Kända problem: Aviseringar om nätverkskonfiguration i Microsoft Entra Domain Services
För att program och tjänster ska kunna kommunicera korrekt med en hanterad domän i Microsoft Entra Domain Services måste specifika nätverksportar vara öppna för att trafik ska kunna flöda. I Azure styr du trafikflödet med hjälp av nätverkssäkerhetsgrupper. Hälsostatusen för en domän som hanteras av Domain Services visar en avisering om de obligatoriska reglerna för nätverkssäkerhetsgrupper inte är på plats.
Den här artikeln hjälper dig att förstå och lösa vanliga aviseringar för konfigurationsproblem med nätverkssäkerhetsgrupper.
Avisering AADDS104: Nätverksfel
Aviseringsmeddelande
Microsoft kan inte nå domänkontrollanterna för den här hanterade domänen. Detta kan inträffa om en nätverkssäkerhetsgrupp (NSG) som konfigurerats i ditt virtuella nätverk blockerar åtkomsten till den hanterade domänen. En annan möjlig orsak är om det finns en användardefinierad väg som blockerar inkommande trafik från Internet.
Ogiltiga regler för nätverkssäkerhetsgrupper är den vanligaste orsaken till nätverksfel för Domain Services. Nätverkssäkerhetsgruppen för det virtuella nätverket måste tillåta åtkomst till specifika portar och protokoll. Om dessa portar blockeras kan inte Azure-plattformen övervaka eller uppdatera den hanterade domänen. Synkroniseringen mellan Microsoft Entra-katalogen och Domain Services påverkas också. Se till att hålla standardportarna öppna för att undvika avbrott i tjänsten.
Standardsäkerhetsregler
Följande standardregler för inkommande och utgående säkerhet tillämpas på nätverkssäkerhetsgruppen för en hanterad domän. Dessa regler skyddar Domain Services och gör det möjligt för Azure-plattformen att övervaka, hantera och uppdatera den hanterade domänen.
Säkerhetsregler för inkommande trafik
| Prioritet | Namn | Port | Protokoll | Källa | Mål | Action |
|---|---|---|---|---|---|---|
| 301 | AllowPSRemoting | 5986 | TCP | AzureActiveDirectoryDomainServices | Alla | Tillåt |
| 201 | AllowRD | 3389 | TCP | CorpNetSaw | Alla | Neka1 |
| 65000 | AllVnetInBound | Valfri | Valfri | VirtualNetwork | VirtualNetwork | Tillåt |
| 65001 | AllowAzureLoadBalancerInBound | Valfri | Valfri | AzureLoadBalancer | Alla | Tillåt |
| 65500 | DenyAllInBound | Valfri | Valfri | Valfri | Valfri | Neka |
1Valfritt för felsökning. Tillåt när det behövs för avancerad felsökning.
Kommentar
Du kan också ha en ytterligare regel som tillåter inkommande trafik om du konfigurerar säker LDAP. Den här ytterligare regeln krävs för rätt LDAPS-kommunikation.
Utgående säkerhetsregler
| Prioritet | Namn | Port | Protokoll | Källa | Mål | Action |
|---|---|---|---|---|---|---|
| 65000 | AllVnetOutBound | Valfri | Valfri | VirtualNetwork | VirtualNetwork | Tillåt |
| 65001 | TillåtAzureLoadBalancerOutBound | Valfri | Valfri | Valfri | Internet | Tillåt |
| 65500 | DenyAllOutBound | Valfri | Valfri | Valfri | Valfri | Neka |
Kommentar
Domain Services behöver obegränsad utgående åtkomst från det virtuella nätverket. Vi rekommenderar inte att du skapar några ytterligare regler som begränsar utgående åtkomst för det virtuella nätverket.
Verifiera och redigera befintliga säkerhetsregler
Utför följande steg för att verifiera de befintliga säkerhetsreglerna och kontrollera att standardportarna är öppna:
I administrationscentret för Microsoft Entra söker du efter och väljer Nätverkssäkerhetsgrupper.
Välj den nätverkssäkerhetsgrupp som är associerad med din hanterade domän, till exempel AADDS-contoso.com-NSG.
På sidan Översikt visas de befintliga säkerhetsreglerna för inkommande och utgående trafik.
Granska reglerna för inkommande och utgående trafik och jämför med listan över obligatoriska regler i föregående avsnitt. Om det behövs väljer du och tar sedan bort alla anpassade regler som blockerar nödvändig trafik. Om någon av de obligatoriska reglerna saknas lägger du till en regel i nästa avsnitt.
När du har lagt till eller tagit bort regler för att tillåta den trafik som krävs uppdateras den hanterade domänens hälsotillstånd automatiskt inom två timmar och aviseringen tas bort.
Lägg till en säkerhetsregel
Utför följande steg för att lägga till en säkerhetsregel som saknas:
- I administrationscentret för Microsoft Entra söker du efter och väljer Nätverkssäkerhetsgrupper.
- Välj den nätverkssäkerhetsgrupp som är associerad med din hanterade domän, till exempel AADDS-contoso.com-NSG.
- Under Inställningar i den vänstra panelen klickar du på Inkommande säkerhetsregler eller Utgående säkerhetsregler beroende på vilken regel du behöver lägga till.
- Välj Lägg till och skapa sedan den regel som krävs baserat på port, protokoll, riktning osv. När du är klar väljer du OK.
Det tar en stund innan säkerhetsregeln läggs till och visas i listan.
Nästa steg
Om du fortfarande har problem öppnar du en Azure-supportbegäran för ytterligare felsökningshjälp.