Problemas conhecidos: alertas de configuração de rede no Azure Active Directory Domain Services

Para permitir que aplicativos e serviços se comuniquem corretamente com um domínio gerenciado do Azure AD DS (Azure Active Directory Domain Services), algumas portas de rede específicas devem estar abertas para que o tráfego flua. No Azure, você controla o fluxo de tráfego usando grupos de segurança de rede. O status de integridade de um domínio gerenciado do Azure AD DS mostrará um alerta se as regras do grupo de segurança de rede necessárias não estiverem em vigor.

Este artigo ajudará você a entender e resolver alertas comuns para problemas de configuração do grupo de segurança de rede.

Alerta AADDS104: erro de rede

Mensagem de alerta

A Microsoft não é capaz de alcançar os controladores de domínio para este domínio gerenciado. Isso pode acontecer se um NSG (grupo de segurança de rede) configurado em sua rede virtual bloquear o acesso ao domínio gerenciado. Outro motivo possível é o caso de haver uma rota definida pelo usuário que esteja bloqueando o tráfego de entrada da Internet.

Regras de grupo de segurança de rede inválidas são a causa mais comum de erros de rede no Azure AD DS. O grupo de segurança de rede para a rede virtual deve permitir o acesso a portas e protocolos específicos. Se essas portas estiverem bloqueadas, a plataforma do Azure não poderá monitorar nem atualizar o domínio gerenciado. A sincronização entre o diretório do Azure AD e o Azure AD DS também é afetada. Mantenha as portas padrão abertas para evitar a interrupção no serviço.

Regras de segurança padrão

As regras de segurança de entrada e saída padrão a seguir são aplicadas ao grupo de segurança de rede para um domínio gerenciado. Essas regras mantêm o Azure AD DS seguro e permitem que a plataforma do Azure monitore, gerencie e atualize o domínio gerenciado.

Regras de segurança de entrada

Prioridade Nome Porta Protocolo Fonte Destino Ação
301 AllowPSRemoting 5986 TCP AzureActiveDirectoryDomainServices Qualquer Allow
201 AllowRD 3389 TCP CorpNetSaw Qualquer Negar1
65000 AllVnetInBound Qualquer Qualquer VirtualNetwork VirtualNetwork Allow
65001 AllowAzureLoadBalancerInBound Qualquer Qualquer AzureLoadBalancer Qualquer Allow
65500 DenyAllInBound Qualquer Qualquer Qualquer Qualquer Negar

1Opcional para depuração. Permitir quando necessário para solução de problemas avançada.

Observação

Você também pode ter uma regra adicional que permita o tráfego de entrada se configurar o LDAP seguro. Essa regra adicional é necessária para a comunicação correta do LDAPS.

Regras de segurança de saída

Prioridade Nome Porta Protocolo Fonte Destino Ação
65000 AllVnetOutBound Qualquer Qualquer VirtualNetwork VirtualNetwork Allow
65001 AllowAzureLoadBalancerOutBound Qualquer Qualquer Qualquer Internet Allow
65500 DenyAllOutBound Qualquer Qualquer Qualquer Qualquer Negar

Observação

O Azure AD DS exige acesso irrestrito de saída da rede virtual. Não recomendamos que você crie regras adicionais que restrinjam o acesso de saída para a rede virtual.

Verificar e editar as regras de segurança existentes

Para verificar as regras de segurança existentes e ter a certeza de que as portas padrão estão abertas, faça as seguintes etapas:

  1. No portal do Azure, pesquise e selecione Grupos de segurança de rede.

  2. Escolha o grupo de segurança de rede associado ao domínio gerenciado, como AADDS-contoso.com-NSG.

  3. Na página Visão geral, as regras de segurança de entrada e saída existentes são mostradas.

    Examine as regras de entrada e saída e compare com a lista de regras necessárias na seção anterior. Se necessário, selecione e exclua as regras personalizadas que bloqueiam o tráfego necessário. Se alguma das regras necessárias estiver ausente, adicione uma regra na próxima seção.

    Depois de adicionar ou excluir regras para permitir o tráfego necessário, a integridade do domínio gerenciado se atualizará automaticamente em até duas horas e removerá o alerta.

Adicionar uma regra de segurança

Para adicionar uma regra de segurança ausente, conclua as seguintes etapas:

  1. No portal do Azure, pesquise e selecione Grupos de segurança de rede.
  2. Escolha o grupo de segurança de rede associado ao domínio gerenciado, como AADDS-contoso.com-NSG.
  3. Em Configurações no painel esquerdo, clique em Regras de segurança de entrada ou em Regras de segurança de saída, dependendo da regra que você precisa adicionar.
  4. Selecione Adicionar e crie a regra necessária com base na porta, no protocolo, na direção etc. Quando estiver pronto, selecione OK.

Leva alguns minutos para que a regra de segurança seja adicionada e apareça na lista.

Próximas etapas

Se ainda tiver problemas, abra uma solicitação de suporte do Azure para obter assistência de solução de problemas adicional.