Bekende problemen: Netwerkconfiguratiewaarschuwingen in Microsoft Entra Domain Services
Om toepassingen en services correct te laten communiceren met een door Microsoft Entra Domain Services beheerd domein, moeten specifieke netwerkpoorten zijn geopend om verkeer te laten stromen. In Azure bepaalt u de verkeersstroom met behulp van netwerkbeveiligingsgroepen. De status van een door Domain Services beheerd domein geeft een waarschuwing weer als de vereiste regels voor netwerkbeveiligingsgroepen niet aanwezig zijn.
Dit artikel helpt u bij het begrijpen en oplossen van veelvoorkomende waarschuwingen voor configuratieproblemen met netwerkbeveiligingsgroepen.
Waarschuwing AADDS104: Netwerkfout
Waarschuwingsbericht
Microsoft kan de domeincontrollers voor dit beheerde domein niet bereiken. Dit kan gebeuren als een netwerkbeveiligingsgroep (NSG) die in uw virtuele netwerk is geconfigureerd, de toegang tot het beheerde domein blokkeert. Een andere mogelijke reden is als er een door de gebruiker gedefinieerde route is die binnenkomend verkeer van internet blokkeert.
Ongeldige regels voor netwerkbeveiligingsgroepen zijn de meest voorkomende oorzaak van netwerkfouten voor Domain Services. De netwerkbeveiligingsgroep voor het virtuele netwerk moet toegang tot specifieke poorten en protocollen toestaan. Als deze poorten zijn geblokkeerd, kan het Azure-platform het beheerde domein niet bewaken of bijwerken. De synchronisatie tussen de Microsoft Entra-adreslijst en Domain Services wordt ook beïnvloed. Zorg ervoor dat u de standaardpoorten open houdt om onderbreking van de service te voorkomen.
Standaardbeveiligingsregels
De volgende standaardbeveiligingsregels voor binnenkomend en uitgaand verkeer worden toegepast op de netwerkbeveiligingsgroep voor een beheerd domein. Deze regels zorgen ervoor dat Domain Services veilig blijft en het Azure-platform het beheerde domein kan bewaken, beheren en bijwerken.
Inkomende beveiligingsregels
| Prioriteit | Name | Poort | Protocol | Bron | Doel | Bewerking |
|---|---|---|---|---|---|---|
| 301 | AllowPSRemoting | 5986 | TCP | AzureActiveDirectoryDomainServices | Alle | Toestaan |
| 201 | AllowRD | 3389 | TCP | CorpNetSaw | Alle | Weigeren1 |
| 65000 | AllVnetInBound | Alle | Alle | VirtualNetwork | VirtualNetwork | Toestaan |
| 65001 | AllowAzureLoadBalancerInBound | Alle | Alle | AzureLoadBalancer | Alle | Toestaan |
| 65500 | DenyAllInBound | Alle | Alle | Alle | Alle | Weigeren |
1Optioneel voor foutopsporing. Toestaan wanneer dit nodig is voor geavanceerde probleemoplossing.
Notitie
Mogelijk hebt u ook een extra regel waarmee inkomend verkeer wordt toegestaan als u Secure LDAP configureert. Deze aanvullende regel is vereist voor de juiste LDAPS-communicatie.
Uitgaande beveiligingsregels
| Prioriteit | Name | Poort | Protocol | Bron | Doel | Bewerking |
|---|---|---|---|---|---|---|
| 65000 | AllVnetOutBound | Alle | Alle | VirtualNetwork | VirtualNetwork | Toestaan |
| 65001 | AllowAzureLoadBalancerOutBound | Alle | Alle | Alle | Internet | Toestaan |
| 65500 | DenyAllOutBound | Alle | Alle | Alle | Alle | Weigeren |
Notitie
Domain Services heeft onbeperkte uitgaande toegang van het virtuele netwerk nodig. Het wordt afgeraden aanvullende regels te maken waarmee uitgaande toegang voor het virtuele netwerk wordt beperkt.
Bestaande beveiligingsregels controleren en bewerken
Voer de volgende stappen uit om de bestaande beveiligingsregels te controleren en ervoor te zorgen dat de standaardpoorten zijn geopend:
Zoek en selecteer netwerkbeveiligingsgroepen in het Microsoft Entra-beheercentrum.
Kies de netwerkbeveiligingsgroep die is gekoppeld aan uw beheerde domein, zoals AADDS-contoso.com-NSG.
Op de pagina Overzicht worden de bestaande beveiligingsregels voor inkomend en uitgaand verkeer weergegeven.
Controleer de regels voor inkomend en uitgaand verkeer en vergelijk deze met de lijst met vereiste regels in de vorige sectie. Selecteer en verwijder indien nodig aangepaste regels die vereist verkeer blokkeren. Als een van de vereiste regels ontbreekt, voegt u een regel toe in de volgende sectie.
Nadat u regels hebt toegevoegd of verwijderd om het vereiste verkeer toe te staan, wordt de status van het beheerde domein binnen twee uur automatisch bijgewerkt en wordt de waarschuwing verwijderd.
Een beveiligingsregel toevoegen
Voer de volgende stappen uit om een ontbrekende beveiligingsregel toe te voegen:
- Zoek en selecteer netwerkbeveiligingsgroepen in het Microsoft Entra-beheercentrum.
- Kies de netwerkbeveiligingsgroep die is gekoppeld aan uw beheerde domein, zoals AADDS-contoso.com-NSG.
- Klik onder Instellingen in het linkerdeelvenster op Inkomende beveiligingsregels of uitgaande beveiligingsregels, afhankelijk van de regel die u moet toevoegen.
- Selecteer Toevoegen en maak vervolgens de vereiste regel op basis van de poort, het protocol, de richting, enzovoort. Wanneer u klaar bent, selecteert u OK.
Het duurt even voordat de beveiligingsregel wordt toegevoegd en weergegeven in de lijst.
Volgende stappen
Als u nog steeds problemen ondervindt, opent u een ondersteuning voor Azure aanvraag voor aanvullende hulp bij het oplossen van problemen.