Solucionar los problemas de las conexiones de red de Azure.

La conexión de red de Azure (ANC) comprueba periódicamente el entorno para asegurarse de que todos los requisitos se cumplen y se encuentran en un estado correcto. Si se produce un error en alguna comprobación, puede ver mensajes de error en el centro de administración de Microsoft Intune. Esta guía contiene algunas instrucciones adicionales para solucionar problemas que pueden provocar errores en las comprobaciones.

Unión a un dominio de Active Directory

Cuando se aprovisiona un PC en la nube, se une de forma automática al dominio proporcionado. Para probar el proceso de unión a un dominio, se crea un objeto de equipo de dominio en la unidad organizativa (OU) definida con un nombre similar a "CPC-Hth" cada vez que se ejecutan comprobaciones de mantenimiento de Windows 365. Estos objetos de equipo se deshabilitan cuando se completa la comprobación de estado. Los errores de unión a un dominio de Active Directory se pueden producir por muchos motivos. Si se produce un error en la unión al dominio, asegúrese de que:

• El usuario de unión a un dominio tiene permisos suficientes para unirse al dominio proporcionado.
• El usuario de unión a un dominio puede escribir en la unidad organizativa (UO) proporcionada.
• No existen restricciones en la cantidad de equipos a los que puede unirse el usuario que se une al dominio. Por ejemplo, el máximo predeterminado de combinaciones por usuario es 10 y esto puede afectar al aprovisionamiento del PC en la nube.
• La subred que se usa puede llegar a un controlador de dominio.
• Puede probar Add-Computer con las credenciales de unión a un dominio en una máquina virtual conectada a la red virtual o subred del PC en la nube.
• Solucione los errores de unión a un dominio como en cualquier equipo físico de la organización.
• Si tiene un nombre de dominio que se puede resolver en Internet (por ejemplo, contoso.com), asegúrese de que los servidores DNS están configurados como internos. Además, asegúrese de que pueden resolver registros DNS de dominio de Active Directory y no el nombre de dominio público.

sincronización del dispositivo Microsoft Entra

Antes de que se pueda realizar la inscripción de MDM durante el aprovisionamiento, debe haber un objeto de identificador de Microsoft Entra para el equipo en la nube. Esta comprobación está pensada para asegurarse de que las cuentas de equipo de las organizaciones se sincronizan con Microsoft Entra identificador de forma oportuna.

Asegúrese de que los objetos de equipo de Microsoft Entra aparecen rápidamente en Microsoft Entra identificador. Se recomienda en un plazo de 30 minutos y no superior a 60 minutos. Si el objeto de equipo no llega en Microsoft Entra identificador en un plazo de 90 minutos, se produce un error en el aprovisionamiento.

Si se produce un error en el aprovisionamiento, asegúrese de que:

• La configuración del período de sincronización en Microsoft Entra id. se establece correctamente. Hable con el equipo de identidades para asegurarse de que el directorio se sincroniza con la rapidez suficiente.
• El identificador de Microsoft Entra está activo y en buen estado.
• Microsoft Entra Connect se ejecuta correctamente y no hay ningún problema con el servidor de sincronización.
• Realiza manualmente una operación Add-Computer en la unidad organizativa proporcionada para los PC en la nube. Tiempo que tarda ese objeto de equipo en aparecer en Microsoft Entra identificador.

Uso del intervalo de direcciones IP de la subred de Azure

Como parte de la configuración de ANC, debe proporcionar una subred. Esta subred se usa para todos los PC en la nube durante el proceso de aprovisionamiento. Cada equipo en la nube, el aprovisionamiento crea una NIC virtual y consume una dirección IP de la subred.

Asegúrese de que hay suficientes asignaciones de direcciones IP disponibles para el volumen de los PC en la nube que se espera aprovisionar. Además, planee suficiente espacio de direcciones para los errores de aprovisionamiento y la posible recuperación ante desastres.

Si se produce un error en esta comprobación, asegúrese de que:

• Comprueba la subred en Azure Virtual Network. Debe tener suficiente espacio de direcciones disponible.
• Hay direcciones suficientes para controlar tres reintentos de aprovisionamiento, y en cada uno se pueden retener las direcciones de red usadas durante unas horas.
• Debe limpiar las direcciones IP y las vNIC sin usar. Es mejor usar una subred dedicada para los PC en la nube solo para asegurarse de que ningún otro servicio consume la asignación.
• Expanda la subred para que haya más direcciones disponibles.

Preparación para inquilinos de Azure

Cuando se realizan comprobaciones, se comprueba que la suscripción de Azure proporcionada es válida y está en buen estado. Si no es válida y no está en buen estado, los PC en la nube no se pueden conectar a la red virtual durante el aprovisionamiento. Problemas como los de facturación pueden hacer que las suscripciones se deshabiliten.

Muchas organizaciones usan directivas de Azure para asegurarse de que los recursos solo se aprovisionan en determinadas regiones y servicios. Debe asegurarse de que las directivas de Azure han tenido en cuenta el servicio de PC en la nube y las regiones admitidas.

Inicie sesión en Azure Portal y asegúrese de que la suscripción de Azure está habilitada, es válida y está en buen estado.

Además, visite el Azure Portal y vea Directivas. Asegúrese de que no haya directivas que bloqueen la creación de recursos.

Preparación de la red virtual de Azure

Al crear un ANC, se bloquea el uso de cualquier red virtual ubicada en una región no admitida. Para obtener una lista de las regiones admitidas, vea Requisitos.

Si se produce un error en esta comprobación, asegúrese de que la red virtual proporcionada se encuentra en una región de la lista de regiones admitidas.

DNS puede resolver el dominio de Active Directory

Para que Windows 365 realice correctamente la unión a un dominio, los PC en la nube conectados a la red virtual proporcionada deben ser capaces de resolver nombres DNS internos.

Esta prueba intenta resolver el nombre de dominio proporcionado. Por ejemplo: contoso.com o contoso.local. Si se produce un error en esta prueba, asegúrese de que:

• Los servidores DNS de la red virtual de Azure están configurados correctamente en un servidor DNS interno que puede resolver correctamente el nombre de dominio.
• La subred o red virtual se enruta correctamente para que el PC en la nube pueda acceder al servidor DNS proporcionado.
• Las máquinas virtuales o PC en la nube de la subred declarada pueden ejecutar NSLOOKUP en el servidor DNS y que este responde con nombres internos.

Junto con la búsqueda de DNS estándar en el nombre de dominio proporcionado, también comprobamos la existencia de registros _ldap._tcp.yourDomain.com. Este registro indica que el servidor DNS proporcionado es un controlador de dominio de Active Directory. El registro es una manera confiable de confirmar que se puede acceder al DNS del dominio de AD. Asegúrese de que estos registros sean accesibles a través de la red virtual proporcionada en la conexión de red de Azure.

Conectividad de punto de conexión

Durante el aprovisionamiento, los PC en la nube se deben conectar a varios servicios de Microsoft disponibles públicamente. Estos servicios incluyen Microsoft Intune, identificador de Microsoft Entra y Azure Virtual Desktop.

Debe asegurarse de que se puede acceder a todos los puntos de conexión públicos necesarios desde la subred que usan los PC en la nube.

Si se produce un error en esta prueba, asegúrese de que:

• Usa las herramientas de solución de problemas de Azure Virtual Network para asegurarse de que la red virtual o la subred proporcionada pueda acceder a los puntos de conexión de servicio enumerados en la documentación.
• El servidor DNS proporcionado puede resolver los servicios externos de forma correcta.
• No hay ningún proxy entre la subred del PC en la nube e Internet.
• No hay ninguna regla de firewall (físico, virtual o en Windows) que pueda bloquear el tráfico necesario.
• Considera la posibilidad de probar los puntos de conexión desde una máquina virtual en la misma subred declarada para los PC en la nube.

El entorno y la configuración están listos

Esta comprobación se usa para muchos problemas que podrían estar relacionados con la infraestructura de la que los clientes son responsables. Puede incluir errores como los tiempos de espera de servicio internos o los causados por los clientes que eliminan o cambian recursos de Azure mientras se ejecutan las comprobaciones.

Se recomienda reintentar las comprobaciones si se encuentra este error. Si persiste, póngase en contacto con el soporte técnico para obtener ayuda.

Permisos de aplicación de primera entidad

Al crear un ANC, el asistente concede un determinado nivel de permisos en el grupo de recursos y la suscripción. Con estos permisos el servicio puede aprovisionar sin problemas los PC en la nube.

Los administradores de Azure que tienen estos permisos pueden verlos y modificarlos.

Si se revoca alguno de estos permisos, se produce un error en esta comprobación. Asegúrese de que se conceden los permisos siguientes a la entidad de servicio de la aplicación de Windows 365:

• Rol Lector en la suscripción de Azure.
• Rol Colaborador de interfaz de red de Windows365 en el grupo de recursos especificado.
• Rol Usuario de red de Windows365 en la red virtual.

La asignación de roles en la suscripción se concede a la entidad de servicio de PC en la nube.

Además, asegúrese de que los permisos no se han concedido como roles de administrador de suscripciones clásicas o "Roles (clásicos)". Este rol no es suficiente. Debe ser uno de los roles integrados de control de acceso basado en rol de Azure, como se ha indicado anteriormente.

Siguientes pasos

Obtenga información sobre las comprobaciones de estado de ANC.