Problèmes connus : alertes de configuration réseau dans Microsoft Entra Domain Services
Pour permettre aux applications et aux services de communiquer correctement avec un domaine managé Microsoft Entra Domain Services, des ports réseau spécifiques doivent être ouverts pour permettre la circulation du trafic. Dans Azure, vous contrôlez le flux du trafic à l’aide de groupes de sécurité réseau. L’état d’intégrité d’un domaine managé Domain Services affiche une alerte si les règles de groupe de sécurité réseau requises ne sont pas respectées.
Cet article vous aide à comprendre et à résoudre les alertes courantes découlant de problèmes de configuration des groupes de sécurité réseau.
Alerte AADDS104 : Erreur réseau
Message d’alerte
Microsoft ne peut pas atteindre les contrôleurs de domaine pour ce domaine géré. Cela peut se produire si un groupe de sécurité réseau (NSG) configuré sur votre réseau virtuel bloque l’accès à un domaine géré. Une autre raison possible est s’il existe un itinéraire défini par l’utilisateur qui bloque le trafic entrant à partir d’Internet.
Les règles de groupe de sécurité réseau non valides sont la cause la plus courante d’erreurs réseau pour Domain Services. Le groupe de sécurité réseau pour le réseau virtuel doit autoriser l’accès à des ports et protocoles spécifiques. Si ces ports sont bloqués, la plateforme Azure ne peut pas surveiller ou mettre à jour le domaine managé. La synchronisation entre l’annuaire Microsoft Entra et Domain Services est également impactée. Veillez à garder ces ports par défaut ouverts pour éviter les interruptions de service.
Règles de sécurité par défaut
Les règles de sécurité de trafic entrant et sortant par défaut suivantes sont appliquées au groupe de sécurité réseau d'un domaine managé. Ces règles sécurisent Domain Services et permettent à la plateforme Azure de surveiller, gérer et mettre à jour le domaine managé.
Règles de sécurité de trafic entrant
| Priority | Nom | Port | Protocole | Source | Destination | Action |
|---|---|---|---|---|---|---|
| 301 | AllowPSRemoting | 5986 | TCP | AzureActiveDirectoryDomainServices | Quelconque | Allow |
| 201 | AllowRD | 3389 | TCP | CorpNetSaw | Quelconque | Deny1 |
| 65 000 | AllVnetInBound | Quelconque | Quelconque | VirtualNetwork | VirtualNetwork | Allow |
| 65 001 | AllowAzureLoadBalancerInBound | Quelconque | Quelconque | AzureLoadBalancer | Quelconque | Allow |
| 65 500 | DenyAllInBound | Quelconque | Quelconque | Quelconque | Quelconque | Deny |
1 Facultatif pour le débogage. « Allow » si nécessaire pour le dépannage avancé.
Notes
Vous pouvez configurer LDAP sécurisé pour disposer d'une règle supplémentaire autorisant le trafic entrant. Cette règle supplémentaire est requise pour une communication LDAPS correcte.
Règles de sécurité de trafic entrant
| Priority | Nom | Port | Protocole | Source | Destination | Action |
|---|---|---|---|---|---|---|
| 65 000 | AllVnetOutBound | Quelconque | Quelconque | VirtualNetwork | VirtualNetwork | Allow |
| 65 001 | AllowAzureLoadBalancerOutBound | Quelconque | Quelconque | Quelconque | Internet | Allow |
| 65 500 | DenyAllOutBound | Quelconque | Quelconque | Quelconque | Quelconque | Deny |
Remarque
Domain Services requiert un accès sortant non restreint depuis le réseau virtuel. Nous vous déconseillons de créer d'autres règles de groupe de sécurité réseau pouvant restreindre l’accès sortant pour le réseau virtuel.
Vérifier et modifier les règles de sécurité existantes
Pour vérifier les règles de sécurité existantes et vous assurer que les ports par défaut sont ouverts, procédez comme suit :
Dans le centre d’administration Microsoft Entra, recherchez et sélectionnez Groupes de sécurité réseau.
Sélectionnez le groupe de sécurité réseau associé à votre domaine managé, par exemple AADDS-contoso.com-NSG.
Sur la page Vue d'ensemble, les règles de sécurité de trafic entrant et sortant existantes s’affichent.
Examinez les règles de trafic entrant et sortant, puis comparez-les à la liste des règles requises dans la section précédente. Si nécessaire, sélectionnez et supprimez toutes les règles personnalisées qui bloquent le trafic requis. Si l’une des règles requises est manquante, ajoutez une règle dans la section suivante.
Après avoir ajouté ou supprimé des règles pour autoriser le trafic requis, l’intégrité du domaine managé se met automatiquement à jour dans les deux heures, et l’alerte est supprimée.
Ajouter une règle de sécurité
Pour ajouter une règle de sécurité manquante, procédez comme suit :
- Dans le centre d’administration Microsoft Entra, recherchez et sélectionnez Groupes de sécurité réseau.
- Sélectionnez le groupe de sécurité réseau associé à votre domaine managé, par exemple AADDS-contoso.com-NSG.
- Sous Paramètres dans le panneau de gauche, cliquez sur Règles de sécurité de trafic entrant ou Règles de sécurité de trafic sortant selon la règle à ajouter.
- Sélectionnez Ajouter, puis créez la règle requise en fonction du port, du protocole, de la direction, etc. Lorsque vous êtes prêt, sélectionnez OK.
L’ajout et l’affichage de la règle de sécurité dans la liste prend quelques instants.
Étapes suivantes
Si vous rencontrez toujours des problèmes, formulez une demande de support Azure pour bénéficier d’une aide supplémentaire.