Поделиться через


Руководство по настройке виртуальных сетей для управляемого домена доменных служб Microsoft Entra

Чтобы обеспечить подключение к пользователям и приложениям, управляемый домен доменных служб Microsoft Entra развертывается в подсети виртуальной сети Azure. Эта подсеть виртуальной сети должна использоваться только для ресурсов управляемого домена, предоставляемых платформой Azure.

При создании собственных виртуальных машин и приложений они не должны развертываться в той же подсети виртуальной сети. Вместо этого следует создавать и развертывать приложения в отдельной подсети виртуальной сети или в отдельной виртуальной сети, подключенной к виртуальной сети доменных служб.

В этом руководстве показано, как создать и настроить выделенную подсеть виртуальной сети или как пиринговать другую сеть в виртуальной сети управляемого домена доменных служб.

В этом руководстве описано, как:

  • Общие сведения о параметрах подключения виртуальной сети для ресурсов, присоединенных к домену, к доменным службам
  • Создание диапазона IP-адресов и дополнительной подсети в виртуальной сети доменных служб
  • Настройка пиринга виртуальной сети в сеть, которая отделена от доменных служб

Если у вас нет подписки на Azure, создайте учетную запись перед тем как начать.

Необходимые условия

Для работы с этим руководством вам потребуются следующие ресурсы и привилегии:

Вход в Центр администрирования Microsoft Entra

В этом руководстве описано, как создать управляемый домен и настроить его с помощью Центра администрирования Microsoft Entra. Чтобы приступить к работе, войдите в Центр администрирования Microsoft Entra.

Параметры подключения для рабочих нагрузок приложений

В предыдущем руководстве был создан управляемый домен, который использовал некоторые параметры конфигурации по умолчанию для виртуальной сети. Эти параметры по умолчанию создали виртуальную сеть Azure и подсеть виртуальной сети. Контроллеры домена доменных служб, предоставляющие управляемые доменные службы, подключены к этой подсети виртуальной сети.

При создании и запуске виртуальных машин, которым требуется использовать управляемый домен, необходимо предоставить сетевое подключение. Это сетевое подключение можно предоставить одним из следующих способов:

  • Создайте дополнительную подсеть виртуальной сети в виртуальной сети управляемого домена. В этой дополнительной подсети вы создаете и подключаете виртуальные машины.
    • Так как виртуальные машины являются частью одной виртуальной сети, они могут автоматически выполнять разрешение имен и взаимодействовать с контроллерами домена доменных служб.
  • Настройте пиринг между виртуальными сетями Azure из виртуальной сети управляемого домена в одну или несколько отдельных виртуальных сетей. Эти отдельные виртуальные сети - это место, где создаются и подключаются ваши виртуальные машины.
    • При настройке пиринга виртуальной сети необходимо также настроить параметры DNS для использования разрешения имен обратно на контроллеры домена доменных служб.

Как правило, вы используете только один из этих вариантов сетевого подключения. Выбор часто сводится к способу управления отдельными ресурсами Azure.

  • Если вы хотите управлять доменными службами и подключенными виртуальными машинами в качестве одной группы ресурсов, можно создать дополнительную подсеть виртуальной сети для виртуальных машин.
  • Если вы хотите разделить управление доменными службами и любые подключенные виртуальные машины, можно использовать пиринг виртуальных сетей.
    • Вы также можете использовать пиринг между виртуальными сетями, чтобы обеспечить подключение к существующим виртуальным машинам в среде Azure, подключенных к существующей виртуальной сети.

В этом руководстве необходимо настроить только один из этих параметров подключения к виртуальной сети.

Дополнительные сведения о планировании и настройке виртуальной сети см. в рекомендации по работе с сетями для доменных служб Microsoft Entra.

Создание подсети виртуальной сети

По умолчанию виртуальная сеть Azure, созданная с управляемым доменом, содержит одну подсеть виртуальной сети. Эта подсеть виртуальной сети должна использоваться только платформой Azure для предоставления управляемых доменных служб. Чтобы создать и использовать собственные виртуальные машины в этой виртуальной сети Azure, создайте дополнительную подсеть.

Чтобы создать подсеть виртуальной сети для виртуальных машин и рабочих нагрузок приложений, выполните следующие действия.

  1. В Центре администрирования Microsoft Entra выберите группу ресурсов управляемого домена, например myResourceGroup. В списке ресурсов выберите виртуальную сеть по умолчанию, например aadds-vnet.

  2. В левом меню окна виртуальной сети выберите адресное пространство. Виртуальная сеть создается с одним адресным пространством 10.0.2.0/24, которая используется подсетью по умолчанию.

    Добавьте в виртуальную сеть дополнительный диапазон IP-адресов. Размер этого диапазона адресов и фактический диапазон IP-адресов, используемый, зависит от других сетевых ресурсов, уже развернутых. Диапазон IP-адресов не должен перекрываться с существующими диапазонами адресов в вашей среде Azure или локальной среде. Убедитесь, что диапазон IP-адресов достаточно велик для количества виртуальных машин, которые вы планируете развернуть в подсети.

    В следующем примере добавляется дополнительный диапазон IP-адресов 10.0.3.0/24. Когда все готово, выберите Сохранить.

    Добавить дополнительный диапазон IP-адресов виртуальной сети в Центре администрирования Microsoft Entra

  3. Затем в левом меню окна виртуальной сети выберите подсети, а затем выберите + Подсеть, чтобы добавить подсеть.

  4. Введите имя подсети, например нагрузки. При необходимости обновите диапазон адресов , если вы хотите использовать подмножество диапазона IP-адресов, настроенного для виртуальной сети на предыдущих шагах. Теперь оставьте значения по умолчанию для таких параметров, как группа безопасности сети, таблица маршрутов, конечные точки службы.

    В следующем примере создается подсеть с именем рабочих нагрузок, которая использует диапазон IP-адресов 10.0.3.0/24:

    Добавление дополнительной подсети виртуальной сети в центре администрирования Microsoft Entra

  5. Когда будете готовы, нажмите кнопку ОК. Создание подсети виртуальной сети занимает несколько минут.

При создании виртуальной машины, которая должна использовать управляемый домен, убедитесь, что выбрана эта подсеть виртуальной сети. Не создавайте виртуальные машины в стандартной подсети aadds . Если выбрать другую виртуальную сеть, нет сетевого подключения и разрешения DNS для доступа к управляемому домену, если только вы не настроите пиринг между виртуальными сетями.

Настройка пиринга виртуальной сети

У вас может быть существующая виртуальная сеть Azure для виртуальных машин или требуется разделить виртуальную сеть управляемого домена. Чтобы использовать управляемый домен, виртуальные машины в других виртуальных сетях должны взаимодействовать с контроллерами домена доменных служб. Это подключение можно предоставить с помощью пиринга виртуальной сети Azure.

С пирингом между виртуальными сетями Azure две виртуальные сети подключены друг к другу без необходимости устройства виртуальной частной сети (VPN). Пиринг сети позволяет быстро подключать виртуальные сети и определять потоки трафика в среде Azure.

Дополнительные сведения об пиринге см. в обзоре пиринга виртуальных сетей Azure.

Чтобы выполнить пиринг виртуальной сети с виртуальной сетью управляемого домена, выполните следующие действия.

  1. Выберите виртуальную сеть по умолчанию, созданную для управляемого домена aadds-vnet.

  2. В левом меню окна виртуальной сети выберите пиринги.

  3. Чтобы создать пиринг, выберите + Добавить. Во следующем примере виртуальная сеть aadds-vnet по умолчанию соединилась с виртуальной сетью под названием myVnet. Настройте следующие параметры с собственными значениями:

    • Имя пиринга из aadds-vnet в удаленную виртуальную сеть: идентификатор, описывающий обе сети, например, aadds-vnet-to-myvnet
    • тип развертывания виртуальной сети: Resource Manager
    • подписка: подписка виртуальной сети, с которой требуется осуществить пиринг, например Azure
    • виртуальная сеть: виртуальная сеть, к которой требуется выполнить пиринг, например myVnet
    • Имя пиринга из myVnet вaadds-vnet: описательный идентификатор двух сетей, например myvnet-to-aadds-vnet

    Настройка пиринга виртуальной сети в центре администрирования Microsoft Entra

    Оставьте все остальные значения по умолчанию для доступа к виртуальной сети или перенаправленного трафика, если для вашей среды нет конкретных требований, а затем нажмите кнопку ОК.

  4. Создание пиринга как в виртуальной сети доменных служб, так и в выбранной вами виртуальной сети занимает несколько мгновений. Когда все готово, состояние пиринга отображается как Подключено, как показано в примере ниже:

    успешно подключены одноранговые сети в Центре администрирования Microsoft Entra

Прежде чем виртуальные машины в пиринговой виртуальной сети могут использовать управляемый домен, настройте DNS-серверы, чтобы разрешить правильное разрешение имен.

Настройка DNS-серверов в одноранговой виртуальной сети

Чтобы виртуальные машины и приложения в одноранговой виртуальной сети успешно взаимодействовали с управляемым доменом, необходимо обновить параметры DNS. IP-адреса контроллеров домена доменных служб должны быть настроены в качестве DNS-серверов в одноранговой виртуальной сети. Существует два способа настройки контроллеров домена в качестве DNS-серверов для одноранговой виртуальной сети:

  • Настройте DNS-серверы виртуальной сети Azure для использования контроллеров домена доменных служб.
  • Настройте существующий DNS-сервер, используемый в пиринговой виртуальной сети, чтобы использовать условное перенаправление DNS для перенаправления запросов к управляемому домену. Эти действия зависят от используемого DNS-сервера.

В этом руководстве мы настроим DNS-серверы виртуальной сети Azure для перенаправления всех запросов к контроллерам домена доменных служб.

  1. В Центре администрирования Microsoft Entra выберите группу ресурсов одноранговой виртуальной сети, например myResourceGroup. В списке ресурсов выберите одноранговую виртуальную сеть, например myVnet.

  2. В левом меню окна виртуальной сети выберите DNS-серверы.

  3. По умолчанию виртуальная сеть использует встроенные DNS-серверы Azure. Выберите использование пользовательских серверов DNS. Введите IP-адреса для контроллеров домена доменных служб, которые обычно 10.0.2.4 и 10.0.2.5. Проверьте эти IP-адреса в окне "Обзор" вашего управляемого домена на портале.

    настройте DNS-серверы виртуальной сети для использования контроллеров домена доменных служб

  4. Когда все готово, выберите Сохранить. Для обновления DNS-серверов для виртуальной сети потребуется несколько минут.

  5. Чтобы применить обновленные параметры DNS к виртуальным машинам, перезапустите виртуальные машины, подключенные к одноранговой виртуальной сети.

При создании виртуальной машины, которая должна использовать управляемый домен, убедитесь, что выбрана эта одноранговая виртуальная сеть. Если выбрать другую виртуальную сеть, нет сетевого подключения и разрешения DNS для доступа к управляемому домену.

Дальнейшие действия

В этом руководстве вы узнали, как:

  • Общие сведения о параметрах подключения виртуальной сети для ресурсов, присоединенных к домену, к доменным службам
  • Создание диапазона IP-адресов и дополнительной подсети в виртуальной сети доменных служб
  • Настройте пиринг виртуальной сети с сетью, которая отделена от служб домена.

Чтобы увидеть этот управляемый домен в действии, создайте и присоединийте виртуальную машину к домену.