Problemas conhecidos: alertas de configuração da rede no Microsoft Entra Domain Services
Para permitir que aplicativos e serviços se comuniquem corretamente com um domínio gerenciado do Microsoft Entra Domain Services, algumas portas de rede específicas devem estar abertas para que o tráfego flua. No Azure, você controla o fluxo de tráfego usando grupos de segurança de rede. O status da integridade de um domínio gerenciado pelo Domain Services mostrará um alerta se as regras do grupo de segurança de rede necessárias não estiverem em vigor.
Este artigo ajudará você a reconhecer e resolver alertas comuns para problemas de configuração do grupo de segurança de rede.
Alerta AADDS104: erro de rede
Mensagem de alerta
A Microsoft não consegue alcançar os controladores de domínio para este domínio gerenciado. Isso pode ocorrer se um grupo de segurança de rede (NSG) configurado na sua rede virtual bloquear o acesso ao domínio gerenciado. Outro motivo possível é a existência de uma rota definida pelo usuário que bloqueia o tráfego de entrada da Internet.
Regras de grupo de segurança de rede inválidas são a causa mais comum de erros de rede no Domain Services. O grupo de segurança de rede para a rede virtual deve permitir o acesso a portas e protocolos específicos. Se essas portas estiverem bloqueadas, a plataforma do Azure não poderá monitorar nem atualizar o domínio gerenciado. A sincronização entre o diretório do Microsoft Entra e os Serviços de Domínio também é afetada. Mantenha as portas padrão abertas para evitar a interrupção no serviço.
Regras de segurança padrão
As regras de segurança de entrada e saída padrão a seguir são aplicadas ao grupo de segurança de rede para um domínio gerenciado. Essas regras mantêm o Domain Services seguro e permitem que a plataforma do Azure monitore, gerencie e atualize o domínio gerenciado.
Regras de segurança de entrada
| Prioridade | Nome | Porta | Protocolo | Origem | Destino | Ação |
|---|---|---|---|---|---|---|
| 301 | AllowPSRemoting | 5986 | TCP | AzureActiveDirectoryDomainServices | Algum | Permitir |
| 201 | AllowRD | 3389 | TCP | CorpNetSaw | Algum | Permitir1 |
| 65000 | AllVnetInBound | Algum | Algum | VirtualNetwork | VirtualNetwork | Permitir |
| 65001 | AllowAzureLoadBalancerInBound | Algum | Algum | AzureLoadBalancer | Algum | Permitir |
| 65500 | DenyAllInBound | Algum | Algum | Algum | Algum | Negar |
1 Opcional para depuração, mas altere o padrão para negar quando não for necessário. Permitir a regra quando necessário para solução de problemas avançada.
Anotação
Você também pode ter uma regra adicional que permita o tráfego de entrada se configurar o LDAP seguro. Essa regra adicional é necessária para a comunicação correta do LDAPS.
Regras de segurança de saída
| Prioridade | Nome | Porta | Protocolo | Origem | Destino | Ação |
|---|---|---|---|---|---|---|
| 65000 | AllVnetOutBound | Algum | Algum | VirtualNetwork | VirtualNetwork | Permitir |
| 65001 | AllowAzureLoadBalancerOutBound | Algum | Algum | Algum | Internet | Permitir |
| 65500 | DenyAllOutBound | Algum | Algum | Algum | Algum | Negar |
Anotação
O Domain Services exige acesso irrestrito de saída da rede virtual. Não recomendamos que você crie regras adicionais que restrinjam o acesso de saída para a rede virtual.
Verificar e editar as regras de segurança existentes
Para verificar as regras de segurança existentes e ter a certeza de que as portas padrão estão abertas, faça as seguintes etapas:
No Centro de administração do Microsoft Entra, pesquise e selecione Grupos de segurança de rede.
Escolha o grupo de segurança de rede associado ao domínio gerenciado, como AADDS-contoso.com-NSG.
Na página Visão geral, as regras de segurança de entrada e saída existentes são mostradas.
Revise as regras de entrada e saída e compare com a lista de regras necessárias na seção anterior. Se necessário, escolha e exclua as regras personalizadas que bloqueiam o tráfego necessário. Se alguma das regras necessárias estiver ausente, adicione uma regra na próxima seção.
Depois de adicionar ou excluir regras para permitir o tráfego necessário, a integridade do domínio gerenciado se atualizará automaticamente em até duas horas e removerá o alerta.
Adicionar uma regra de segurança
Para adicionar uma regra de segurança ausente, conclua as seguintes etapas:
- No Centro de administração do Microsoft Entra, pesquise e selecione Grupos de segurança de rede.
- Escolha o grupo de segurança de rede associado ao domínio gerenciado, como AADDS-contoso.com-NSG.
- Em Configurações no painel esquerdo, clique em Regras de segurança de entrada ou em Regras de segurança de saída, dependendo da regra que você precisa adicionar.
- Escolha Adicionar e crie a regra necessária com base na porta, protocolo, direção e assim por diante. Quando estiver pronto, escolha a opção OK.
Leva alguns minutos para que a regra de segurança seja adicionada e apareça na lista.
Próximas etapas
Se ainda tiver problemas, abra uma solicitação de suporte do Azure para obter assistência de solução de problemas adicional.