Udostępnij za pośrednictwem

Rozwiązywanie problemów z połączeniami sieciowymi platformy Azure

  • Artykuł

Połączenie sieciowe platformy Azure (ANC) okresowo sprawdza środowisko, aby upewnić się, że wszystkie wymagania są spełnione i są w dobrej kondycji. Jeśli sprawdzanie zakończy się niepowodzeniem, w centrum administracyjnym Microsoft Intune można wyświetlić komunikaty o błędach. Ten przewodnik zawiera dalsze instrukcje dotyczące rozwiązywania problemów, które mogą powodować niepowodzenie sprawdzania.

Przyłączanie do domeny usługi Active Directory

Po aprowizacji komputera w chmurze jest on automatycznie przyłączany do podanej domeny. Aby przetestować proces dołączania do domeny, obiekt komputera domeny jest tworzony w zdefiniowanej jednostce organizacyjnej (OU) o nazwie podobnej do "CPC-Hth" przy każdym uruchomieniu Windows 365 testów kondycji. Te obiekty komputera są wyłączone po zakończeniu sprawdzania kondycji. Niepowodzenie przyłączania do domeny usługi Active Directory może wystąpić z wielu powodów. Jeśli przyłączanie do domeny nie powiedzie się, upewnij się, że:

  • Użytkownik przyłączania do domeny ma wystarczające uprawnienia, aby dołączyć do podanej domeny.
  • Użytkownik przyłączania do domeny może zapisywać dane w podanej jednostce organizacyjnej.
  • Użytkownik przyłączania do domeny nie jest ograniczony w liczbie komputerów, do których może dołączyć. Na przykład domyślna maksymalna liczba sprzężeń na użytkownika wynosi 10, a ta maksymalna może mieć wpływ na aprowizację komputerów w chmurze.
  • Używana podsieć może dotrzeć do kontrolera domeny.
  • Testujesz Add-Computer przy użyciu poświadczeń przyłączania do domeny na maszynie wirtualnej (maszynie wirtualnej) połączonej z siecią wirtualną/podsiecią cloud PC.
  • Rozwiązywanie problemów z błędami dołączania do domeny, takimi jak każdy komputer fizyczny w organizacji.
  • Jeśli masz nazwę domeny, którą można rozpoznać w Internecie (na przykład contoso.com), upewnij się, że serwery DNS są skonfigurowane jako wewnętrzne. Upewnij się również, że mogą rozpoznać rekordy DNS domeny usługi Active Directory, a nie nazwę domeny publicznej.

synchronizacja urządzenia Microsoft Entra

Przed rozpoczęciem rejestracji urządzeń przenośnych (MDM) podczas aprowizacji musi być obecny obiekt Tożsamość Microsoft Entra dla komputera w chmurze. Ta kontrola ma na celu upewnienie się, że konta komputerów organizacji są synchronizowane z Tożsamość Microsoft Entra w odpowiednim czasie.

Upewnij się, że obiekty komputera Microsoft Entra są wyświetlane w Tożsamość Microsoft Entra szybko. Sugerujemy w ciągu 30 minut i nie dłużej niż 60 minut. Jeśli obiekt komputera nie pojawi się w Tożsamość Microsoft Entra w ciągu 90 minut, aprowizowanie zakończy się niepowodzeniem.

Jeśli aprowizowanie nie powiedzie się, upewnij się, że:

  • Konfiguracja okresu synchronizacji w Tożsamość Microsoft Entra jest odpowiednio ustawiona. Porozmawiaj z zespołem ds. tożsamości, aby upewnić się, że katalog jest synchronizowany wystarczająco szybko.
  • Twoja Tożsamość Microsoft Entra jest aktywna i w dobrej kondycji.
  • Microsoft Entra Connect działa prawidłowo i nie ma problemów z serwerem synchronizacji.
  • Ręcznie wykonujesz Add-Computer do jednostki organizacyjnej udostępnionej dla komputerów w chmurze. Czas potrzebny na wyświetlenie tego obiektu komputera w Tożsamość Microsoft Entra.

Użycie zakresu adresów IP podsieci platformy Azure

W ramach konfiguracji usługi ANC musisz podać podsieć, z którą będzie się łączyć komputer w chmurze. Dla każdego komputera w chmurze aprowizowanie tworzy wirtualną kartę sieciową i używa adresu IP z tej podsieci.

Upewnij się, że dostępna jest wystarczająca alokacja adresów IP dla liczby komputerów w chmurze, które mają zostać aprowizować. Ponadto zaplanuj wystarczającą ilość miejsca na potrzeby aprowizowania awarii i potencjalnego odzyskiwania po awarii.

Jeśli to sprawdzanie zakończy się niepowodzeniem, upewnij się, że:

  • Sprawdź podsieć w usłudze Azure Virtual Network. Powinna mieć wystarczającą ilość dostępnej przestrzeni adresowej.
  • Upewnij się, że jest wystarczająco dużo adresu, aby obsłużyć trzy ponowne próby aprowizacji, z których każdy może być przechowywany na adresach sieciowych używanych przez kilka godzin.
  • Usuń wszystkie nieużywane karty vNICs. Najlepiej jest użyć dedykowanej podsieci dla komputerów w chmurze, aby upewnić się, że żadne inne usługi nie korzystają z alokacji adresów IP.
  • Rozwiń podsieć, aby udostępnić więcej adresów. Nie można tego zrobić, jeśli są podłączone urządzenia.

Podczas prób aprowizacji należy wziąć pod uwagę wszelkie blokady CanNotDelete, które mogą być stosowane na poziomie grupy zasobów lub nowszej. Jeśli te blokady są obecne, interfejsy sieciowe utworzone w tym procesie nie są automatycznie usuwane. W programie nie są one usuwane automatycznie, należy ręcznie usunąć wirtualne karty sieciowe, zanim będzie można ponowić próbę.

Podczas prób aprowizacji należy wziąć pod uwagę wszelkie istniejące blokady na poziomie grupy zasobów lub wyższej. Jeśli te blokady są obecne, interfejsy sieciowe utworzone w tym procesie nie zostaną automatycznie usunięte. W takim przypadku należy ręcznie usunąć wirtualne karty sieciowe, zanim będzie można ponowić próbę.

Gotowość dzierżawy platformy Azure

Podczas sprawdzania sprawdzamy, czy podana subskrypcja platformy Azure jest prawidłowa i w dobrej kondycji. Jeśli jest nieprawidłowa i w dobrej kondycji, nie możemy połączyć komputerów w chmurze z siecią wirtualną podczas aprowizacji. Problemy, takie jak problemy z rozliczeniami, mogą powodować wyłączenie subskrypcji.

Wiele organizacji korzysta z zasad platformy Azure, aby upewnić się, że zasoby są aprowizowane tylko w niektórych regionach i usługach. Upewnij się, że wszystkie zasady platformy Azure uwzględniają usługę Cloud PC i obsługiwane regiony.

Zaloguj się do Azure Portal i upewnij się, że subskrypcja platformy Azure jest włączona, prawidłowa i w dobrej kondycji.

Ponadto odwiedź stronę Azure Portal i wyświetl zasady. Upewnij się, że nie ma żadnych zasad blokujących tworzenie zasobów.

Gotowość sieci wirtualnej platformy Azure

Podczas tworzenia usługi ANC blokujemy korzystanie z dowolnej sieci wirtualnej znajdującej się w nieobsługiwanym regionie. Aby uzyskać listę obsługiwanych regionów, zobacz Wymagania.

Jeśli to sprawdzanie zakończy się niepowodzeniem, upewnij się, że podana sieć wirtualna znajduje się w regionie na liście obsługiwanych regionów.

System DNS może rozpoznać domenę usługi Active Directory

Aby Windows 365 pomyślnie łączyć się z domeną, komputery w chmurze dołączone do podanej sieci wirtualnej muszą być w stanie rozpoznać wewnętrzne nazwy DNS.

Ten test próbuje rozpoznać podaną nazwę domeny. Na przykład contoso.com lub contoso.local. Jeśli ten test zakończy się niepowodzeniem, upewnij się, że:

  • Serwery DNS w sieci wirtualnej platformy Azure są poprawnie skonfigurowane do wewnętrznego serwera DNS, który może pomyślnie rozpoznać nazwę domeny.
  • Podsieć/sieć wirtualna jest prawidłowo kierowana, aby komputer w chmurze mógł uzyskać dostęp do dostarczonego serwera DNS.
  • Komputery/maszyny wirtualne w chmurze w zadeklarowanej podsieci mogą NSLOOKUP na serwerze DNS i odpowiadać nazwami wewnętrznymi.

Oprócz standardowego wyszukiwania DNS dla podanej nazwy domeny sprawdzamy również istnienie rekordów _ldap._tcp.yourDomain.com. Ten rekord wskazuje, że podany serwer DNS jest kontrolerem domeny usługi Active Directory. Rekord jest niezawodnym sposobem potwierdzenia, że domena usługi AD DNS jest osiągalna. Upewnij się, że te rekordy są dostępne za pośrednictwem sieci wirtualnej udostępnionej w połączeniu sieciowym platformy Azure.

Łączność punktu końcowego

Podczas aprowizacji komputery w chmurze muszą łączyć się z wieloma publicznie dostępnymi usługami firmy Microsoft. Te usługi obejmują Microsoft Intune, Tożsamość Microsoft Entra i usługę Azure Virtual Desktop.

Musisz upewnić się, że wszystkie wymagane publiczne punkty końcowe można uzyskać z podsieci używanej przez komputery w chmurze.

Jeśli ten test zakończy się niepowodzeniem, upewnij się, że:

  • Narzędzia do rozwiązywania problemów z usługą Azure Virtual Network umożliwiają upewnienie się, że podsieć wirtualna/podsieć może dotrzeć do punktów końcowych usługi wymienionych w dokumencie.
  • Podany serwer DNS może poprawnie rozpoznać usługi zewnętrzne.
  • Między podsiecią cloud PC a Internetem nie ma serwera proxy.
  • Brak reguł zapory (fizycznych, wirtualnych lub w systemie Windows), które mogłyby blokować wymagany ruch.
  • Należy rozważyć przetestowanie punktów końcowych z maszyny wirtualnej w tej samej podsieci zadeklarowanej dla komputerów w chmurze.

Jeśli nie używasz programu Azure CloudShell, upewnij się, że zasady wykonywania programu PowerShell są skonfigurowane tak, aby zezwalały na skrypty nieograniczone. Jeśli używasz zasady grupy do ustawiania zasad wykonywania, upewnij się, że obiekt zasady grupy (GPO) przeznaczony dla jednostki organizacyjnej zdefiniowanej w usłudze ANC jest skonfigurowany do zezwalania na skrypty nieograniczone. Aby uzyskać więcej informacji, zobacz Set-ExecutionPolicy.

Środowisko i konfiguracja są gotowe

Ta kontrola jest używana w przypadku wielu problemów związanych z infrastrukturą, które mogą być związane z infrastrukturą, za którą odpowiadają klienci. Może zawierać błędy, takie jak wewnętrzne przekroczenia limitu czasu usługi lub błędy spowodowane przez klientów usuwających/zmieniających zasoby platformy Azure podczas przeprowadzania testów.

Zalecamy ponowienie próby sprawdzenia w przypadku wystąpienia tego błędu. Jeśli będzie się powtarzać, skontaktuj się z pomocą techniczną, aby uzyskać pomoc.

Uprawnienia aplikacji pierwszej firmy

Podczas tworzenia usługi ANC kreator udziela określonego poziomu uprawnień w grupie zasobów i subskrypcji. Te uprawnienia umożliwiają usłudze sprawne aprowizowanie komputerów w chmurze.

Administratorzy platformy Azure posiadający takie uprawnienia mogą wyświetlać i modyfikować te uprawnienia.

Jeśli którekolwiek z tych uprawnień zostanie odwołane, to sprawdzanie zakończy się niepowodzeniem. Upewnij się, że do jednostki usługi aplikacji Windows 365 udzielono następujących uprawnień:

Przypisanie roli w subskrypcji jest przyznawane jednostce usługi cloud PC.

Upewnij się również, że uprawnienia nie są przyznawane jako role klasycznego administratora subskrypcji lub "Role (klasyczne)". Ta rola nie jest wystarczająca. Musi to być jedna z wbudowanych ról kontroli dostępu opartej na rolach platformy Azure, jak wspomniano wcześniej.

Następne kroki

Dowiedz się więcej o testach kondycji usługi ANC.