Problemen met Azure-netwerkverbindingen oplossen

De Azure-netwerkverbinding (ANC) controleert regelmatig uw omgeving om ervoor te zorgen dat aan alle vereisten wordt voldaan en of deze in een goede staat zijn. Als een controle mislukt, ziet u foutberichten in het Microsoft Intune-beheercentrum. Deze handleiding bevat enkele verdere instructies voor het oplossen van problemen die ertoe kunnen leiden dat controles mislukken.

Active Directory-domeindeelname

Wanneer een cloud-pc wordt ingericht, wordt deze automatisch toegevoegd aan het opgegeven domein. Om het domeindeelnameproces te testen, wordt er een domeincomputerobject gemaakt in de gedefinieerde organisatie-eenheid (OE) met een naam die lijkt op 'CPC-Hth' telkens wanneer de statuscontroles van Windows 365 worden uitgevoerd. Deze computerobjecten worden uitgeschakeld wanneer de statuscontrole is voltooid. Een fout bij het toevoegen van Active Directory-domeinen kan om verschillende redenen optreden. Als de domeindeelname mislukt, controleert u het volgende:

• De gebruiker die lid is van het domein, heeft voldoende machtigingen om lid te worden van het opgegeven domein.
• De gebruiker die lid is van het domein, kan schrijven naar de organisatie-eenheid (OE) die is opgegeven.
• De gebruiker die lid is van een domein, is niet beperkt tot het aantal computers dat kan worden gekoppeld. Het standaard maximum aantal joins per gebruiker is bijvoorbeeld 10 en dit maximum kan van invloed zijn op de inrichting van cloud-pc's.
• Het subnet dat wordt gebruikt, kan een domeincontroller bereiken.
• U test Add-Computer met behulp van de referenties voor domeindeelname op een VM (virtuele machine) die is verbonden met het vNet/subnet van de cloud-pc.
• U kunt fouten met domeindeelname oplossen, zoals elke fysieke computer in uw organisatie.
• Als u een domeinnaam hebt die kan worden omgezet op internet (zoals contoso.com), controleert u of uw DNS-servers zijn geconfigureerd als intern. Zorg er ook voor dat ze DNS-records voor Active Directory-domeinen kunnen omzetten en niet uw openbare domeinnaam.

Microsoft Entra-apparaatsynchronisatie

Voordat mdm-inschrijving (Mobile Device Management) kan plaatsvinden tijdens het inrichten, moet er een Microsoft Entra ID-object aanwezig zijn voor de cloud-pc. Deze controle is bedoeld om ervoor te zorgen dat de computeraccounts van uw organisatie tijdig worden gesynchroniseerd met Microsoft Entra ID.

Zorg ervoor dat uw Microsoft Entra-computerobjecten snel worden weergegeven in Microsoft Entra ID. We raden u aan binnen 30 minuten en niet langer dan 60 minuten. Als het computerobject niet binnen 90 minuten in Microsoft Entra ID aankomt, mislukt het inrichten.

Als het inrichten mislukt, controleert u het volgende:

• De configuratie van de synchronisatieperiode op Microsoft Entra ID is juist ingesteld. Neem contact op met uw identiteitsteam om ervoor te zorgen dat uw directory snel genoeg wordt gesynchroniseerd.
• Uw Microsoft Entra-id is actief en in orde.
• Microsoft Entra Connect wordt correct uitgevoerd en er zijn geen problemen met de synchronisatieserver.
• U voert handmatig een Add-Computer uit in de organisatie-eenheid die is opgegeven voor cloud-pc's. Tijd hoe lang het duurt voordat dat computerobject wordt weergegeven in Microsoft Entra ID.

Ip-adresbereik van Azure-subnet

Als onderdeel van de ANC-installatie moet u een subnet opgeven waarmee de cloud-pc verbinding maakt. Voor elke cloud-pc maakt inrichting een virtuele NIC en gebruikt een IP-adres van dit subnet.

Zorg ervoor dat er voldoende IP-adrestoewijzing beschikbaar is voor het aantal cloud-pc's dat u verwacht in te richten. Plan ook voldoende adresruimte voor inrichtingsfouten en mogelijk herstel na noodgevallen.

Als deze controle mislukt, controleert u of u het volgende doet:

• Controleer het subnet in Azure Virtual Network. Er moet voldoende adresruimte beschikbaar zijn.
• Zorg ervoor dat er voldoende adres is voor het afhandelen van drie nieuwe pogingen voor inrichting, die elk de netwerkadressen een paar uur kunnen bewaren.
• Verwijder ongebruikte vNIC's. Het is het beste om een toegewezen subnet voor cloud-pc's te gebruiken om ervoor te zorgen dat er geen andere services gebruikmaken van toewijzing van IP-adressen.
• Vouw het subnet uit om meer adressen beschikbaar te maken. Dit kan niet worden voltooid als er apparaten zijn verbonden.

Tijdens inrichtingspogingen is het belangrijk om rekening te houden met CanNotDelete-vergrendelingen die kunnen worden toegepast op het niveau van de resourcegroep of hoger. Als deze vergrendelingen aanwezig zijn, worden de netwerkinterfaces die in het proces zijn gemaakt, niet automatisch verwijderd. Als ze niet automatisch worden verwijderd, moet u de vNIC's handmatig verwijderen voordat u het opnieuw kunt proberen.

Tijdens inrichtingspogingen is het belangrijk om rekening te houden met bestaande vergrendelingen op het niveau van de resourcegroep of hoger. Als deze vergrendelingen aanwezig zijn, worden de netwerkinterfaces die in het proces zijn gemaakt, niet automatisch verwijderd. In het geval dat dit gebeurt, moet u de vNIC's handmatig verwijderen voordat u het opnieuw kunt proberen.

Gereedheid van Azure-tenant

Wanneer er controles worden uitgevoerd, controleren we of het opgegeven Azure-abonnement geldig en in orde is. Als deze niet geldig en in orde is, kunnen we cloud-pc's niet opnieuw verbinden met uw vNet tijdens het inrichten. Problemen zoals factureringsproblemen kunnen ertoe leiden dat abonnementen worden uitgeschakeld.

Veel organisaties gebruiken Azure-beleid om ervoor te zorgen dat resources alleen worden ingericht in bepaalde regio's en services. Zorg ervoor dat azure-beleidsregels rekening houden met de cloud-pc-service en de ondersteunde regio's.

Meld u aan bij Azure Portal en zorg ervoor dat het Azure-abonnement is ingeschakeld, geldig en in orde is.

Ga ook naar Azure Portal en bekijk Beleid. Zorg ervoor dat er geen beleid is dat het maken van resources blokkeert.

Gereedheid van virtuele Azure-netwerken

Bij het maken van een ANC blokkeren we het gebruik van een vNet in een niet-ondersteunde regio. Zie Vereisten voor een lijst met ondersteunde regio's.

Als deze controle mislukt, controleert u of het opgegeven vNet zich in een regio in de lijst met ondersteunde regio's bevindt.

DNS kan active directory-domein omzetten

Windows 365 kan alleen een domeindeelname uitvoeren als de cloud-pc's die zijn gekoppeld aan het opgegeven vNet interne DNS-namen kunnen omzetten.

Met deze test wordt geprobeerd de opgegeven domeinnaam op te lossen. Bijvoorbeeld contoso.com of contoso.local. Als deze test mislukt, controleert u het volgende:

• De DNS-servers in het Azure vNet zijn correct geconfigureerd op een interne DNS-server die de domeinnaam kan omzetten.
• Het subnet/vNet wordt correct gerouteerd, zodat de cloud-pc de opgegeven DNS-server kan bereiken.
• De cloud-pc's/virtuele machines in het opgegeven subnet kunnen NSLOOKUP op de DNS-server gebruiken en reageren met interne namen.

Naast standaard de DNS-zoekopdracht op de opgegeven domeinnaam, controleren we ook op het bestaan van _ldap._tcp.yourDomain.com records. Deze record geeft aan dat de opgegeven DNS-server een Active Directory-domeincontroller is. De record is een betrouwbare manier om te bevestigen dat DE DNS van het AD-domein bereikbaar is. Zorg ervoor dat deze records toegankelijk zijn via het vNet dat is opgegeven in uw Azure-netwerkverbinding.

Eindpuntconnectiviteit

Tijdens het inrichten moeten cloud-pc's verbinding maken met meerdere openbaar beschikbare Microsoft-services. Deze services omvatten Microsoft Intune, Microsoft Entra ID en Azure Virtual Desktop.

U moet ervoor zorgen dat alle vereiste openbare eindpunten kunnen worden bereikt vanuit het subnet dat wordt gebruikt door cloud-pc's.

Als deze test mislukt, controleert u het volgende:

• U gebruikt de hulpprogramma's voor probleemoplossing van Azure Virtual Network om ervoor te zorgen dat het opgegeven vNet/subnet de service-eindpunten kan bereiken die in het document worden vermeld.
• De opgegeven DNS-server kan de externe services correct omzetten.
• Er is geen proxy tussen het cloud-pc-subnet en internet.
• Er zijn geen firewallregels (fysiek, virtueel of in Windows) die vereist verkeer kunnen blokkeren.
• U kunt de eindpunten testen vanaf een VM in hetzelfde subnet dat is gedeclareerd voor cloud-pc's.

Omgeving en configuratie zijn gereed

Deze controle wordt gebruikt voor veel infrastructuurgerelateerde problemen die mogelijk te maken hebben met infrastructuur waarvoor klanten verantwoordelijk zijn. Het kan fouten bevatten, zoals interne servicetime-outs of fouten die worden veroorzaakt doordat klanten Azure-resources verwijderen/wijzigen terwijl controles worden uitgevoerd.

We raden u aan de controles opnieuw uit te proberen als deze fout optreedt. Als deze blijft bestaan, neemt u contact op met de ondersteuning voor hulp.

App-machtigingen van eerste partij

Wanneer u een ANC maakt, verleent de wizard een bepaald machtigingsniveau voor de resourcegroep en het abonnement. Met deze machtigingen kan de service eenvoudig cloud-pc's inrichten.

Azure-beheerders die dergelijke machtigingen hebben, kunnen deze machtigingen bekijken en wijzigen.

Als een van deze machtigingen wordt ingetrokken, mislukt deze controle. Zorg ervoor dat de volgende machtigingen worden verleend aan de service-principal van de Windows 365-toepassing:

• De rol van lezer voor het Azure-abonnement.
• De rol Inzender windows365-netwerkinterface voor de opgegeven resourcegroep.
• De rol Windows365-netwerkgebruiker in het virtuele netwerk.

De roltoewijzing voor het abonnement wordt verleend aan de cloud-pc-service-principal.

Zorg er ook voor dat de machtigingen niet worden verleend als klassieke abonnementsbeheerdersrollen of 'Rollen (klassiek)'. Deze rol is niet voldoende. Dit moet een van de ingebouwde rollen voor op rollen gebaseerd toegangsbeheer van Azure zijn, zoals eerder is vermeld.

Volgende stappen

Meer informatie over de ANC-statuscontroles.