Známé problémy: výstrahy konfigurace sítě v Azure Active Directory Domain Services
Aby mohly aplikace a služby správně komunikovat se spravovanou doménou Azure Active Directory Domain Services (Azure služba AD DS), musí být pro povolení toku provozu určité síťové porty otevřené. V Azure řídíte tok provozu pomocí skupin zabezpečení sítě. Stav spravované domény Azure služba AD DS zobrazuje výstrahu, pokud nejsou nastavená požadovaná pravidla skupiny zabezpečení sítě.
Tento článek vám pomůže pochopit a vyřešit běžné výstrahy týkající se problémů s konfigurací skupiny zabezpečení sítě.
Výstraha AADDS104: Chyba sítě
Zpráva výstrahy
Společnost Microsoft se nemůže spojit s řadiči domény pro tuto spravovanou doménu. K tomu může dojít v případě, že skupina zabezpečení sítě (NSG) nakonfigurovaná ve vaší virtuální síti blokuje přístup ke spravované doméně. Dalším možným důvodem je, že existuje trasa definovaná uživatelem, která blokuje příchozí provoz z Internetu.
Neplatná pravidla skupiny zabezpečení sítě jsou nejběžnější příčinou chyb sítě pro Azure služba AD DS. Skupina zabezpečení sítě pro virtuální síť musí umožňovat přístup ke konkrétním portům a protokolům. Pokud jsou tyto porty blokované, platforma Azure nemůže monitorovat ani aktualizovat spravovanou doménu. To má vliv na synchronizaci mezi adresářem služby Azure AD a službou Azure služba AD DS. Ujistěte se, že jsou otevřené výchozí porty, aby nedošlo k přerušení provozu.
Výchozí pravidla zabezpečení
Pro skupinu zabezpečení sítě pro spravovanou doménu se aplikují následující výchozí pravidla pro příchozí a odchozí zabezpečení. Tato pravidla zachovají Azure služba AD DS zabezpečená a umožňují platformě Azure monitorovat, spravovat a aktualizovat spravovanou doménu.
Příchozí pravidla zabezpečení
| Priorita | Název | Port | Protokol | Zdroj | Cíl | Akce |
|---|---|---|---|---|---|---|
| 301 | AllowPSRemoting | 5986 | TCP | AzureActiveDirectoryDomainServices | Všechny | Povolit |
| 201 | AllowRD | 3389 | TCP | CorpNetSaw | Všechny | Odepřít1 |
| 65000 | AllVnetInBound | Všechny | Všechny | VirtualNetwork | VirtualNetwork | Povolit |
| 65001 | AllowAzureLoadBalancerInBound | Všechny | Všechny | AzureLoadBalancer | Všechny | Povolit |
| 65500 | DenyAllInBound | Všechny | Všechny | Všechny | Všechny | Odepřít |
1 Volitelné pro ladění. Povolte, pokud je to nutné pro pokročilé řešení potíží.
Poznámka
Je také možné, že máte další pravidlo, které povolí příchozí provoz, pokud konfigurujete zabezpečený protokol LDAP. Toto dodatečné pravidlo je vyžadováno pro správné komunikace LDAPs.
Odchozí pravidla zabezpečení
| Priorita | Název | Port | Protokol | Zdroj | Cíl | Akce |
|---|---|---|---|---|---|---|
| 65000 | AllVnetOutBound | Všechny | Všechny | VirtualNetwork | VirtualNetwork | Povolit |
| 65001 | AllowAzureLoadBalancerOutBound | Všechny | Všechny | Všechny | Internet | Povolit |
| 65500 | DenyAllOutBound | Všechny | Všechny | Všechny | Všechny | Odepřít |
Poznámka
Azure služba AD DS potřebuje neomezený odchozí přístup z virtuální sítě. Nedoporučujeme vytvářet žádná další pravidla, která omezují odchozí přístup k virtuální síti.
Ověřit a upravit existující pravidla zabezpečení
Pokud chcete ověřit stávající pravidla zabezpečení a ujistit se, že jsou otevřené výchozí porty, proveďte následující kroky:
V Azure Portal vyhledejte a vyberte skupiny zabezpečení sítě.
Vyberte skupinu zabezpečení sítě přidruženou k vaší spravované doméně, například AADDS-contoso.com-NSG.
Na stránce Přehled jsou uvedena existující pravidla pro příchozí a odchozí zabezpečení.
Zkontrolujte pravidla příchozích a odchozích připojení a porovnejte je se seznamem požadovaných pravidel v předchozí části. V případě potřeby vyberte a odstraňte všechna vlastní pravidla, která blokují požadovaný provoz. Pokud chybí některá z požadovaných pravidel, přidejte pravidlo do další části.
Po přidání nebo odstranění pravidel, která povolí požadovaný provoz, se stav spravované domény automaticky aktualizuje během dvou hodin a výstraha se odstraní.
Přidání pravidla zabezpečení
Chcete-li přidat chybějící pravidlo zabezpečení, proveďte následující kroky:
- V Azure Portal vyhledejte a vyberte skupiny zabezpečení sítě.
- Vyberte skupinu zabezpečení sítě přidruženou k vaší spravované doméně, například AADDS-contoso.com-NSG.
- V části Nastavení na levém panelu klikněte na příchozí pravidla zabezpečení nebo na odchozí pravidla zabezpečení v závislosti na tom, které pravidlo potřebujete přidat.
- Vyberte Přidat a pak vytvořte požadované pravidlo na základě portu, protokolu, směru atd. Až budete připraveni, vyberte OK.
Přidání a zobrazení pravidla zabezpečení v seznamu bude chvíli trvat.
Další kroky
Pokud stále máte problémy, otevřete žádost o podporu Azure , kde najdete další pomoc při řešení potíží.