Problemi noti: avvisi di configurazione di rete in Microsoft Entra Domain Services
Per consentire alle applicazioni e ai servizi di comunicare correttamente con un dominio gestito di Microsoft Entra Domain Services, è necessario aprire porte di rete specifiche per consentire il flusso del traffico. In Azure si controlla il flusso del traffico usando i gruppi di sicurezza di rete. Lo stato di funzionamento di un dominio gestito di Servizi di dominio mostra un avviso se le regole del gruppo di sicurezza di rete necessarie non sono presenti.
Questo articolo illustra e risolve gli avvisi comuni relativi ai problemi di configurazione del gruppo di sicurezza di rete.
Avviso AADDS104: errore di rete
Messaggio di avviso
Microsoft non riesce a raggiungere i controller di dominio per questo dominio gestito. È possibile che questo problema si verifichi se un gruppo di sicurezza di rete (NSG) configurato sulla rete virtuale impedisce l'accesso al dominio gestito. oppure se è presente un percorso definito dall'utente che blocca il traffico in ingresso da Internet.
Le regole del gruppo di sicurezza di rete (NSG) non valide sono la causa più comune degli errori di rete di Servizi di dominio. Il gruppo di sicurezza di rete per la rete virtuale deve consentire l'accesso a porte e protocolli specifici. Se queste porte sono bloccate, la piattaforma di Azure non potrà monitorare o aggiornare il dominio gestito. Anche la sincronizzazione tra la directory Microsoft Entra e Servizi di dominio è interessata. Assicurarsi di mantenere aperte le porte predefinite per evitare interruzioni del servizio.
Regole di sicurezza predefinite
Le regole di sicurezza in ingresso e in uscita seguenti vengono applicate al gruppo di sicurezza di rete per un dominio gestito. Queste regole mantengono i Servizi di dominio sicuri e consentono alla piattaforma Azure di monitorare, gestire e aggiornare il dominio gestito.
Regole di sicurezza in ingresso
| Priorità | Nome | Porta | Protocollo | Source (Sorgente) | Destination | Azione |
|---|---|---|---|---|---|---|
| 301 | AllowPSRemoting | 5986 | TCP | AzureActiveDirectoryDomainServices | Qualsiasi | Consentire |
| 201 | AllowRD | 3389 | TCP | CorpNetSaw | Qualsiasi | Consentire1 |
| 65000 | AllVnetInBound | Qualsiasi | Qualsiasi | VirtualNetwork | VirtualNetwork | Allow |
| 65001 | AllowAzureLoadBalancerInBound | Qualsiasi | Qualsiasi | AzureLoadBalancer | Any | Consentire |
| 65500 | DenyAllInBound | Qualsiasi | Qualsiasi | Qualsiasi | Qualsiasi | Nega |
1Facoltativo per il debug, ma modificare da predefinito a negato quando non è necessario. Consentire la regola quando è necessario per la risoluzione dei problemi avanzata.
Nota
È anche possibile avere una regola aggiuntiva che consente il traffico in ingresso se si configura il LDAP sicuro. Questa regola aggiuntiva è necessaria per la comunicazione LDAPS corretta.
Regole di sicurezza in uscita
| Priorità | Nome | Porta | Protocollo | Source (Sorgente) | Destination | Azione |
|---|---|---|---|---|---|---|
| 65000 | AllVnetOutBound | Qualsiasi | Qualsiasi | VirtualNetwork | VirtualNetwork | Allow |
| 65001 | AllowAzureLoadBalancerOutBound | Qualsiasi | Qualsiasi | Qualsiasi | Internet | Allow |
| 65500 | DenyAllOutBound | Qualsiasi | Qualsiasi | Qualsiasi | Qualsiasi | Nega |
Nota
Domain Services necessita di un accesso in uscita senza restrizioni dalla rete virtuale. Si consiglia di non creare regole NSG aggiuntive che limitano l'accesso in uscita per la rete virtuale.
Verificare e modificare le regole di sicurezza esistenti
Per verificare le regole di sicurezza esistenti e assicurarsi che le porte predefinite siano aperte, completare i passaggi seguenti:
Nell'Interfaccia di amministrazione di Microsoft Entra cercare e selezionare Gruppi di sicurezza di rete.
Scegliere il gruppo di sicurezza di rete associato al dominio gestito, ad esempio AADDS-contoso.com-NSG.
Nella pagina Panoramica vengono visualizzate le regole di sicurezza in ingresso e in uscita esistenti.
Esaminare le regole in ingresso e in uscita e confrontare l'elenco delle regole necessarie nella sezione precedente. Se necessario, selezionare ed eliminare eventuali regole personalizzate che bloccano il traffico richiesto. Se manca una delle regole necessarie, aggiungere una regola nella sezione successiva.
Dopo aver aggiunto o eliminato regole per consentire il traffico richiesto, l'integrità del dominio gestito si aggiorna automaticamente entro due ore e rimuove l'avviso.
Aggiungere una regola di sicurezza
Per aggiungere una regola di sicurezza mancante, completare la procedura seguente:
- Nell'Interfaccia di amministrazione di Microsoft Entra cercare e selezionare Gruppi di sicurezza di rete.
- Scegliere il gruppo di sicurezza di rete associato al dominio gestito, ad esempio AADDS-contoso.com-NSG.
- Su Impostazioni nel pannello a sinistra, cliccare su Regole di sicurezza in ingresso o Regole di sicurezza in uscita, a seconda della regola mancante che bisogna aggiungere.
- Selezionare Aggiungi, quindi creare la regola richiesta in base alla porta, al protocollo, alla direzione e così via. Al termine, selezionare OK.
L'aggiunta e la visualizzazione della regola di sicurezza nell'elenco richiede alcuni istanti.
Passaggi successivi
Se i problemi persistono, aprire una richiesta di supporto tecnico di Azure per richiedere ulteriore assistenza per la risoluzione dei problemi.