Známé problémy: Výstrahy konfigurace sítě ve službě Microsoft Entra Domain Services
Aby mohly aplikace a služby správně komunikovat se spravovanou doménou služby Microsoft Entra Domain Services, musí být otevřené konkrétní síťové porty, aby umožňovaly tok provozu. V Azure řídíte tok provozu pomocí skupin zabezpečení sítě. Stav spravované domény služby Domain Services zobrazuje výstrahu, pokud nejsou požadovaná pravidla skupiny zabezpečení sítě zavedená.
Tento článek vám pomůže pochopit a vyřešit běžné výstrahy pro problémy s konfigurací skupiny zabezpečení sítě.
AADDS104 upozornění: Chyba sítě
Zpráva s upozorněním
Microsoft se nemůže spojit s řadiči domény pro tuto spravovanou doménu. K tomu může dojít v případě, že skupina zabezpečení sítě (NSG) nakonfigurovaná ve vaší virtuální síti blokuje přístup ke spravované doméně. Dalším možným důvodem je, že existuje trasa definovaná uživatelem, která blokuje příchozí provoz z internetu.
Nejčastější příčinou chyb sítě pro službu Domain Services jsou neplatná pravidla skupiny zabezpečení sítě. Skupina zabezpečení sítě pro virtuální síť musí umožňovat přístup k určitým portům a protokolům. Pokud jsou tyto porty blokované, nemůže platforma Azure spravovanou doménu monitorovat ani aktualizovat. Ovlivněna je také synchronizace mezi adresářem Microsoft Entra a Domain Services. Zkontrolujte, že jsou výchozí porty otevřené, aby nedošlo k narušení činnosti služby.
Výchozí pravidla zabezpečení
Následující výchozí příchozí a odchozí pravidla zabezpečení se použijí pro skupinu zabezpečení sítě pro spravovanou doménu. Tato pravidla udržují službu Domain Services zabezpečenou a umožňují platformě Azure monitorovat, spravovat a aktualizovat spravovanou doménu.
Příchozí pravidla zabezpečení
| Priorita | Název | Port | Protokol | Zdroj | Cíl | Akce |
|---|---|---|---|---|---|---|
| 301 | AllowPSRemoting | 5986 | TCP | AzureActiveDirectoryDomainServices | Všechny | Povolit |
| 201 | PovolitRD | 3389 | TCP | CorpNetSaw | Všechny | Povolit1 |
| 65000 | AllVnetInBound | Všechny | Všechny | VirtualNetwork | VirtualNetwork | Povolit |
| 65001 | AllowAzureLoadBalancerInBound | Všechny | Všechny | AzureLoadBalancer | Všechny | Povolit |
| 65500 | DenyAllInBound | Všechny | Všechny | Všechny | Všechny | Odepřít |
1Volitelné pro ladění, ale v případě potřeby změňte výchozí hodnotu na odepření. Povolte pravidlo v případě potřeby pro pokročilé řešení potíží.
Poznámka:
Můžete mít také další pravidlo, které umožňuje příchozí provoz, pokud nakonfigurujete zabezpečený protokol LDAP. Toto další pravidlo se vyžaduje pro správnou komunikaci LDAPS.
Odchozí pravidla zabezpečení
| Priorita | Název | Port | Protokol | Zdroj | Cíl | Akce |
|---|---|---|---|---|---|---|
| 65000 | AllVnetOutBound | Všechny | Všechny | VirtualNetwork | VirtualNetwork | Povolit |
| 65001 | AllowAzureLoadBalancerOutBound | Všechny | Všechny | Všechny | Internet | Povolit |
| 65500 | DenyAllOutBound | Všechny | Všechny | Všechny | Všechny | Odepřít |
Poznámka:
Služba Domain Services potřebuje neomezený odchozí přístup z virtuální sítě. Nedoporučujeme vytvářet žádná další pravidla, která omezují odchozí přístup pro virtuální síť.
Ověření a úprava existujících pravidel zabezpečení
Pokud chcete ověřit stávající pravidla zabezpečení a ujistit se, že jsou otevřené výchozí porty, proveďte následující kroky:
V Centru pro správu Microsoft Entra vyhledejte a vyberte skupiny zabezpečení sítě.
Vyberte skupinu zabezpečení sítě přidruženou k vaší spravované doméně, například skupinu zabezpečení sítě AADDS-contoso.com-NSG.
Na stránce Přehled se zobrazí existující příchozí a odchozí pravidla zabezpečení.
Zkontrolujte příchozí a odchozí pravidla a porovnejte seznam požadovaných pravidel v předchozí části. V případě potřeby vyberte a odstraňte všechna vlastní pravidla, která blokují požadovaný provoz. Pokud některá z požadovaných pravidel chybí, přidejte pravidlo v další části.
Po přidání nebo odstranění pravidel, která povolují požadovaný provoz, se stav spravované domény automaticky aktualizuje během dvou hodin a výstrahu odebere.
Přidání pravidla zabezpečení
Pokud chcete přidat chybějící pravidlo zabezpečení, proveďte následující kroky:
- V Centru pro správu Microsoft Entra vyhledejte a vyberte skupiny zabezpečení sítě.
- Vyberte skupinu zabezpečení sítě přidruženou k vaší spravované doméně, například skupinu zabezpečení sítě AADDS-contoso.com-NSG.
- V části Nastavení na levém panelu klikněte na Příchozí pravidla zabezpečení nebo Odchozí pravidla zabezpečení v závislosti na tom, které pravidlo potřebujete přidat.
- Vyberte Přidat a pak vytvořte požadované pravidlo na základě portu, protokolu, směru atd. Až budete připraveni, vyberte OK.
Přidání a zobrazení pravidla zabezpečení v seznamu chvíli trvá.
Další kroky
Pokud stále máte problémy, otevřete podpora Azure žádost o další pomoc při řešení potíží.