Problemas conhecidos: alertas de configuração de rede no Microsoft Entra Directory Domain Services
Para permitir que aplicativos e serviços se comuniquem corretamente com um domínio gerenciado do Microsoft Entra Domain Services, algumas portas de rede específicas devem estar abertas para que o tráfego flua. No Azure, você controla o fluxo de tráfego usando grupos de segurança de rede. O status de integridade de um domínio gerenciado pelo Domain Services mostrará um alerta se as regras do grupo de segurança de rede necessárias não estiverem em vigor.
Este artigo ajudará você a entender e resolver alertas comuns para problemas de configuração do grupo de segurança de rede.
Alerta AADDS104: erro de rede
Mensagem de alerta
A Microsoft não consegue alcançar os controladores de domínio para este domínio gerenciado. Isso pode ocorrer se um grupo de segurança de rede (NSG) configurado na sua rede virtual bloquear o acesso ao domínio gerenciado. Outro motivo possível é a existência de uma rota definida pelo usuário que bloqueia o tráfego de entrada da Internet.
Regras de grupo de segurança de rede inválidas são a causa mais comum de erros de rede no Domain Services. O grupo de segurança de rede para a rede virtual deve permitir o acesso a portas e protocolos específicos. Se essas portas estiverem bloqueadas, a plataforma do Azure não poderá monitorar nem atualizar o domínio gerenciado. A sincronização entre o diretório do Microsoft Entra e os Serviços de Domínio também é afetada. Mantenha as portas padrão abertas para evitar a interrupção no serviço.
Regras de segurança padrão
As regras de segurança de entrada e saída padrão a seguir são aplicadas ao grupo de segurança de rede para um domínio gerenciado. Essas regras mantêm o Domain Services seguro e permitem que a plataforma do Azure monitore, gerencie e atualize o domínio gerenciado.
Regras de segurança de entrada
| Prioridade | Nome | Porta | Protocolo | Origem | Destino | Ação |
|---|---|---|---|---|---|---|
| 301 | AllowPSRemoting | 5986 | TCP | AzureActiveDirectoryDomainServices | Qualquer | Allow |
| 201 | AllowRD | 3389 | TCP | CorpNetSaw | Qualquer | Negar1 |
| 65000 | AllVnetInBound | Qualquer | Qualquer | VirtualNetwork | VirtualNetwork | Allow |
| 65001 | AllowAzureLoadBalancerInBound | Qualquer | Qualquer | AzureLoadBalancer | Qualquer | Allow |
| 65500 | DenyAllInBound | Qualquer | Qualquer | Qualquer | Qualquer | Negar |
1Opcional para depuração. Permitir quando necessário para solução de problemas avançada.
Observação
Você também pode ter uma regra adicional que permita o tráfego de entrada se configurar o LDAP seguro. Essa regra adicional é necessária para a comunicação correta do LDAPS.
Regras de segurança de saída
| Prioridade | Nome | Porta | Protocolo | Origem | Destino | Ação |
|---|---|---|---|---|---|---|
| 65000 | AllVnetOutBound | Qualquer | Qualquer | VirtualNetwork | VirtualNetwork | Allow |
| 65001 | AllowAzureLoadBalancerOutBound | Qualquer | Qualquer | Qualquer | Internet | Allow |
| 65500 | DenyAllOutBound | Qualquer | Qualquer | Qualquer | Qualquer | Negar |
Observação
O Domain Services exige acesso irrestrito de saída da rede virtual. Não recomendamos que você crie regras adicionais que restrinjam o acesso de saída para a rede virtual.
Verificar e editar as regras de segurança existentes
Para verificar as regras de segurança existentes e ter a certeza de que as portas padrão estão abertas, faça as seguintes etapas:
No Centro de administração do Microsoft Entra, pesquise e selecione Grupos de segurança de rede.
Escolha o grupo de segurança de rede associado ao domínio gerenciado, como AADDS-contoso.com-NSG.
Na página Visão geral, as regras de segurança de entrada e saída existentes são mostradas.
Examine as regras de entrada e saída e compare com a lista de regras necessárias na seção anterior. Se necessário, selecione e exclua as regras personalizadas que bloqueiam o tráfego necessário. Se alguma das regras necessárias estiver ausente, adicione uma regra na próxima seção.
Depois de adicionar ou excluir regras para permitir o tráfego necessário, a integridade do domínio gerenciado se atualizará automaticamente em até duas horas e removerá o alerta.
Adicionar uma regra de segurança
Para adicionar uma regra de segurança ausente, conclua as seguintes etapas:
- No Centro de administração do Microsoft Entra, pesquise e selecione Grupos de segurança de rede.
- Escolha o grupo de segurança de rede associado ao domínio gerenciado, como AADDS-contoso.com-NSG.
- Em Configurações no painel esquerdo, clique em Regras de segurança de entrada ou em Regras de segurança de saída, dependendo da regra que você precisa adicionar.
- Selecione Adicionar e crie a regra necessária com base na porta, no protocolo, na direção etc. Quando estiver pronto, selecione OK.
Leva alguns minutos para que a regra de segurança seja adicionada e apareça na lista.
Próximas etapas
Se ainda tiver problemas, abra uma solicitação de suporte do Azure para obter assistência de solução de problemas adicional.