Ismert problémák: Hálózati konfigurációs riasztások a Microsoft Entra Domain Servicesben
Ahhoz, hogy az alkalmazások és szolgáltatások megfelelően kommunikálhassanak a Microsoft Entra Domain Services által felügyelt tartományokkal, bizonyos hálózati portok nyitva kell lenniük a forgalom áramlásának engedélyezéséhez. Az Azure-ban hálózati biztonsági csoportokkal szabályozhatja a forgalom áramlását. A Domain Services által felügyelt tartományok állapotáról riasztás jelenik meg, ha a szükséges hálózati biztonsági csoportszabályok nincsenek érvényben.
Ez a cikk segít megérteni és elhárítani a hálózati biztonsági csoportok konfigurációs problémáival kapcsolatos gyakori riasztásokat.
Riasztási AADDS104: Hálózati hiba
Riasztási üzenet
A Microsoft nem tudja elérni a felügyelt tartomány tartományvezérlőit. Ez akkor fordulhat elő, ha a virtuális hálózaton konfigurált hálózati biztonsági csoport (NSG) blokkolja a felügyelt tartományhoz való hozzáférést. Egy másik lehetséges ok az, ha van egy felhasználó által megadott útvonal, amely blokkolja a bejövő forgalmat az internetről.
A tartományi szolgáltatások hálózati hibáinak leggyakoribb oka az érvénytelen hálózati biztonsági csoportszabályok. A virtuális hálózat hálózati biztonsági csoportjának engedélyeznie kell a hozzáférést adott portokhoz és protokollokhoz. Ha ezek a portok le vannak tiltva, az Azure platform nem tudja monitorozni vagy frissíteni a felügyelt tartományt. A Microsoft Entra címtár és a Domain Services közötti szinkronizálás is hatással van. A szolgáltatás megszakadásának elkerülése érdekében tartsa nyitva az alapértelmezett portokat.
Alapértelmezett biztonsági szabályok
A rendszer a következő alapértelmezett bejövő és kimenő biztonsági szabályokat alkalmazza egy felügyelt tartomány hálózati biztonsági csoportjára. Ezek a szabályok biztosítják a Domain Services biztonságát, és lehetővé teszik az Azure-platform számára a felügyelt tartomány monitorozását, kezelését és frissítését.
Bejövő biztonsági szabályok
| Prioritás | Név | Kikötő | Protokoll | Forrás | Cél | Akció |
|---|---|---|---|---|---|---|
| 301 | AllowPSRemoting | 5986 | TCP | AzureActiveDirectoryDomainServices | Bármely | Engedélyezés |
| 201 | AllowRD | 3389 | TCP | CorpNetSaw | Bármely | Engedélyezés1 |
| 65000 | AllVnetInBound | Bármely | Bármely | VirtualNetwork | VirtualNetwork | Engedélyezés |
| 65001 | AllowAzureLoadBalancerInBound | Bármely | Bármely | AzureLoadBalancer | Bármely | Engedélyezés |
| 65500 | DenyAllInBound | Bármely | Bármely | Bármely | Bármely | Megtagadás |
1Hibakereséshez nem kötelező, de szükség esetén módosítsa az alapértelmezett beállítást elutasításra. Ha speciális hibaelhárításhoz szükséges, engedélyezze a szabályt.
Feljegyzés
Lehet olyan szabály is, amely engedélyezi a bejövő forgalmat, ha biztonságos LDAP-konfigurálást állít be. Ez a szabály szükséges a megfelelő LDAPS-kommunikációhoz.
Kimenő biztonsági szabályok
| Prioritás | Név | Kikötő | Protokoll | Forrás | Cél | Akció |
|---|---|---|---|---|---|---|
| 65000 | AllVnetOutBound | Bármely | Bármely | VirtualNetwork | VirtualNetwork | Engedélyezés |
| 65001 | Engedélyezze az Azure Terheléselosztó Kimenő Kapcsolatait | Bármely | Bármely | Bármely | Internet | Engedélyezés |
| 65500 | DenyAllOutBound | Bármely | Bármely | Bármely | Bármely | Megtagadás |
Feljegyzés
A Tartományi szolgáltatásoknak korlátlan kimenő hozzáférést kell biztosítaniuk a virtuális hálózatról. Nem javasoljuk, hogy hozzon létre más szabályokat, amelyek korlátozzák a virtuális hálózat kimenő hozzáférését.
Meglévő biztonsági szabályok ellenőrzése és szerkesztése
A meglévő biztonsági szabályok ellenőrzéséhez és az alapértelmezett portok megnyitásához hajtsa végre a következő lépéseket:
A Microsoft Entra Felügyeleti központban keresse meg és válassza ki a hálózati biztonsági csoportokat.
Válassza ki a felügyelt tartományhoz társított hálózati biztonsági csoportot, például AADDS-contoso.com-NSG-t.
Az Áttekintés lapon a meglévő bejövő és kimenő biztonsági szabályok jelennek meg.
Tekintse át a bejövő és kimenő szabályokat, és hasonlítsa össze az előző szakaszban szereplő kötelező szabályok listáját. Szükség esetén válassza ki és törölje azokat az egyéni szabályokat, amelyek blokkolják a szükséges forgalmat. Ha valamelyik szükséges szabály hiányzik, adjon hozzá egy szabályt a következő szakaszban.
A szükséges forgalom engedélyezésére vonatkozó szabályok hozzáadása vagy törlése után a felügyelt tartomány állapota két órán belül automatikusan frissül, és eltávolítja a riasztást.
Biztonsági szabály hozzáadása
Hiányzó biztonsági szabály hozzáadásához hajtsa végre a következő lépéseket:
- A Microsoft Entra Felügyeleti központban keresse meg és válassza ki a hálózati biztonsági csoportokat.
- Válassza ki a felügyelt tartományhoz társított hálózati biztonsági csoportot, például AADDS-contoso.com-NSG-t.
- A bal oldali panel Beállítások területén válassza bejövő biztonsági szabályokat vagy kimenő biztonsági szabályokat attól függően, hogy melyik szabályt kell hozzáadnia.
- Válassza a Hozzáadás lehetőséget, majd hozza létre a szükséges szabályt a port, a protokoll, az irány stb. alapján. Ha elkészült, válassza az OK gombot.
A biztonsági szabály hozzáadása és a listában való megjelenése eltarthat néhány másodpercig.
Következő lépések
Ha továbbra is problémákat tapasztal, nyisson meg egy Azure-támogatási kérést további hibaelhárítási segítségért.