Bilinen sorunlar: Microsoft Entra Domain Services'da ağ yapılandırma uyarıları
Uygulamaların ve hizmetlerin Microsoft Entra Domain Services yönetilen etki alanıyla doğru şekilde iletişim kurmasına izin vermek için, trafiğin akmasına izin vermek için belirli ağ bağlantı noktalarının açık olması gerekir. Azure'da ağ güvenlik gruplarını kullanarak trafik akışını denetlersiniz. Etki Alanı Hizmetleri tarafından yönetilen etki alanının sağlık durumu, gerekli ağ güvenlik grubu kuralları yerinde değilse bir uyarı gösterir.
Bu makale, ağ güvenlik grubu yapılandırma sorunlarıyla ilgili yaygın uyarıları anlamanıza ve çözmenize yardımcı olur.
Uyarı AADDS104: Ağ hatası
Uyarı iletisi
Microsoft, bu yönetilen etki alanının etki alanı denetleyicilerine erişemiyor. Sanal ağınızda yapılandırılmış bir ağ güvenlik grubu (NSG) yönetilen etki alanına erişimi engellerse bu durum oluşabilir. Başka bir olası neden, İnternet'ten gelen trafiği engelleyen kullanıcı tanımlı bir yol olmasıdır.
Etki Alanı Hizmetleri için ağ hatalarının en yaygın nedeni geçersiz ağ güvenlik grubu kurallarıdır. Sanal ağ için ağ güvenlik grubu, belirli bağlantı noktalarına ve protokollere erişim izni vermelidir. Bu bağlantı noktaları engellenirse Azure platformu, yönetilen etki alanını izleyemez veya güncelleştiremez. Microsoft Entra dizini ile Etki Alanı Hizmetleri arasındaki eşitleme de etkilenir. Hizmette kesintiyi önlemek için varsayılan bağlantı noktalarını açık tuttuğunuzdan emin olun.
Varsayılan güvenlik kuralları
Yönetilen bir etki alanının ağ güvenlik grubuna aşağıdaki varsayılan gelen ve giden güvenlik kuralları uygulanır. Bu kurallar Domain Services'ı güvenli tutar ve Azure platformunun yönetilen etki alanını izlemesine, yönetmesine ve güncelleştirmesine olanak sağlar.
Gelen güvenlik kuralları
| Öncelik | Name | Bağlantı noktası | Protokol | Kaynak | Hedef | Eylem |
|---|---|---|---|---|---|---|
| 301 | AllowPSRemoting | 5986 | TCP | Azure Etkin Dizin Alan Hizmetleri (AzureActiveDirectoryDomainServices) | Herhangi bir | İzin Ver |
| 201 | allowRD | 3389 | TCP | CorpNetSaw | Herhangi bir | İzin Ver1 |
| 65000 | AllVnetInBound | Herhangi bir | Herhangi bir | VirtualNetwork | VirtualNetwork | İzin Ver |
| 65001 | Azure Yük Dengeleyiciye Giriş İzini Ver | Tümü | Herhangi bir | Azure Yük Dengeleyici (AzureLoadBalancer) | Herhangi bir | İzin Ver |
| 65500 | DenyAllInBound | Herhangi bir | Herhangi bir | Herhangi bir | Herhangi bir | Reddet |
1Hata ayıklama için isteğe bağlıdır, ancak gerekli olmadığında varsayılanı reddet olarak değiştirin. Gelişmiş sorun giderme için gerektiğinde kurala izin verin.
Not
Güvenli LDAP yapılandırırsanız gelen trafiğe izin veren bir kuralınız da olabilir. Bu kural doğru LDAPS iletişimi için gereklidir.
Giden güvenlik kuralları
| Öncelik | Name | Liman | Protokol | Kaynak | Hedef | Eylem |
|---|---|---|---|---|---|---|
| 65000 | AllVnetOutBound | Tümü | Herhangi bir | VirtualNetwork | VirtualNetwork | İzin Ver |
| 65001 | Azure Yük Dengeleyiciye Dışa Yönelik İzin Ver | Herhangi bir şey | Herhangi bir | Herhangi bir | İnternet | İzin Ver |
| 65500 | DenyAllOutBound | Herhangi bir | Herhangi bir | Herhangi bir | Herhangi bir | Reddet |
Not
Alan Adı Hizmetlerinin sanal ağdan kısıtlamasız giden erişime ihtiyacı vardır. Sanal ağ için giden erişimi kısıtlayan başka kurallar oluşturmanızı önermiyoruz.
Mevcut güvenlik kurallarını doğrulama ve düzenleme
Mevcut güvenlik kurallarını doğrulamak ve varsayılan bağlantı noktalarının açık olduğundan emin olmak için aşağıdaki adımları tamamlayın:
Microsoft Entra yönetim merkezinde Ağ güvenlik grupları'nı arayın ve seçin.
AADDS-contoso.com-NSG gibi yönetilen etki alanınızla ilişkilendirilmiş ağ güvenlik grubunu seçin.
Genel Bakış sayfasında, mevcut gelen ve giden güvenlik kuralları gösterilir.
Gelen ve giden kurallarını gözden geçirin ve önceki bölümdeki gerekli kurallar listesiyle karşılaştırın. Gerekirse, gerekli trafiği engelleyen özel kuralları seçin ve silin. Gerekli kurallardan herhangi biri eksikse, sonraki bölüme bir kural ekleyin.
Gerekli trafiğe izin vermek için kuralları ekledikten veya sildikten sonra, yönetilen etki alanının sistem durumu iki saat içinde otomatik olarak kendini güncelleştirir ve uyarıyı kaldırır.
Güvenlik kuralı ekleme
Eksik bir güvenlik kuralı eklemek için aşağıdaki adımları tamamlayın:
- Microsoft Entra yönetim merkezinde Ağ güvenlik grupları'nı arayın ve seçin.
- AADDS-contoso.com-NSG gibi yönetilen etki alanınızla ilişkilendirilmiş ağ güvenlik grubunu seçin.
- Sol paneldeki Ayarlar altında, eklemeniz gereken kurala bağlı olarak Gelen güvenlik kuralları veya Giden güvenlik kurallarını seçin.
- Ekle'yi seçin, ardından bağlantı noktası, protokol, yön vb. temelinde gerekli kuralı oluşturun. Hazır olduğunuzda Tamam'ı seçin.
Güvenlik kuralının eklenmesi ve listede gösterilmesi birkaç dakikayı bulur.
Sonraki adımlar
Halen sorun yaşıyorsanız, daha fazla sorun giderme yardımı için bir Azure destek isteği açın.