Considerazioni sulla rete per Azure AD Domain ServicesNetworking considerations for Azure AD Domain Services

Come selezionare una rete virtuale di AzureHow to select an Azure virtual network

Le indicazioni seguenti semplificano la selezione di una rete virtuale da usare con Azure AD Domain Services.The following guidelines help you select a virtual network to use with Azure AD Domain Services.

Tipo di rete virtuale di AzureType of Azure virtual network

  • Reti virtuali di gestione risorse: la funzionalità Azure AD Domain Services può essere abilitata nelle reti virtuali create usando Azure Resource Manager.Resource Manager virtual networks: Azure AD Domain Services can be enabled in virtual networks created using Azure Resource Manager.
  • Non è possibile abilitare Azure AD Domain Services in una rete virtuale di Azure classica.You cannot enable Azure AD Domain Services in a classic Azure virtual network.
  • È possibile connettere altre reti virtuali alla rete virtuale in cui è abilitata la funzionalità Azure AD Domain Services.You can connect other virtual networks to the virtual network in which Azure AD Domain Services is enabled. Per altre informazioni, vedere la sezione Connettività di rete.For more information, see the Network connectivity section.

Area di Azure per la rete virtualeAzure region for the virtual network

  • Il dominio gestito di Azure AD Domain Services viene distribuito nella stessa area di Azure della rete virtuale in cui si è scelto di abilitare il servizio.Your Azure AD Domain Services managed domain is deployed in the same Azure region as the virtual network you choose to enable the service in.
  • Selezionare una rete virtuale in un'area di Azure supportata da Azure AD Domain Services.Select a virtual network in an Azure region supported by Azure AD Domain Services.
  • Per informazioni sulle aree di Azure in cui è disponibile Azure AD Domain Services, vedere la pagina relativa ai servizi di Azure per area .See the Azure services by region page to know the Azure regions in which Azure AD Domain Services is available.

Requisiti per la rete virtualeRequirements for the virtual network

  • Prossimità ai carichi di lavoro di Azure: selezionare la rete virtuale che ospita o ospiterà le macchine virtuali che richiedono l'accesso ad Azure AD Domain Services.Proximity to your Azure workloads: Select the virtual network that currently hosts/will host virtual machines that need access to Azure AD Domain Services. Se i carichi di lavoro vengono distribuiti in una rete virtuale diversa dal dominio gestito, è anche possibile scegliere di connettere le reti virtuali.If your workloads are deployed in a different virtual network than the managed domain, you may also choose to connect the virtual networks.
  • Server DNS personalizzati/Bring-Your-Own: assicurarsi che non siano presenti server DNS personalizzati configurati per la rete virtuale.Custom/bring-your-own DNS servers: Ensure that there are no custom DNS servers configured for the virtual network. Un esempio di server DNS personalizzato è un'istanza di DNS di Windows Server in esecuzione su una VM Windows Server distribuita nella rete virtuale.An example of a custom DNS server is an instance of Windows Server DNS running on a Windows Server VM that you have deployed in the virtual network. Azure AD Domain Services non si integra con i server DNS personalizzati distribuiti nella rete virtuale.Azure AD Domain Services does not integrate with any custom DNS servers deployed within the virtual network.
  • Domini esistenti con lo stesso nome di dominio: assicurarsi che non sia presente un dominio esistente con lo stesso nome di dominio disponibile nella rete virtuale.Existing domains with the same domain name: Ensure that you do not have an existing domain with the same domain name available on that virtual network. Ad esempio, si supponga che un dominio denominato 'contoso.com' sia già disponibile nella rete virtuale selezionata.For instance, assume you have a domain called 'contoso.com' already available on the selected virtual network. Provare successivamente ad abilitare un dominio gestito di Azure AD Domain Services con lo stesso nome di dominio, ovvero 'contoso.com', alla rete virtuale.Later, you try to enable an Azure AD Domain Services managed domain with the same domain name (that is 'contoso.com') on that virtual network. Si verifica un errore quando si prova ad abilitare Azure AD Domain Services.You encounter a failure when trying to enable Azure AD Domain Services. L'errore è dovuto a conflitti di nomi per il nome di dominio nella rete virtuale.This failure is due to name conflicts for the domain name on that virtual network. In questa situazione è necessario usare un nome diverso per configurare il dominio gestito di Servizi di dominio Azure AD.In this situation, you must use a different name to set up your Azure AD Domain Services managed domain. In alternativa, è possibile eseguire il deprovisioning del dominio esistente e quindi abilitare Servizi di dominio Azure AD.Alternately, you can de-provision the existing domain and then proceed to enable Azure AD Domain Services.

Avviso

Non è possibile spostare Domain Services in una rete virtuale diversa dopo l'abilitazione del servizio.You cannot move Domain Services to a different virtual network after you have enabled the service.

Linee guida per la scelta di una subnetGuidelines for choosing a subnet

Struttura consigliata per la subnet

  • Distribuire Azure Active Directory Domain Services in una subnet separata dedicata nella rete virtuale di Azure.Deploy Azure AD Domain Services to a separate dedicated subnet within your Azure virtual network.
  • Non applicare alcun gruppo di sicurezza di rete alla subnet dedicata per il dominio gestito.Do not apply NSGs to the dedicated subnet for your managed domain. Se è necessario applicare gruppi di sicurezza di rete alla subnet dedicata, verificare di non bloccare le porte necessarie per la manutenzione e la gestione del dominio.If you must apply NSGs to the dedicated subnet, ensure you do not block the ports required to service and manage your domain.
  • Non limitare in modo eccessivo il numero di indirizzi IP disponibili nella subnet dedicata per il dominio gestito.Do not overly restrict the number of IP addresses available within the dedicated subnet for your managed domain. Un'eccessiva limitazione impedisce al servizio di rendere disponibili due controller di dominio per il dominio gestito.This restriction prevents the service from making two domain controllers available for your managed domain.
  • Non abilitare Azure AD Domain Services nella subnet del gateway della rete virtuale.Do not enable Azure AD Domain Services in the gateway subnet of your virtual network.
  • Non bloccare l'accesso in uscita dalla subnet in cui è abilitato il dominio gestito.Do not block outbound access from the subnet in which your managed domain is enabled.

Avviso

Quando si associa un gruppo di sicurezza di rete a una subnet in cui è abilitata la funzionalità Azure AD Domain Services, è possibile che si interferisca con la possibilità di manutenzione e gestione del dominio da parte di Microsoft.When you associate an NSG with a subnet in which Azure AD Domain Services is enabled, you may disrupt Microsoft's ability to service and manage the domain. Viene inoltre ostacolata la sincronizzazione tra il tenant Azure AD e il dominio gestito.Additionally, synchronization between your Azure AD tenant and your managed domain is disrupted. Il Contratto di servizio non si applica alle distribuzioni in cui è stato creato un gruppo di sicurezza di rete che impedisce ad Azure Active Directory Domain Services di aggiornare e gestire il dominio.The SLA does not apply to deployments where an NSG has been applied that blocks Azure AD Domain Services from updating and managing your domain.

Porte necessarie per Azure Active Directory Domain ServicesPorts required for Azure AD Domain Services

Azure Active Directory Domain Services richiede le porte seguenti per la manutenzione e la gestione del dominio.The following ports are required for Azure AD Domain Services to service and maintain your managed domain. Verificare che queste porte non siano bloccate per la subnet in cui è stato abilitato il dominio gestito.Ensure that these ports are not blocked for the subnet in which you have enabled your managed domain.

Numero della portaPort number Obbligatorio?Required? ScopoPurpose
443443 MandatoryMandatory Sincronizzazione con il tenant di Azure ADSynchronization with your Azure AD tenant
59865986 MandatoryMandatory Gestione del dominioManagement of your domain
33893389 MandatoryMandatory Gestione del dominioManagement of your domain
636636 FacoltativoOptional Accesso LDAP sicuro (LDAPS) per il dominio gestitoSecure LDAP (LDAPS) access to your managed domain

Porta 443 (sincronizzazione con Azure AD)Port 443 (Synchronization with Azure AD)

  • Usata per sincronizzare la directory di Azure AD con il dominio gestito.It is used to synchronize your Azure AD directory with your managed domain.
  • È obbligatorio consentire l'accesso a questa porta nel gruppo di sicurezza di rete.It is mandatory to allow access to this port in your NSG. Senza l'accesso a questa porta, il dominio gestito non è sincronizzato con la directory di Azure AD.Without access to this port, your managed domain is not in sync with your Azure AD directory. Gli utenti potrebbero non essere in grado di accedere, perché le modifiche alle password non vengono sincronizzate con il dominio gestito.Users may not be able to sign in as changes to their passwords are not synchronized to your managed domain.
  • È possibile limitare l'accesso in ingresso a questa porta agli indirizzi IP appartenenti all'intervallo di indirizzi IP di Azure.You can restrict inbound access to this port to IP addresses belonging to the Azure IP address range. Si noti che l'intervallo di indirizzi IP di Azure è diverso rispetto all'intervallo di PowerShell illustrato nella regola seguente.Note that the Azure IP address range is a different range than the PowerShell range shown in the rule below.

Porta 5986 (comunicazione remota di PowerShell)Port 5986 (PowerShell remoting)

  • Usata per eseguire attività di gestione con la comunicazione remota di PowerShell nel dominio gestito.It is used to perform management tasks using PowerShell remoting on your managed domain.
  • È obbligatorio consentire l'accesso attraverso questa porta nel gruppo di sicurezza di rete.It is mandatory to allow access through this port in your NSG. Senza accesso a questa porta, il dominio gestito non può essere aggiornato né configurato e non è possibile eseguirne il monitoraggio o il backup.Without access to this port, your managed domain cannot be updated, configured, backed-up, or monitored.
  • Per eventuali nuovi domini o domini con una rete virtuale ARM, è possibile limitare l'accesso in ingresso a questa porta per i seguenti indirizzi IP di origine: 52.180.179.108 52.180.177.87, 13.75.105.168, 52.175.18.134, 52.138.68.41, 52.138.65.157, 104.41.159.212, 104.45.138.161, 52.169.125.119, 52.169.218.0, 52.187.19.1, 52.187.120.237, 13.78.172.246, 52.161.110.169, 52.174.189.149, 40.68.160.142, 40.83.144.56, 13.64.151.161, 52.180.183.67, 52.180.181.39, 52.175.28.111, 52.175.16.141, 52.138.70.93, 52.138.64.115 40.80.146.22, 40.121.211.60, 52.138.143.173, 52.169.87.10, 13.76.171.84, 52.187.169.156, 13.78.174.255, 13.78.191.178, 40.68.163.143, 23.100.14.28, 13.64.188.43, 23.99.93.197For any new domains or domains with an ARM virtual network, you can restrict inbound access to this port to the following source IP addresses: 52.180.179.108, 52.180.177.87, 13.75.105.168, 52.175.18.134, 52.138.68.41, 52.138.65.157, 104.41.159.212, 104.45.138.161, 52.169.125.119, 52.169.218.0, 52.187.19.1, 52.187.120.237, 13.78.172.246, 52.161.110.169, 52.174.189.149, 40.68.160.142, 40.83.144.56, 13.64.151.161, 52.180.183.67, 52.180.181.39, 52.175.28.111, 52.175.16.141, 52.138.70.93, 52.138.64.115, 40.80.146.22, 40.121.211.60, 52.138.143.173, 52.169.87.10, 13.76.171.84, 52.187.169.156, 13.78.174.255, 13.78.191.178, 40.68.163.143, 23.100.14.28, 13.64.188.43, 23.99.93.197
  • Per i domini con una rete virtuale classica, è possibile limitare l'accesso in ingresso a questa porta agli indirizzi IP di origine seguenti: 52.180.183.8, 23.101.0.70, 52.225.184.198, 52.179.126.223, 13.74.249.156, 52.187.117.83, 52.161.13.95, 104.40.156.18, 104.40.87.209, 52.180.179.108, 52.175.18.134, 52.138.68.41, 104.41.159.212, 52.169.218.0, 52.187.120.237, 52.161.110.169, 52.174.189.149, 13.64.151.161For domains with a classic virtual network, you can restrict inbound access to this port to the following source IP addresses: 52.180.183.8, 23.101.0.70, 52.225.184.198, 52.179.126.223, 13.74.249.156, 52.187.117.83, 52.161.13.95, 104.40.156.18, 104.40.87.209, 52.180.179.108, 52.175.18.134, 52.138.68.41, 104.41.159.212, 52.169.218.0, 52.187.120.237, 52.161.110.169, 52.174.189.149, 13.64.151.161
  • I controller di dominio del dominio gestito non sono in genere in ascolto su questa porta.The domain controllers for your managed domain do not usually listen on this port. Il servizio apre questa porta sui controller di dominio gestiti solo quando per il dominio gestito deve essere eseguita un'operazione di gestione o di manutenzione.The service opens this port on managed domain controllers only when a management or maintenance operation needs to be performed for the managed domain. Non appena completata l'operazione, il servizio arresta la porta sui controller di dominio gestiti.As soon as the operation completes, the service shuts down this port on the managed domain controllers.

Porta 3389 (Desktop remoto)Port 3389 (Remote desktop)

  • Usata per le connessioni Desktop remoto ai controller di dominio del dominio gestito.It is used for remote desktop connections to domain controllers for your managed domain.
  • È possibile limitare l'accesso in ingresso agli indirizzi IP di origine seguenti: 207.68.190.32/27, 13.106.78.32/27, 13.106.174.32/27, 13.106.4.96/27You can restrict inbound access to the following source IP addresses: 207.68.190.32/27, 13.106.78.32/27, 13.106.174.32/27, 13.106.4.96/27
  • Anche questa porta resta per la maggior parte del tempo disattivata nel dominio gestito.This port also remains largely turned off on your managed domain. Questo meccanismo non viene usato regolarmente poiché le attività di gestione e monitoraggio vengono eseguite usando la comunicazione remota di PowerShell.This mechanism is not used on an ongoing basis since management and monitoring tasks are performed using PowerShell remoting. Questa porta viene usata solo nel raro caso in cui per Microsoft sia necessario connettersi in remoto al dominio gestito dell'utente per una risoluzione dei problemi avanzata.This port is used only in the rare event that Microsoft needs to connect remotely to your managed domain for advanced troubleshooting. La porta viene chiusa non appena l'operazione di risoluzione dei problemi viene completata.The port is closed as soon as the troubleshooting operation is complete.

Porta 636 (LDAP sicuro)Port 636 (Secure LDAP)

  • Usata per abilitare o disabilitare l'accesso LDAP sicuro al dominio gestito via Internet.It is used to enable secure LDAP access to your managed domain over the internet.
  • L'apertura di questa porta tramite il gruppo di sicurezza di rete è facoltativa.Opening this port through your NSG is optional. Aprire la porta solo se l'accesso LDAP sicuro via Internet è abilitato.Open the port only if you have secure LDAP access over the internet enabled.
  • È possibile limitare l'accesso in ingresso a questa porta agli indirizzi IP di origine da cui si prevede di connettersi tramite LDAP sicuro.You can restrict inbound access to this port to the source IP addresses from which you expect to connect over secure LDAP.

Accesso in uscita AAD Domain Services deve avere l'accesso in uscita a diversi altri servizi di Azure per gestire e monitorare il dominio gestito ed eseguirne il backup.Outbound access AAD Domain Services needs outbound access to various other Azure services in order to manage, backup & monitor your managed domain. Non bloccare l'accesso in uscita dalla subnet dedicata in cui è abilitato il dominio gestito.Do not block outbound access from the dedicated subnet in which your managed domain is enabled.

Gruppi di sicurezza di reteNetwork Security Groups

Un gruppo di sicurezza di rete (NSG) contiene un elenco di regole dell'elenco di controllo di accesso (ACL) che consentono o rifiutano il traffico di rete alle istanze di VM in una rete virtuale.A Network Security Group (NSG) contains a list of Access Control List (ACL) rules that allow or deny network traffic to your VM instances in a Virtual Network. I gruppi di sicurezza di rete possono essere associati a subnet o singole istanze VM in una subnet.NSGs can be associated with either subnets or individual VM instances within that subnet. Quando un gruppo di sicurezza di rete viene associato a una subnet, le regole ACL si applicano a tutte le istanze di VM in tale subnet.When an NSG is associated with a subnet, the ACL rules apply to all the VM instances in that subnet. Il traffico verso una singola VM può essere inoltre ulteriormente limitato associando un gruppo di sicurezza di rete direttamente a tale VM.In addition, traffic to an individual VM can be restricted further by associating an NSG directly to that VM.

Gruppo di sicurezza di rete (NSG) di esempio per le reti virtuali con Azure AD Domain ServicesSample NSG for virtual networks with Azure AD Domain Services

La tabella seguente illustra un gruppo di sicurezza di rete di esempio che è possibile configurare per una rete virtuale con un dominio gestito di Azure AD Domain Services.The following table illustrates a sample NSG you can configure for a virtual network with an Azure AD Domain Services managed domain. Questa regola consente il traffico sulle porte specificate per garantire che il dominio gestito rimanga aggiornato, che vengano applicate le patch e possa essere monitorato da Microsoft.This rule allows inbound traffic over the required ports to ensure your managed domain stays patched, updated and can be monitored by Microsoft. La regola predefinita "DenyAll" si applica a tutto il traffico in ingresso da Internet.The default 'DenyAll' rule applies to all other inbound traffic from the internet.

Il gruppo di sicurezza di rete mostra anche come bloccare l'accesso LDAP sicuro tramite Internet.Additionally, the NSG also illustrates how to lock down secure LDAP access over the internet. Ignorare questa regola se l'accesso LDAP sicuro al dominio gestito tramite Internet non è stato abilitato.Skip this rule if you have not enabled secure LDAP access to your managed domain over the internet. Il gruppo di sicurezza di rete contiene alcune regole che consentono l'accesso LDAPS in ingresso sulla porta TCP 636 solo da un set specificato di indirizzi IP.The NSG contains a set of rules that allow inbound LDAPS access over TCP port 636 only from a specified set of IP addresses. La regola del gruppo di sicurezza di rete per consentire l'accesso LDAPS su Internet da indirizzi IP specificati ha una priorità superiore rispetto alla regola DenyAll del gruppo di sicurezza di rete.The NSG rule to allow LDAPS access over the internet from specified IP addresses has a higher priority than the DenyAll NSG rule.

Gruppo di sicurezza di rete di esempio per proteggere l'accesso LDAPS su Internet

Altre informazioni - Creare un gruppo di sicurezza di rete.More information - Create a Network Security Group.

Connettività di reteNetwork connectivity

Un dominio gestito di Azure AD Domain Services può essere abilitato solo in una singola rete virtuale di Azure.An Azure AD Domain Services managed domain can be enabled only within a single virtual network in Azure.

Scenari per la connessione di reti di AzureScenarios for connecting Azure networks

È possibile connettere le reti virtuali di Azure per l'uso del dominio gestito negli scenari di distribuzione seguenti:Connect Azure virtual networks to use the managed domain in any of the following deployment scenarios:

Usare il dominio gestito in più di una rete virtuale di AzureUse the managed domain in more than one Azure virtual network

È possibile connettere altre reti virtuali di Azure alla rete virtuale di Azure in cui è stata abilitata la funzionalità Azure AD Domain Services.You can connect other Azure virtual networks to the Azure virtual network in which you have enabled Azure AD Domain Services. Questa connessione VPN/peering reti virtuali consente di usare il dominio gestito con i carichi di lavoro distribuiti in altre reti virtuali.This VPN/VNet peering connection enables you to use the managed domain with your workloads deployed in other virtual networks.

Connettività di rete virtuale classica

Usare il dominio gestito in una rete virtuale basata su Resource ManagerUse the managed domain in a Resource Manager-based virtual network

È possibile connettere una rete virtuale basata su Resource Manager alla rete virtuale classica in cui è abilitata la funzionalità Azure AD Domain Services.You can connect a Resource Manager-based virtual network to the Azure classic virtual network in which you have enabled Azure AD Domain Services. Questa connessione consente di usare il dominio gestito con i carichi di lavoro distribuiti nella rete virtuale basata su Resource Manager.This connection enables you to use the managed domain with your workloads deployed in the Resource Manager-based virtual network.

Connettività da rete virtuale basata su Resource Manager a rete virtuale classica

Opzioni per le connessioni di reteNetwork connection options

  • Connessioni da rete virtuale a rete virtuale tramite il peering reti virtuali: il peering reti virtuali è un meccanismo che connette due reti virtuali nella stessa area tramite la rete backbone di Azure.VNet-to-VNet connections using virtual network peering: Virtual network peering is a mechanism that connects two virtual networks in the same region through the Azure backbone network. Una volta eseguito il peering, le due reti virtuali appaiono come una sola per qualsiasi scopo di connettività.Once peered, the two virtual networks appear as one for all connectivity purposes. Continuano a essere gestite come risorse separate, ma le macchine virtuali in queste reti virtuali possono comunicare direttamente tra di esse usando gli indirizzi IP privati.They are still managed as separate resources, but virtual machines in these virtual networks can communicate with each other directly by using private IP addresses.

    Connettività di rete virtuale tramite peering

    Altre informazioni: Peering reti virtualiMore information - virtual network peering

  • Connessioni da rete virtuale a rete virtuale tramite connessioni VPN da sito a sito: la connessione di una rete virtuale a un'altra rete virtuale è simile alla connessione di una rete virtuale a un percorso di sito locale.VNet-to-VNet connections using site-to-site VPN connections: Connecting a virtual network to another virtual network (VNet-to-VNet) is similar to connecting a virtual network to an on-premises site location. Entrambi i tipi di connettività utilizzano un gateway VPN per fornire un tunnel sicuro tramite IPsec/IKE.Both connectivity types use a VPN gateway to provide a secure tunnel using IPsec/IKE.

    Connettività di rete virtuale tramite gateway VPN

    Altre informazioni: connettere reti virtuali usando il gateway VPNMore information - connect virtual networks using VPN gateway