アプリケーションやサービスが Microsoft Entra Domain Services のマネージド ドメインと正しく通信できるようにするには、特定のネットワーク ポートを開いて、トラフィックを通過できるようにする必要があります。 Azure では、ネットワーク セキュリティ グループを使用してトラフィックのフローを制御します。 Domain Services マネージド ドメインの正常性状態は、必要なネットワーク セキュリティ グループ規則が適用されていない場合にアラートを表示します。
この記事は、ネットワーク セキュリティ グループの構成に関する問題の一般的なアラートを理解し、解決するのに役立ちます。
アラート AADDS104: ネットワーク エラー
アラート メッセージ
"このマネージド ドメインのドメイン コントローラーに到達できません。 これは、仮想ネットワークに構成されているネットワーク セキュリティ グループ (NSG) がマネージド ドメインへのアクセスをブロックしている場合に発生する可能性があります。 もう 1 つの考えられる理由は、インターネットからの着信トラフィックをブロックするユーザー定義ルートがある場合です。
無効なネットワーク セキュリティ グループ規則は、Domain Services のネットワーク エラーの最も一般的な原因です。 仮想ネットワーク用のネットワーク セキュリティ グループは、特定のポートおよびプロトコルへのアクセスを許可する必要があります。 これらのポートがブロックされている場合、Azure プラットフォームはマネージド ドメインの監視および更新を行うことができません。 Microsoft Entra ディレクトリと Domain Services 間の同期にも影響します。 サービスが中断されないように、既定のポートを開いたままにするようにしてください。
既定セキュリティ規則
マネージド ドメインのネットワーク セキュリティ グループには、次の既定のインバウンドとアウトバウンドのセキュリティ規則が適用されます。 これらの規則は Domain Services のセキュリティを維持し、Azure プラットフォームがマネージド ドメインを監視、管理、および更新できるようにします。
インバウンドのセキュリティ規則
| 優先順位 | 名前 | ポート | プロトコル | Source | 宛先 | アクション |
|---|---|---|---|---|---|---|
| 301 | AllowPSRemoting | 5986 | TCP | AzureActiveDirectoryDomainServices | [任意] | 許可する |
| 201 | AllowRD | 3389 | TCP | CorpNetSaw | [任意] | 許可1 |
| 65000 | AllVnetInBound | [任意] | [任意] | 仮想ネットワーク | 仮想ネットワーク | 許可する |
| 65001 | AllowAzureLoadBalancerInBound | [任意] | [任意] | AzureLoadBalancer | [任意] | 許可する |
| 65500 | DenyAllInBound | [任意] | [任意] | [任意] | [任意] | 拒否 |
1デバッグ時に任意で許可できますが、不要な場合は既定設定を拒否に変更してください。 高度なトラブルシューティングが必要な場合は、そのルールを許可してください。
注
セキュリティで保護された LDAP を構成する場合は、受信トラフィックを許可する規則もあります。 この規則は、正しい LDAPS 通信に必要です。
アウトバウンドのセキュリティ規則
| 優先順位 | 名前 | ポート | プロトコル | Source | 宛先 | アクション |
|---|---|---|---|---|---|---|
| 65000 | AllVnetOutBound | [任意] | [任意] | 仮想ネットワーク | 仮想ネットワーク | 許可する |
| 65001 | AllowAzureLoadBalancerOutBound | [任意] | [任意] | [任意] | インターネット | 許可する |
| 65500 | DenyAllOutBound | [任意] | [任意] | [任意] | [任意] | 拒否 |
注
Domain Services には、仮想ネットワークからの無制限の送信アクセスが必要です。 仮想ネットワークの送信アクセスを制限する他の規則を作成することはお勧めしません。
既存のセキュリティ規則を確認および編集する
既存のセキュリティ規則を確認し、既定のポートが開いていることを確実にするには、次の手順を実行します。
Microsoft Entra 管理センターで、[ネットワーク セキュリティ グループ] を検索して選択します。
マネージド ドメインに関連付けられているネットワーク セキュリティ グループ (AADDS-contoso.com-NSG など) を選択します。
[概要] ページに、既存のインバウンドとアウトバウンドのセキュリティ規則が表示されます。
インバウンド規則とアウトバウンド規則を確認し、前のセクションにある必要な規則リストと比較します。 必要に応じて、必要なトラフィックをブロックするカスタム規則を選択して削除します。 必要な規則のいずれかが不足している場合は、次のセクションで規則を追加します。
必要なトラフィックを許可するために規則を追加または削除した後、マネージド ドメインの正常性が 2 時間以内に自動的に更新され、アラートが削除されます。
セキュリティ規則を追加する
不足しているセキュリティ規則を追加するには、次の手順を実行します。
- Microsoft Entra 管理センターで、[ネットワーク セキュリティ グループ] を検索して選択します。
- マネージド ドメインに関連付けられているネットワーク セキュリティ グループ (AADDS-contoso.com-NSG など) を選択します。
- 左側のパネルの [設定] で、追加する必要がある規則に応じて、[ 受信セキュリティ規則 ] または [ 送信セキュリティ規則 ] を選択します。
- [追加] を選択し、ポート、プロトコル、方向などに基づいて必要なルールを作成します。 準備ができたら [OK] を選択します。
セキュリティ規則が追加されて一覧に表示されるまでにしばらく時間がかかります。
次のステップ
それでも問題がある場合は、Azure サポートリクエストを開いて さらなるトラブルシューティングのサポートを受けてください。