Problemas conhecidos: Alertas de configuração de rede nos Serviços de Domínio Microsoft Entra
Para permitir que aplicativos e serviços se comuniquem corretamente com um domínio gerenciado pelos Serviços de Domínio Microsoft Entra, portas de rede específicas devem estar abertas para permitir que o tráfego flua. No Azure, você controla o fluxo de tráfego usando grupos de segurança de rede. O estado de funcionamento de um domínio gerido pelos Serviços de Domínio mostra um alerta se as regras de grupo de segurança de rede necessárias não estiverem em vigor.
Este artigo ajuda você a entender e resolver alertas comuns para problemas de configuração do grupo de segurança de rede.
AADDS104 de alerta: Erro de rede
Mensagem de alerta
A Microsoft não consegue aceder aos controladores de domínio para este domínio gerido. Isso pode acontecer se um NSG (grupo de segurança de rede) configurado em sua rede virtual bloquear o acesso ao domínio gerenciado. Outra razão possível é se houver uma rota definida pelo usuário que bloqueie o tráfego de entrada da Internet.
Regras de grupo de segurança de rede inválidas são a causa mais comum de erros de rede para Serviços de Domínio. O grupo de segurança de rede para a rede virtual deve permitir o acesso a portas e protocolos específicos. Se essas portas estiverem bloqueadas, a plataforma Azure não poderá monitorar ou atualizar o domínio gerenciado. A sincronização entre o diretório Microsoft Entra e os Serviços de Domínio também é afetada. Certifique-se de manter as portas padrão abertas para evitar a interrupção do serviço.
Regras de segurança padrão
As seguintes regras de segurança padrão de entrada e saída são aplicadas ao grupo de segurança de rede para um domínio gerenciado. Essas regras mantêm os Serviços de Domínio seguros e permitem que a plataforma Azure monitore, gerencie e atualize o domínio gerenciado.
Regras de segurança de entrada
| Prioridade | Designação | Porto | Protocolo | Fonte | Destino | Ação |
|---|---|---|---|---|---|---|
| 301 | AllowPSRemoting | 5986 | TCP | AzureActiveDirectoryDomainServices | Qualquer | Permitir |
| 201 | AllowRD | 3389 | TCP | CorpNetSaw | Qualquer | Permitir1 |
| 65000 | AllVnetInBound | Qualquer | Qualquer | Rede virtual | Rede virtual | Permitir |
| 65001 | AllowAzureLoadBalancerInBound | Qualquer | Qualquer | AzureLoadBalancer | Qualquer | Permitir |
| 65500 | DenyAllInBound | Qualquer | Qualquer | Qualquer | Qualquer | Negar |
1 Opcional para depuração, mas altere o padrão para negar quando não for necessário. Permita a regra quando necessário para solução de problemas avançada.
Observação
Você também pode ter uma regra adicional que permite o tráfego de entrada se configurar o LDAP seguro. Esta regra adicional é necessária para a comunicação LDAPS correta.
Regras de segurança de saída
| Prioridade | Designação | Porto | Protocolo | Fonte | Destino | Ação |
|---|---|---|---|---|---|---|
| 65000 | AllVnetOutBound | Qualquer | Qualquer | Rede virtual | Rede virtual | Permitir |
| 65001 | AllowAzureLoadBalancerOutBound | Qualquer | Qualquer | Qualquer | Internet | Permitir |
| 65500 | DenyAllOutBound | Qualquer | Qualquer | Qualquer | Qualquer | Negar |
Observação
Os Serviços de Domínio precisam de acesso de saída irrestrito da rede virtual. Não recomendamos que você crie regras adicionais que restrinjam o acesso de saída para a rede virtual.
Verificar e editar regras de segurança existentes
Para verificar as regras de segurança existentes e certificar-se de que as portas padrão estão abertas, conclua as seguintes etapas:
No centro de administração do Microsoft Entra, procure e selecione Grupos de segurança de rede.
Escolha o grupo de segurança de rede associado ao seu domínio gerenciado, como o AADDS-contoso.com-NSG.
Na página Visão geral, as regras de segurança de entrada e saída existentes são mostradas.
Analise as regras de entrada e saída e compare com a lista de regras necessárias na seção anterior. Se necessário, selecione e exclua todas as regras personalizadas que bloqueiam o tráfego necessário. Se alguma das regras necessárias estiver faltando, adicione uma regra na próxima seção.
Depois de adicionar ou excluir regras para permitir o tráfego necessário, a integridade do domínio gerenciado se atualiza automaticamente em duas horas e remove o alerta.
Adicionar uma regra de segurança
Para adicionar uma regra de segurança ausente, conclua as seguintes etapas:
- No centro de administração do Microsoft Entra, procure e selecione Grupos de segurança de rede.
- Escolha o grupo de segurança de rede associado ao seu domínio gerenciado, como o AADDS-contoso.com-NSG.
- Em Configurações , no painel esquerdo, clique em Regras de segurança de entrada ou Regras de segurança de saída, dependendo da regra que você precisa adicionar.
- Selecione Adicionar e, em seguida, crie a regra necessária com base na porta, protocolo, direção e assim por diante. Quando estiver pronto, selecione OK.
Leva alguns momentos para que a regra de segurança seja adicionada e mostrada na lista.
Próximos passos
Se você ainda tiver problemas, abra uma solicitação de suporte do Azure para obter assistência adicional para solução de problemas.