Share via


Bekende problemen: Netwerkconfiguratiewaarschuwingen in Microsoft Entra Domain Services

Om toepassingen en services correct te laten communiceren met een door Microsoft Entra Domain Services beheerd domein, moeten specifieke netwerkpoorten zijn geopend om verkeer te laten stromen. In Azure bepaalt u de verkeersstroom met behulp van netwerkbeveiligingsgroepen. De status van een door Domain Services beheerd domein geeft een waarschuwing weer als de vereiste regels voor netwerkbeveiligingsgroepen niet aanwezig zijn.

Dit artikel helpt u bij het begrijpen en oplossen van veelvoorkomende waarschuwingen voor configuratieproblemen met netwerkbeveiligingsgroepen.

Waarschuwing AADDS104: Netwerkfout

Waarschuwingsbericht

Microsoft kan de domeincontrollers voor dit beheerde domein niet bereiken. Dit kan gebeuren als een netwerkbeveiligingsgroep (NSG) die in uw virtuele netwerk is geconfigureerd, de toegang tot het beheerde domein blokkeert. Een andere mogelijke reden is als er een door de gebruiker gedefinieerde route is die binnenkomend verkeer van internet blokkeert.

Ongeldige regels voor netwerkbeveiligingsgroepen zijn de meest voorkomende oorzaak van netwerkfouten voor Domain Services. De netwerkbeveiligingsgroep voor het virtuele netwerk moet toegang tot specifieke poorten en protocollen toestaan. Als deze poorten zijn geblokkeerd, kan het Azure-platform het beheerde domein niet bewaken of bijwerken. De synchronisatie tussen de Microsoft Entra-adreslijst en Domain Services wordt ook beïnvloed. Zorg ervoor dat u de standaardpoorten open houdt om onderbrekingen in de service te voorkomen.

Standaardbeveiligingsregels

De volgende standaardbeveiligingsregels voor binnenkomend en uitgaand verkeer worden toegepast op de netwerkbeveiligingsgroep voor een beheerd domein. Deze regels zorgen ervoor dat Domain Services veilig blijft en het Azure-platform het beheerde domein kan bewaken, beheren en bijwerken.

Inkomende beveiligingsregels

Voorrang Naam Haven Protocol Bron Bestemming Actie
301 AllowPSRemoting 5986 TCP AzureActiveDirectoryDomainServices Enig Toestaan
201 AllowRD 3389 TCP CorpNetSaw Enig 1 toestaan
65000 AllVnetInBound Enig Enig VirtualNetwork VirtualNetwork Toestaan
65001 AllowAzureLoadBalancerInBound Enig Enig AzureLoadBalancer Enig Toestaan
65500 DenyAllInBound Enig Enig Enig Enig Ontkennen

1Optioneel voor foutopsporing, maar wijzig de standaardinstelling om te weigeren wanneer dat niet nodig is. Sta de regel toe indien nodig voor geavanceerde probleemoplossing.

Notitie

Mogelijk hebt u ook een extra regel waarmee inkomend verkeer wordt toegestaan als u Secure LDAP configureert. Deze aanvullende regel is vereist voor de juiste LDAPS-communicatie.

Uitgaande beveiligingsregels

Voorrang Naam Haven Protocol Bron Bestemming Actie
65000 AllVnetOutBound Enig Enig VirtualNetwork VirtualNetwork Toestaan
65001 AllowAzureLoadBalancerOutBound Enig Enig Enig Internet Toestaan
65500 DenyAllOutBound Enig Enig Enig Enig Ontkennen

Notitie

Domain Services heeft onbeperkte uitgaande toegang van het virtuele netwerk nodig. Het wordt afgeraden aanvullende regels te maken waarmee uitgaande toegang voor het virtuele netwerk wordt beperkt.

Bestaande beveiligingsregels controleren en bewerken

Voer de volgende stappen uit om de bestaande beveiligingsregels te controleren en ervoor te zorgen dat de standaardpoorten zijn geopend:

  1. Zoek en selecteer netwerkbeveiligingsgroepen in het Microsoft Entra-beheercentrum.

  2. Kies de netwerkbeveiligingsgroep die is gekoppeld aan uw beheerde domein, zoals AADDS-contoso.com-NSG.

  3. Op de pagina Overzicht worden de bestaande beveiligingsregels voor inkomend en uitgaand verkeer weergegeven.

    Controleer de regels voor inkomend en uitgaand verkeer en vergelijk deze met de lijst met vereiste regels in de vorige sectie. Selecteer en verwijder indien nodig aangepaste regels die vereist verkeer blokkeren. Als een van de vereiste regels ontbreekt, voegt u een regel toe in de volgende sectie.

    Nadat u regels hebt toegevoegd of verwijderd om het vereiste verkeer toe te staan, wordt de status van het beheerde domein binnen twee uur automatisch bijgewerkt en wordt de waarschuwing verwijderd.

Een beveiligingsregel toevoegen

Voer de volgende stappen uit om een ontbrekende beveiligingsregel toe te voegen:

  1. Zoek en selecteer netwerkbeveiligingsgroepen in het Microsoft Entra-beheercentrum.
  2. Kies de netwerkbeveiligingsgroep die is gekoppeld aan uw beheerde domein, zoals AADDS-contoso.com-NSG.
  3. Klik onder Instellingen in het linkerdeelvenster op Inkomende beveiligingsregels of uitgaande beveiligingsregels , afhankelijk van de regel die u moet toevoegen.
  4. Selecteer Toevoegen en maak vervolgens de vereiste regel op basis van de poort, het protocol, de richting, enzovoort. Wanneer u klaar bent, selecteert u OK.

Het duurt even voordat de beveiligingsregel wordt toegevoegd en weergegeven in de lijst.

Volgende stappen

Als u nog steeds problemen ondervindt, opent u een ondersteuning voor Azure aanvraag voor aanvullende hulp bij het oplossen van problemen.