Bekannte Probleme: Netzwerkkonfigurationswarnungen in Microsoft Entra Domain Services
Damit Anwendungen und Dienste ordnungsgemäß mit einer von Microsoft Entra Domain Services verwalteten Domäne kommunizieren können, müssen bestimmte Netzwerkports offen sein und den Datenverkehr zulassen. In Azure steuern Sie den Datenverkehrsfluss mithilfe von Netzwerksicherheitsgruppen. Für den Integritätsstatus einer verwalteten Domain Services-Domäne wird eine Warnung angezeigt, wenn die erforderlichen Netzwerksicherheitsgruppen-Regeln nicht vorhanden sind.
Dieser Artikel hilft Ihnen dabei, häufige Warnungen bei Konfigurationsproblemen mit Netzwerksicherheitsgruppen besser zu verstehen und zu beheben.
Warnung AADDS104: Netzwerkfehler
Warnmeldung
Microsoft kann nicht auf die Domänencontroller für diese verwaltete Domäne zugreifen. Dies kann geschehen, wenn eine für Ihr virtuelles Netzwerk konfigurierte Netzwerksicherheitsgruppe (NSG) den Zugriff auf ihre verwaltete Domäne blockiert. Eine weitere mögliche Ursache ist eine benutzerdefinierte Route, die eingehenden Datenverkehr aus dem Internet blockiert.
Die häufigste Ursache von Netzwerkfehlern für Domain Services sind ungültige Netzwerksicherheitsgruppen-Regeln. Die Netzwerksicherheitsgruppe für das virtuelle Netzwerk muss den Zugriff auf bestimmte Ports und Protokolle zulassen. Wenn diese Ports blockiert sind, kann die Azure-Plattform die verwaltete Domäne weder überwachen noch aktualisieren. Die Synchronisierung zwischen dem Microsoft Entra-Verzeichnis und Domain Services ist ebenfalls betroffen. Halten Sie diese Standardports unbedingt offen, um Dienstunterbrechungen zu vermeiden.
Standardsicherheitsregeln
Auf die Netzwerksicherheitsgruppe für eine verwaltete Domäne werden die folgenden standardmäßigen Sicherheitsregeln für den eingehenden und ausgehenden Datenverkehr angewendet. Diese Regeln sorgen für die Sicherheit von Domain Services und ermöglichen der Azure-Plattform, die verwaltete Domäne zu überwachen, zu verwalten und zu aktualisieren.
Eingangssicherheitsregeln
| Priority | Name | Port | Protokoll | Quelle | Ziel | Aktion |
|---|---|---|---|---|---|---|
| 301 | AllowPSRemoting | 5986 | TCP | AzureActiveDirectoryDomainServices | Any | Allow |
| 201 | AllowRD | 3389 | TCP | CorpNetSaw | Any | Deny1 |
| 65000 | AllVnetInBound | Any | Any | VirtualNetwork | VirtualNetwork | Allow |
| 65001 | AllowAzureLoadBalancerInBound | Any | Any | AzureLoadBalancer | Any | Allow |
| 65500 | DenyAllInBound | Any | Any | Any | Any | Verweigern |
1Optional zum Debuggen. Zulassen, wenn dies für die erweiterte Problembehandlung erforderlich ist.
Hinweis
Sie können auch eine zusätzliche Regel einrichten, die eingehenden Datenverkehr zulässt, wenn Sie Secure LDAP (LDAPS) konfigurieren. Diese zusätzliche Regel ist für die korrekte LDAPS-Kommunikation erforderlich.
Ausgangssicherheitsregeln
| Priority | Name | Port | Protokoll | Quelle | Ziel | Aktion |
|---|---|---|---|---|---|---|
| 65000 | AllVnetOutBound | Any | Any | VirtualNetwork | VirtualNetwork | Allow |
| 65001 | AllowAzureLoadBalancerOutBound | Any | Any | Any | Internet | Allow |
| 65500 | DenyAllOutBound | Any | Any | Any | Any | Verweigern |
Hinweis
Für Domain Services ist ein uneingeschränkter ausgehender Zugriff vom virtuellen Netzwerk erforderlich. Es wird empfohlen, keine zusätzlichen Regeln zu erstellen, die den ausgehenden Zugriff für das virtuelle Netzwerk einschränken.
Überprüfen und Bearbeiten von vorhandenen Sicherheitsregeln
Führen Sie die folgenden Schritte aus, um die vorhandenen Sicherheitsregeln zu überprüfen und sicherzustellen, dass die Standardports geöffnet sind:
Suchen Sie im Microsoft Entra Admin Center nach der Option Netzwerksicherheitsgruppen, und wählen Sie sie aus.
Wählen Sie die Netzwerksicherheitsgruppe aus, die Ihrer verwalteten Domäne zugeordnet ist, z.B. AADDS-contoso.com-NSG.
Auf der Seite Übersicht werden die vorhandenen Eingangs- und Ausgangssicherheitsregeln angezeigt.
Überprüfen Sie die Eingangs- und Ausgangsregeln, und vergleichen Sie sie mit der Liste der erforderlichen Regeln im vorherigen Abschnitt. Wählen Sie bei Bedarf alle benutzerdefinierten Regeln aus, die den erforderlichen Datenverkehr blockieren, und löschen Sie sie. Wenn eine der erforderlichen Regeln fehlt, fügen Sie eine Regel hinzu, wie im nächsten Abschnitt beschrieben.
Nachdem Sie Regeln hinzugefügt oder gelöscht haben, um den erforderlichen Datenverkehr zuzulassen, wird die Integrität der verwalteten Domäne innerhalb von zwei Stunden automatisch aktualisiert, und die Warnung wird entfernt.
Hinzufügen einer Sicherheitsregel
Führen Sie die folgenden Schritte aus, um eine fehlende Sicherheitsregel hinzuzufügen:
- Suchen Sie im Microsoft Entra Admin Center nach der Option Netzwerksicherheitsgruppen, und wählen Sie sie aus.
- Wählen Sie die Netzwerksicherheitsgruppe aus, die Ihrer verwalteten Domäne zugeordnet ist, z.B. AADDS-contoso.com-NSG.
- Klicken Sie im linken Bereich unter Einstellungen entweder auf Eingangssicherheitsregeln oder auf Ausgangssicherheitsregeln, je nachdem, welche Regel hinzugefügt werden muss.
- Wählen Sie Hinzufügen aus, und erstellen Sie dann anhand von Port, Protokoll, Richtung usw. die erforderliche Regel. Wählen Sie nach Abschluss des Vorgangs OK aus.
Es dauert einen Moment, bis die Sicherheitsregel hinzugefügt und in der Liste angezeigt wird.
Nächste Schritte
Falls weiterhin Probleme auftreten, öffnen Sie eine Azure-Supportanfrage, um weitere Hilfe bei der Problembehandlung zu erhalten.