Ismert problémák: Hálózati konfigurációs riasztások a Microsoft Entra Domain Servicesben
Ahhoz, hogy az alkalmazások és szolgáltatások megfelelően kommunikálhassanak a Microsoft Entra Domain Services által felügyelt tartományokkal, bizonyos hálózati portok nyitva kell lenniük a forgalom áramlásának engedélyezéséhez. Az Azure-ban hálózati biztonsági csoportokkal szabályozhatja a forgalom áramlását. A Domain Services által felügyelt tartományok állapotáról riasztás jelenik meg, ha a szükséges hálózati biztonsági csoportszabályok nincsenek érvényben.
Ez a cikk segít megérteni és elhárítani a hálózati biztonsági csoportok konfigurációs problémáival kapcsolatos gyakori riasztásokat.
Riasztási AADDS104: Hálózati hiba
Riasztási üzenet
A Microsoft nem tudja elérni a felügyelt tartomány tartományvezérlőit. Ez akkor fordulhat elő, ha a virtuális hálózaton konfigurált hálózati biztonsági csoport (NSG) blokkolja a felügyelt tartományhoz való hozzáférést. Egy másik lehetséges ok az, ha van egy felhasználó által megadott útvonal, amely blokkolja a bejövő forgalmat az internetről.
A tartományi szolgáltatások hálózati hibáinak leggyakoribb oka az érvénytelen hálózati biztonsági csoportszabályok. A virtuális hálózat hálózati biztonsági csoportjának engedélyeznie kell a hozzáférést adott portokhoz és protokollokhoz. Ha ezek a portok le vannak tiltva, az Azure platform nem tudja monitorozni vagy frissíteni a felügyelt tartományt. A Microsoft Entra címtár és a Domain Services közötti szinkronizálás is hatással van. A szolgáltatás megszakadásának elkerülése érdekében tartsa nyitva az alapértelmezett portokat.
Alapértelmezett biztonsági szabályok
A rendszer a következő alapértelmezett bejövő és kimenő biztonsági szabályokat alkalmazza egy felügyelt tartomány hálózati biztonsági csoportjára. Ezek a szabályok biztosítják a Domain Services biztonságát, és lehetővé teszik az Azure-platform számára a felügyelt tartomány monitorozását, kezelését és frissítését.
Bejövő biztonsági szabályok
| Prioritás | Name | Port | Protokoll | Forrás | Cél | Művelet |
|---|---|---|---|---|---|---|
| 301 | AllowPSRemoting | 5986 | TCP | AzureActiveDirectoryDomainServices | Any | Engedélyezve |
| 201 | AllowRD | 3389 | TCP | CorpNetSaw | Any | Megtagadás1 |
| 65000 | AllVnetInBound | Bármelyik | Bármelyik | VirtualNetwork | VirtualNetwork | Engedélyezés |
| 65001 | AllowAzureLoadBalancerInBound | Bármelyik | Bármelyik | AzureLoadBalancer | Any | Engedélyezés |
| 65500 | DenyAllInBound | Bármelyik | Bármelyik | Bármelyik | Bármelyik | Megtagadás |
1Nem kötelező hibakereséshez. Ha speciális hibaelhárításra van szükség, engedélyezze.
Megjegyzés:
Ha biztonságos LDAP-t konfigurál, előfordulhat, hogy egy további szabály is lehetővé teszi a bejövő forgalmat. Ez a további szabály szükséges a megfelelő LDAPS-kommunikációhoz.
Kimenő biztonsági szabályok
| Prioritás | Name | Port | Protokoll | Forrás | Cél | Művelet |
|---|---|---|---|---|---|---|
| 65000 | AllVnetOutBound | Bármelyik | Bármelyik | VirtualNetwork | VirtualNetwork | Engedélyezés |
| 65001 | AllowAzureLoadBalancerOutBound | Bármelyik | Bármelyik | Bármelyik | Internet | Engedélyezés |
| 65500 | DenyAllOutBound | Bármelyik | Bármelyik | Bármelyik | Bármelyik | Megtagadás |
Megjegyzés:
A Tartományi szolgáltatásoknak korlátlan kimenő hozzáférést kell biztosítaniuk a virtuális hálózatról. Nem javasoljuk, hogy hozzon létre további szabályokat, amelyek korlátozzák a virtuális hálózat kimenő hozzáférését.
Meglévő biztonsági szabályok ellenőrzése és szerkesztése
A meglévő biztonsági szabályok ellenőrzéséhez és az alapértelmezett portok megnyitásához hajtsa végre a következő lépéseket:
A Microsoft Entra Felügyeleti központban keresse meg és válassza ki a hálózati biztonsági csoportokat.
Válassza ki a felügyelt tartományhoz társított hálózati biztonsági csoportot, például az AADDS-contoso.com-NSG-t.
Az Áttekintés lapon a meglévő bejövő és kimenő biztonsági szabályok jelennek meg.
Tekintse át a bejövő és kimenő szabályokat, és hasonlítsa össze az előző szakaszban szereplő kötelező szabályok listáját. Szükség esetén válassza ki és törölje azokat az egyéni szabályokat, amelyek blokkolják a szükséges forgalmat. Ha valamelyik szükséges szabály hiányzik, adjon hozzá egy szabályt a következő szakaszban.
A szükséges forgalom engedélyezésére vonatkozó szabályok hozzáadása vagy törlése után a felügyelt tartomány állapota két órán belül automatikusan frissül, és eltávolítja a riasztást.
Biztonsági szabály hozzáadása
Hiányzó biztonsági szabály hozzáadásához hajtsa végre a következő lépéseket:
- A Microsoft Entra Felügyeleti központban keresse meg és válassza ki a hálózati biztonsági csoportokat.
- Válassza ki a felügyelt tartományhoz társított hálózati biztonsági csoportot, például az AADDS-contoso.com-NSG-t.
- A bal oldali panel Gépház területén kattintson a Bejövő biztonsági szabályok vagy Kimenő biztonsági szabályok elemre attól függően, hogy melyik szabályt kell hozzáadnia.
- Válassza a Hozzáadás lehetőséget, majd hozza létre a szükséges szabályt a port, protokoll, irány stb. alapján. Ha elkészült, válassza az OK gombot.
A biztonsági szabály hozzáadása és a listában való megjelenítése eltarthat néhány percig.
További lépések
Ha továbbra is problémákat tapasztal, nyisson meg egy Azure-támogatás további hibaelhárítási segítséget.