Partager via


Problèmes connus : alertes de configuration réseau dans Microsoft Entra Domain Services

Pour permettre aux applications et aux services de communiquer correctement avec un domaine managé Microsoft Entra Domain Services, des ports réseau spécifiques doivent être ouverts pour permettre la circulation du trafic. Dans Azure, vous contrôlez le flux du trafic à l’aide de groupes de sécurité réseau. L’état d’intégrité d’un domaine managé Domain Services affiche une alerte si les règles de groupe de sécurité réseau requises ne sont pas respectées.

Cet article vous aide à comprendre et à résoudre les alertes courantes découlant de problèmes de configuration des groupes de sécurité réseau.

Alerte AADDS104 : Erreur réseau

Message d’alerte

Microsoft ne peut pas atteindre les contrôleurs de domaine pour ce domaine managé. Cela peut se produire si un groupe de sécurité réseau (NSG) configuré sur votre réseau virtuel bloque l’accès à un domaine managé. Une autre raison possible est s’il existe un itinéraire défini par l’utilisateur qui bloque le trafic entrant à partir d’Internet.

Les règles de groupe de sécurité réseau non valides sont la cause la plus courante d’erreurs réseau pour Domain Services. Le groupe de sécurité réseau pour le réseau virtuel doit autoriser l’accès à des ports et protocoles spécifiques. Si ces ports sont bloqués, la plateforme Azure ne peut pas surveiller ou mettre à jour le domaine managé. La synchronisation entre l’annuaire Microsoft Entra et Domain Services est également impactée. Veillez à garder ces ports par défaut ouverts pour éviter les interruptions de service.

Règles de sécurité par défaut

Les règles de sécurité de trafic entrant et sortant par défaut suivantes sont appliquées au groupe de sécurité réseau d'un domaine managé. Ces règles sécurisent Domain Services et permettent à la plateforme Azure de surveiller, gérer et mettre à jour le domaine managé.

Règles de sécurité de trafic entrant

Priorité Nom Port Protocole Source Destination Action
301 AllowPSRemoting 5986 TCP AzureActiveDirectoryDomainServices Tout Autoriser
201 AllowRD 3389 TCP CorpNetSaw Tout Autoriser1
65000 AllVnetInBound Tout Tout VirtualNetwork VirtualNetwork Autoriser
65001 AllowAzureLoadBalancerInBound Tout Tout AzureLoadBalancer Tout Autoriser
65500 DenyAllInBound Tout Tout Tout Tout Deny

1Facultatif pour le débogage, mais modifiez la valeur par défaut pour refuser si ce n’est pas nécessaire. Autoriser la règle si nécessaire pour le dépannage avancé.

Remarque

Vous pouvez configurer LDAP sécurisé pour disposer d'une règle supplémentaire autorisant le trafic entrant. Cette règle supplémentaire est requise pour une communication LDAPS correcte.

Règles de sécurité de trafic sortant

Priorité Nom Port Protocole Source Destination Action
65000 AllVnetOutBound Tout Tout VirtualNetwork VirtualNetwork Autoriser
65001 AllowAzureLoadBalancerOutBound Tout Tout Tout Internet Autoriser
65500 DenyAllOutBound Tout Tout Tout Tout Deny

Remarque

Domain Services requiert un accès sortant non restreint depuis le réseau virtuel. Nous vous déconseillons de créer d'autres règles de groupe de sécurité réseau pouvant restreindre l’accès sortant pour le réseau virtuel.

Vérifier et modifier les règles de sécurité existantes

Pour vérifier les règles de sécurité existantes et vous assurer que les ports par défaut sont ouverts, procédez comme suit :

  1. Dans le centre d’administration Microsoft Entra, recherchez et sélectionnez Groupes de sécurité réseau.

  2. Sélectionnez le groupe de sécurité réseau associé à votre domaine managé, par exemple AADDS-contoso.com-NSG.

  3. Sur la page Vue d'ensemble, les règles de sécurité de trafic entrant et sortant existantes s’affichent.

    Examinez les règles de trafic entrant et sortant, puis comparez-les à la liste des règles requises dans la section précédente. Si nécessaire, sélectionnez et supprimez toutes les règles personnalisées qui bloquent le trafic requis. Si l’une des règles requises est manquante, ajoutez une règle dans la section suivante.

    Après avoir ajouté ou supprimé des règles pour autoriser le trafic requis, l’intégrité du domaine managé se met automatiquement à jour dans les deux heures, et l’alerte est supprimée.

Ajouter une règle de sécurité

Pour ajouter une règle de sécurité manquante, procédez comme suit :

  1. Dans le centre d’administration Microsoft Entra, recherchez et sélectionnez Groupes de sécurité réseau.
  2. Sélectionnez le groupe de sécurité réseau associé à votre domaine managé, par exemple AADDS-contoso.com-NSG.
  3. Sous Paramètres dans le panneau de gauche, cliquez sur Règles de sécurité de trafic entrant ou Règles de sécurité de trafic sortant selon la règle à ajouter.
  4. Sélectionnez Ajouter, puis créez la règle requise en fonction du port, du protocole, de la direction, etc. Lorsque vous êtes prêt, sélectionnez OK.

L’ajout et l’affichage de la règle de sécurité dans la liste prend quelques instants.

Étapes suivantes

Si vous rencontrez toujours des problèmes, formulez une demande de support Azure pour bénéficier d’une aide supplémentaire.