Znane problemy: Alerty konfiguracji sieci w usługach Microsoft Entra Domain Services
Aby umożliwić aplikacjom i usługom prawidłową komunikację z domeną zarządzaną usług Microsoft Entra Domain Services, określone porty sieciowe muszą być otwarte, aby umożliwić przepływ ruchu. Na platformie Azure kontrolujesz przepływ ruchu przy użyciu sieciowych grup zabezpieczeń. Stan kondycji domeny zarządzanej usług Domain Services pokazuje alert, jeśli wymagane reguły sieciowej grupy zabezpieczeń nie są spełnione.
Ten artykuł pomaga zrozumieć i rozwiązać typowe alerty dotyczące problemów z konfiguracją sieciowej grupy zabezpieczeń.
AADDS104 alertów: błąd sieci
Komunikat alertu
Firma Microsoft nie może uzyskać dostępu do kontrolerów domeny dla tej domeny zarządzanej. Może się tak zdarzyć, jeśli sieciowa grupa zabezpieczeń skonfigurowana w sieci wirtualnej blokuje dostęp do domeny zarządzanej. Innym możliwym powodem jest to, że istnieje trasa zdefiniowana przez użytkownika, która blokuje ruch przychodzący z Internetu.
Nieprawidłowe reguły sieciowej grupy zabezpieczeń są najczęstszą przyczyną błędów sieciowych dla usług Domain Services. Sieciowa grupa zabezpieczeń dla sieci wirtualnej musi zezwalać na dostęp do określonych portów i protokołów. Jeśli te porty są zablokowane, platforma Azure nie może monitorować ani aktualizować domeny zarządzanej. Ma to również wpływ na synchronizację między katalogami Microsoft Entra i Domain Services. Upewnij się, że domyślne porty są otwarte, aby uniknąć przerw w działaniu usługi.
Domyślne reguły zabezpieczeń
Następujące domyślne reguły zabezpieczeń dla ruchu przychodzącego i wychodzącego są stosowane do sieciowej grupy zabezpieczeń dla domeny zarządzanej. Te reguły zabezpieczają usługi Domain Services i umożliwiają platformie Azure monitorowanie i aktualizowanie domeny zarządzanej oraz zarządzanie nimi.
Reguły zabezpieczeń dla ruchu przychodzącego
| Priorytet | Nazwa | Port | Protokół | Źródło | Cel | Akcja |
|---|---|---|---|---|---|---|
| 301 | AllowPSRemoting | 5986 | TCP | AzureActiveDirectoryDomainServices | Jakikolwiek | Pozwolić |
| 201 | AllowRD | 3389 | TCP | CorpNetSaw | Jakikolwiek | Zezwalaj1 |
| 65000 | AllVnetInBound | Jakikolwiek | Jakikolwiek | Sieć wirtualna | Sieć wirtualna | Pozwolić |
| 65001 | AllowAzureLoadBalancerInBound | Jakikolwiek | Jakikolwiek | AzureLoadBalancer | Jakikolwiek | Pozwolić |
| 65500 | DenyAllInBound | Jakikolwiek | Jakikolwiek | Jakikolwiek | Jakikolwiek | Zaprzeczać |
1Opcjonalne do debugowania, ale zmień wartość domyślną na odmowę, jeśli nie jest to konieczne. Zezwalaj na regułę, jeśli jest wymagana do zaawansowanego rozwiązywania problemów.
Nuta
Możesz również mieć dodatkową regułę zezwalającą na ruch przychodzący w przypadku skonfigurowania bezpiecznego protokołu LDAP. Ta dodatkowa reguła jest wymagana do poprawnej komunikacji LDAPS.
Reguły zabezpieczeń dla ruchu wychodzącego
| Priorytet | Nazwa | Port | Protokół | Źródło | Cel | Akcja |
|---|---|---|---|---|---|---|
| 65000 | AllVnetOutBound | Jakikolwiek | Jakikolwiek | Sieć wirtualna | Sieć wirtualna | Pozwolić |
| 65001 | AllowAzureLoadBalancerOutBound | Jakikolwiek | Jakikolwiek | Jakikolwiek | Internet | Pozwolić |
| 65500 | DenyAllOutBound | Jakikolwiek | Jakikolwiek | Jakikolwiek | Jakikolwiek | Zaprzeczać |
Nuta
Usługi Domain Services wymagają nieograniczonego dostępu wychodzącego z sieci wirtualnej. Nie zalecamy tworzenia żadnych dodatkowych reguł, które ograniczają dostęp wychodzący dla sieci wirtualnej.
Weryfikowanie i edytowanie istniejących reguł zabezpieczeń
Aby sprawdzić istniejące reguły zabezpieczeń i upewnić się, że porty domyślne są otwarte, wykonaj następujące kroki:
W centrum administracyjnym firmy Microsoft Entra wyszukaj i wybierz pozycję Sieciowe grupy zabezpieczeń.
Wybierz sieciową grupę zabezpieczeń skojarzona z domeną zarządzaną, taką jak AADDS-contoso.com-sieciowa grupa zabezpieczeń.
Na stronie Przegląd są wyświetlane istniejące reguły zabezpieczeń dla ruchu przychodzącego i wychodzącego.
Przejrzyj reguły ruchu przychodzącego i wychodzącego i porównaj je z listą wymaganych reguł w poprzedniej sekcji. W razie potrzeby wybierz i usuń wszystkie reguły niestandardowe, które blokują wymagany ruch. Jeśli brakuje dowolnej z wymaganych reguł, dodaj regułę w następnej sekcji.
Po dodaniu lub usunięciu reguł zezwalania na wymagany ruch kondycja domeny zarządzanej automatycznie aktualizuje się w ciągu dwóch godzin i usuwa alert.
Dodawanie reguły zabezpieczeń
Aby dodać brakującą regułę zabezpieczeń, wykonaj następujące kroki:
- W centrum administracyjnym firmy Microsoft Entra wyszukaj i wybierz pozycję Sieciowe grupy zabezpieczeń.
- Wybierz sieciową grupę zabezpieczeń skojarzona z domeną zarządzaną, taką jak AADDS-contoso.com-sieciowa grupa zabezpieczeń.
- W obszarze Ustawienia w panelu po lewej stronie kliknij pozycję Reguły zabezpieczeń dla ruchu przychodzącego lub Reguły zabezpieczeń dla ruchu wychodzącego w zależności od reguły, którą należy dodać.
- Wybierz pozycję Dodaj, a następnie utwórz wymaganą regułę na podstawie portu, protokołu, kierunku itd. Gdy wszystko będzie gotowe, wybierz przycisk OK.
Dodanie reguły zabezpieczeń i wyświetlenie jej na liście zajmuje kilka chwil.
Następne kroki
Jeśli nadal masz problemy, otwórz żądanie pomoc techniczna platformy Azure, aby uzyskać dodatkową pomoc w rozwiązywaniu problemów.