Поделиться через


Известные проблемы: предупреждения конфигурации сети в доменных службах Microsoft Entra

Чтобы приложения и службы правильно взаимодействовали с управляемым доменом доменных служб Майкрософт, определенные сетевые порты должны быть открыты, чтобы разрешить поток трафика. В Azure вы управляете потоком трафика с помощью групп безопасности сети. Состояние работоспособности управляемого домена доменных служб отображает оповещение, если необходимые правила группы безопасности сети отсутствуют.

Эта статья поможет вам понять и устранить распространенные предупреждения о проблемах с конфигурацией групп безопасности сети.

Оповещение AADDS104: ошибка сети

Текст предупреждения

Корпорация Майкрософт не может получить доступ к контроллерам домена этого управляемого домена. Это может произойти, если группа безопасности сети (NSG), настроенная в виртуальной сети, блокирует доступ к управляемому домену. Другая возможная причина заключается в наличии определяемого пользователем маршрута, который блокирует входящий трафик из Интернета.

Недопустимые правила безопасности группы сети являются наиболее распространённой причиной сетевых ошибок в доменных службах. Группа безопасности сети, настроенная для виртуальной сети, должна разрешать доступ к определенным портам и протоколам. Если эти порты заблокированы, платформа Azure не сможет отслеживать или обновлять управляемый домен. Синхронизация между каталогом Microsoft Entra и доменными службами также подвергается влиянию. Чтобы избежать прерывания работы службы, убедитесь в том, что открыты порты по умолчанию.

Правила безопасности по умолчанию

Следующие правила безопасности для входящего и исходящего трафика по умолчанию применяются к группе безопасности сети для управляемого домена. Эти правила обеспечивают безопасность доменных служб и позволяют платформе Azure отслеживать, управлять и обновлять управляемый домен.

Правила безопасности для входящего трафика

Приоритет Имя Порт Протокол Источник Назначение Действие
301 AllowPSRemoting 5986 TCP Службы домена AzureActiveDirectory Любое Разрешить
201 AllowRD 3389 TCP CorpNetSaw Любое Разрешить1
65000 AllVnetInBound Любое Любое Виртуальная сеть Виртуальная сеть Разрешить
65001 AllowAzureLoadBalancerInBound Любое Любое Балансировщик нагрузки Azure Любое Разрешить
65500 DenyAllInBound Любое Любое Любое Любое Отказать

1Необязательно для отладки, но измените значение по умолчанию на «запретить», если это не требуется. Разрешить правило при необходимости для углубленного устранения неполадок.

Примечание.

Возможно, у вас также есть правило, разрешающее входящий трафик, если вы настроить безопасный протокол LDAP. Это правило требуется для правильного обмена данными LDAPS.

Правила безопасности для исходящего трафика

Приоритет Имя Порт Протокол Источник Назначение Действие
65000 AllVnetOutBound Любое Любое Виртуальная сеть Виртуальная сеть Разрешить
65001 РазрешитьВнешнийТрафикЧерезЗагрузочныйБалансировщикAzure Любое Любое Любое Интернет Разрешить
65500 DenyAllOutBound Любое Любое Любое Любое Отказать

Примечание.

Для доменных служб требуется неограниченный исходящий доступ из виртуальной сети. Мы не рекомендуем создавать другие правила, ограничивающие исходящий доступ для виртуальной сети.

Проверка и редактирование существующих правил безопасности

Чтобы проверить существующие правила безопасности и убедиться в том, что порты по умолчанию открыты, выполните следующие действия:

  1. В Центре администрирования Microsoft Entra найдите и выберите группы безопасности сети.

  2. Выберите группу безопасности сети, связанную с вашим управляемым доменом, например AADDS-contoso.com-NSG.

  3. На странице Обзор отображаются существующие правила безопасности для входящего и исходящего трафика.

    Проверьте правила для входящего и исходящего трафика и сравните их со списком обязательных правил, описанных в предыдущем разделе. При необходимости выберите и удалите все настраиваемые правила, которые блокируют требуемый трафик. Если какое-либо из необходимых правил отсутствует, добавьте его в следующем разделе.

    После добавления или удаления правил, обеспечивающих требуемый трафик, работоспособность управляемого домена автоматически обновляется в течение двух часов и предупреждение удаляется.

Добавление правила безопасности

Чтобы добавить отсутствующее правило безопасности, выполните следующие действия:

  1. В Центре администрирования Microsoft Entra найдите и выберите группы безопасности сети.
  2. Выберите группу безопасности сети, связанную с вашим управляемым доменом, например AADDS-contoso.com-NSG.
  3. В разделе Параметры на левой панели выберите правила безопасности для входящего трафика или правила безопасности исходящего трафика в зависимости от того, какое правило необходимо добавить.
  4. Выберите "Добавить", а затем создайте необходимое правило на основе порта, протокола, направления и т. д. Когда все будет готово, щелкните ОК.

Добавление и отображение правила безопасности в списке занимает несколько секунд.

Следующие шаги

Если у вас по-прежнему возникли проблемы, откройте запрос в службу поддержки Azure, чтобы получить дополнительную помощь в устранении неполадок.