Zelfstudie: Virtuele netwerken configureren voor een door Microsoft Entra Domain Services beheerd domein

Voor connectiviteit met gebruikers en toepassingen wordt een door Microsoft Entra Domain Services beheerd domein geïmplementeerd in een subnet van een virtueel Azure-netwerk. Dit subnet van het virtuele netwerk mag alleen worden gebruikt voor de beheerde domeinbronnen die worden geleverd door het Azure-platform.

Wanneer u uw eigen VM's en toepassingen maakt, moeten ze niet worden geïmplementeerd in hetzelfde subnet van het virtuele netwerk. In plaats daarvan moet u uw toepassingen maken en implementeren in een afzonderlijk subnet van een virtueel netwerk of in een afzonderlijk virtueel netwerk dat is gekoppeld aan het virtuele Domain Services-netwerk.

In deze zelfstudie leert u hoe u een toegewezen subnet voor een virtueel netwerk maakt en configureert of hoe u een ander netwerk koppelt aan het virtuele netwerk van het beheerde domein van Domain Services.

In deze zelfstudie leert u het volgende:

• Inzicht krijgen in de connectiviteitsopties voor virtuele netwerken voor aan een domein gekoppelde resources voor Domain Services
• Een IP-adresbereik en extra subnet maken in het virtuele Domain Services-netwerk
• Peering van virtuele netwerken configureren voor een netwerk dat losstaat van Domain Services

Als u geen Azure-abonnement hebt, moet u een account aanmaken voordat u begint.

Voorwaarden

U hebt de volgende resources en bevoegdheden nodig om deze zelfstudie te voltooien:

• Een actief Azure-abonnement.
  • Als u geen Azure-abonnement hebt, kunt u een accountaanmaken.
• Een Microsoft Entra-tenant die is gekoppeld aan uw abonnement, gesynchroniseerd met een on-premises directory of alleen een clouddirectory.
  • indien nodig een Microsoft Entra-tenant maken of een Azure-abonnement koppelen aan uw account.
• U hebt toepassingsbeheerder en groepenbeheerder Microsoft Entra-rollen in uw tenant nodig om Domain Services in te schakelen.
• U hebt de Azure-rol Domain Services Contributor nodig om de vereiste Domain Services-resources te maken.
• Een door Microsoft Entra Domain Services beheerd domein ingeschakeld en geconfigureerd in uw Microsoft Entra-tenant.
  • Indien nodig maakt en configureert de eerste zelfstudie een door Microsoft Entra Domain Services beheerd domein.

Meld u aan bij het Microsoft Entra-beheercentrum

In deze zelfstudie maakt en configureert u het beheerde domein met behulp van het Microsoft Entra-beheercentrum. Meld u eerst aan bij het Microsoft Entra-beheercentrumom aan de slag te gaan.

Connectiviteitsopties voor toepassingsworkloads

In de vorige zelfstudie is een beheerd domein gemaakt waarin enkele standaardconfiguratieopties voor het virtuele netwerk zijn gebruikt. Met deze standaardopties hebt u een virtueel Azure-netwerk en een subnet voor virtuele netwerken gemaakt. De Domain Services-domeincontrollers die de beheerde domeinservices bieden, zijn verbonden met dit subnet van het virtuele netwerk.

Wanneer u virtuele machines maakt en uitvoert die het beheerde domein moeten gebruiken, moet er netwerkconnectiviteit worden voorzien. Deze netwerkverbinding kan op een van de volgende manieren worden geboden:

• Maak een extra subnet voor een virtueel netwerk in het virtuele netwerk van het beheerde domein. In dit extra subnet maakt en verbindt u uw VM's.
  • Omdat de VM's deel uitmaken van hetzelfde virtuele netwerk, kunnen ze automatisch naamomzetting uitvoeren en communiceren met de Domain Services-domeincontrollers.
• Configureer peering van virtuele Azure-netwerken van het virtuele netwerk van het beheerde domein naar een of meer afzonderlijke virtuele netwerken. Deze afzonderlijke virtuele netwerken zijn de locatie waar u uw VM's maakt en verbindt.
  • Wanneer u peering van virtuele netwerken configureert, moet u ook DNS-instellingen configureren om naamomzetting terug te gebruiken naar de Domain Services-domeincontrollers.

Meestal gebruikt u slechts een van deze netwerkverbindingsopties. De keuze is vaak de wijze waarop u uw Azure-resources wilt beheren.

• Als u Domain Services en verbonden VM's wilt beheren als één groep resources, kunt u een extra subnet voor virtuele netwerken voor VM's maken.
• Als u het beheer van Domain Services en vervolgens verbonden VM's wilt scheiden, kunt u peering van virtuele netwerken gebruiken.
  • U kunt er ook voor kiezen om peering van virtuele netwerken te gebruiken om connectiviteit te bieden met bestaande VM's in uw Azure-omgeving die zijn verbonden met een bestaand virtueel netwerk.

In deze zelfstudie hoeft u slechts één van deze connectiviteitsopties voor virtuele netwerken te configureren.

Zie netwerkoverwegingen voor Microsoft Entra Domain Servicesvoor meer informatie over het plannen en configureren van het virtuele netwerk.

Een subnet voor een virtueel netwerk maken

Standaard bevat het virtuele Azure-netwerk dat is gemaakt met het beheerde domein één subnet voor een virtueel netwerk. Dit subnet van het virtuele netwerk mag alleen worden gebruikt door het Azure-platform om beheerde domeinservices te bieden. Als u uw eigen VM's in dit virtuele Azure-netwerk wilt maken en gebruiken, maakt u een extra subnet.

Voer de volgende stappen uit om een subnet voor virtuele machines en toepassingsworkloads te maken:

1. Selecteer in het Microsoft Entra-beheercentrum de resourcegroep van uw beheerde domein, zoals myResourceGroup. Kies in de lijst met resources het standaard virtuele netwerk, zoals aadds-vnet-.

2. Selecteer in het linkermenu van het virtuele netwerkvenster Adresruimte. Het virtuele netwerk wordt gemaakt met één adresruimte van 10.0.2.0/24, die wordt gebruikt door het standaardsubnet.

   Voeg een extra IP-adresbereik toe aan het virtuele netwerk. De grootte van dit adresbereik en het werkelijke IP-adresbereik dat moet worden gebruikt, is afhankelijk van andere netwerkbronnen die al zijn geïmplementeerd. Het IP-adresbereik mag niet overlappen met bestaande adresbereiken in uw Azure- of on-premises omgeving. Zorg ervoor dat u het IP-adresbereik groot genoeg maakt voor het aantal VM's dat u verwacht te implementeren in het subnet.

   In het volgende voorbeeld wordt een extra IP-adresbereik van 10.0.3.0/24 toegevoegd. Wanneer u klaar bent, selecteert u Opslaan.

   

3. Selecteer vervolgens in het linkermenu van het virtuele netwerkvenster Subnettenen kies vervolgens + Subnet om een subnet toe te voegen.

4. Voer een naam in voor het subnet, zoals workloads. Werk indien nodig het -adresbereik bij als u een subset van het IP-adresbereik wilt gebruiken dat in de vorige stappen is geconfigureerd voor het virtuele netwerk. Laat voorlopig de standaardwaarden staan voor opties zoals netwerkbeveiligingsgroep, routetabel, service-eindpunten.

   In het volgende voorbeeld wordt een subnet met de naam workloads gemaakt dat gebruikmaakt van het IP-adresbereik 10.0.3.0/24:

   

5. Wanneer u klaar bent, selecteert u OK. Het duurt even voordat het subnet van het virtuele netwerk is gemaakt.

Wanneer u een virtuele machine maakt die het beheerde domein moet gebruiken, moet u dit subnet van het virtuele netwerk selecteren. Maak geen VM's in het standaard-aadds-subnet. Als u een ander virtueel netwerk selecteert, is er geen netwerkverbinding en DNS-resolutie om het beheerde domein te bereiken, tenzij u peering van virtuele netwerken configureert.

Peering van virtuele netwerken configureren

Mogelijk hebt u een bestaand virtueel Azure-netwerk voor VM's of wilt u het virtuele netwerk van uw beheerde domein gescheiden houden. Voor het gebruik van het beheerde domein hebben VM's in andere virtuele netwerken een manier nodig om te communiceren met de Domain Services-domeincontrollers. Deze connectiviteit kan worden geboden met behulp van peering van virtuele Azure-netwerken.

Met peering van virtuele Azure-netwerken worden twee virtuele netwerken met elkaar verbonden, zonder dat er een VPN-apparaat (Virtual Private Network) nodig is. Met netwerkpeering kunt u snel virtuele netwerken verbinden en verkeersstromen definiëren in uw Azure-omgeving.

Zie overzicht van peering van virtuele Azure-netwerkenvoor meer informatie over peering.

Als u een virtueel netwerk wilt koppelen aan het virtuele netwerk van het beheerde domein, voert u de volgende stappen uit:

1. Kies het standaard virtuele netwerk dat is gemaakt voor uw beheerde domein met de naam aadds-vnet.

2. Selecteer in het linkermenu van het virtuele netwerkvenster Peerings.

3. Als u een peering wilt maken, selecteert u +toevoegen. In het volgende voorbeeld wordt de standaard-aadds-vnet- gekoppeld aan een virtueel netwerk met de naam myVnet. Configureer de volgende instellingen met uw eigen waarden:

   • naam van de peering van aadds-vnet naar extern virtueel netwerk: een beschrijvende id van de twee netwerken, zoals aadds-vnet-to-myvnet
   • implementatietype virtueel netwerk: Resource Manager-
   • Abonnement: het abonnement van het virtuele netwerk waarmee u een peerverbinding wilt maken, zoals Azure
   • Virtueel netwerk: het virtuele netwerk om verbinding mee te maken, zoals myVnet
   • naam van de peering van myVnet naar aadds-vnet: een beschrijvende id van de twee netwerken, zoals myvnet-to-aadds-vnet-

   

   Laat alle andere standaardwaarden voor toegang tot virtuele netwerken of doorgestuurd verkeer staan, tenzij u specifieke vereisten voor uw omgeving hebt en selecteer vervolgens OK.

4. Het duurt even voordat de peering wordt gemaakt in zowel het virtuele Domain Services-netwerk als het virtuele netwerk dat u hebt geselecteerd. Wanneer u klaar bent, rapporteert de peeringstatusVerbonden, zoals wordt weergegeven in het volgende voorbeeld:

   

Voordat virtuele machines in het gekoppelde virtuele netwerk het beheerde domein kunnen gebruiken, configureert u de DNS-servers om de juiste naamomzetting mogelijk te maken.

DNS-servers configureren in het gekoppelde virtuele netwerk

Voor VM's en toepassingen in het gekoppelde virtuele netwerk om met het beheerde domein te kunnen communiceren, moeten de DNS-instellingen worden bijgewerkt. De IP-adressen van de Domain Services-domeincontrollers moeten worden geconfigureerd als de DNS-servers in het gekoppelde virtuele netwerk. Er zijn twee manieren om de domeincontrollers te configureren als DNS-servers voor het gekoppelde virtuele netwerk:

• Configureer de DNS-servers van het virtuele Azure-netwerk voor het gebruik van de Domain Services-domeincontrollers.
• Configureer de bestaande DNS-server die wordt gebruikt in het gekoppelde virtuele netwerk om voorwaardelijk DNS-doorsturen te gebruiken om query's naar het beheerde domein te leiden. Deze stappen variëren, afhankelijk van de bestaande DNS-server die wordt gebruikt.

In deze zelfstudie gaan we de DNS-servers van het virtuele Azure-netwerk configureren om alle query's naar de Domain Services-domeincontrollers te leiden.

1. Selecteer in het Microsoft Entra-beheercentrum de resourcegroep van het gekoppelde virtuele netwerk, zoals myResourceGroup. Kies in de lijst met resources het gekoppelde virtuele netwerk, zoals myVnet.

2. Selecteer in het linkermenu van het virtueel netwerkvenster DNS-servers.

3. Een virtueel netwerk maakt standaard gebruik van de ingebouwde door Azure geleverde DNS-servers. Kies ervoor om aangepaste DNS-servers te gebruiken. Voer de IP-adressen in voor de Domain Services-domeincontrollers, die meestal worden 10.0.2.4 en 10.0.2.5. Bevestig deze IP-adressen in het overzichtsvenster van uw beheerde domein in de portal.

   

4. Wanneer u klaar bent, selecteert u Opslaan. Het duurt even voordat de DNS-servers voor het virtuele netwerk zijn bijgewerkt.

5. Als u de bijgewerkte DNS-instellingen wilt toepassen op de VIRTUELE machines, start u de VIRTUELE machines die zijn verbonden met het gekoppelde virtuele netwerk opnieuw op.

Wanneer u een virtuele machine maakt die het beheerde domein moet gebruiken, moet u dit gekoppelde virtuele netwerk selecteren. Als u een ander virtueel netwerk selecteert, is er geen netwerkverbinding en DNS-resolutie om het beheerde domein te bereiken.

Volgende stappen

In deze zelfstudie hebt u het volgende geleerd:

• Inzicht krijgen in de connectiviteitsopties voor virtuele netwerken voor aan een domein gekoppelde resources voor Domain Services
• Een IP-adresbereik en extra subnet maken in het virtuele Domain Services-netwerk
• Peering van virtuele netwerken configureren voor een netwerk dat losstaat van Domain Services

Als u dit beheerde domein in actie wilt zien, maakt en koppelt u een virtuele machine aan het domein.

een virtuele Windows Server-machine toevoegen aan uw beheerde domein