Bilinen sorunlar: Azure Active Directory Domain Services ağ yapılandırması uyarıları
Uygulamaların ve hizmetlerin Azure Active Directory Domain Services (Azure AD DS) yönetilen bir etki alanıyla doğru iletişim kurmasına izin vermek için, trafiğin akışa izin vermek üzere belirli ağ bağlantı noktalarının açık olması gerekir. Azure 'da ağ güvenlik gruplarını kullanarak trafik akışını kontrol edersiniz. Azure AD DS yönetilen bir etki alanının sistem durumu, gerekli ağ güvenlik grubu kuralları yerinde değilse bir uyarı gösterir.
Bu makale, ağ güvenlik grubu yapılandırma sorunları için genel uyarıları anlamanıza ve çözmenize yardımcı olur.
Uyarı AADDS104: ağ hatası
Uyarı iletisi
Microsoft bu yönetilen etki alanı için etki alanı denetleyicilerine ulaşamıyor. Sanal ağınızda yapılandırılan bir ağ güvenlik grubu (NSG), yönetilen etki alanına erişimi engelliyorsa bu durum oluşabilir. Olası bir neden, internet 'ten gelen trafiği engelleyen Kullanıcı tanımlı bir yol olup olmalarıdır.
Azure AD DS için ağ hatalarının en yaygın nedeni geçersiz ağ güvenlik grubu kuralları. Sanal ağ için ağ güvenlik grubu, belirli bağlantı noktalarına ve protokollere erişime izin vermelidir. Bu bağlantı noktaları engellenirse Azure platformu, yönetilen etki alanını izleyemez veya güncelleştiremez. Azure AD dizini ile Azure AD DS arasındaki eşitleme de bundan etkilenir. Hizmette kesintiye uğramasını önlemek için varsayılan bağlantı noktalarını açık tutmanız gerekir.
Varsayılan güvenlik kuralları
Aşağıdaki varsayılan gelen ve giden güvenlik kuralları, yönetilen bir etki alanı için ağ güvenlik grubuna uygulanır. Bu kurallar Azure AD DS güvende tutar ve Azure platformunun yönetilen etki alanını izlemesine, yönetmesine ve güncelleştirmesine izin verir.
Gelen güvenlik kuralları
| Öncelik | Name | Bağlantı noktası | Protokol | Kaynak | Hedef | Eylem |
|---|---|---|---|---|---|---|
| 301 | AllowPSRemoting | 5986 | TCP | AzureActiveDirectoryDomainServices | Herhangi biri | İzin Ver |
| 201 | AllowRD | 3389 | TCP | Corpnetgördünüz | Herhangi biri | Reddet1 |
| 65000 | Allvnetınbound | Herhangi biri | Herhangi biri | VirtualNetwork | VirtualNetwork | İzin Ver |
| 65001 | AllowAzureLoadBalancerInBound | Herhangi biri | Herhangi biri | AzureLoadBalancer | Herhangi biri | İzin Ver |
| 65500 | DenyAllInBound | Herhangi biri | Herhangi biri | Herhangi biri | Herhangi biri | Reddet |
1 Hata ayıklama için isteğe bağlı. Gelişmiş sorun giderme için gerektiğinde izin verin.
Not
Ayrıca, GÜVENLI LDAP yapılandırırsanızgelen trafiğe izin veren ek bir kuralınız olabilir. Bu ek kural doğru LDAPS iletişimi için gereklidir.
Giden güvenlik kuralları
| Öncelik | Name | Bağlantı noktası | Protokol | Kaynak | Hedef | Eylem |
|---|---|---|---|---|---|---|
| 65000 | Allvnetoutbağlanmadı | Herhangi biri | Herhangi biri | VirtualNetwork | VirtualNetwork | İzin Ver |
| 65001 | AllowAzureLoadBalancerOutBound | Herhangi biri | Herhangi biri | Herhangi biri | İnternet | İzin Ver |
| 65500 | DenyAllOutBound | Herhangi biri | Herhangi biri | Herhangi biri | Herhangi biri | Reddet |
Not
Azure AD DS sanal ağdan sınırsız giden erişime ihtiyaç duyuyor. Sanal ağ için giden erişimi kısıtlayan ek kurallar oluşturmanızı önermiyoruz.
Mevcut güvenlik kurallarını doğrulama ve düzenleme
Mevcut güvenlik kurallarını doğrulamak ve varsayılan bağlantı noktalarının açık olduğundan emin olmak için aşağıdaki adımları izleyin:
Azure portal ağ güvenlik grupları' nı arayıp seçin.
Yönetilen etki alanınız ile ilişkili ağ güvenlik grubunu (örneğin, Aeklemesine-contoso.com-NSG) seçin.
Genel bakış sayfasında, var olan gelen ve giden güvenlik kuralları gösterilir.
Gelen ve giden kurallarını gözden geçirin ve önceki bölümde gerekli kuralların listesiyle karşılaştırın. Gerekirse, gerekli trafiği engelleyen tüm özel kuralları seçin ve silin. Gerekli kuralların herhangi biri eksikse, sonraki bölümde bir kural ekleyin.
Gerekli trafiğe izin veren kuralları ekledikten veya sildikten sonra, yönetilen etki alanının sistem durumu otomatik olarak iki saat içinde güncelleştirilir ve uyarıyı kaldırır.
Güvenlik kuralı ekleme
Eksik bir güvenlik kuralı eklemek için aşağıdaki adımları izleyin:
- Azure portal ağ güvenlik grupları' nı arayıp seçin.
- Yönetilen etki alanınız ile ilişkili ağ güvenlik grubunu (örneğin, Aeklemesine-contoso.com-NSG) seçin.
- Sol bölmedeki Ayarlar ' ın altında, hangi kurala eklemek istediğinize bağlı olarak gelen güvenlik kuralları veya giden güvenlik kuralları ' na tıklayın.
- Ekle' yi seçin, ardından bağlantı noktası, protokol, yön vb. temel alarak gerekli kuralı oluşturun. Hazırlık sırasında Tamam' ı seçin.
Güvenlik kuralının eklenmesi ve listede gösterilmesi birkaç dakika sürer.
Sonraki adımlar
Hala sorun yaşıyorsanız, ek sorun giderme yardımı için bir Azure destek isteği açın .