Compartilhar via


Problemas conhecidos: alertas de configuração de rede no Microsoft Entra Directory Domain Services

Para permitir que aplicativos e serviços se comuniquem corretamente com um domínio gerenciado do Microsoft Entra Domain Services, algumas portas de rede específicas devem estar abertas para que o tráfego flua. No Azure, você controla o fluxo de tráfego usando grupos de segurança de rede. O status de integridade de um domínio gerenciado pelo Domain Services mostrará um alerta se as regras do grupo de segurança de rede necessárias não estiverem em vigor.

Este artigo ajudará você a entender e resolver alertas comuns para problemas de configuração do grupo de segurança de rede.

Alerta AADDS104: erro de rede

Mensagem de alerta

A Microsoft não consegue alcançar os controladores de domínio para este domínio gerenciado. Isso pode ocorrer se um grupo de segurança de rede (NSG) configurado na sua rede virtual bloquear o acesso ao domínio gerenciado. Outro motivo possível é a existência de uma rota definida pelo usuário que bloqueia o tráfego de entrada da Internet.

Regras de grupo de segurança de rede inválidas são a causa mais comum de erros de rede no Domain Services. O grupo de segurança de rede para a rede virtual deve permitir o acesso a portas e protocolos específicos. Se essas portas estiverem bloqueadas, a plataforma do Azure não poderá monitorar nem atualizar o domínio gerenciado. A sincronização entre o diretório do Microsoft Entra e os Serviços de Domínio também é afetada. Mantenha as portas padrão abertas para evitar a interrupção no serviço.

Regras de segurança padrão

As regras de segurança de entrada e saída padrão a seguir são aplicadas ao grupo de segurança de rede para um domínio gerenciado. Essas regras mantêm o Domain Services seguro e permitem que a plataforma do Azure monitore, gerencie e atualize o domínio gerenciado.

Regras de segurança de entrada

Prioridade Nome Porta Protocolo Origem Destino Ação
301 AllowPSRemoting 5986 TCP AzureActiveDirectoryDomainServices Qualquer Allow
201 AllowRD 3389 TCP CorpNetSaw Qualquer Permitir1
65000 AllVnetInBound Qualquer Qualquer VirtualNetwork VirtualNetwork Allow
65001 AllowAzureLoadBalancerInBound Qualquer Qualquer AzureLoadBalancer Qualquer Allow
65500 DenyAllInBound Qualquer Qualquer Qualquer Qualquer Negar

1 Opcional para depuração, mas altere o padrão para negar quando não for necessário. Permitir a regra quando necessário para solução de problemas avançada.

Observação

Você também pode ter uma regra adicional que permita o tráfego de entrada se configurar o LDAP seguro. Essa regra adicional é necessária para a comunicação correta do LDAPS.

Regras de segurança de saída

Prioridade Nome Porta Protocolo Origem Destino Ação
65000 AllVnetOutBound Qualquer Qualquer VirtualNetwork VirtualNetwork Allow
65001 AllowAzureLoadBalancerOutBound Qualquer Qualquer Qualquer Internet Allow
65500 DenyAllOutBound Qualquer Qualquer Qualquer Qualquer Negar

Observação

O Domain Services exige acesso irrestrito de saída da rede virtual. Não recomendamos que você crie regras adicionais que restrinjam o acesso de saída para a rede virtual.

Verificar e editar as regras de segurança existentes

Para verificar as regras de segurança existentes e ter a certeza de que as portas padrão estão abertas, faça as seguintes etapas:

  1. No Centro de administração do Microsoft Entra, pesquise e selecione Grupos de segurança de rede.

  2. Escolha o grupo de segurança de rede associado ao domínio gerenciado, como AADDS-contoso.com-NSG.

  3. Na página Visão geral, as regras de segurança de entrada e saída existentes são mostradas.

    Examine as regras de entrada e saída e compare com a lista de regras necessárias na seção anterior. Se necessário, selecione e exclua as regras personalizadas que bloqueiam o tráfego necessário. Se alguma das regras necessárias estiver ausente, adicione uma regra na próxima seção.

    Depois de adicionar ou excluir regras para permitir o tráfego necessário, a integridade do domínio gerenciado se atualizará automaticamente em até duas horas e removerá o alerta.

Adicionar uma regra de segurança

Para adicionar uma regra de segurança ausente, conclua as seguintes etapas:

  1. No Centro de administração do Microsoft Entra, pesquise e selecione Grupos de segurança de rede.
  2. Escolha o grupo de segurança de rede associado ao domínio gerenciado, como AADDS-contoso.com-NSG.
  3. Em Configurações no painel esquerdo, clique em Regras de segurança de entrada ou em Regras de segurança de saída, dependendo da regra que você precisa adicionar.
  4. Selecione Adicionar e crie a regra necessária com base na porta, protocolo, direção e assim por diante. Quando estiver pronto, selecione OK.

Leva alguns minutos para que a regra de segurança seja adicionada e apareça na lista.

Próximas etapas

Se ainda tiver problemas, abra uma solicitação de suporte do Azure para obter assistência de solução de problemas adicional.