Известные проблемы: оповещения конфигурации сети в доменных службах Microsoft Entra
Чтобы приложения и службы правильно взаимодействовали с управляемым доменом доменных служб Майкрософт, определенные сетевые порты должны быть открыты, чтобы разрешить поток трафика. В Azure вы управляете потоком трафика с помощью групп безопасности сети. Состояние работоспособности управляемого домена доменных служб отображает оповещение, если необходимые правила группы безопасности сети отсутствуют.
В этой статье вы узнаете и устраните распространенные оповещения о проблемах конфигурации группы безопасности сети.
AADDS104 оповещений: ошибка сети
Сообщение об оповещении
Корпорация Майкрософт не может связаться с контроллерами домена для этого управляемого домена. Это может произойти, если группа безопасности сети (NSG), настроенная в виртуальной сети, блокирует доступ к управляемому домену. Другая возможная причина заключается в наличии определяемого пользователем маршрута, который блокирует входящий трафик из Интернета.
Недопустимые правила группы безопасности сети являются наиболее распространенным причиной сетевых ошибок для доменных служб. Группа безопасности сети для виртуальной сети должна разрешить доступ к определенным портам и протоколам. Если эти порты заблокированы, платформа Azure не может отслеживать или обновлять управляемый домен. Синхронизация между каталогом Microsoft Entra и доменными службами также влияет. Убедитесь, что порты по умолчанию открыты, чтобы избежать прерывания работы службы.
Правила безопасности по умолчанию
Следующие правила безопасности для входящего и исходящего трафика по умолчанию применяются к группе безопасности сети для управляемого домена. Эти правила обеспечивают безопасность доменных служб и позволяют платформе Azure отслеживать, управлять и обновлять управляемый домен.
Правила безопасности для входящего трафика
| Приоритет | Имя | Порт | Протокол | Источник | Назначение | Действие |
|---|---|---|---|---|---|---|
| 301 | AllowPSRemoting | 5986 | Протокол tcp | AzureActiveDirectoryDomainServices | Любой | Разрешать |
| 201 | AllowRD | 3389 | Протокол tcp | CorpNetSaw | Любой | Разрешить1 |
| 65000 | AllVnetInBound | Любой | Любой | VirtualNetwork | VirtualNetwork | Разрешать |
| 65001 | AllowAzureLoadBalancerInBound | Любой | Любой | AzureLoadBalancer | Любой | Разрешать |
| 65500 | DenyAllInBound | Любой | Любой | Любой | Любой | Отрицать |
1Необязательно для отладки, но измените значение по умолчанию, чтобы запретить при необходимости. Разрешить правило при необходимости для расширенного устранения неполадок.
Заметка
Кроме того, у вас может быть дополнительное правило, разрешающее входящий трафик при настройке защищенного LDAP. Это дополнительное правило требуется для правильного взаимодействия LDAPS.
Правила безопасности исходящего трафика
| Приоритет | Имя | Порт | Протокол | Источник | Назначение | Действие |
|---|---|---|---|---|---|---|
| 65000 | AllVnetOutBound | Любой | Любой | VirtualNetwork | VirtualNetwork | Разрешать |
| 65001 | AllowAzureLoadBalancerOutBound | Любой | Любой | Любой | Интернет | Разрешать |
| 65500 | DenyAllOutBound | Любой | Любой | Любой | Любой | Отрицать |
Заметка
Для доменных служб требуется неограниченный исходящий доступ из виртуальной сети. Мы не рекомендуем создавать дополнительные правила, ограничивающие исходящий доступ для виртуальной сети.
Проверка и изменение существующих правил безопасности
Чтобы проверить существующие правила безопасности и убедиться, что порты по умолчанию открыты, выполните следующие действия.
В Центре администрирования Microsoft Entra найдите и выберите группы безопасности сети.
Выберите группу безопасности сети, связанную с управляемым доменом, например AADDS-contoso.com-NSG.
На странице обзора отображаются существующие правила безопасности для входящего и исходящего трафика.
Просмотрите правила для входящих и исходящих подключений и сравните список обязательных правил в предыдущем разделе. При необходимости выберите и удалите все пользовательские правила, которые блокируют необходимый трафик. Если какие-либо из обязательных правил отсутствуют, добавьте правило в следующем разделе.
После добавления или удаления правил, позволяющих разрешить необходимый трафик, работоспособности управляемого домена автоматически обновляется в течение двух часов и удаляет оповещение.
Добавление правила безопасности
Чтобы добавить отсутствующие правила безопасности, выполните следующие действия.
- В Центре администрирования Microsoft Entra найдите и выберите группы безопасности сети.
- Выберите группу безопасности сети, связанную с управляемым доменом, например AADDS-contoso.com-NSG.
- В разделе "Параметры " на панели слева щелкните правила безопасности для входящего трафика или правила безопасности исходящего трафика в зависимости от того, какое правило необходимо добавить.
- Выберите "Добавить", а затем создайте необходимое правило на основе порта, протокола, направления и т. д. Когда все готово, нажмите кнопку "ОК".
Для добавления правила безопасности и отображения в списке потребуется несколько минут.
Дальнейшие действия
Если у вас по-прежнему возникли проблемы, откройте запрос поддержка Azure для получения дополнительной помощи по устранению неполадок.