已知問題:Microsoft Entra Domain Services 中的網路設定警示

  • 發行項

若要讓應用程式和服務與 Microsoft Entra Domain Services 受控網域正確通訊,必須開啟特定的網路埠,才能允許流量流動。 在 Azure 中,您會使用網路安全性群組來控制流量流程。 網域服務受控網域的健康情況狀態會顯示警示,如果所需的網路安全性群組規則尚未就緒。

本文可協助您瞭解並解決網路安全性群組設定問題的常見警示。

警示AADDS104:網路錯誤

警示訊息

Microsoft 無法連線到此受控網域的網域控制站。 如果您的虛擬網路上設定的網路安全性群組會封鎖對受控網域的存取,就可能發生此情況。 另一個可能的原因是,如果有使用者定義的路由封鎖來自網際網路的連入流量。

不正確網路安全性群組規則是網域服務網路錯誤最常見的原因。 虛擬網路的網路安全性群組必須允許存取特定連接埠和通訊協定。 如果這些連接埠遭到封鎖,Azure 平台就無法監視或更新受控網域。 Microsoft Entra 目錄與 Domain Services 之間的同步處理也會受到影響。 請確實將預設連接埠保持開啟的狀態,以避免服務中斷。

預設安全性規則

下列預設輸入和輸出安全性規則會套用至受控網域的網路安全性群組。 這些規則可保護 Domain Services 的安全,並允許 Azure 平臺監視、管理及更新受控網域。

輸入安全性規則

優先順序 名稱 連接埠 通訊協定 來源 Destination 動作
301 AllowPSRemoting 5986 TCP AzureActiveDirectoryDomainServices 任意 允許
201 AllowRD 3389 TCP CorpNetSaw 任意 拒絕 1
65000 AllVnetInBound 任意 任意 VirtualNetwork VirtualNetwork Allow
65001 AllowAzureLoadBalancerInBound 任意 任意 AzureLoadBalancer 任意 允許
65500 DenyAllInBound 任意 任意 任意 任意 拒絕

1 選擇性偵錯。 需要進行進階疑難排解時允許。

注意

如果您設定安全 LDAP ,您可能也有允許輸入流量 的其他規則。 正確的 LDAPS 通訊需要此額外規則。

輸出安全性規則

優先順序 名稱 連接埠 通訊協定 來源 Destination 動作
65000 AllVnetOutBound 任意 任意 VirtualNetwork VirtualNetwork Allow
65001 AllowAzureLoadBalancerOutBound 任意 任意 任意 網際網路 Allow
65500 DenyAllOutBound 任意 任意 任意 任意 拒絕

注意

網域服務需要虛擬網路的不受限制的輸出存取。 我們不建議您建立任何其他規則來限制虛擬網路的輸出存取。

驗證和編輯現有的安全性規則

若要確認現有的安全性規則,並確定預設埠已開啟,請完成下列步驟:

  1. Microsoft Entra 系統管理中心 中,搜尋並選取 [網路安全性群組 ]。

  2. 選擇與您的受控網域相關聯的網路安全性群組,例如 AADDS-contoso.com-NSG

  3. 在 [ 概觀] 頁面上,會顯示現有的輸入和輸出安全性規則。

    檢閱輸入和輸出規則,並比較上一節中的必要規則清單。 如有需要,請選取並刪除任何封鎖必要流量的自訂規則。 如果遺漏任何必要的規則,請在下一節中新增規則。

    新增或刪除規則以允許所需的流量之後,受控網域的健康情況會在兩小時內自動更新自己,並移除警示。

新增安全性規則

若要新增遺漏的安全性規則,請完成下列步驟:

  1. Microsoft Entra 系統管理中心 中,搜尋並選取 [網路安全性群組 ]。
  2. 選擇與您的受控網域相關聯的網路安全性群組,例如 AADDS-contoso.com-NSG
  3. 左側面板中的 [設定] 下,按一下 [輸入安全性規則 ] 或 [ 輸出安全性規則 ],視您需要新增的規則而定。
  4. 選取 [ 新增 ],然後根據埠、通訊協定、方向等建立必要的規則。準備好時,請選取 [ 確定 ]。

在清單中新增並顯示安全性規則需要一些時間。

下一步

如果您仍有問題, 請開啟Azure 支援要求 以取得其他疑難排解協助。