Tutorial: Configuración de redes virtuales para un dominio administrado de Microsoft Entra Domain Services

Para proporcionar conectividad a usuarios y aplicaciones, se implementa un dominio administrado de Microsoft Entra Domain Services en una subred de red virtual de Azure. Esta subred de red virtual solo debe usarse para los recursos del dominio administrado que proporciona la plataforma Azure.

Cuando cree sus propias máquinas virtuales y aplicaciones, estas no se deben implementar en la misma subred de red virtual. En su lugar, se deben crear e implementar las aplicaciones en una subred de red virtual independiente, o bien en una red virtual independiente que esté emparejada con la red virtual de Domain Services.

En este tutorial se muestra cómo crear y configurar una subred de red virtual dedicada o cómo emparejar una red diferente a la red virtual del dominio administrado de Domain Services.

En este tutorial, aprenderá a:

  • Descripción de las opciones de conectividad de red virtual para recursos unidos a un dominio en Domain Services
  • Creación de un intervalo de direcciones IP y una subred adicional en la red virtual de Domain Services
  • Configuración del emparejamiento de red virtual en una red independiente de Domain Services

Si no tiene una suscripción a Azure, cree una cuenta antes de empezar.

Prerrequisitos

Para completar este tutorial, necesitará los siguientes recursos y privilegios:

Iniciar sesión en el centro de administración de Microsoft Entra

En este tutorial, creará y configurará el dominio administrado mediante el centro de administración de Microsoft Entra. Para empezar, inicie sesión primero en el Centro de administración de Microsoft Entra.

Opciones de conectividad de carga de trabajo de aplicación

En el tutorial anterior, se creó un dominio administrado que usaba algunas opciones de configuración predeterminadas para la red virtual. Estas opciones predeterminadas crearon una red virtual de Azure y una subred de la red virtual. Los controladores de dominio de Domain Services que proporcionan los servicios de dominio administrado están conectados a esta subred de red virtual.

Al crear y ejecutar máquinas virtuales que necesitan usar el dominio administrado, es necesario proporcionar conectividad de red. Esta conectividad de red se puede proporcionar de una de las siguientes maneras:

  • Cree una subred de red virtual adicional en la red virtual del dominio administrado. Esta subred adicional es donde creará y conectará las máquinas virtuales.
    • Dado que las máquinas virtuales forman parte de la misma red virtual, pueden realizar automáticamente la resolución de nombres y comunicarse con los controladores de dominio de Domain Services.
  • Configure el emparejamiento de red virtual de Azure desde la red virtual del dominio administrado con una o varias redes virtuales independientes. Estas redes virtuales independientes son donde creará y conectará las máquinas virtuales.
    • Al configurar el emparejamiento de red virtual, también debe especificar la configuración de DNS para volver a usar la resolución de nombres en los controladores de dominio de Domain Services.

Normalmente solo se usa una de estas opciones de conectividad de red. La elección suele depender de cómo desee administrar los recursos de Azure.

  • Si desea administrar Domain Services y las máquinas virtuales conectadas como un grupo de recursos, puede crear una subred de red virtual adicional para las máquinas virtuales.
  • Si desea separar la administración de Domain Services y la de las máquinas virtuales conectadas, puede usar el emparejamiento de red virtual.
    • También puede usar el emparejamiento de red virtual para proporcionar conectividad a las máquinas virtuales existentes en el entorno de Azure que están conectadas a una red virtual existente.

En este tutorial, solo tiene que configurar una de estas opciones de conectividad de red virtual.

Para más información sobre cómo planear y configurar la red virtual, consulte Consideraciones de red de Microsoft Entra Domain Services.

Creación de una subred de red virtual

De forma predeterminada, la red virtual de Azure creada con el dominio administrado contiene una sola subred de red virtual. Esta subred de red virtual solo debe usarla la plataforma Azure para proporcionar servicios de dominio administrado. Para crear y usar sus propias máquinas virtuales en esta red virtual de Azure, cree una subred adicional.

Para crear una subred de red virtual para las máquinas virtuales y las cargas de trabajo de la aplicación, complete los pasos siguientes:

  1. En el centro de administración de Microsoft Entra, seleccione el grupo de recursos del dominio administrado, como myResourceGroup. En la lista de recursos, elija la red virtual predeterminada, como aadds-vnet.

  2. En el menú de la izquierda de la ventana de la red virtual, seleccione Espacio de direcciones. La red virtual se crea con un solo espacio de direcciones de 10.0.2.0/24, que es la que utiliza la subred predeterminada.

    Agregue un intervalo de direcciones IP adicional a la red virtual. El tamaño de este intervalo de direcciones y el intervalo de direcciones IP real que se usará dependerán de otros recursos de red ya implementados. El intervalo de direcciones IP no debe solaparse con los intervalos de direcciones existentes en el entorno de Azure o local. Asegúrese de que el intervalo de direcciones IP sea lo suficientemente grande para el número de máquinas virtuales que espera implementar en la subred.

    En el ejemplo siguiente, se agrega un intervalo de direcciones IP adicional de 10.0.3.0/24. Cuando esté preparado, seleccione Guardar.

    Add an additional virtual network IP address range in the Microsoft Entra admin center

  3. A continuación, en el menú de la izquierda de la ventana de la red virtual, seleccione Subredes y, a continuación, seleccione + Subred para agregar una subred.

  4. Escriba un nombre para la subred, como workloads. Si es necesario, actualice el intervalo de direcciones si desea usar un subconjunto del intervalo de direcciones IP configurado para la red virtual en los pasos anteriores. Por el momento, deje los valores predeterminados de opciones como Grupo de seguridad de red, Tabla de rutas y Puntos de conexión de servicio.

    En el ejemplo siguiente, se crea una subred denominada workloads que usa el intervalo de direcciones IP de 10.0.3.0/24:

    Add an additional virtual network subnet in the Microsoft Entra admin center

  5. Cuando esté preparado, seleccione Aceptar. La creación de la subred de red virtual tarda unos instantes.

Cuando cree una máquina virtual que necesite usar el dominio administrado, asegúrese de seleccionar esta subred de red virtual. No cree máquinas virtuales en la subred aadds-subnet predeterminada. Si selecciona una red virtual diferente, no habrá conectividad de red ni resolución DNS para comunicarse con el dominio administrado a menos que configure el emparejamiento de red virtual.

Configuración del emparejamiento de red virtual

Es posible que ya tenga una red virtual de Azure para las máquinas virtuales o que desee que la red virtual de su dominio administrado siga siendo independiente. Para usar el dominio administrado, las máquinas virtuales de otras redes virtuales necesitan una forma de comunicarse con los controladores de dominio de Domain Services. Esta conectividad se puede proporcionar mediante el emparejamiento de red virtual de Azure.

Con el emparejamiento de red virtual de Azure, se conectan dos redes virtuales entre sí, sin necesidad de un dispositivo de red privada virtual (VPN). El emparejamiento de red permite conectar rápidamente redes virtuales y definir flujos de tráfico en el entorno de Azure.

Para más información sobre el emparejamiento, consulte Emparejamiento de redes virtuales de Azure.

Para emparejar una red virtual con la red virtual del dominio administrado, realice los pasos siguientes:

  1. Elija la red virtual predeterminada creada para el dominio administrado llamada aadds-vnet.

  2. En el menú de la izquierda de la ventana de la red virtual, seleccione Emparejamientos.

  3. Para crear un emparejamiento, seleccione + Agregar. En el ejemplo siguiente, la red virtual aadds-vnet predeterminada está emparejada con una red virtual denominada myVnet. Configure las siguientes opciones con sus propios valores:

    • Nombre del emparejamiento de aadds-vnet a red virtual remota: un identificador descriptivo de las dos redes, como aadds-vnet-to-myvnet
    • Modelo de implementación de red virtual: Resource Manager
    • Suscripción: la suscripción de la red virtual con la que quiere realizar el emparejamiento, como Azure.
    • Red virtual: la red virtual con la que quiere realizar el emparejamiento, como myVnet.
    • Nombre del emparejamiento de myVnet a aadds-vnet: un identificador descriptivo de las dos redes, como myvnet-to-aadds-vnet

    Configure virtual network peering in the Microsoft Entra admin center

    Deje los demás valores predeterminados para el acceso de red virtual o el tráfico reenviado a menos que su entorno presente requisitos específicos y, a continuación, seleccione Aceptar.

  4. El emparejamiento tarda unos instantes en crearse tanto en la red virtual de Domain Services como en la red virtual que ha seleccionado. Cuando esté listo, Estado de emparejamiento indicará Conectado, como se muestra en la siguiente imagen:

    Successfully connected peered networks in the Microsoft Entra admin center

Antes de que las máquinas virtuales de la red virtual emparejada puedan usar el dominio administrado, configure los servidores DNS para permitir una resolución de nombres correcta.

Configuración de servidores DNS en la red virtual emparejada

Para que las máquinas virtuales y las aplicaciones de la red virtual emparejada se comuniquen correctamente con el dominio administrado, se debe actualizar la configuración de DNS. Las direcciones IP de los controladores de dominio de Domain Services deben configurarse como servidores DNS en la red virtual emparejada. Existen dos maneras de configurar los controladores de dominio como servidores DNS para la red virtual emparejada:

  • Configure los servidores DNS de la red virtual de Azure para que usen los controladores de dominio de Domain Services.
  • Configure el servidor DNS existente en uso en la red virtual emparejada para usar el reenvío condicional de DNS al dirigir las consultas al dominio administrado. Estos pasos varían en función del servidor DNS existente en uso.

En este tutorial, se configurarán los servidores DNS de la red virtual de Azure para dirigir todas las consultas a los controladores de dominio de Domain Services.

  1. En el centro de administración de Microsoft Entra, seleccione el grupo de recursos de la red virtual emparejada, como myResourceGroup. En la lista de recursos, elija la red virtual emparejada, como myVnet.

  2. En el menú de la izquierda de la ventana de la red virtual, seleccione Servidores DNS.

  3. De forma predeterminada, una red virtual usa los servidores DNS integrados que proporciona Azure. Seleccione Personalizado para usar servidores DNS personalizados. Escriba las direcciones IP de los controladores de dominio de Domain Services, que suelen ser 10.0.2.4 y 10.0.2.5. Confirme estas direcciones IP en la ventana Información general del dominio administrado en el portal.

    Configure the virtual network DNS servers to use the Domain Services domain controllers

  4. Cuando esté preparado, seleccione Guardar. La actualización de los servidores DNS de la red virtual tarda unos instantes.

  5. Para aplicar la configuración de DNS actualizada a las máquinas virtuales, reinicie las máquinas virtuales conectadas a la red virtual emparejada.

Cuando cree una máquina virtual que necesite usar el dominio administrado, asegúrese de seleccionar esta red virtual emparejada. Si selecciona una red virtual diferente, no habrá conectividad de red ni resolución DNS para comunicarse con el dominio administrado.

Pasos siguientes

En este tutorial ha aprendido a:

  • Descripción de las opciones de conectividad de red virtual para recursos unidos a un dominio en Domain Services
  • Creación de un intervalo de direcciones IP y una subred adicional en la red virtual de Domain Services
  • Configuración del emparejamiento de red virtual en una red independiente de Domain Services

Para ver este dominio administrado en acción, cree una máquina virtual y únala al dominio.