Masalah yang diketahui: Pemberitahuan konfigurasi jaringan di Microsoft Entra Domain Services
Untuk memungkinkan aplikasi dan layanan berkomunikasi dengan domain terkelola Microsoft Entra Domain Services dengan benar, port jaringan tertentu harus terbuka untuk memungkinkan lalu lintas mengalir. Di Azure, Anda mengontrol aliran lalu lintas menggunakan grup keamanan jaringan. Status kesehatan domain terkelola Domain Services menunjukkan pemberitahuan jika aturan grup keamanan jaringan yang diperlukan tidak ada.
Artikel ini membantu Anda memahami dan menyelesaikan peringatan umum untuk masalah konfigurasi grup keamanan jaringan.
Peringatan AADDS104: Kesalahan jaringan
Pesan pemberitahuan
Microsoft tidak dapat menjangkau pengontrol domain untuk domain terkelola ini. Ini dapat terjadi jika kelompok keamanan jaringan (NSG) yang dikonfigurasi di jaringan virtual Anda memblokir akses ke domain terkelola. Alasan lain yang mungkin adalah jika ada rute yang ditentukan pengguna yang memblokir lalu lintas masuk dari internet.
Aturan kelompok keamanan jaringan yang tidak valid adalah penyebab paling umum kesalahan jaringan untuk Layanan Domain. Grup keamanan jaringan untuk jaringan virtual harus mengizinkan akses ke port dan protokol tertentu. Jika port ini diblokir, platform Azure tidak dapat memantau atau memperbarui domain terkelola. Sinkronisasi antara direktori Microsoft Entra dan Layanan Domain juga terpengaruh. Pastikan Anda tetap membuka port default untuk menghindari gangguan dalam layanan.
Aturan keamanan default
Aturan keamanan masuk dan keluar default berikut diterapkan ke grup keamanan jaringan untuk domain terkelola. Aturan ini menjaga Keamanan Layanan Domain dan memungkinkan platform Azure memantau, mengelola, dan memperbarui domain terkelola.
Aturan keamanan masuk
| Prioritas | Nama | Port | Protokol | Sumber | Tujuan | Tindakan |
|---|---|---|---|---|---|---|
| 301 | AllowPSRemoting | 5986 | TCP | AzureActiveDirectoryDomainServices | Mana pun | Izinkan |
| 201 | AllowRD | 3389 | TCP | CorpNetSaw | Mana pun | Tolak 1 |
| 65000 | AllVnetInBound | Apa pun | Apa pun | JaringanVirtual | JaringanVirtual | Bolehkan |
| 65001 | AllowAzureLoadBalancerInBound | Apa pun | Apa pun | AzureLoadBalancer | Mana pun | Bolehkan |
| 65500 | DenyAllInBound | Apa pun | Apa pun | Apa pun | Apa pun | Tolak |
1 Opsional untuk penelusuran kesalahan. Izinkan bila diperlukan untuk pemecahan masalah lanjutan.
Catatan
Anda mungkin juga memiliki aturan tambahan yang mengizinkan lalu lintas masuk jika Anda mengonfigurasi LDAP aman. Aturan tambahan ini diperlukan untuk komunikasi LDAPS yang benar.
Aturan keamanan keluar
| Prioritas | Nama | Port | Protokol | Sumber | Tujuan | Tindakan |
|---|---|---|---|---|---|---|
| 65000 | AllVnetOutBound | Apa pun | Apa pun | JaringanVirtual | JaringanVirtual | Bolehkan |
| 65001 | AllowAzureLoadBalancerOutBound | Apa pun | Apa pun | Apa pun | Internet | Bolehkan |
| 65500 | DenyAllOutBound | Apa pun | Apa pun | Apa pun | Apa pun | Tolak |
Catatan
Domain Services memerlukan akses keluar yang tidak dibatasi dari jaringan virtual. Kami tidak menyarankan Anda membuat aturan tambahan yang membatasi akses keluar untuk jaringan virtual.
Verifikasi dan edit aturan keamanan yang ada
Untuk memverifikasi aturan keamanan yang ada dan memastikan port default terbuka, selesaikan langkah-langkah berikut:
Di pusat admin Microsoft Entra, cari dan pilih Grup keamanan jaringan.
Pilih grup keamanan jaringan yang terkait dengan domain terkelola Anda, seperti AADDS-contoso.com-NSG.
Di halaman Gambaran Umum, aturan keamanan masuk dan keluar yang ada akan ditampilkan.
Tinjau aturan masuk dan keluar dan bandingkan dengan daftar aturan yang diperlukan di bagian sebelumnya. Jika perlu, pilih dan kemudian hapus aturan khusus yang memblokir lalu lintas yang diperlukan. Jika salah satu aturan yang diperlukan hilang, tambahkan aturan di bagian berikutnya.
Setelah Anda menambahkan atau menghapus aturan untuk mengizinkan lalu lintas yang diperlukan, kesehatan domain terkelola secara otomatis diperbarui dalam dua jam dan menghapus peringatan.
Tambahkan aturan keamanan
Untuk menambahkan aturan keamanan yang hilang, selesaikan langkah-langkah berikut:
- Di pusat admin Microsoft Entra, cari dan pilih Grup keamanan jaringan.
- Pilih grup keamanan jaringan yang terkait dengan domain terkelola Anda, seperti AADDS-contoso.com-NSG.
- Pada Setelan di panel sebelah kiri, klik Aturan keamanan masuk atau Aturan keamanan keluar bergantung pada aturan yang perlu Anda tambahkan.
- Pilih Tambahkan, lalu buat aturan yang diperlukan berdasarkan port, protokol, arah, dan sebagainya. Jika sudah siap, pilih OK.
Perlu beberapa saat agar aturan keamanan ditambahkan dan ditampilkan dalam daftar.
Langkah berikutnya
Jika masalah tetap muncul, buka permintaan dukungan Azure untuk bantuan pemecahan masalah tambahan.
Saran dan Komentar
Segera hadir: Sepanjang tahun 2024 kami akan menghentikan penggunaan GitHub Issues sebagai mekanisme umpan balik untuk konten dan menggantinya dengan sistem umpan balik baru. Untuk mengetahui informasi selengkapnya, lihat: https://aka.ms/ContentUserFeedback.
Kirim dan lihat umpan balik untuk