Známé problémy: Výstrahy konfigurace sítě ve službě Microsoft Entra Domain Services
Aby mohly aplikace a služby správně komunikovat se spravovanou doménou služby Microsoft Entra Domain Services, musí být otevřené konkrétní síťové porty, aby umožňovaly tok provozu. V Azure řídíte tok provozu pomocí skupin zabezpečení sítě. Stav spravované domény služby Domain Services zobrazuje výstrahu, pokud nejsou požadovaná pravidla skupiny zabezpečení sítě zavedená.
Tento článek vám pomůže pochopit a vyřešit běžné výstrahy pro problémy s konfigurací skupiny zabezpečení sítě.
AADDS104 upozornění: Chyba sítě
Zpráva s upozorněním
Microsoft se nemůže spojit s řadiči domény pro tuto spravovanou doménu. K tomu může dojít v případě, že skupina zabezpečení sítě (NSG) nakonfigurovaná ve vaší virtuální síti blokuje přístup ke spravované doméně. Dalším možným důvodem je, že existuje trasa definovaná uživatelem, která blokuje příchozí provoz z internetu.
Nejčastější příčinou chyb sítě pro službu Domain Services jsou neplatná pravidla skupiny zabezpečení sítě. Skupina zabezpečení sítě pro virtuální síť musí povolit přístup ke konkrétním portům a protokolům. Pokud jsou tyto porty blokované, platforma Azure nemůže monitorovat ani aktualizovat spravovanou doménu. Ovlivněna je také synchronizace mezi adresářem Microsoft Entra a Domain Services. Ujistěte se, že máte otevřené výchozí porty, abyste se vyhnuli přerušení provozu.
Výchozí pravidla zabezpečení
Následující výchozí příchozí a odchozí pravidla zabezpečení se použijí pro skupinu zabezpečení sítě pro spravovanou doménu. Tato pravidla udržují službu Domain Services zabezpečenou a umožňují platformě Azure monitorovat, spravovat a aktualizovat spravovanou doménu.
Příchozí pravidla zabezpečení
| Priorita | Jméno | Přístav | Protokol | Zdroj | Cíl | Akce |
|---|---|---|---|---|---|---|
| 301 | AllowPSRemoting | 5986 | Protokol tcp | AzureActiveDirectoryDomainServices | Jakýkoliv | Povolit |
| 201 | PovolitRD | 3389 | Protokol tcp | CorpNetSaw | Jakýkoliv | Povolit1 |
| 65000 | AllVnetInBound | Jakýkoliv | Jakýkoliv | VirtualNetwork | VirtualNetwork | Povolit |
| 65001 | AllowAzureLoadBalancerInBound | Jakýkoliv | Jakýkoliv | AzureLoadBalancer | Jakýkoliv | Povolit |
| 65500 | DenyAllInBound | Jakýkoliv | Jakýkoliv | Jakýkoliv | Jakýkoliv | Popřít |
1Volitelné pro ladění, ale v případě potřeby změňte výchozí hodnotu na odepření. Povolte pravidlo v případě potřeby pro pokročilé řešení potíží.
Poznámka
Můžete mít také další pravidlo, které umožňuje příchozí provoz, pokud nakonfigurujete zabezpečený protokol LDAP. Toto další pravidlo se vyžaduje pro správnou komunikaci LDAPS.
Odchozí pravidla zabezpečení
| Priorita | Jméno | Přístav | Protokol | Zdroj | Cíl | Akce |
|---|---|---|---|---|---|---|
| 65000 | AllVnetOutBound | Jakýkoliv | Jakýkoliv | VirtualNetwork | VirtualNetwork | Povolit |
| 65001 | AllowAzureLoadBalancerOutBound | Jakýkoliv | Jakýkoliv | Jakýkoliv | Internet | Povolit |
| 65500 | DenyAllOutBound | Jakýkoliv | Jakýkoliv | Jakýkoliv | Jakýkoliv | Popřít |
Poznámka
Služba Domain Services potřebuje neomezený odchozí přístup z virtuální sítě. Nedoporučujeme vytvářet žádná další pravidla, která omezují odchozí přístup pro virtuální síť.
Ověření a úprava existujících pravidel zabezpečení
Pokud chcete ověřit stávající pravidla zabezpečení a ujistit se, že jsou otevřené výchozí porty, proveďte následující kroky:
V Centru pro správu Microsoft Entra vyhledejte a vyberte skupiny zabezpečení sítě.
Vyberte skupinu zabezpečení sítě přidruženou k vaší spravované doméně, například skupinu zabezpečení sítě AADDS-contoso.com-NSG.
Na stránce Přehled se zobrazí existující příchozí a odchozí pravidla zabezpečení.
Zkontrolujte příchozí a odchozí pravidla a porovnejte seznam požadovaných pravidel v předchozí části. V případě potřeby vyberte a odstraňte všechna vlastní pravidla, která blokují požadovaný provoz. Pokud některá z požadovaných pravidel chybí, přidejte pravidlo v další části.
Po přidání nebo odstranění pravidel, která povolují požadovaný provoz, se stav spravované domény automaticky aktualizuje během dvou hodin a výstrahu odebere.
Přidání pravidla zabezpečení
Pokud chcete přidat chybějící pravidlo zabezpečení, proveďte následující kroky:
- V Centru pro správu Microsoft Entra vyhledejte a vyberte skupiny zabezpečení sítě.
- Vyberte skupinu zabezpečení sítě přidruženou k vaší spravované doméně, například skupinu zabezpečení sítě AADDS-contoso.com-NSG.
- V části Nastavení na levém panelu klikněte na Příchozí pravidla zabezpečení nebo Odchozí pravidla zabezpečení v závislosti na tom, které pravidlo potřebujete přidat.
- Vyberte Přidat a pak vytvořte požadované pravidlo na základě portu, protokolu, směru atd. Až budete připraveni, vyberte OK.
Přidání a zobrazení pravidla zabezpečení v seznamu chvíli trvá.
Další kroky
Pokud stále máte problémy, otevřete podpora Azure žádost o další pomoc při řešení potíží.