Megosztás a következőn keresztül:


Ismert problémák: Hálózati konfigurációs riasztások a Microsoft Entra Domain Servicesben

Ahhoz, hogy az alkalmazások és szolgáltatások megfelelően kommunikálhassanak a Microsoft Entra Domain Services által felügyelt tartományokkal, bizonyos hálózati portok nyitva kell lenniük a forgalom áramlásának engedélyezéséhez. Az Azure-ban hálózati biztonsági csoportokkal szabályozhatja a forgalom áramlását. A Domain Services által felügyelt tartományok állapotáról riasztás jelenik meg, ha a szükséges hálózati biztonsági csoportszabályok nincsenek érvényben.

Ez a cikk segít megérteni és elhárítani a hálózati biztonsági csoportok konfigurációs problémáival kapcsolatos gyakori riasztásokat.

Riasztási AADDS104: Hálózati hiba

Riasztási üzenet

A Microsoft nem tudja elérni a felügyelt tartomány tartományvezérlőit. Ez akkor fordulhat elő, ha a virtuális hálózaton konfigurált hálózati biztonsági csoport (NSG) blokkolja a felügyelt tartományhoz való hozzáférést. Egy másik lehetséges ok az, ha van egy felhasználó által megadott útvonal, amely blokkolja a bejövő forgalmat az internetről.

A tartományi szolgáltatások hálózati hibáinak leggyakoribb oka az érvénytelen hálózati biztonsági csoportszabályok. A virtuális hálózat hálózati biztonsági csoportjának engedélyeznie kell a hozzáférést adott portokhoz és protokollokhoz. Ha ezek a portok le vannak tiltva, az Azure platform nem tudja monitorozni vagy frissíteni a felügyelt tartományt. A Microsoft Entra címtár és a Domain Services közötti szinkronizálás is hatással van. A szolgáltatás megszakadásának elkerülése érdekében tartsa nyitva az alapértelmezett portokat.

Alapértelmezett biztonsági szabályok

A rendszer a következő alapértelmezett bejövő és kimenő biztonsági szabályokat alkalmazza egy felügyelt tartomány hálózati biztonsági csoportjára. Ezek a szabályok biztosítják a Domain Services biztonságát, és lehetővé teszik az Azure-platform számára a felügyelt tartomány monitorozását, kezelését és frissítését.

Bejövő biztonsági szabályok

Prioritás Név Kikötő Protokoll Forrás Cél Akció
301 AllowPSRemoting 5986 TCP AzureActiveDirectoryDomainServices Bármely Engedélyezés
201 AllowRD 3389 TCP CorpNetSaw Bármely Engedélyezés1
65000 AllVnetInBound Bármely Bármely VirtualNetwork VirtualNetwork Engedélyezés
65001 AllowAzureLoadBalancerInBound Bármely Bármely AzureLoadBalancer Bármely Engedélyezés
65500 DenyAllInBound Bármely Bármely Bármely Bármely Megtagadás

1Hibakereséshez nem kötelező, de szükség esetén módosítsa az alapértelmezett beállítást elutasításra. Ha speciális hibaelhárításhoz szükséges, engedélyezze a szabályt.

Feljegyzés

Lehet olyan szabály is, amely engedélyezi a bejövő forgalmat, ha biztonságos LDAP-konfigurálást állít be. Ez a szabály szükséges a megfelelő LDAPS-kommunikációhoz.

Kimenő biztonsági szabályok

Prioritás Név Kikötő Protokoll Forrás Cél Akció
65000 AllVnetOutBound Bármely Bármely VirtualNetwork VirtualNetwork Engedélyezés
65001 Engedélyezze az Azure Terheléselosztó Kimenő Kapcsolatait Bármely Bármely Bármely Internet Engedélyezés
65500 DenyAllOutBound Bármely Bármely Bármely Bármely Megtagadás

Feljegyzés

A Tartományi szolgáltatásoknak korlátlan kimenő hozzáférést kell biztosítaniuk a virtuális hálózatról. Nem javasoljuk, hogy hozzon létre más szabályokat, amelyek korlátozzák a virtuális hálózat kimenő hozzáférését.

Meglévő biztonsági szabályok ellenőrzése és szerkesztése

A meglévő biztonsági szabályok ellenőrzéséhez és az alapértelmezett portok megnyitásához hajtsa végre a következő lépéseket:

  1. A Microsoft Entra Felügyeleti központban keresse meg és válassza ki a hálózati biztonsági csoportokat.

  2. Válassza ki a felügyelt tartományhoz társított hálózati biztonsági csoportot, például AADDS-contoso.com-NSG-t.

  3. Az Áttekintés lapon a meglévő bejövő és kimenő biztonsági szabályok jelennek meg.

    Tekintse át a bejövő és kimenő szabályokat, és hasonlítsa össze az előző szakaszban szereplő kötelező szabályok listáját. Szükség esetén válassza ki és törölje azokat az egyéni szabályokat, amelyek blokkolják a szükséges forgalmat. Ha valamelyik szükséges szabály hiányzik, adjon hozzá egy szabályt a következő szakaszban.

    A szükséges forgalom engedélyezésére vonatkozó szabályok hozzáadása vagy törlése után a felügyelt tartomány állapota két órán belül automatikusan frissül, és eltávolítja a riasztást.

Biztonsági szabály hozzáadása

Hiányzó biztonsági szabály hozzáadásához hajtsa végre a következő lépéseket:

  1. A Microsoft Entra Felügyeleti központban keresse meg és válassza ki a hálózati biztonsági csoportokat.
  2. Válassza ki a felügyelt tartományhoz társított hálózati biztonsági csoportot, például AADDS-contoso.com-NSG-t.
  3. A bal oldali panel Beállítások területén válassza bejövő biztonsági szabályokat vagy kimenő biztonsági szabályokat attól függően, hogy melyik szabályt kell hozzáadnia.
  4. Válassza a Hozzáadás lehetőséget, majd hozza létre a szükséges szabályt a port, a protokoll, az irány stb. alapján. Ha elkészült, válassza az OK gombot.

A biztonsági szabály hozzáadása és a listában való megjelenése eltarthat néhány másodpercig.

Következő lépések

Ha továbbra is problémákat tapasztal, nyisson meg egy Azure-támogatási kérést további hibaelhárítási segítségért.