Problemas conhecidos: Alertas de configuração de rede no Azure Active Directory Domain ServicesKnown issues: Network configuration alerts in Azure Active Directory Domain Services

Para permitir que aplicativos e serviços se comuniquem corretamente com Azure Active Directory Domain Services (AD DS do Azure), as portas de rede específicas devem estar abertas para que o tráfego flua.To let applications and services correctly communicate with Azure Active Directory Domain Services (Azure AD DS), specific network ports must be open to allow traffic to flow. No Azure, você controla o fluxo de tráfego usando grupos de segurança de rede.In Azure, you control the flow of traffic using network security groups. O status de integridade de um domínio gerenciado do Azure AD DS mostrará um alerta se as regras do grupo de segurança de rede necessárias não estiverem em vigor.The health status of an Azure AD DS managed domain shows an alert if the required network security group rules aren't in place.

Este artigo ajuda você a entender e resolver alertas comuns para problemas de configuração do grupo de segurança de rede.This article helps you understand and resolve common alerts for network security group configuration issues.

Alerta AADDS104: Erro de redeAlert AADDS104: Network error

Mensagem de alertaAlert message

A Microsoft não consegue alcançar os controladores de domínio para este domínio gerenciado. Isso pode ocorrer se um grupo de segurança de rede (NSG) configurado na sua rede virtual bloquear o acesso ao domínio gerenciado. Outro motivo possível é a existência de uma rota definida pelo usuário que bloqueia o tráfego de entrada da Internet.Microsoft is unable to reach the domain controllers for this managed domain. This may happen if a network security group (NSG) configured on your virtual network blocks access to the managed domain. Another possible reason is if there is a user-defined route that blocks incoming traffic from the internet.

Regras de grupo de segurança de rede inválidas são a causa mais comum de erros de rede para o Azure AD DS.Invalid network security group rules are the most common cause of network errors for Azure AD DS. O grupo de segurança de rede para a rede virtual deve permitir o acesso a portas e protocolos específicos.The network security group for the virtual network must allow access to specific ports and protocols. Se essas portas estiverem bloqueadas, a plataforma do Azure não poderá monitorar ou atualizar o domínio gerenciado.If these ports are blocked, the Azure platform can't monitor or update the managed domain. A sincronização entre o diretório do Azure AD e o domínio gerenciado do Azure AD DS também é afetada.The synchronization between the Azure AD directory and Azure AD DS managed domain is also impacted. Certifique-se de manter as portas padrão abertas para evitar a interrupção no serviço.Make sure you keep the default ports open to avoid interruption in service.

Regras de segurança padrãoDefault security rules

As regras de segurança de entrada e saída padrão a seguir são aplicadas ao grupo de segurança de rede para um domínio gerenciado do Azure AD DS.The following default inbound and outbound security rules are applied to the network security group for an Azure AD DS managed domain. Essas regras mantêm o Azure AD DS seguro e permitem que a plataforma do Azure monitore, gerencie e atualize o domínio gerenciado.These rules keep Azure AD DS secure and allow the Azure platform to monitor, manage, and update the managed domain. Você também pode ter uma regra adicional que permita o tráfego de entrada se Configurar o LDAP seguro.You may also have an additional rule that allows inbound traffic if you configure secure LDAP.

Regras de segurança de entradaInbound security rules

PriorityPriority NOMEName PortaPort ProtocolProtocol OrigemSource DestinationDestination AçãoAction
101101 AllowSyncWithAzureADAllowSyncWithAzureAD 443443 TCPTCP AzureActiveDirectoryDomainServicesAzureActiveDirectoryDomainServices AnyAny AllowAllow
201201 AllowRDAllowRD 33893389 TCPTCP CorpNetSawCorpNetSaw AnyAny AllowAllow
301301 AllowPSRemotingAllowPSRemoting 59865986 TCPTCP AzureActiveDirectoryDomainServicesAzureActiveDirectoryDomainServices AnyAny AllowAllow
6500065000 AllVnetInBoundAllVnetInBound AnyAny AnyAny VirtualNetworkVirtualNetwork VirtualNetworkVirtualNetwork AllowAllow
6500165001 AllowAzureLoadBalancerInBoundAllowAzureLoadBalancerInBound AnyAny AnyAny AzureLoadBalancerAzureLoadBalancer AnyAny AllowAllow
6550065500 DenyAllInBoundDenyAllInBound AnyAny AnyAny AnyAny AnyAny NegarDeny

Regras de segurança de saídaOutbound security rules

PriorityPriority NOMEName PortaPort ProtocolProtocol OrigemSource DestinationDestination AçãoAction
6500065000 AllVnetOutBoundAllVnetOutBound AnyAny AnyAny VirtualNetworkVirtualNetwork VirtualNetworkVirtualNetwork AllowAllow
6500165001 AllowAzureLoadBalancerOutBoundAllowAzureLoadBalancerOutBound AnyAny AnyAny AnyAny InternetInternet AllowAllow
6550065500 DenyAllOutBoundDenyAllOutBound AnyAny AnyAny AnyAny AnyAny NegarDeny

Observação

O Azure AD DS precisa de acesso irrestrito de saída da rede virtual.Azure AD DS needs unrestricted outbound access from the virtual network. Não recomendamos que você crie regras adicionais que restrinjam o acesso de saída para a rede virtual.We don't recommend that you create any additional rules that restrict outbound access for the virtual network.

Verificar e editar as regras de segurança existentesVerify and edit existing security rules

Para verificar as regras de segurança existentes e verificar se as portas padrão estão abertas, conclua as seguintes etapas:To verify the existing security rules and make sure the default ports are open, complete the following steps:

  1. Na portal do Azure, procure e selecione grupos de segurança de rede.In the Azure portal, search for and select Network security groups.

  2. Escolha o grupo de segurança de rede associado ao domínio gerenciado, como AADDS-contoso.com-NSG.Choose the network security group associated with your managed domain, such as AADDS-contoso.com-NSG.

  3. Na página visão geral , as regras de segurança de entrada e saída existentes são mostradas.On the Overview page, the existing inbound and outbound security rules are shown.

    Examine as regras de entrada e saída e compare com a lista de regras necessárias na seção anterior.Review the inbound and outbound rules and compare to the list of required rules in the previous section. Se necessário, selecione e exclua as regras personalizadas que bloqueiam o tráfego necessário.If needed, select and then delete any custom rules that block required traffic. Se alguma das regras necessárias estiver ausente, adicione uma regra na próxima seção.If any of the required rules are missing, add a rule in the next section.

    Depois de adicionar ou excluir regras para permitir o tráfego necessário, a integridade do domínio gerenciado AD DS do Azure se atualiza automaticamente em duas horas e remove o alerta.After you add or delete rules to allow the required traffic, the Azure AD DS managed domain's health automatically updates itself within two hours and removes the alert.

Adicionar uma regra de segurançaAdd a security rule

Para adicionar uma regra de segurança ausente, conclua as seguintes etapas:To add a missing security rule, complete the following steps:

  1. Na portal do Azure, procure e selecione grupos de segurança de rede.In the Azure portal, search for and select Network security groups.
  2. Escolha o grupo de segurança de rede associado ao domínio gerenciado, como AADDS-contoso.com-NSG.Choose the network security group associated with your managed domain, such as AADDS-contoso.com-NSG.
  3. Em configurações no painel esquerdo, clique em regras de segurança de entrada ou em regras de segurança de saída , dependendo de qual regra você precisa adicionar.Under Settings in the left-hand panel, click Inbound security rules or Outbound security rules depending on which rule you need to add.
  4. Selecione Adicionare crie a regra necessária com base na porta, no protocolo, na direção, etc. Quando estiver pronto, selecione OK.Select Add, then create the required rule based on the port, protocol, direction, etc. When ready, select OK.

Leva alguns minutos para que a regra de segurança seja adicionada e mostrada na lista.It takes a few moments for the security rule to be added and show in the list.

Próximas etapasNext steps

Se você ainda tiver problemas, abra uma solicitação de suporte do Azure para obter assistência de solução de problemas adicional.If you still have issues, open an Azure support request for additional troubleshooting assistance.