Problemas conocidos: Alertas de configuración de red en los servicios de dominio de Microsoft Entra
Para permitir que las aplicaciones y los servicios se comuniquen correctamente con un dominio administrado por los servicios de dominio de Microsoft Entra, los puertos de red específicos deben estar abiertos para permitir que el tráfico fluya. En Azure, puede controlar el flujo de tráfico mediante grupos de seguridad de red. El estado de mantenimiento de un dominio administrado de Domain Services muestra una alerta si las reglas de grupo de seguridad de red necesarias no están en su lugar.
Este artículo le ayuda a comprender y resolver alertas comunes de problemas de configuración de grupos de seguridad de red.
Alerta AADDS104: Error de red
Mensaje de alerta
Microsoft no puede tener acceso a los controladores de dominio de este dominio administrado. Esto puede ocurrir si un grupo de seguridad de red (NSG) configurado en la red virtual bloquea el acceso al dominio administrado. Otro motivo posible es que hay una ruta definida por el usuario que bloquea el tráfico entrante desde Internet.
Las reglas de grupo de seguridad de red no válidas son la causa más común de los errores de red en Domain Services. El grupo de seguridad de red para la red virtual debe permitir el acceso a puertos y protocolos específicos. Si estos puertos están bloqueados, la plataforma Azure no puede supervisar ni actualizar el dominio administrado. La sincronización entre el directorio Microsoft Entra y Domain Services también se ve afectada. Asegúrese de mantener abiertos los puertos predeterminados para evitar la interrupción del servicio.
Reglas de seguridad predeterminadas
Las siguientes reglas de seguridad de entrada y de salida predeterminadas se aplican al grupo de seguridad de red para un dominio administrado. Estas reglas mantienen Domain Services seguro y permiten que la plataforma de Azure supervise, administre y actualice el dominio administrado.
Reglas de seguridad de entrada
Prioridad | Nombre | Puerto | Protocolo | Origen | Destino | Acción |
---|---|---|---|---|---|---|
301 | AllowPSRemoting | 5986 | TCP | AzureActiveDirectoryDomainServices | Cualquiera | Permitir |
201 | AllowRD | 3389 | TCP | CorpNetSaw | Cualquiera | Permitir1 |
65000 | AllVnetInBound | Cualquiera | Cualquiera | VirtualNetwork | VirtualNetwork | Permitir |
65001 | AllowAzureLoadBalancerInBound | Cualquiera | Cualquiera | AzureLoadBalancer | Cualquiera | Permitir |
65500 | DenyAllInBound | Cualquiera | Cualquiera | Cualquiera | Cualquiera | Denegar |
1Opcional para la depuración, pero cambie el valor predeterminado para denegar cuando no sea necesario. Permitir la regla cuando sea necesario para la solución avanzada de problemas.
Nota
También puede tener una regla adicional que permita el tráfico entrante si configura LDAP seguro. Esta regla adicional es necesaria para la comunicación LDAP correcta.
Reglas de seguridad de salida
Prioridad | Nombre | Puerto | Protocolo | Origen | Destino | Acción |
---|---|---|---|---|---|---|
65000 | AllVnetOutBound | Cualquiera | Cualquiera | VirtualNetwork | VirtualNetwork | Permitir |
65001 | AllowAzureLoadBalancerOutBound | Cualquiera | Cualquiera | Cualquiera | Internet | Permitir |
65500 | DenyAllOutBound | Cualquiera | Cualquiera | Cualquiera | Cualquiera | Denegar |
Nota
Domain Services necesita un acceso saliente sin restricciones desde la red virtual. No se recomienda crear ninguna regla adicional que restrinja el acceso saliente para la red virtual.
Comprobación y edición de las reglas de seguridad existentes
Para comprobar las reglas de seguridad existentes y asegurarse de que los puertos predeterminados están abiertos, siga estos pasos:
En el centro de administración de Microsoft Entra, busque y seleccione Grupos de seguridad de red.
Elija el grupo de seguridad de red asociado a su dominio administrado, como AADDS-contoso. com-NSG.
En la página Información general, se muestra la lista de reglas de seguridad de entrada y salida existentes.
Revise las reglas de entrada y de salida, y compárelas con la lista de reglas necesarias en la sección anterior. Si es necesario, seleccione las reglas personalizadas que bloqueen el tráfico necesario y, a continuación, elimínelas. Si falta alguna de las reglas necesarias, agregue una regla en la sección siguiente.
Después de agregar o eliminar reglas para permitir el tráfico necesario, el estado del dominio administrado se actualiza automáticamente en dos horas y quita la alerta.
Agregar una regla de seguridad
Para agregar una regla de seguridad que falta, realice los pasos siguientes:
- En el centro de administración de Microsoft Entra, busque y seleccione Grupos de seguridad de red.
- Elija el grupo de seguridad de red asociado a su dominio administrado, como AADDS-contoso. com-NSG.
- En Configuración del panel de la izquierda, haga clic en Reglas de seguridad de entrada o en Reglas de seguridad de salida.
- Seleccione Agregar y, después, cree la regla necesaria según el puerto, el protocolo, la dirección, etc. Cuando esté preparado, seleccione Aceptar.
La regla de seguridad tarda unos segundos en agregarse y mostrarse en la lista.
Pasos siguientes
Si los problemas persisten, abra una solicitud de soporte técnico de Azure para obtener ayuda adicional de solución de problemas.