Problemas conhecidos: Alertas de configuração de rede nos Serviços de Domínio Microsoft Entra

Para permitir que aplicativos e serviços se comuniquem corretamente com um domínio gerenciado pelos Serviços de Domínio Microsoft Entra, portas de rede específicas devem estar abertas para permitir que o tráfego flua. No Azure, você controla o fluxo de tráfego usando grupos de segurança de rede. O estado de funcionamento de um domínio gerido pelos Serviços de Domínio mostra um alerta se as regras de grupo de segurança de rede necessárias não estiverem em vigor.

Este artigo ajuda você a entender e resolver alertas comuns para problemas de configuração do grupo de segurança de rede.

AADDS104 de alerta: Erro de rede

Mensagem de alerta

A Microsoft não consegue aceder aos controladores de domínio para este domínio gerido. Isso pode acontecer se um NSG (grupo de segurança de rede) configurado em sua rede virtual bloquear o acesso ao domínio gerenciado. Outra razão possível é se houver uma rota definida pelo usuário que bloqueie o tráfego de entrada da Internet.

Regras de grupo de segurança de rede inválidas são a causa mais comum de erros de rede para Serviços de Domínio. O grupo de segurança de rede para a rede virtual deve permitir o acesso a portas e protocolos específicos. Se essas portas estiverem bloqueadas, a plataforma Azure não poderá monitorar ou atualizar o domínio gerenciado. A sincronização entre o diretório Microsoft Entra e os Serviços de Domínio também é afetada. Certifique-se de manter as portas padrão abertas para evitar a interrupção do serviço.

Regras de segurança padrão

As seguintes regras de segurança padrão de entrada e saída são aplicadas ao grupo de segurança de rede para um domínio gerenciado. Essas regras mantêm os Serviços de Domínio seguros e permitem que a plataforma Azure monitore, gerencie e atualize o domínio gerenciado.

Regras de segurança de entrada

Prioridade Designação Porto Protocolo Fonte Destino Ação
301 AllowPSRemoting 5986 TCP AzureActiveDirectoryDomainServices Qualquer Permitir
201 AllowRD 3389 TCP CorpNetSaw Qualquer Permitir1
65000 AllVnetInBound Qualquer Qualquer Rede virtual Rede virtual Permitir
65001 AllowAzureLoadBalancerInBound Qualquer Qualquer AzureLoadBalancer Qualquer Permitir
65500 DenyAllInBound Qualquer Qualquer Qualquer Qualquer Negar

1 Opcional para depuração, mas altere o padrão para negar quando não for necessário. Permita a regra quando necessário para solução de problemas avançada.

Observação

Você também pode ter uma regra adicional que permite o tráfego de entrada se configurar o LDAP seguro. Esta regra adicional é necessária para a comunicação LDAPS correta.

Regras de segurança de saída

Prioridade Designação Porto Protocolo Fonte Destino Ação
65000 AllVnetOutBound Qualquer Qualquer Rede virtual Rede virtual Permitir
65001 AllowAzureLoadBalancerOutBound Qualquer Qualquer Qualquer Internet Permitir
65500 DenyAllOutBound Qualquer Qualquer Qualquer Qualquer Negar

Observação

Os Serviços de Domínio precisam de acesso de saída irrestrito da rede virtual. Não recomendamos que você crie regras adicionais que restrinjam o acesso de saída para a rede virtual.

Verificar e editar regras de segurança existentes

Para verificar as regras de segurança existentes e certificar-se de que as portas padrão estão abertas, conclua as seguintes etapas:

  1. No centro de administração do Microsoft Entra, procure e selecione Grupos de segurança de rede.

  2. Escolha o grupo de segurança de rede associado ao seu domínio gerenciado, como o AADDS-contoso.com-NSG.

  3. Na página Visão geral, as regras de segurança de entrada e saída existentes são mostradas.

    Analise as regras de entrada e saída e compare com a lista de regras necessárias na seção anterior. Se necessário, selecione e exclua todas as regras personalizadas que bloqueiam o tráfego necessário. Se alguma das regras necessárias estiver faltando, adicione uma regra na próxima seção.

    Depois de adicionar ou excluir regras para permitir o tráfego necessário, a integridade do domínio gerenciado se atualiza automaticamente em duas horas e remove o alerta.

Adicionar uma regra de segurança

Para adicionar uma regra de segurança ausente, conclua as seguintes etapas:

  1. No centro de administração do Microsoft Entra, procure e selecione Grupos de segurança de rede.
  2. Escolha o grupo de segurança de rede associado ao seu domínio gerenciado, como o AADDS-contoso.com-NSG.
  3. Em Configurações , no painel esquerdo, clique em Regras de segurança de entrada ou Regras de segurança de saída, dependendo da regra que você precisa adicionar.
  4. Selecione Adicionar e, em seguida, crie a regra necessária com base na porta, protocolo, direção e assim por diante. Quando estiver pronto, selecione OK.

Leva alguns momentos para que a regra de segurança seja adicionada e mostrada na lista.

Próximos passos

Se você ainda tiver problemas, abra uma solicitação de suporte do Azure para obter assistência adicional para solução de problemas.