Masalah yang diketahui: Pemberitahuan konfigurasi jaringan di Microsoft Entra Domain Services
Untuk memungkinkan aplikasi dan layanan berkomunikasi dengan domain terkelola Microsoft Entra Domain Services dengan benar, port jaringan tertentu harus terbuka untuk memungkinkan lalu lintas mengalir. Di Azure, Anda mengontrol aliran lalu lintas menggunakan grup keamanan jaringan. Status kesehatan domain terkelola Domain Services menunjukkan pemberitahuan jika aturan grup keamanan jaringan yang diperlukan tidak ada.
Artikel ini membantu Anda memahami dan menyelesaikan peringatan umum untuk masalah konfigurasi grup keamanan jaringan.
Peringatan AADDS104: Kesalahan jaringan
Pesan pemberitahuan
Microsoft tidak dapat menjangkau pengontrol domain untuk domain terkelola ini. Ini dapat terjadi jika kelompok keamanan jaringan (NSG) yang dikonfigurasi di jaringan virtual Anda memblokir akses ke domain terkelola. Alasan lain yang mungkin adalah jika ada rute yang ditentukan pengguna yang memblokir lalu lintas masuk dari internet.
Aturan kelompok keamanan jaringan yang tidak valid adalah penyebab paling umum kesalahan jaringan untuk Layanan Domain. Grup keamanan jaringan untuk jaringan virtual harus mengizinkan akses ke port dan protokol tertentu. Jika port ini diblokir, platform Azure tidak dapat memantau atau memperbarui domain terkelola. Sinkronisasi antara direktori Microsoft Entra dan Layanan Domain juga terpengaruh. Pastikan Anda tetap membuka port default untuk menghindari gangguan dalam layanan.
Aturan keamanan default
Aturan keamanan masuk dan keluar default berikut diterapkan ke grup keamanan jaringan untuk domain terkelola. Aturan ini menjaga Keamanan Layanan Domain dan memungkinkan platform Azure memantau, mengelola, dan memperbarui domain terkelola.
Peraturan keamanan masuk
Prioritas | Nama | Pelabuhan | Protokol | Sumber | Tujuan | Tindakan |
---|---|---|---|---|---|---|
301 | IzinkanPSRemoting | 5986 | TCP | AzureActiveDirectoryDomainServices | Apapun | Izinkan |
201 | AllowRD | 3389 | TCP | CorpNetSaw | Apapun | Izinkan1 |
65000 | AllVnetInBound | Apa saja | Apa saja | JaringanVirtual | Jaringan Virtual | Izinkan |
65001 | Izinkan Azure Load Balancer Masuk | Apa saja | Apa saja | AzureLoadBalancer (Penyeimbang Beban Azure) | Apapun | Izinkan |
65500 | DenyAllInBound | Apa saja | Apa saja | Apa pun | Apapun | Tolak |
1Opsional untuk debugging tetapi ubah pengaturan default menjadi 'tolak' saat tidak diperlukan. Izinkan aturan jika diperlukan untuk pemecahan masalah tingkat lanjut.
Catatan
Anda mungkin juga memiliki aturan yang memungkinkan lalu lintas masuk jika Anda mengonfigurasi LDAP aman. Aturan ini diperlukan untuk komunikasi LDAPS yang benar.
Aturan keamanan untuk lalu lintas keluar
Prioritas | Nama | Port | Protokol | Sumber | Tujuan | Tindakan |
---|---|---|---|---|---|---|
65000 | AllVnetOutBound | Apa saja | Apa saja | Jaringan Virtual | Jaringan Virtual | Izinkan |
65001 | AllowAzureLoadBalancerOutBound | Apa saja | Apa pun | Apa saja | Internet | Izinkan |
65500 | DenyAllOutBound | Apapun | Apa saja | Mana pun | Apapun | Tolak |
Catatan
Domain Services memerlukan akses keluar yang tidak dibatasi dari jaringan virtual. Kami tidak menyarankan Agar Anda membuat aturan lain yang membatasi akses keluar untuk jaringan virtual.
Verifikasi dan edit aturan keamanan yang ada
Untuk memverifikasi aturan keamanan yang ada dan memastikan port default terbuka, selesaikan langkah-langkah berikut:
Di pusat admin Microsoft Entra, cari dan pilih Grup keamanan jaringan.
Pilih grup keamanan jaringan yang terkait dengan domain terkelola Anda, seperti AADDS-contoso.com-NSG.
Di halaman Gambaran Umum, aturan keamanan masuk dan keluar yang ada akan ditampilkan.
Tinjau aturan masuk dan keluar dan bandingkan dengan daftar aturan yang diperlukan di bagian sebelumnya. Jika perlu, pilih dan kemudian hapus aturan khusus yang memblokir lalu lintas yang diperlukan. Jika salah satu aturan yang diperlukan hilang, tambahkan aturan di bagian berikutnya.
Setelah Anda menambahkan atau menghapus aturan untuk mengizinkan lalu lintas yang diperlukan, kesehatan domain terkelola secara otomatis diperbarui dalam dua jam dan menghapus peringatan.
Tambahkan aturan keamanan
Untuk menambahkan aturan keamanan yang hilang, selesaikan langkah-langkah berikut:
- Di pusat admin Microsoft Entra, cari dan pilih Grup keamanan jaringan.
- Pilih grup keamanan jaringan yang terkait dengan domain terkelola Anda, seperti AADDS-contoso.com-NSG.
- Di bawah Pengaturan
di panel sebelah kiri, pilih aturan keamanan masuk atau Aturan keamanan keluar bergantung pada aturan mana yang perlu Anda tambahkan. - Pilih Tambahkan, lalu buat aturan yang diperlukan berdasarkan port, protokol, arah, dan sebagainya. Jika sudah siap, pilih OK.
Perlu beberapa saat agar aturan keamanan ditambahkan dan ditampilkan dalam daftar.
Langkah berikutnya
Jika Anda masih mengalami masalah, membuka permintaan dukungan Azure untuk bantuan pemecahan masalah lebih lanjut.