beispielsweise beträgt die maximale Standardanzahl von Beitritten pro Benutzer 10, und dieses Maximum kann sich auf die Cloud-PC-Bereitstellung auswirken.
- Das verwendete Subnetz kann einen Domänencontroller erreichen.
- Sie testen Add-Computer mithilfe der Anmeldeinformationen für den Domänenbeitritt auf einem virtuellen Computer (virtueller Computer), der mit dem VNET/Subnetz des Cloud-PCs verbunden ist.
- Sie beheben Fehler beim Domänenbeitritt wie bei allen physischen Computern in Ihrer Organisation.
- Wenn Sie über einen Domänennamen verfügen, der im Internet aufgelöst werden kann (z. B. contoso.com), stellen Sie sicher, dass Ihre DNS-Server als intern konfiguriert sind. Stellen Sie außerdem sicher, dass sie Active Directory-Domänen-DNS-Einträge und nicht Ihren öffentlichen Domänennamen auflösen können.
Microsoft Entra-Gerätesynchronisierung
Bevor die Registrierung für die Verwaltung mobiler Geräte (MDM) während der Bereitstellung erfolgen kann, muss ein Microsoft Entra ID-Objekt für den Cloud-PC vorhanden sein. Mit dieser Überprüfung soll sichergestellt werden, dass die Computerkonten Ihrer Organisation zeitnah mit der Microsoft Entra-ID synchronisiert werden.
Stellen Sie sicher, dass Ihre Microsoft Entra-Computerobjekte schnell in der Microsoft Entra-ID angezeigt werden. Es wird empfohlen, innerhalb von 30 Minuten zu bleiben und nicht über 60 Minuten hinauszugehen. Wenn das Computerobjekt nicht innerhalb von 90 Minuten in der Microsoft Entra-ID eintrifft, schlägt die Bereitstellung fehl.
Wenn die Bereitstellung fehlschlägt, stellen Sie Folgendes sicher:
- Die Konfiguration des Synchronisierungszeitraums für die Microsoft Entra-ID ist entsprechend festgelegt. Wenden Sie sich an Ihr Identitätsteam, um sicherzustellen, dass Ihr Verzeichnis schnell genug synchronisiert wird.
- Ihre Microsoft Entra-ID ist aktiv und fehlerfrei.
- Microsoft Entra Connect wird ordnungsgemäß ausgeführt, und es gibt keine Probleme mit dem Synchronisierungsserver.
- Sie führen manuell ein Add-Computer in die Organisationseinheit aus, die für Cloud-PCs bereitgestellt wird. Zeit, wie lange es dauert, bis dieses Computerobjekt in der Microsoft Entra-ID angezeigt wird.
Verwenden des IP-Adressbereichs des Azure-Subnetzes
Im Rahmen des ANC-Setups müssen Sie ein Subnetz bereitstellen, mit dem der Cloud-PC eine Verbindung herstellt. Für jeden Cloud-PC erstellt die Bereitstellung eine virtuelle NIC und nutzt eine IP-Adresse aus diesem Subnetz.
Stellen Sie sicher, dass für die Anzahl der Cloud-PCs, die Sie bereitstellen möchten, eine ausreichende IP-Adresszuordnung verfügbar ist. Planen Sie außerdem genügend Adressraum für Bereitstellungsfehler und eine eventuelle Notfallwiederherstellung ein.
Wenn diese Überprüfung fehlschlägt, stellen Sie sicher, dass Sie:
- Überprüfen Sie das Subnetz in Azure Virtual Network. Es sollte genügend Adressraum verfügbar sein.
- Stellen Sie sicher, dass genügend Adressen vorhanden sind, um drei Bereitstellungsversuche zu verarbeiten, von denen jeder die verwendeten Netzwerkadressen einige Stunden lang halten kann.
- Entfernen Sie alle nicht verwendeten vNICs. Es empfiehlt sich, ein dediziertes Subnetz für Cloud-PCs zu verwenden, um sicherzustellen, dass keine anderen Dienste die Zuordnung von IP-Adressen nutzen.
- Erweitern Sie das Subnetz, um weitere Adressen verfügbar zu machen. Dies kann nicht abgeschlossen werden, wenn Geräte verbunden sind.
Bei bereitstellungsversuchen ist es wichtig, canNotDelete-Sperren zu berücksichtigen, die auf Ressourcengruppenebene oder höher angewendet werden können. Wenn diese Sperren vorhanden sind, werden die im Prozess erstellten Netzwerkschnittstellen nicht automatisch gelöscht. Wenn sie nicht automatisch gelöscht werden, müssen Sie die vNICs manuell entfernen, bevor Sie es erneut versuchen können.
Bei bereitstellungsversuchen ist es wichtig, alle vorhandenen Sperren auf Ressourcengruppenebene oder höher zu berücksichtigen. Wenn diese Sperren vorhanden sind, werden die im Prozess erstellten Netzwerkschnittstellen nicht automatisch gelöscht. In diesem Fall müssen Sie die vNICs manuell entfernen, bevor Sie den Vorgang wiederholen können.
Azure-Mandantenbereitschaft
Im Rahmen der Überprüfungen wird ermittelt, ob das bereitgestellte Azure-Abonnement gültig und fehlerfrei ist. Wenn es nicht gültig und fehlerfrei ist, können Cloud-PCs während der Bereitstellung nicht wieder mit Ihrem VNet verbunden werden. Probleme wie Abrechnungsprobleme können dazu führen, dass Abonnements deaktiviert werden.
Viele Organisationen verwenden Azure-Richtlinien, um sicherzustellen, dass Ressourcen nur in bestimmten Regionen und Diensten bereitgestellt werden. Sie sollten sicherstellen, dass alle Azure-Richtlinien den Cloud-PC-Dienst und die unterstützten Regionen berücksichtigen.
Melden Sie sich beim Azure-Portal an, und stellen Sie sicher, dass das Azure-Abonnement aktiviert, gültig und fehlerfrei ist.
Besuchen Sie außerdem das Azure-Portal, und zeigen Sie die Richtlinien an. Stellen Sie sicher, dass keine Richtlinien vorhanden sind, die die Ressourcenerstellung blockieren.
Bereitschaft virtueller Azure-Netzwerke
Beim Erstellen einer ANC wird die Verwendung beliebiger vNets in einer nicht unterstützten Region blockiert. Eine Liste der unterstützten Regionen finden Sie unter Anforderungen.
Wenn diese Überprüfung fehlschlägt, stellen Sie sicher, dass sich das bereitgestellte VNet in einer Region in der Liste der unterstützten Regionen befindet.
DNS kann Active Directory-Domäne auflösen
Damit Windows 365 erfolgreich einen Domänenbeitritt durchführen kann, müssen die Cloud-PCs, die mit dem bereitgestellten VNet verbunden sind, interne DNS-Namen auflösen können.
Dieser Test versucht, den angegebenen Domänennamen aufzulösen, z. B. „contoso.com“ oder „contoso.local“. Wenn dieser Test fehlschlägt, stellen Sie Folgendes sicher:
- Die DNS-Server im Azure-VNet sind ordnungsgemäß für einen internen DNS-Server konfiguriert, der den Domänennamen erfolgreich auflösen kann.
- Das Subnetz/VNet wird ordnungsgemäß weitergeleitet, sodass der Cloud-PC den bereitgestellten DNS-Server erreichen kann.
- Die Cloud-PCs/virtuellen Computer im deklarierten Subnetz können NSLOOKUP auf dem DNS-Server verwenden, und es werden interne Namen zurückgegeben.
Neben dem Standard der DNS-Suche für den angegebenen Domänennamen überprüfen wir auch, ob „_ldap._tcp.yourDomain.com“-Einträge vorhanden sind. Dieser Eintrag gibt an, dass der bereitgestellte DNS-Server ein Active Directory-Domänencontroller ist. Der Eintrag ist eine zuverlässige Möglichkeit, sicherzustellen, dass der DNS von AD Domain erreichbar ist. Stellen Sie sicher, dass auf diese Datensätze über das VNET zugegriffen werden kann, das in Ihrer Azure-Netzwerkverbindung bereitgestellt wird.
Endpunktkonnektivität
Während der Bereitstellung müssen Cloud-PCs Verbindungen mit mehreren öffentlich verfügbaren Microsoft-Diensten herstellen. Zu diesen Diensten gehören Microsoft Intune, Microsoft Entra ID und Azure Virtual Desktop.
Sie müssen sicherstellen, dass alle erforderlichen öffentlichen Endpunkte über das von Cloud-PCs verwendete Subnetz erreicht werden können.
Wenn dieser Test fehlschlägt, stellen Sie Folgendes sicher:
- Sie verwenden die Azure Virtual Network-Tools zur Problembehandlung, um sicherzustellen, dass das bereitgestellte VNet/Subnetz die in der Dokumentation aufgeführten Dienstendpunkte erreichen kann.
- Der bereitgestellte DNS-Server kann die externen Dienste ordnungsgemäß auflösen.
- Zwischen dem Cloud-PC-Subnetz und dem Internet ist kein Proxy vorhanden.
- Es gibt keine Firewallregeln (physisch, virtuell oder in Windows), die den erforderlichen Datenverkehr blockieren können.
- Sie sollten erwägen, die Endpunkte von einem virtuellen Computer im gleichen Subnetz zu testen, das für Cloud-PCs deklariert ist.
Umgebung und Konfiguration sind bereit
Diese Überprüfung wird für viele infrastrukturbezogene Probleme verwendet, die sich möglicherweise auf die Infrastruktur beziehen, für die Kunden verantwortlich sind. Dies kann Fehler wie interne Diensttimeouts oder Fehler umfassen, die durch das Löschen oder Ändern von Azure-Ressourcen durch Kunden während der Ausführung von Überprüfungen verursacht werden.
Es wird empfohlen, die Überprüfungen zu wiederholen, wenn Sie diesen Fehler feststellen. Wenn er weiterhin besteht, wenden Sie sich an den Support, um Hilfe zu erhalten.
Erstanbieter-App-Berechtigungen
Beim Erstellen einer ANC gewährt der Assistent eine bestimmte Berechtigungsstufe für die Ressourcengruppe und das Abonnement. Diese Berechtigungen ermöglichen dem Dienst die reibungslose Bereitstellung von Cloud-PCs.
Azure-Administratoren, die über solche Berechtigungen verfügen, können diese Berechtigungen anzeigen und ändern.
Wenn eine dieser Berechtigungen widerrufen wird, schlägt diese Überprüfung fehl. Stellen Sie sicher, dass dem Windows 365-Anwendungsdienstprinzipal die folgenden Berechtigungen erteilt werden:
- Rolle Leser für das Abonnement
- Rolle "Mitwirkender an der Windows365-Netzwerkschnittstelle " für die angegebene Ressourcengruppe.
- Windows365-Netzwerkbenutzerrolle im virtuellen Netzwerk.
Die Rollenzuweisung für das Abonnement wird dem Cloud-PC-Dienstprinzipal gewährt.
Stellen Sie außerdem sicher, dass die Berechtigungen nicht als klassische Abonnementadministratorrollen oder "Rollen (klassisch)" erteilt werden. Diese Rolle ist nicht ausreichend. Dabei muss es sich um eine der zuvor aufgeführten integrierten Rollen für die rollenbasierte Zugriffssteuerung in Azure sein.
Nächste Schritte
Feedback
Bald verfügbar: Im Laufe des Jahres 2024 werden wir GitHub-Issues stufenweise als Feedbackmechanismus für Inhalte abbauen und durch ein neues Feedbacksystem ersetzen. Weitere Informationen finden Sie unter https://aka.ms/ContentUserFeedback.
Feedback senden und anzeigen für