Tutorial: Erstellen und Verwenden von Replikatgruppen für Resilienz oder Geolocation in Microsoft Entra Domain Services
Sie können Replikatgruppen verwenden, um die Resilienz von Microsoft Entra Domain Services zu verbessern oder Bereitstellungen an zusätzlichen geografischen Standorten in der Nähe Ihrer Anwendungen durchzuführen. Jeder Namespace einer verwalteten Domain Services-Domäne (beispielsweise aaddscontoso.com) enthält eine anfängliche Replikatgruppe. Durch die Erstellung zusätzlicher Replikatgruppen in anderen Azure-Regionen lässt sich geografische Resilienz für eine verwaltete Domäne erzielen.
Eine Replikatgruppe kann einem beliebigen, mittels Peering verknüpften virtuellen Netzwerk in einer beliebigen Azure-Region mit Domain Services-Unterstützung hinzugefügt werden.
In diesem Tutorial lernen Sie Folgendes:
- Ermitteln der Anforderungen für virtuelle Netzwerke
- Erstellen einer Replikatgruppe
- Löschen einer Replikatgruppe
Wenn Sie kein Azure-Abonnement besitzen, erstellen Sie ein Konto, bevor Sie beginnen.
Voraussetzungen
Für dieses Tutorial benötigen Sie die folgenden Ressourcen und Berechtigungen:
Ein aktives Azure-Abonnement.
- Wenn Sie kein Azure-Abonnement besitzen, erstellen Sie ein Konto.
Einen mit Ihrem Abonnement verknüpften Microsoft Entra-Mandanten, der entweder mit einem lokalen Verzeichnis synchronisiert oder ein reines Cloudverzeichnis ist.
- Erstellen Sie einen Microsoft Entra-Mandanten, oder verknüpfen Sie ein Azure-Abonnement mit Ihrem Konto, sofern erforderlich.
Eine verwaltete Microsoft Entra Domain Services-Domäne, die mit dem Azure Resource Manager-Bereitstellungsmodell erstellt wurde und in Ihrem Microsoft Entra-Mandanten konfiguriert ist.
Wichtig
Sie müssen mindestens eine Enterprise-SKU für Ihre verwaltete Domäne verwenden, um Replikatgruppen verwenden zu können. Ändern Sie die SKU ggf. in eine verwaltete Domäne.
Anmelden beim Microsoft Entra Admin Center
In diesem Tutorial erstellen und verwalten Sie Replikatgruppen mit dem Microsoft Entra Admin Center. Um zu beginnen, melden Sie sich zunächst beim Microsoft Entra Admin Center an.
Überlegungen zum Netzwerkbetrieb
Die virtuellen Netzwerke, die als Host für Replikatgruppen fungieren, müssen miteinander kommunizieren können. Darüber hinaus müssen von Domain Services abhängige Anwendungen und Dienste über Netzwerkkonnektivität mit den virtuellen Netzwerken verfügen, in denen die Replikatgruppen gehostet werden. Zwischen allen virtuellen Netzwerken muss das Peering virtueller Azure-Netzwerke konfiguriert werden, um ein voll vermaschtes Netzwerk zu erstellen. Dieses Peering ermöglicht eine effektive standortinterne Replikation zwischen Replikatgruppen.
Machen Sie sich vor der Verwendung von Replikatgruppen in Domain Services zunächst mit den folgenden Anforderungen für virtuelle Azure-Netzwerke vertraut:
- Vermeiden Sie Überschneidungen zwischen IP-Adressräumen, um VNET-Peering und -Routing zu ermöglichen.
- Es wurden Subnetze mit genügend IP-Adressen erstellt, um Ihr Szenario zu unterstützen.
- Stellen Sie sicher, dass Domain Services über ein eigenes Subnetz verfügt. Dieses VNET-Subnetz darf nicht von virtuellen Anwendungscomputern und Diensten verwendet werden.
- Über Peering verbundene virtuelle Netzwerke sind nicht transitiv.
Tipp
Wenn Sie im Microsoft Entra Admin Center eine Replikatgruppe erstellen, werden die Netzwerkpeerings zwischen virtuellen Netzwerken für Sie erstellt.
Bei Bedarf können Sie ein virtuelles Netzwerk und ein Subnetz erstellen, wenn Sie im Microsoft Entra Admin Center eine Replikatgruppe hinzufügen. Alternativ können Sie vorhandene VNET-Ressourcen in der Zielregion für eine Replikatgruppe auswählen und die Peerings automatisch erstellen lassen, sofern sie noch nicht vorhanden sind.
Erstellen einer Replikatgruppe
Wenn Sie eine verwaltete Domäne erstellen (beispielsweise aaddscontoso.com), wird eine anfängliche Replikatgruppe erstellt. Von weiteren Replikatgruppen werden der gleiche Namespace und die gleiche Konfiguration verwendet. Änderungen an Domaoin Services (einschließlich Konfiguration, Benutzeridentität und Anmeldeinformationen, Gruppen, Gruppenrichtlinienobjekte, Computerobjekte und andere Änderungen) werden mittels AD DS-Replikation auf alle Replikatgruppen in der verwalteten Domäne angewendet.
In diesem Tutorial wird eine zusätzliche Replikatgruppe in einer Azure-Region erstellt, die sich von der Region der anfänglichen Domain Services-Replikatgruppe unterscheidet.
Führen Sie die folgenden Schritte aus, um eine zusätzliche Replikatgruppe zu erstellen:
Suchen Sie im Microsoft Entra Admin Center nach der Option Microsoft Entra Domain Services, und wählen Sie sie aus.
Wählen Sie Ihre verwaltete Domäne (z. B. aaddscontoso.com) aus.
Wählen Sie auf der linken Seite Replikatgruppen aus. Jede verwaltete Domäne enthält eine anfängliche Replikatgruppe in der ausgewählten Region, wie im folgenden Beispielscreenshot zu sehen:
Wählen Sie zum Erstellen einer zusätzlichen Replikatgruppe die Option + Hinzufügen aus.
Wählen Sie im Fenster Add a replica set (Replikatgruppe hinzufügen) die Zielregion aus (beispielsweise USA, Osten).
Wählen Sie ein virtuelles Netzwerk in der Zielregion (beispielsweise vnet-eastus) und anschließend ein Subnetz (beispielsweise aadds-subnet) aus. Wählen Sie bei Bedarf Neu erstellen aus, um ein virtuelles Netzwerk in der Zielregion hinzuzufügen, und wählen Sie anschließend Verwalten aus, um ein Subnetz für Domain Services zu erstellen.
Die Azure-VNET-Peerings zwischen dem virtuellen Netzwerk Ihrer vorhandenen verwalteten Domäne und dem virtuellen Zielnetzwerk werden automatisch erstellt, sofern sie noch nicht vorhanden sind.
Der folgende Screenshot zeigt die Erstellung einer neuen Replikatgruppe in USA, Osten:
Wählen Sie Speichern aus, wenn Sie so weit sind.
Die Erstellung der Replikatgruppe bzw. die Erstellung der Ressourcen in der Zielregion dauert etwas. Die verwaltete Domäne selbst wird dann per AD DS-Replikation repliziert.
Während des Bereitstellungsvorgangs hat die Replikatgruppe den Status Bereitstellung, wie im folgenden Screenshot zu sehen. Nach Abschluss des Vorgangs wird für die Replikatgruppe der Status Ausgeführt angezeigt.
Löschen einer Replikatgruppe
Eine verwaltete Domäne ist gegenwärtig auf fünf Replikate beschränkt: die anfängliche Replikatgruppe und vier zusätzliche Replikatgruppen. Wenn Sie eine Replikatgruppe nicht mehr benötigen oder eine Replikatgruppe in einer anderen Region erstellen möchten, können Sie nicht benötigte Replikatgruppen löschen.
Wichtig
Sie können in einer verwalteten Domäne weder die letzte Replikatgruppe noch die ursprüngliche Replikatgruppe löschen.
Führen Sie die folgenden Schritte aus, um eine Replikatgruppe zu löschen:
- Suchen Sie im Microsoft Entra Admin Center nach der Option Microsoft Entra Domain Services, und wählen Sie sie aus.
- Wählen Sie Ihre verwaltete Domäne (z. B. aaddscontoso.com) aus.
- Wählen Sie auf der linken Seite Replikatgruppen aus. Wählen Sie in der Liste mit den Replikatgruppen das Kontextmenü ( ... ) neben der Replikatgruppe aus, die Sie löschen möchten.
- Wählen Sie im Kontextmenü die Option Löschen aus, und bestätigen Sie, dass Sie die Replikatgruppe löschen möchten.
- Greifen Sie auf der Domain Services-Verwaltungs-VM auf die DNS-Konsole zu, und löschen Sie die DNS-Einträge für die Domänencontroller manuell aus der gelöschten Replikatgruppe.
Hinweis
Das Löschen einer Replikatgruppe kann zeitaufwendig sein.
Wenn Sie das virtuelle Netzwerk oder das Peering, das von der Replikatgruppe verwendet wird, nicht mehr benötigen, können Sie auch diese Ressourcen löschen. Vergewissern Sie sich vor dem Löschen, dass die Netzwerkverbindungen von keinen anderen Anwendungsressourcen in der anderen Region benötigt werden.
Nächste Schritte
In diesem Tutorial haben Sie Folgendes gelernt:
- Konfigurieren des VNET-Peerings
- Erstellen einer Replikatgruppe in einer anderen geografischen Region
- Löschen einer Replikatgruppe
Machen Sie sich mit der Funktionsweise von Replikatgruppen in Domain Services vertraut, um weitere Konzeptinformationen zu erhalten.