分享方式:


已知問題:Microsoft Entra Domain Services 中的網路設定警示

若要讓應用程式和服務正確地與 Microsoft Entra Domain Services 受控網域進行通訊,必須開啟特定的網路連接埠,以允許流量通過。 在 Azure 中,您會使用網路安全性群組來控制流量。 Domain Services 受控網域的健全狀態會在必要的網路安全性群組規則未就緒時顯示警示。

本文可協助您了解並解決網路安全性群組設定問題的常見警示。

警示 AADDS104:網路錯誤

警示訊息

Microsoft 無法觸達此受控網域的網域控制站。 如果虛擬網路上設定的網路安全性群組 (NSG) 封鎖受控網域的存取,就可能發生這種情況。 另一個可能的原因是,使用者定義的路由封鎖來自網際網路的連入流量。

網路安全性群組規則無效是 Domain Services 發生網路錯誤的最常見原因。 虛擬網路的網路安全性群組必須允許存取特定連接埠和通訊協定。 如果這些連接埠遭到封鎖,Azure 平台就無法監視或更新受控網域。 Microsoft Entra 目錄與 Domain Services 之間的同步處理也會受到影響。 請確實將預設連接埠保持開啟的狀態,以避免服務中斷。

預設安全性規則

下列預設輸入和輸出安全性規則會套用至受控網域的網路安全性群組。 這些規則可讓 Domain Services 保持安全,並允許 Azure 平台監視、管理及更新受控網域。

輸入安全性規則

優先順序 名稱 連接埠 通訊協定 來源 目的地 動作
301 AllowPSRemoting 5986 TCP AzureActiveDirectoryDomainServices 任意 允許
201 AllowRD 3389 TCP CorpNetSaw 任意 允許1
65000 AllVnetInBound 任意 任意 VirtualNetwork VirtualNetwork 允許
65001 AllowAzureLoadBalancerInBound 任意 任意 AzureLoadBalancer 任意 允許
65500 DenyAllInBound 任意 任意 任意 任意 拒絕

1選擇性偵錯,但視需要將預設值變更為拒絕。 進階疑難排解需要時允許規則。

注意

如果您設定安全 LDAP,您可能也有允許輸入流量的額外規則。 需要此額外規則,才能進行正確的 LDAPS 通訊。

輸出安全性規則

優先順序 名稱 連接埠 通訊協定 來源 目的地 動作
65000 AllVnetOutBound 任意 任意 VirtualNetwork VirtualNetwork 允許
65001 AllowAzureLoadBalancerOutBound 任意 任意 任意 網際網路 允許
65500 DenyAllOutBound 任意 任意 任意 任意 拒絕

注意

Domain Services 需要虛擬網路不受限的輸出存取權。 不建議您建立任何其他規則來限制虛擬網路的輸出存取權。

驗證和編輯現有的安全性規則

若要驗證現有的安全性規則,並確定預設連接埠已開啟,請完成下列步驟:

  1. Microsoft Entra 系統管理中心中,搜尋並選取 [網路安全性群組]

  2. 選擇與您的受控網域相關聯的網路安全性群組,例如 AADDS-contoso.com-NSG

  3. 在 [概觀] 頁面上,會顯示現有的輸入和輸出安全性規則。

    檢閱輸入和輸出規則,並與上一節中必要規則的清單比較。 如有需要,請選取並刪除會封鎖必要流量的任何自訂規則。 如果遺漏任何必要規則,請在下一個區段中新增規則。

    新增或刪除規則以允許必要的流量之後,受控網域的健康情況會在兩小時內自行自動更新,並移除警示。

新增安全性規則

若要新增遺漏的安全性規則,請完成下列步驟:

  1. Microsoft Entra 系統管理中心中,搜尋並選取 [網路安全性群組]
  2. 選擇與您的受控網域相關聯的網路安全性群組,例如 AADDS-contoso.com-NSG
  3. 在左側面板中的 [設定] 下,按下 [輸入安全性規則] 或 [輸出安全性規則] (視您需要新增的規則而定)。
  4. 選取 [新增],然後根據連接埠、通訊協定、方向等建立必要的規則。 在準備就緒時,選取 "OK"

在清單中新增並顯示安全性規則需要一些時間。

後續步驟

如果仍有問題,請開啟 Azure 支援要求以取得其他疑難排解協助。