已知问题:Microsoft Entra 域服务中的网络配置警报
若要使应用程序和服务能够与 Microsoft Entra 域服务托管域正确通信,必须打开特定的网络端口以允许流量流动。 在 Azure 中,你可使用网络安全组控制流量的流动。 如果所需的网络安全组规则未部署到位,则域服务托管域的运行状况将显示警报。
本文将帮助你了解和解决网络安全组配置问题的常见警报。
警报 AADDS104:网络错误
警报消息
Microsoft 程序无法访问此托管域的域控制器。 如果虚拟网络上配置的网络安全组 (NSG) 阻止访问托管域,则可能会发生这种情况。 另一个可能的原因为,如果有用户定义的路由阻止来自 Internet 的传入流量。
无效的网络安全组配置是导致域服务网络错误的最常见原因。 虚拟网络的网络安全组必须允许访问特定端口和协议。 如果这些端口被阻止,Azure 平台将无法监视或更新托管域。 Microsoft Entra 目录和域服务之间的同步也会受到影响。 请确保这些端口处于打开状态,以避免服务中断。
默认安全规则
以下默认入站和出站安全规则适用于托管域的网络安全组。 这些规则可保护域服务的安全,并允许 Azure 平台监视、管理和更新托管域。
入站安全规则
| 优先级 | 名称 | 端口 | 协议 | 源 | 目标 | 操作 |
|---|---|---|---|---|---|---|
| 301 | AllowPSRemoting | 5986 | TCP | AzureActiveDirectoryDomainServices | 任意 | 允许 |
| 201 | AllowRD | 3389 | TCP | CorpNetSaw | 任意 | 允许1 |
| 65000 | AllVnetInBound | 任意 | 任意 | VirtualNetwork | VirtualNetwork | 允许 |
| 65001 | AllowAzureLoadBalancerInBound | 任意 | 任意 | AzureLoadBalancer | 任意 | 允许 |
| 65500 | DenyAllInBound | 任意 | 任意 | 任意 | 任意 | 拒绝 |
1可选用于调试,但根据需要将默认值更改为拒绝。 在高级故障排除需要时允许。
注意
如果配置安全 LDAP,还可使用其他规则来允许入站流量。 此附加规则是进行正确 LDAPS 通信的必需条件。
入站安全规则
| 优先级 | 名称 | 端口 | 协议 | 源 | 目标 | 操作 |
|---|---|---|---|---|---|---|
| 65000 | AllVnetOutBound | 任意 | 任意 | VirtualNetwork | VirtualNetwork | 允许 |
| 65001 | AllowAzureLoadBalancerOutBound | 任意 | 任意 | 任意 | Internet | 允许 |
| 65500 | DenyAllOutBound | 任意 | 任意 | 任意 | 任意 | 拒绝 |
注意
域服务需要从虚拟网络进行不受限制的出站访问。 我们建议不要创建任何其他规则来限制虚拟网络的出站访问。
验证和编辑现有安全规则
若要验证现有的安全规则并确保默认端口已打开,请完成以下步骤:
在 Microsoft Entra 管理中心内,搜索并选择“网络安全组”。
选择与托管域相关联的网络安全组,例如 AADDS-contoso.com-NSG。
“概述”页会显示现有的入站和出站安全规则。
查看入站和出站规则,并将其与上一节中所需规则的列表进行比较。 如果需要,请选择并删除任何阻止所需流量的自定义规则。 如果缺少任何所需的规则,请在下一节中添加规则。
添加或删除规则以允许所需流量后,托管域的运行状况会在两小时内自动更新,并删除警报。
添加安全规则
若要添加缺少的安全规则,请完成以下步骤:
- 在 Microsoft Entra 管理中心内,搜索并选择“网络安全组”。
- 选择与托管域相关联的网络安全组,例如 AADDS-contoso.com-NSG。
- 在左侧面板的“设置”下,单击“入站安全规则”或“出站安全规则”,具体取决于需要添加的规则 。
- 选择“添加”,然后根据端口、协议、方向等创建所需的规则。 准备就绪后,选择“确定”。
添加安全规则并显示在列表中需要一些时间。
后续步骤
如果仍有问题,请发起 Azure 支持请求以获得额外的疑难解答帮助。