알려진 문제: Microsoft Entra Domain Services의 네트워크 구성 경고
애플리케이션 및 서비스가 Microsoft Entra Domain Services 관리되는 도메인과 올바르게 통신할 수 있도록 하려면 트래픽 흐름을 허용하도록 특정 네트워크 포트를 열어야 합니다. Azure에서는 네트워크 보안 그룹을 사용하여 트래픽 흐름을 제어합니다. 필요한 네트워크 보안 그룹 규칙이 적용되지 않은 경우 Domain Services 관리되는 도메인의 상태에 경고가 표시됩니다.
이 문서는 네트워크 보안 그룹 구성 문제에 대한 일반적인 경고를 이해하고 해결하는 데 도움이 됩니다.
경고 AADDS104: 네트워크 오류
경고 메시지
Microsoft는 이 관리되는 do기본 대한 do기본 컨트롤러에 연결할 수 없습니다. 가상 네트워크에 구성된 NSG(네트워크 보안 그룹)가 관리되는 do기본 대한 액세스를 차단하는 경우에 발생할 수 있습니다. 또 다른 가능한 이유는 인터넷에서 들어오는 트래픽을 차단하는 사용자 정의 경로가 있는 경우입니다.
잘못된 네트워크 보안 그룹 규칙은 Domain Services 네트워크 오류의 가장 일반적인 원인입니다. 가상 네트워크에 대한 네트워크 보안 그룹은 특정 포트 및 프로토콜에 대한 액세스를 허용해야 합니다. 이러한 포트가 차단되면 Azure 플랫폼에서 관리되는 도메인을 모니터링하거나 업데이트할 수 없습니다. Microsoft Entra 디렉터리와 Domain Services 간의 동기화도 영향을 받습니다. 서비스 중단을 방지하기 위해 기본 포트를 열어 두어야 합니다.
기본 보안 규칙
다음 기본 인바운드 및 아웃바운드 보안 규칙은 관리되는 작업에 대한 네트워크 보안 그룹에 적용됩니다기본. 이러한 규칙은 Domain Services를 안전하게 유지하고 Azure 플랫폼이 관리되는 도메인을 모니터링, 관리 및 업데이트할 수 있도록 합니다.
인바운드 보안 규칙
| 우선 순위 | Name | 포트 | 프로토콜 | 원본 | 대상 | 작업 |
|---|---|---|---|---|---|---|
| 301 | AllowPSRemoting | 5986 | TCP | AzureActiveDirectoryDo기본Services | 모두 | 허용 |
| 201 | AllowRD | 3389 | TCP | CorpNetSaw | 모두 | 거부1 |
| 65000 | AllVnetInBound | 모두 | 모두 | VirtualNetwork | VirtualNetwork | 허용 |
| 65001 | AllowAzureLoadBalancerInBound | 모두 | 모두 | AzureLoadBalancer | 모두 | 허용 |
| 65500 | DenyAllInBound | 모두 | 모두 | 모두 | 모두 | 거부 |
1디버깅에 대한 선택 사항입니다. 고급 문제 해결에 필요한 경우 허용합니다.
참고 항목
보안 LDAP를 구성하는 경우 인바운드 트래픽을 허용하는 추가 규칙이 있을 수도 있습니다. 이 추가 규칙은 올바른 LDAPS 통신에 필요합니다.
아웃바운드 보안 규칙
| 우선 순위 | Name | 포트 | 프로토콜 | 원본 | 대상 | 작업 |
|---|---|---|---|---|---|---|
| 65000 | AllVnetOutBound | 모두 | 모두 | VirtualNetwork | VirtualNetwork | 허용 |
| 65001 | AllowAzureLoadBalancerOutBound | 모두 | 모두 | 모두 | 인터넷 | 허용 |
| 65500 | DenyAllOutBound | 모두 | 모두 | 모두 | 모두 | 거부 |
참고 항목
Domain Services에는 가상 네트워크로부터의 무제한 아웃바운드 액세스가 필요합니다. 가상 네트워크에 대한 아웃바운드 액세스를 제한하는 추가 규칙을 만들지 않는 것이 좋습니다.
기존 보안 규칙 확인 및 편집
기존 보안 규칙을 확인하고 기본 포트가 열려 있는지 확인하려면 다음 단계를 완료합니다.
Microsoft Entra 관리 센터에서 네트워크 보안 그룹을 검색하고 선택합니다.
AADDS-contoso.com-NSG와 같이 관리되는 도메인과 연결된 네트워크 보안 그룹을 선택합니다.
개요 페이지에서 기존 인바운드 및 아웃바운드 보안 규칙이 표시됩니다.
인바운드 및 아웃바운드 규칙을 검토하고 이전 섹션의 필수 규칙 목록과 비교합니다. 필요한 경우 필요한 트래픽을 차단하는 사용자 지정 규칙을 선택하고 삭제합니다. 필요한 규칙이 누락된 경우 다음 섹션에서 규칙을 추가합니다.
필요한 트래픽을 허용하는 규칙을 추가하거나 삭제하면 관리되는 do기본 상태가 2시간 이내에 자동으로 업데이트되고 경고가 제거됩니다.
보안 규칙 추가
누락된 보안 규칙을 추가하려면 다음 단계를 완료합니다.
- Microsoft Entra 관리 센터에서 네트워크 보안 그룹을 검색하고 선택합니다.
- AADDS-contoso.com-NSG와 같이 관리되는 도메인과 연결된 네트워크 보안 그룹을 선택합니다.
- 왼쪽 패널의 설정 추가해야 하는 규칙에 따라 인바운드 보안 규칙 또는 아웃바운드 보안 규칙을 클릭합니다.
- 추가를 선택한 다음 포트, 프로토콜, 방향 등에 따라 필요한 규칙을 만듭니다. 준비가 되면 확인을 선택합니다.
보안 규칙이 추가되고 목록에 표시되는 데까지는 몇 분 정도 걸립니다.
다음 단계
여전히 문제가 있는 경우 추가 문제 해결 지원을 위해 Azure 지원 요청을 엽니다.