Bilinen sorunlar: Microsoft Entra Domain Services'da ağ yapılandırma uyarıları
Uygulamaların ve hizmetlerin Microsoft Entra Domain Services yönetilen etki alanıyla doğru şekilde iletişim kurmasına izin vermek için, trafiğin akmasına izin vermek için belirli ağ bağlantı noktalarının açık olması gerekir. Azure'da ağ güvenlik gruplarını kullanarak trafik akışını denetlersiniz. Etki Alanı Hizmetleri tarafından yönetilen etki alanının sistem durumu, gerekli ağ güvenlik grubu kuralları yerinde değilse bir uyarı gösterir.
Bu makale, ağ güvenlik grubu yapılandırma sorunlarıyla ilgili yaygın uyarıları anlamanıza ve çözmenize yardımcı olur.
Uyarı AADDS104: Ağ hatası
Uyarı iletisi
Microsoft, bu yönetilen etki alanının etki alanı denetleyicilerine erişemiyor. Sanal ağınızda yapılandırılmış bir ağ güvenlik grubu (NSG) yönetilen etki alanına erişimi engellerse bu durum oluşabilir. Başka bir olası neden, İnternet'ten gelen trafiği engelleyen kullanıcı tanımlı bir yol olmasıdır.
Etki Alanı Hizmetleri için ağ hatalarının en yaygın nedeni geçersiz ağ güvenlik grubu kurallarıdır. Sanal ağ için ağ güvenlik grubu, belirli bağlantı noktalarına ve protokollere erişim izni vermelidir. Bu bağlantı noktaları engellenirse Azure platformu, yönetilen etki alanını izleyemez veya güncelleştiremez. Microsoft Entra dizini ile Etki Alanı Hizmetleri arasındaki eşitleme de etkilenir. Hizmette kesintiyi önlemek için varsayılan bağlantı noktalarını açık tuttuğunuzdan emin olun.
Varsayılan güvenlik kuralları
Yönetilen bir etki alanının ağ güvenlik grubuna aşağıdaki varsayılan gelen ve giden güvenlik kuralları uygulanır. Bu kurallar Domain Services'ı güvenli tutar ve Azure platformunun yönetilen etki alanını izlemesine, yönetmesine ve güncelleştirmesine olanak sağlar.
Gelen güvenlik kuralları
| Öncelik | Name | Bağlantı noktası | Protokol | Kaynak | Hedef | Eylem |
|---|---|---|---|---|---|---|
| 301 | AllowPSRemoting | 5986 | TCP | AzureActiveDirectoryDomainServices | Tümü | İzin ver |
| 201 | allowRD | 3389 | TCP | CorpNetSaw | Tümü | Reddet1 |
| 65000 | AllVnetInBound | Herhangi biri | Herhangi biri | VirtualNetwork | VirtualNetwork | İzin Ver |
| 65001 | AllowAzureLoadBalancerInBound | Herhangi biri | Herhangi biri | AzureLoadBalancer | Tümü | İzin Ver |
| 65500 | DenyAllInBound | Herhangi biri | Herhangi biri | Herhangi biri | Herhangi biri | Reddet |
1Hata ayıklama için isteğe bağlı. Gelişmiş sorun giderme için gerektiğinde izin verin.
Dekont
Güvenli LDAP yapılandırdığınızda gelen trafiğe izin veren ek bir kuralınız da olabilir. Doğru LDAPS iletişimi için bu ek kural gereklidir.
Giden güvenlik kuralları
| Öncelik | Name | Bağlantı noktası | Protokol | Kaynak | Hedef | Eylem |
|---|---|---|---|---|---|---|
| 65000 | AllVnetOutBound | Herhangi biri | Herhangi biri | VirtualNetwork | VirtualNetwork | İzin Ver |
| 65001 | AllowAzureLoadBalancerOutBound | Herhangi biri | Herhangi biri | Herhangi biri | İnternet | İzin Ver |
| 65500 | DenyAllOutBound | Herhangi biri | Herhangi biri | Herhangi biri | Herhangi biri | Reddet |
Dekont
Etki Alanı Hizmetleri sanal ağdan sınırsız giden erişime ihtiyaç duyar. Sanal ağ için giden erişimi kısıtlayan ek kurallar oluşturmanızı önermiyoruz.
Mevcut güvenlik kurallarını doğrulama ve düzenleme
Mevcut güvenlik kurallarını doğrulamak ve varsayılan bağlantı noktalarının açık olduğundan emin olmak için aşağıdaki adımları tamamlayın:
Microsoft Entra yönetim merkezinde Ağ güvenlik grupları'nı arayın ve seçin.
AADDS-contoso.com-NSG gibi yönetilen etki alanınızla ilişkilendirilmiş ağ güvenlik grubunu seçin.
Genel Bakış sayfasında, mevcut gelen ve giden güvenlik kuralları gösterilir.
Gelen ve giden kurallarını gözden geçirin ve önceki bölümdeki gerekli kurallar listesiyle karşılaştırın. Gerekirse, gerekli trafiği engelleyen özel kuralları seçin ve silin. Gerekli kurallardan herhangi biri eksikse, sonraki bölüme bir kural ekleyin.
Gerekli trafiğe izin vermek için kuralları ekledikten veya sildikten sonra, yönetilen etki alanının sistem durumu iki saat içinde otomatik olarak kendini güncelleştirir ve uyarıyı kaldırır.
Güvenlik kuralı ekleme
Eksik bir güvenlik kuralı eklemek için aşağıdaki adımları tamamlayın:
- Microsoft Entra yönetim merkezinde Ağ güvenlik grupları'nı arayın ve seçin.
- AADDS-contoso.com-NSG gibi yönetilen etki alanınızla ilişkilendirilmiş ağ güvenlik grubunu seçin.
- Sol bölmedeki Ayarlar altında, eklemeniz gereken kurala bağlı olarak Gelen güvenlik kuralları veya Giden güvenlik kuralları'na tıklayın.
- Ekle'yi seçin, ardından bağlantı noktası, protokol, yön vb. temelinde gerekli kuralı oluşturun. Hazır olduğunuzda Tamam'ı seçin.
Güvenlik kuralının eklenmesi ve listede gösterilmesi birkaç dakika sürer.
Sonraki adımlar
Sorun yaşamaya devam ediyorsanız ek sorun giderme yardımı için bir Azure desteği isteği açın.