Sdílet prostřednictvím


Známé problémy: Výstrahy konfigurace sítě ve službě Microsoft Entra Domain Services

Aby mohly aplikace a služby správně komunikovat se spravovanou doménou služby Microsoft Entra Domain Services, musí být otevřené konkrétní síťové porty, aby umožňovaly tok provozu. V Azure řídíte tok provozu pomocí skupin zabezpečení sítě. Stav spravované domény služby Domain Services zobrazuje výstrahu, pokud nejsou požadovaná pravidla skupiny zabezpečení sítě zavedená.

Tento článek vám pomůže pochopit a vyřešit běžné výstrahy pro problémy s konfigurací skupiny zabezpečení sítě.

AADDS104 upozornění: Chyba sítě

Zpráva s upozorněním

Microsoft se nemůže spojit s řadiči domény pro tuto spravovanou doménu. K tomu může dojít v případě, že skupina zabezpečení sítě (NSG) nakonfigurovaná ve vaší virtuální síti blokuje přístup ke spravované doméně. Dalším možným důvodem je, že existuje trasa definovaná uživatelem, která blokuje příchozí provoz z internetu.

Nejčastější příčinou chyb sítě pro službu Domain Services jsou neplatná pravidla skupiny zabezpečení sítě. Skupina zabezpečení sítě pro virtuální síť musí povolit přístup ke konkrétním portům a protokolům. Pokud jsou tyto porty blokované, platforma Azure nemůže monitorovat ani aktualizovat spravovanou doménu. Ovlivněna je také synchronizace mezi adresářem Microsoft Entra a Domain Services. Ujistěte se, že máte otevřené výchozí porty, abyste se vyhnuli přerušení provozu.

Výchozí pravidla zabezpečení

Následující výchozí příchozí a odchozí pravidla zabezpečení se použijí pro skupinu zabezpečení sítě pro spravovanou doménu. Tato pravidla udržují službu Domain Services zabezpečenou a umožňují platformě Azure monitorovat, spravovat a aktualizovat spravovanou doménu.

Příchozí pravidla zabezpečení

Priorita Jméno Přístav Protokol Zdroj Cíl Akce
301 AllowPSRemoting 5986 Protokol tcp AzureActiveDirectoryDomainServices Jakýkoliv Povolit
201 PovolitRD 3389 Protokol tcp CorpNetSaw Jakýkoliv Povolit1
65000 AllVnetInBound Jakýkoliv Jakýkoliv VirtualNetwork VirtualNetwork Povolit
65001 AllowAzureLoadBalancerInBound Jakýkoliv Jakýkoliv AzureLoadBalancer Jakýkoliv Povolit
65500 DenyAllInBound Jakýkoliv Jakýkoliv Jakýkoliv Jakýkoliv Popřít

1Volitelné pro ladění, ale v případě potřeby změňte výchozí hodnotu na odepření. Povolte pravidlo v případě potřeby pro pokročilé řešení potíží.

Poznámka

Můžete mít také další pravidlo, které umožňuje příchozí provoz, pokud nakonfigurujete zabezpečený protokol LDAP. Toto další pravidlo se vyžaduje pro správnou komunikaci LDAPS.

Odchozí pravidla zabezpečení

Priorita Jméno Přístav Protokol Zdroj Cíl Akce
65000 AllVnetOutBound Jakýkoliv Jakýkoliv VirtualNetwork VirtualNetwork Povolit
65001 AllowAzureLoadBalancerOutBound Jakýkoliv Jakýkoliv Jakýkoliv Internet Povolit
65500 DenyAllOutBound Jakýkoliv Jakýkoliv Jakýkoliv Jakýkoliv Popřít

Poznámka

Služba Domain Services potřebuje neomezený odchozí přístup z virtuální sítě. Nedoporučujeme vytvářet žádná další pravidla, která omezují odchozí přístup pro virtuální síť.

Ověření a úprava existujících pravidel zabezpečení

Pokud chcete ověřit stávající pravidla zabezpečení a ujistit se, že jsou otevřené výchozí porty, proveďte následující kroky:

  1. V Centru pro správu Microsoft Entra vyhledejte a vyberte skupiny zabezpečení sítě.

  2. Vyberte skupinu zabezpečení sítě přidruženou k vaší spravované doméně, například skupinu zabezpečení sítě AADDS-contoso.com-NSG.

  3. Na stránce Přehled se zobrazí existující příchozí a odchozí pravidla zabezpečení.

    Zkontrolujte příchozí a odchozí pravidla a porovnejte seznam požadovaných pravidel v předchozí části. V případě potřeby vyberte a odstraňte všechna vlastní pravidla, která blokují požadovaný provoz. Pokud některá z požadovaných pravidel chybí, přidejte pravidlo v další části.

    Po přidání nebo odstranění pravidel, která povolují požadovaný provoz, se stav spravované domény automaticky aktualizuje během dvou hodin a výstrahu odebere.

Přidání pravidla zabezpečení

Pokud chcete přidat chybějící pravidlo zabezpečení, proveďte následující kroky:

  1. V Centru pro správu Microsoft Entra vyhledejte a vyberte skupiny zabezpečení sítě.
  2. Vyberte skupinu zabezpečení sítě přidruženou k vaší spravované doméně, například skupinu zabezpečení sítě AADDS-contoso.com-NSG.
  3. V části Nastavení na levém panelu klikněte na Příchozí pravidla zabezpečení nebo Odchozí pravidla zabezpečení v závislosti na tom, které pravidlo potřebujete přidat.
  4. Vyberte Přidat a pak vytvořte požadované pravidlo na základě portu, protokolu, směru atd. Až budete připraveni, vyberte OK.

Přidání a zobrazení pravidla zabezpečení v seznamu chvíli trvá.

Další kroky

Pokud stále máte problémy, otevřete podpora Azure žádost o další pomoc při řešení potíží.