Samouczek: konfigurowanie sieci wirtualnej dla domeny zarządzanej usług Microsoft Entra Domain Services

Aby zapewnić łączność z użytkownikami i aplikacjami, domena zarządzana usług Microsoft Entra Domain Services jest wdrażana w podsieci sieci wirtualnej platformy Azure. Ta podsieć sieci wirtualnej powinna być używana tylko dla zasobów domeny zarządzanej udostępnianych przez platformę Azure.

Podczas tworzenia własnych maszyn wirtualnych i aplikacji nie należy ich wdrażać w tej samej podsieci sieci wirtualnej. Zamiast tego należy utworzyć i wdrożyć aplikacje w oddzielnej podsieci sieci wirtualnej lub w oddzielnej sieci wirtualnej połączonej z siecią wirtualną usługi Domain Services.

W tym samouczku pokazano, jak utworzyć i skonfigurować dedykowaną podsieć sieci wirtualnej lub jak sparować inną sieć z siecią wirtualną zarządzanej domeny usług Domain Services.

Z tego samouczka dowiesz się, jak wykonywać następujące działania:

• Omówienie opcji łączności sieci wirtualnej dla zasobów przyłączonych do domeny w usługach Domain Services
• Tworzenie zakresu adresów IP i dodatkowej podsieci w sieci wirtualnej usług Domenowych
• Konfigurowanie komunikacji równorzędnej sieci wirtualnych z siecią oddzieloną od usług Domain Services

Jeśli nie masz subskrypcji platformy Azure, utwórz konto przed rozpoczęciem.

Warunki wstępne

Do ukończenia tego samouczka potrzebne są następujące zasoby i uprawnienia:

• Aktywna subskrypcja platformy Azure.
  • Jeśli nie masz subskrypcji platformy Azure, utwórz konto.
• Dzierżawca Microsoft Entra związany z twoją subskrypcją, zsynchronizowany z lokalnym katalogiem lub katalogiem tylko w chmurze.
  • W razie potrzeby utwórz dzierżawę Microsoft Entra lub skojarz subskrypcję Azure z kontem.
• Aby włączyć usługę Domain Services, potrzebujesz ról Microsoft Entra w dzierżawie: administratora aplikacji () oraz administratora grup ().
• Aby utworzyć wymagane zasoby usług domenowych, musisz mieć rolę współautora usług domenowych platformy Azure.
• Domena zarządzana Microsoft Entra Domain Services jest włączona i skonfigurowana w dzierżawie Microsoft Entra.
  • Jeśli to konieczne, pierwszy samouczek tworzy i konfiguruje zarządzaną domenę Microsoft Entra Domain Services.

Zaloguj się do centrum administracyjnego firmy Microsoft Entra

W tym samouczku utworzysz i skonfigurujesz domenę zarządzaną przy użyciu centrum administracyjnego firmy Microsoft Entra. Aby rozpocząć, najpierw zaloguj się do centrum administracyjnego Microsoft Entra.

Opcje łączności obciążeń aplikacji

W poprzednim samouczku utworzono domenę zarządzaną, która korzystała z niektórych domyślnych opcji konfiguracji dla sieci wirtualnej. Te domyślne opcje utworzyły sieć wirtualną platformy Azure i podsieć sieci wirtualnej. Kontrolery domeny usług domenowych, które zapewniają zarządzane usługi domenowe, są połączone z tą podsiecią sieci wirtualnej.

Podczas tworzenia i uruchamiania maszyn wirtualnych, które muszą używać domeny zarządzanej, należy zapewnić łączność sieciową. Tę łączność sieciową można udostępnić w jeden z następujących sposobów:

• Utwórz dodatkową podsieć sieci wirtualnej w sieci wirtualnej domeny zarządzanej. Ta dodatkowa podsieć to miejsce tworzenia i łączenia maszyn wirtualnych.
  • Ponieważ maszyny wirtualne są częścią tej samej sieci wirtualnej, mogą automatycznie wykonywać rozpoznawanie nazw i komunikować się z kontrolerami domeny usług Domain Services.
• Skonfiguruj peering sieci wirtualnych platformy Azure od sieci wirtualnej domeny zarządzanej do jednej lub więcej oddzielnych sieci wirtualnych. Te oddzielne sieci wirtualne są miejscem tworzenia i łączenia maszyn wirtualnych.
  • Podczas konfigurowania peeringu sieci wirtualnych, należy również skonfigurować ustawienia DNS, aby używać rozpoznawania nazw powrotnych do kontrolerów domen Usług Domenowych.

Zazwyczaj używasz tylko jednej z tych opcji łączności sieciowej. Wybór często polega na tym, jak chcesz zarządzać oddzielnymi zasobami platformy Azure.

• Jeśli chcesz zarządzać usługami Domain Services i połączonymi maszynami wirtualnymi jako jedną grupą zasobów, możesz utworzyć dodatkową podsieć sieci wirtualnej dla maszyn wirtualnych.
• Jeśli chcesz oddzielić zarządzanie usługami Domain Services od wszystkich połączonych maszyn wirtualnych, możesz użyć peeringu sieci wirtualnych.
  • Możesz również użyć komunikacji równorzędnej sieci wirtualnych w celu zapewnienia łączności z istniejącymi maszynami wirtualnymi w środowisku platformy Azure połączonymi z istniejącą siecią wirtualną.

W tym samouczku wystarczy skonfigurować tylko jedną z tych opcji łączności sieci wirtualnej.

Aby uzyskać więcej informacji na temat planowania i konfigurowania sieci wirtualnej, zobacz zagadnienia dotyczące sieci dla usługi Microsoft Entra Domain Services.

Tworzenie podsieci sieci wirtualnej

Domyślnie sieć wirtualna platformy Azure utworzona przy użyciu domeny zarządzanej zawiera jedną podsieć sieci wirtualnej. Ta podsieć sieci wirtualnej powinna być używana tylko przez platformę Azure do świadczenia zarządzanych usług domenowych. Aby utworzyć i użyć własnych maszyn wirtualnych w tej sieci wirtualnej platformy Azure, utwórz dodatkową podsieć.

Aby utworzyć podsieć sieci wirtualnej dla maszyn wirtualnych i obciążeń aplikacji, wykonaj następujące kroki:

1. W centrum administracyjnym firmy Microsoft Entra wybierz grupę zasobów domeny zarządzanej, taką jak myResourceGroup. Z listy zasobów wybierz domyślną sieć wirtualną, taką jak aadds-vnet.

2. W menu po lewej stronie okna sieci wirtualnej wybierz pozycję Przestrzeń adresowa. Sieć wirtualna jest tworzona z jedną przestrzenią adresową 10.0.2.0/24, która jest używana przez domyślną podsieć.

   Dodaj dodatkowy zakres adresów IP do sieci wirtualnej. Rozmiar tego zakresu adresów i rzeczywisty zakres adresów IP do użycia zależy od innych już wdrożonych zasobów sieciowych. Zakres adresów IP nie powinien pokrywać się z żadnymi istniejącymi zakresami adresów na platformie Azure ani w środowisku lokalnym. Upewnij się, że rozmiar zakresu adresów IP jest wystarczająco duży dla liczby maszyn wirtualnych, które mają zostać wdrożone w podsieci.

   W poniższym przykładzie dodawany jest dodatkowy zakres adresów IP 10.0.3.0/24. Gdy będziesz gotowy, wybierz opcję Zapisz.

   

3. Następnie w menu po lewej stronie okna sieci wirtualnej wybierz pozycję Podsieci, a następnie wybierz pozycję + Podsieć, aby dodać podsieć.

4. Wprowadź nazwę podsieci, na przykład obciążenia. W razie potrzeby zaktualizuj zakres adresów , jeśli chcesz użyć podzbioru zakresu adresów IP skonfigurowanego dla sieci wirtualnej w poprzednich krokach. Na razie pozostaw wartości domyślne dla opcji, takich jak sieciowa grupa zabezpieczeń, tabela tras, punkty końcowe usługi.

   W poniższym przykładzie tworzona jest podsieć o nazwie workloads, która używa zakresu adresów IP 10.0.3.0/24.

   

5. Gdy wszystko będzie gotowe, wybierz pozycję OK. Utworzenie podsieci sieci wirtualnej zajmuje kilka chwil.

Podczas tworzenia maszyny wirtualnej, która musi używać domeny zarządzanej, upewnij się, że wybrano tę podsieć sieci wirtualnej. Nie twórz maszyn wirtualnych w domyślnej aadds-subnet. W przypadku wybrania innej sieci wirtualnej nie będzie łączności sieciowej ani rozpoznawania nazw DNS, aby uzyskać dostęp do domeny zarządzanej, chyba że skonfigurujesz peering sieci wirtualnych.

Konfigurowanie peeringu sieci wirtualnych

Być może masz istniejącą sieć wirtualną platformy Azure dla maszyn wirtualnych lub chcesz zachować oddzielną sieć wirtualną domeny zarządzanej. Aby korzystać z domeny zarządzanej, maszyny wirtualne w innych sieciach wirtualnych wymagają sposobu komunikowania się z kontrolerami domeny usług domenowych. Tę łączność można zapewnić za pomocą peeringu sieci wirtualnych platformy Azure.

Dzięki peeringowi sieci wirtualnych Azure, dwie sieci wirtualne są połączone ze sobą bez konieczności używania wirtualnego urządzenia sieci prywatnej (VPN). Peerowanie sieci umożliwia szybkie łączenie sieci wirtualnych i definiowanie przepływów ruchu w środowisku Azure.

Aby uzyskać więcej informacji na temat połączenia równorzędnego, zobacz Omówienie połączeń równorzędnych sieci wirtualnych Azure.

Aby połączyć sieć wirtualną za pomocą komunikacji równorzędnej z siecią wirtualną domeny zarządzanej, wykonaj następujące czynności:

1. Wybierz domyślną sieć wirtualną utworzoną dla domeny zarządzanej o nazwie aadds-vnet.

2. W lewym menu okna sieci wirtualnej wybierz pozycję Peerings.

3. Aby utworzyć peering, wybierz + Dodaj. W poniższym przykładzie domyślna sieć aadds-vnet jest połączona z siecią wirtualną nazywaną myVnet. Skonfiguruj następujące ustawienia przy użyciu własnych wartości:

   • Nazwa komunikacji równorzędnej między siecią aadds-vnet a zdalną siecią wirtualną: identyfikator opisowy dla dwóch sieci, taki jak aadds-vnet-to-myvnet
   • typ wdrożenia sieci wirtualnej: Menedżer zasobów
   • Subscription: subskrypcja wirtualnej sieci, z którą chcesz ustanowić połączenie rówieśnicze, na przykład Azure
   • Sieć wirtualna: Sieć wirtualna, z którą chcesz nawiązać równorzędne połączenie, na przykład myVnet
   • Nazwa komunikacji peeringowej z myVnet do aadds-vnet: opisowy identyfikator dwóch sieci, na przykład myvnet-to-aadds-vnet

   

   Pozostaw inne wartości domyślne dla dostępu do sieci wirtualnej lub ruchu przekazywanego, chyba że masz określone wymagania dotyczące środowiska, a następnie wybierz pozycję OK.

4. Utworzenie peeringu na sieci wirtualnej usługi Domain Services i na wybranej przez ciebie sieci wirtualnej zajmuje kilka chwil. Gdy wszystko będzie gotowe, status peeringu pokazujePołączony, jak pokazano w poniższym przykładzie:

   

Zanim maszyny wirtualne w równorzędnej sieci wirtualnej będą mogły używać domeny zarządzanej, skonfiguruj serwery DNS, aby umożliwić poprawne rozpoznawanie nazw.

Konfigurowanie serwerów DNS w równorzędnej sieci wirtualnej

Aby maszyny wirtualne i aplikacje w równorzędnej sieci wirtualnej pomyślnie komunikowały się z domeną zarządzaną, należy zaktualizować ustawienia DNS. Adresy IP kontrolerów usług domenowych muszą być skonfigurowane jako serwery DNS w połączonej sieci wirtualnej. Istnieją dwa sposoby konfigurowania kontrolerów domeny jako serwerów DNS dla równorzędnej sieci wirtualnej:

• Skonfiguruj serwery DNS sieci wirtualnej platformy Azure do korzystania z kontrolerów domeny usług Domenowych.
• Skonfiguruj istniejący serwer DNS obecny w równorzędnej sieci wirtualnej, aby używał warunkowego przekazywania DNS do kierowania zapytań do zarządzanej domeny. Te kroki różnią się w zależności od używanego istniejącego serwera DNS.

W tym samouczku skonfigurujemy serwery DNS sieci wirtualnej platformy Azure tak, aby kierowały wszystkie zapytania do kontrolerów domeny usług Domain Services.

1. W centrum administracyjnym firmy Microsoft Entra wybierz grupę zasobów równorzędnej sieci wirtualnej, na przykład myResourceGroup. Z listy zasobów wybierz równorzędną sieć wirtualną, taką jak myVnet.

2. W menu po lewej stronie okna sieci wirtualnej wybierz pozycję serwery DNS.

3. Domyślnie sieć wirtualna używa wbudowanych serwerów DNS udostępnianych przez platformę Azure. Wybierz opcję używania niestandardowych serwerów DNS. Wprowadź adresy IP kontrolerów domeny usług domenowych, które są zwykle 10.0.2.4 i 10.0.2.5. Potwierdź te adresy IP w oknie Przegląd domeny zarządzanej w portalu.

   

4. Gdy będziesz gotowy, wybierz Zapisz. Zaktualizowanie serwerów DNS dla sieci wirtualnej zajmuje kilka chwil.

5. Aby zastosować zaktualizowane ustawienia DNS do maszyn wirtualnych, uruchom ponownie maszyny wirtualne połączone z równorzędną siecią wirtualną.

Podczas tworzenia maszyny wirtualnej, która musi używać domeny zarządzanej, upewnij się, że wybrano tę równorzędną sieć wirtualną. W przypadku wybrania innej sieci wirtualnej nie ma łączności sieciowej i rozpoznawania nazw DNS w celu uzyskania dostępu do domeny zarządzanej.

Następne kroki

W tym samouczku nauczyłeś się, jak:

• Omówienie opcji łączności sieci wirtualnej dla zasobów przyłączonych do domeny w usługach Domain Services
• Tworzenie zakresu adresów IP i dodatkowej podsieci w sieci wirtualnej usług Domenowych
• Skonfiguruj skojarzenie sieci wirtualnej z siecią, która jest oddzielona od Usług domenowych.

Aby zobaczyć, jak działa ta domena zarządzana, utwórz i dołącz maszynę wirtualną do domeny.

dołącz maszynę wirtualną z systemem Windows Server do domeny zarządzanej