Kända problem: aviseringar om nätverks konfiguration i Azure Active Directory Domain Services
För att program och tjänster ska kunna kommunicera med en Azure Active Directory Domain Services (Azure AD DS)-hanterad domän, måste särskilda nätverks portar vara öppna för att tillåta trafik att flöda. I Azure styr du trafik flödet med hjälp av nätverks säkerhets grupper. Hälso status för en Azure AD DS-hanterad domän visar en avisering om de nödvändiga reglerna för nätverks säkerhets grupper inte finns på plats.
Den här artikeln hjälper dig att förstå och lösa vanliga aviseringar för konfigurations problem med nätverks säkerhets grupper.
Aviserings AADDS104: nätverks fel
Aviserings meddelande
Microsoft kan inte komma åt domän kontrol Lanterna för den här hanterade domänen. Detta kan inträffa om en nätverks säkerhets grupp (NSG) som kon figurer ATS i ditt virtuella nätverk blockerar åtkomsten till den hanterade domänen. En annan möjlig orsak är om det finns en användardefinierad väg som blockerar inkommande trafik från Internet.
Ogiltiga regler för nätverks säkerhets grupper är den vanligaste orsaken till nätverks fel för Azure AD DS. Nätverks säkerhets gruppen för det virtuella nätverket måste tillåta åtkomst till vissa portar och protokoll. Om dessa portar blockeras kan Azure-plattformen inte övervaka eller uppdatera den hanterade domänen. Synkroniseringen mellan Azure AD-katalogen och Azure AD DS påverkas också. Se till att du behåller standard portarna öppna för att undvika avbrott i tjänsten.
Standardsäkerhetsregler
Följande standard säkerhets regler för inkommande och utgående trafik tillämpas på nätverks säkerhets gruppen för en hanterad domän. De här reglerna skyddar Azure AD DS och ger Azure-plattformen möjlighet att övervaka, hantera och uppdatera den hanterade domänen.
Ingående säkerhetsregler
| Prioritet | Namn | Port | Protokoll | Källa | Mål | Action |
|---|---|---|---|---|---|---|
| 301 | AllowPSRemoting | 5986 | TCP | AzureActiveDirectoryDomainServices | Valfri | Tillåt |
| 201 | AllowRD | 3389 | TCP | CorpNetSaw | Valfri | Neka1 |
| 65000 | AllVnetInBound | Valfri | Valfri | VirtualNetwork | VirtualNetwork | Tillåt |
| 65001 | AllowAzureLoadBalancerInBound | Valfri | Valfri | AzureLoadBalancer | Valfri | Tillåt |
| 65500 | DenyAllInBound | Valfri | Valfri | Valfri | Valfri | Neka |
1 Valfritt för fel sökning. Tillåt när det behövs för avancerad fel sökning.
Anteckning
Du kan också ha en ytterligare regel som tillåter inkommande trafik om du konfigurerar säker LDAP. Denna ytterligare regel krävs för korrekt LDAP-kommunikation.
Säkerhetsregler för utgående trafik
| Prioritet | Namn | Port | Protokoll | Källa | Mål | Action |
|---|---|---|---|---|---|---|
| 65000 | AllVnetOutBound | Valfri | Valfri | VirtualNetwork | VirtualNetwork | Tillåt |
| 65001 | AllowAzureLoadBalancerOutBound | Valfri | Valfri | Valfri | Internet | Tillåt |
| 65500 | DenyAllOutBound | Valfri | Valfri | Valfri | Valfri | Neka |
Anteckning
Azure AD DS behöver obegränsad utgående åtkomst från det virtuella nätverket. Vi rekommenderar inte att du skapar några ytterligare regler som begränsar utgående åtkomst för det virtuella nätverket.
Verifiera och redigera befintliga säkerhets regler
För att kontrol lera de befintliga säkerhets reglerna och se till att standard portarna är öppna, utför du följande steg:
Sök efter och välj nätverks säkerhets grupper i Azure Portal.
Välj den nätverks säkerhets grupp som är kopplad till din hanterade domän, t. ex. AADDS-contoso.com-NSG.
På sidan Översikt visas befintliga inkommande och utgående säkerhets regler.
Granska reglerna för inkommande och utgående trafik och jämför med listan över nödvändiga regler i föregående avsnitt. Om det behövs markerar du och tar bort eventuella anpassade regler som blockerar nödvändig trafik. Om någon av de nödvändiga reglerna saknas lägger du till en regel i nästa avsnitt.
När du har lagt till eller tagit bort regler för att tillåta den nödvändiga trafiken uppdaterar den hanterade domänens hälsa automatiskt inom två timmar och tar bort aviseringen.
Lägg till en säkerhetsregel
Slutför följande steg för att lägga till en säkerhets regel som saknas:
- Sök efter och välj nätverks säkerhets grupper i Azure Portal.
- Välj den nätverks säkerhets grupp som är kopplad till din hanterade domän, t. ex. AADDS-contoso.com-NSG.
- Under Inställningar i den vänstra panelen klickar du på inkommande säkerhets regler eller utgående säkerhets regler , beroende på vilken regel du behöver lägga till.
- Välj Lägg till och skapa sedan den nödvändiga regeln baserat på porten, protokollet, riktningen osv. När du är klar väljer du OK.
Det tar en stund för säkerhets regeln att läggas till och visas i listan.
Nästa steg
Om du fortfarande har problem öppnar du en support förfrågan för Azure om du behöver ytterligare fel sökning.