Sdílet prostřednictvím


Známé problémy: Výstrahy konfigurace sítě ve službě Microsoft Entra Domain Services

Aby mohly aplikace a služby správně komunikovat se spravovanou doménou služby Microsoft Entra Domain Services, musí být otevřené konkrétní síťové porty, aby umožňovaly tok provozu. V Azure řídíte tok provozu pomocí skupin zabezpečení sítě. Stav spravované domény služby Domain Services zobrazuje výstrahu, pokud nejsou požadovaná pravidla skupiny zabezpečení sítě zavedená.

Tento článek vám pomůže pochopit a vyřešit běžné výstrahy pro problémy s konfigurací skupiny zabezpečení sítě.

AADDS104 upozornění: Chyba sítě

Zpráva s upozorněním

Microsoft se nemůže spojit s řadiči domény pro tuto spravovanou doménu. K tomu může dojít v případě, že skupina zabezpečení sítě (NSG) nakonfigurovaná ve vaší virtuální síti blokuje přístup ke spravované doméně. Dalším možným důvodem je, že existuje trasa definovaná uživatelem, která blokuje příchozí provoz z internetu.

Nejčastější příčinou chyb sítě pro službu Domain Services jsou neplatná pravidla skupiny zabezpečení sítě. Skupina zabezpečení sítě pro virtuální síť musí umožňovat přístup k určitým portům a protokolům. Pokud jsou tyto porty blokované, nemůže platforma Azure spravovanou doménu monitorovat ani aktualizovat. Ovlivněna je také synchronizace mezi adresářem Microsoft Entra a Domain Services. Zkontrolujte, že jsou výchozí porty otevřené, aby nedošlo k narušení činnosti služby.

Výchozí pravidla zabezpečení

Následující výchozí příchozí a odchozí pravidla zabezpečení se použijí pro skupinu zabezpečení sítě pro spravovanou doménu. Tato pravidla udržují službu Domain Services zabezpečenou a umožňují platformě Azure monitorovat, spravovat a aktualizovat spravovanou doménu.

Příchozí pravidla zabezpečení

Priorita Název Port Protokol Zdroj Cíl Akce
301 AllowPSRemoting 5986 TCP AzureActiveDirectoryDomainServices Jakýkoliv Povolit
201 Povolit RD 3389 TCP CorpNetSaw Jakýkoliv Povolit1
65000 AllVnetInBound Jakýkoliv Jakýkoli VirtualNetwork VirtualNetwork Povolit
65001 AllowAzureLoadBalancerInBound Jakýkoliv Jakýkoliv AzureLoadBalancer Jakýkoliv Povolit
65500 DenyAllInBound Jakýkoliv Jakýkoliv Jakýkoliv Jakýkoli Odepřít

1Volitelné pro ladění, ale změňte výchozí nastavení na odepření, když to není potřeba. Povolte pravidlo v případě potřeby pro pokročilé řešení potíží.

Poznámka:

Můžete mít také pravidlo, které umožňuje příchozí provoz, pokud nakonfigurovat protokol SECURE LDAP. Toto pravidlo se vyžaduje pro správnou komunikaci LDAPS.

Odchozí pravidla zabezpečení

Priorita Název Port Protokol Zdroj Cíl Akce
65000 AllVnetOutBound Jakýkoli Jakýkoli VirtualNetwork VirtualNetwork Povolit
65001 Povolit výstupní síťový zátěžový vyrovnávač v Azure Jakýkoliv Jakýkoliv Jakýkoli Internet Povolit
65500 DenyAllOutBound Jakýkoli Jakýkoli Jakýkoliv Jakýkoliv Odepřít

Poznámka:

Služba Domain Services potřebuje neomezený odchozí přístup z virtuální sítě. Nedoporučujeme vytvářet žádná další pravidla, která omezují odchozí přístup pro virtuální síť.

Ověření a úprava existujících pravidel zabezpečení

Pokud chcete ověřit stávající pravidla zabezpečení a ujistit se, že jsou otevřené výchozí porty, proveďte následující kroky:

  1. V Centru pro správu Microsoft Entra vyhledejte a vyberte skupiny zabezpečení sítě.

  2. Vyberte skupinu zabezpečení sítě přidruženou k vaší spravované doméně, například skupinu zabezpečení sítě AADDS-contoso.com-NSG.

  3. Na stránce Přehled se zobrazí existující příchozí a odchozí pravidla zabezpečení.

    Zkontrolujte příchozí a odchozí pravidla a porovnejte seznam požadovaných pravidel v předchozí části. V případě potřeby vyberte a odstraňte všechna vlastní pravidla, která blokují požadovaný provoz. Pokud některá z požadovaných pravidel chybí, přidejte pravidlo v další části.

    Po přidání nebo odstranění pravidel, která povolují požadovaný provoz, se stav spravované domény automaticky aktualizuje během dvou hodin a výstrahu odebere.

Přidání pravidla zabezpečení

Pokud chcete přidat chybějící pravidlo zabezpečení, proveďte následující kroky:

  1. V Centru pro správu Microsoft Entra vyhledejte a vyberte skupiny zabezpečení sítě.
  2. Vyberte skupinu zabezpečení sítě přidruženou k vaší spravované doméně, například skupinu zabezpečení sítě AADDS-contoso.com-NSG.
  3. V části nastavení na levém panelu vyberte Příchozí pravidla zabezpečení nebo odchozí pravidla zabezpečení podle toho, které pravidlo je potřeba přidat.
  4. Vyberte Přidat a pak vytvořte požadované pravidlo na základě portu, protokolu, směru atd. Až budete připraveni, vyberte OK.

Přidání a zobrazení pravidla zabezpečení v seznamu chvíli trvá.

Další kroky

Pokud stále máte problémy, otevřete žádost o podporu Azure pro další pomoc při řešení potíží.