Известные проблемы: оповещения конфигурации сети в доменных службах Microsoft Entra
Чтобы приложения и службы правильно взаимодействовали с управляемым доменом доменных служб Майкрософт, определенные сетевые порты должны быть открыты, чтобы разрешить поток трафика. В Azure вы управляете потоком трафика с помощью групп безопасности сети. Состояние работоспособности управляемого домена доменных служб отображает оповещение, если необходимые правила группы безопасности сети отсутствуют.
Эта статья поможет вам понять и устранить распространенные предупреждения о проблемах с конфигурацией групп безопасности сети.
Оповещение AADDS104: ошибка сети
Текст предупреждения
Корпорация Майкрософт не может получить доступ к контроллерам домена этого управляемого домена. Это может произойти, если группа безопасности сети (NSG), настроенная в виртуальной сети, блокирует доступ к управляемому домену. Другая возможная причина заключается в том, что имеется определенный пользователем маршрут, который блокирует входящий трафик из Интернета.
Недопустимые правила группы безопасности сети являются наиболее распространенным причиной сетевых ошибок для доменных служб. Группа безопасности сети, настроенная для виртуальной сети, должна разрешать доступ к определенным портам и протоколам. Если эти порты заблокированы, платформа Azure не сможет отслеживать или обновлять управляемый домен. Синхронизация между каталогом Microsoft Entra и доменными службами также влияет. Чтобы избежать прерывания работы службы, убедитесь в том, что открыты порты по умолчанию.
Правила безопасности по умолчанию
Следующие правила безопасности для входящего и исходящего трафика по умолчанию применяются к группе безопасности сети для управляемого домена. Эти правила обеспечивают безопасность доменных служб и позволяют платформе Azure отслеживать, управлять и обновлять управляемый домен.
Правила безопасности для входящего трафика
| Приоритет | Имя | Порт | Протокол | Источник | Назначение | Действие |
|---|---|---|---|---|---|---|
| 301 | AllowPSRemoting | 5986 | TCP | AzureActiveDirectoryDomainServices | Любое | Разрешить |
| 201 | AllowRD | 3389 | TCP | CorpNetSaw | Любое | Разрешить1 |
| 65000 | AllVnetInBound | Любой | Любой | Виртуальная сеть | Виртуальная сеть | Allow |
| 65001 | AllowAzureLoadBalancerInBound | Любой | Любой | AzureLoadBalancer | Любое | Allow |
| 65500 | DenyAllInBound | Любой | Любой | Любой | Любой | Запрет |
1Необязательно для отладки, но измените значение по умолчанию, чтобы запретить при необходимости. Разрешить правило при необходимости для расширенного устранения неполадок.
Примечание.
У вас также может быть дополнительное правило, разрешающее входящий трафик при настройке защищенного протокола LDAP. Это дополнительное правило требуется для правильной связи между протоколами LDAPS.
Правила безопасности для исходящего трафика
| Приоритет | Имя | Порт | Протокол | Источник | Назначение | Действие |
|---|---|---|---|---|---|---|
| 65000 | AllVnetOutBound | Любой | Любой | Виртуальная сеть | Виртуальная сеть | Allow |
| 65001 | AllowAzureLoadBalancerOutBound | Любой | Любой | Любой | Интернет | Allow |
| 65500 | DenyAllOutBound | Любой | Любой | Любой | Любой | Запрет |
Примечание.
Для доменных служб требуется неограниченный исходящий доступ из виртуальной сети. Не рекомендуется создавать дополнительные правила, ограничивающие исходящий доступ для виртуальной сети.
Проверка и редактирование существующих правил безопасности
Чтобы проверить существующие правила безопасности и убедиться в том, что порты по умолчанию открыты, выполните следующие действия:
В Центре администрирования Microsoft Entra найдите и выберите группы безопасности сети.
Выберите группу безопасности сети, связанную с вашим управляемым доменом, например AADDS-contoso.com-NSG.
На странице Обзор отображаются существующие правила безопасности для входящего и исходящего трафика.
Проверьте правила для входящего и исходящего трафика и сравните их со списком обязательных правил, описанных в предыдущем разделе. При необходимости выберите и удалите все настраиваемые правила, которые блокируют требуемый трафик. Если какое-либо из необходимых правил отсутствует, добавьте его в следующем разделе.
После добавления или удаления правил, обеспечивающих требуемый трафик, работоспособность управляемого домена автоматически обновляется в течение двух часов и предупреждение удаляется.
Добавление правила безопасности
Чтобы добавить отсутствующее правило безопасности, выполните следующие действия:
- В Центре администрирования Microsoft Entra найдите и выберите группы безопасности сети.
- Выберите группу безопасности сети, связанную с вашим управляемым доменом, например AADDS-contoso.com-NSG.
- На панели слева в разделе Параметры щелкните пункт Правила безопасности для входящего трафика или Правила безопасности для исходящего трафика в зависимости от того, какое правило необходимо добавить.
- Выберите "Добавить", а затем создайте необходимое правило на основе порта, протокола, направления и т. д. Когда все будет готово, щелкните ОК.
Добавление и отображение правила безопасности в списке занимает несколько секунд.
Следующие шаги
Если проблемы сохраняются, откройте запрос на поддержку в Azure для получения дополнительной помощи в устранении неполадок.