Известные проблемы: предупреждения конфигурации сети в доменных службах Microsoft Entra
Чтобы приложения и службы правильно взаимодействовали с управляемым доменом доменных служб Майкрософт, определенные сетевые порты должны быть открыты, чтобы разрешить поток трафика. В Azure вы управляете потоком трафика с помощью групп безопасности сети. Состояние работоспособности управляемого домена доменных служб отображает оповещение, если необходимые правила группы безопасности сети отсутствуют.
Эта статья поможет вам понять и устранить распространенные предупреждения о проблемах с конфигурацией групп безопасности сети.
Оповещение AADDS104: ошибка сети
Текст предупреждения
Корпорация Майкрософт не может получить доступ к контроллерам домена этого управляемого домена. Это может произойти, если группа безопасности сети (NSG), настроенная в виртуальной сети, блокирует доступ к управляемому домену. Другая возможная причина заключается в наличии определяемого пользователем маршрута, который блокирует входящий трафик из Интернета.
Недопустимые правила безопасности группы сети являются наиболее распространённой причиной сетевых ошибок в доменных службах. Группа безопасности сети, настроенная для виртуальной сети, должна разрешать доступ к определенным портам и протоколам. Если эти порты заблокированы, платформа Azure не сможет отслеживать или обновлять управляемый домен. Синхронизация между каталогом Microsoft Entra и доменными службами также подвергается влиянию. Чтобы избежать прерывания работы службы, убедитесь в том, что открыты порты по умолчанию.
Правила безопасности по умолчанию
Следующие правила безопасности для входящего и исходящего трафика по умолчанию применяются к группе безопасности сети для управляемого домена. Эти правила обеспечивают безопасность доменных служб и позволяют платформе Azure отслеживать, управлять и обновлять управляемый домен.
Правила безопасности для входящего трафика
| Приоритет | Имя | Порт | Протокол | Источник | Назначение | Действие |
|---|---|---|---|---|---|---|
| 301 | AllowPSRemoting | 5986 | TCP | Службы домена AzureActiveDirectory | Любое | Разрешить |
| 201 | AllowRD | 3389 | TCP | CorpNetSaw | Любое | Разрешить1 |
| 65000 | AllVnetInBound | Любое | Любое | Виртуальная сеть | Виртуальная сеть | Разрешить |
| 65001 | AllowAzureLoadBalancerInBound | Любое | Любое | Балансировщик нагрузки Azure | Любое | Разрешить |
| 65500 | DenyAllInBound | Любое | Любое | Любое | Любое | Отказать |
1Необязательно для отладки, но измените значение по умолчанию на «запретить», если это не требуется. Разрешить правило при необходимости для углубленного устранения неполадок.
Примечание.
Возможно, у вас также есть правило, разрешающее входящий трафик, если вы настроить безопасный протокол LDAP. Это правило требуется для правильного обмена данными LDAPS.
Правила безопасности для исходящего трафика
| Приоритет | Имя | Порт | Протокол | Источник | Назначение | Действие |
|---|---|---|---|---|---|---|
| 65000 | AllVnetOutBound | Любое | Любое | Виртуальная сеть | Виртуальная сеть | Разрешить |
| 65001 | РазрешитьВнешнийТрафикЧерезЗагрузочныйБалансировщикAzure | Любое | Любое | Любое | Интернет | Разрешить |
| 65500 | DenyAllOutBound | Любое | Любое | Любое | Любое | Отказать |
Примечание.
Для доменных служб требуется неограниченный исходящий доступ из виртуальной сети. Мы не рекомендуем создавать другие правила, ограничивающие исходящий доступ для виртуальной сети.
Проверка и редактирование существующих правил безопасности
Чтобы проверить существующие правила безопасности и убедиться в том, что порты по умолчанию открыты, выполните следующие действия:
В Центре администрирования Microsoft Entra найдите и выберите группы безопасности сети.
Выберите группу безопасности сети, связанную с вашим управляемым доменом, например AADDS-contoso.com-NSG.
На странице Обзор отображаются существующие правила безопасности для входящего и исходящего трафика.
Проверьте правила для входящего и исходящего трафика и сравните их со списком обязательных правил, описанных в предыдущем разделе. При необходимости выберите и удалите все настраиваемые правила, которые блокируют требуемый трафик. Если какое-либо из необходимых правил отсутствует, добавьте его в следующем разделе.
После добавления или удаления правил, обеспечивающих требуемый трафик, работоспособность управляемого домена автоматически обновляется в течение двух часов и предупреждение удаляется.
Добавление правила безопасности
Чтобы добавить отсутствующее правило безопасности, выполните следующие действия:
- В Центре администрирования Microsoft Entra найдите и выберите группы безопасности сети.
- Выберите группу безопасности сети, связанную с вашим управляемым доменом, например AADDS-contoso.com-NSG.
- В разделе Параметры на левой панели выберите правила безопасности для входящего трафика или правила безопасности исходящего трафика в зависимости от того, какое правило необходимо добавить.
- Выберите "Добавить", а затем создайте необходимое правило на основе порта, протокола, направления и т. д. Когда все будет готово, щелкните ОК.
Добавление и отображение правила безопасности в списке занимает несколько секунд.
Следующие шаги
Если у вас по-прежнему возникли проблемы, откройте запрос в службу поддержки Azure, чтобы получить дополнительную помощь в устранении неполадок.