Masalah yang diketahui: Pemberitahuan konfigurasi jaringan di Microsoft Entra Domain Services
Untuk memungkinkan aplikasi dan layanan berkomunikasi dengan domain terkelola Microsoft Entra Domain Services dengan benar, port jaringan tertentu harus terbuka untuk memungkinkan lalu lintas mengalir. Di Azure, Anda mengontrol arus lalu lintas menggunakan grup keamanan jaringan. Status kesehatan domain terkelola Domain Services menunjukkan pemberitahuan jika aturan grup keamanan jaringan yang diperlukan tidak ada.
Artikel ini membantu Anda memahami dan mengatasi pemberitahuan umum untuk masalah konfigurasi kelompok keamanan jaringan.
Pemberitahuan AADDS104: Kesalahan jaringan
Pesan pemberitahuan
Microsoft tidak dapat menjangkau pengendali domain untuk domain terkelola ini. Ini dapat terjadi jika kelompok keamanan jaringan (NSG) yang dikonfigurasi pada jaringan virtual Anda memblokir akses ke domain terkelola. Alasan lain yang mungkin adalah jika ada rute yang ditentukan pengguna yang memblokir lalu lintas masuk dari internet.
Aturan kelompok keamanan jaringan yang tidak valid adalah penyebab paling umum kesalahan jaringan untuk Layanan Domain. Kelompok keamanan jaringan untuk jaringan virtual harus mengizinkan akses ke port dan protokol tertentu. Jika port ini diblokir, platform Azure tidak dapat memantau atau memperbarui domain terkelola. Sinkronisasi antara direktori Microsoft Entra dan Layanan Domain juga terpengaruh. Pastikan Anda tetap membuka port default untuk menghindari gangguan dalam layanan.
Aturan keamanan default
Aturan keamanan masuk dan keluar default berikut diterapkan ke grup keamanan jaringan untuk domain terkelola. Aturan ini menjaga Keamanan Layanan Domain dan memungkinkan platform Azure memantau, mengelola, dan memperbarui domain terkelola.
Aturan keamanan masuk
| Prioritas | Nama | Pelabuhan | Protokol | Sumber | Tujuan | Perbuatan |
|---|---|---|---|---|---|---|
| 301 | AllowPSRemoting | 5986 | TCP | AzureActiveDirectoryDomainServices | Apa pun | Memperbolehkan |
| 201 | AllowRD | 3389 | TCP | CorpNetSaw | Apa pun | Izinkan1 |
| 65000 | AllVnetInBound | Apa pun | Apa pun | VirtualNetwork | VirtualNetwork | Memperbolehkan |
| 65001 | AllowAzureLoadBalancerInBound | Apa pun | Apa pun | AzureLoadBalancer | Apa pun | Memperbolehkan |
| 65500 | DenyAllInBound | Apa pun | Apa pun | Apa pun | Apa pun | Menyangkal |
1Opsional untuk penelusuran kesalahan tetapi ubah default menjadi tolak saat tidak diperlukan. Izinkan aturan jika diperlukan untuk pemecahan masalah tingkat lanjut.
Nota
Anda mungkin juga memiliki aturan tambahan yang memungkinkan lalu lintas masuk jika Anda mengonfigurasi LDAP aman. Aturan tambahan ini diperlukan untuk komunikasi LDAPS yang benar.
Aturan keamanan keluar
| Prioritas | Nama | Pelabuhan | Protokol | Sumber | Tujuan | Perbuatan |
|---|---|---|---|---|---|---|
| 65000 | AllVnetOutBound | Apa pun | Apa pun | VirtualNetwork | VirtualNetwork | Memperbolehkan |
| 65001 | AllowAzureLoadBalancerOutBound | Apa pun | Apa pun | Apa pun | Internet | Memperbolehkan |
| 65500 | DenyAllOutBound | Apa pun | Apa pun | Apa pun | Apa pun | Menyangkal |
Nota
Domain Services memerlukan akses keluar yang tidak dibatasi dari jaringan virtual. Kami tidak menyarankan Anda membuat aturan tambahan yang membatasi akses keluar untuk jaringan virtual.
Memverifikasi dan mengedit aturan keamanan yang ada
Untuk memverifikasi aturan keamanan yang ada dan memastikan port default terbuka, selesaikan langkah-langkah berikut:
Di pusat admin Microsoft Entra, cari dan pilih Grup keamanan jaringan.
Pilih grup keamanan jaringan yang terkait dengan domain terkelola Anda, seperti AADDS-contoso.com-NSG.
Pada halaman Gambaran Umum , aturan keamanan masuk dan keluar yang ada ditampilkan.
Tinjau aturan masuk dan keluar dan bandingkan dengan daftar aturan yang diperlukan di bagian sebelumnya. Jika diperlukan, pilih lalu hapus aturan kustom apa pun yang memblokir lalu lintas yang diperlukan. Jika salah satu aturan yang diperlukan hilang, tambahkan aturan di bagian berikutnya.
Setelah Anda menambahkan atau menghapus aturan untuk mengizinkan lalu lintas yang diperlukan, kesehatan domain terkelola secara otomatis memperbarui dirinya sendiri dalam waktu dua jam dan menghapus pemberitahuan.
Menambahkan aturan keamanan
Untuk menambahkan aturan keamanan yang hilang, selesaikan langkah-langkah berikut:
- Di pusat admin Microsoft Entra, cari dan pilih Grup keamanan jaringan.
- Pilih grup keamanan jaringan yang terkait dengan domain terkelola Anda, seperti AADDS-contoso.com-NSG.
- Di bawah Pengaturan di panel sebelah kiri, klik Aturan keamanan masuk atau Aturan keamanan keluar bergantung pada aturan mana yang perlu Anda tambahkan.
- Pilih Tambahkan, lalu buat aturan yang diperlukan berdasarkan port, protokol, arah, dan sebagainya. Setelah siap, pilih OK.
Dibutuhkan beberapa saat agar aturan keamanan ditambahkan dan ditampilkan dalam daftar.
Langkah berikutnya
Jika Anda masih mengalami masalah, buka permintaan dukungan Azure untuk bantuan pemecahan masalah tambahan.