Considerazioni sulla rete per Azure AD Domain ServicesNetworking considerations for Azure AD Domain Services

Come selezionare una rete virtuale di AzureHow to select an Azure virtual network

Le indicazioni seguenti semplificano la selezione di una rete virtuale da usare con Azure AD Domain Services.The following guidelines help you select a virtual network to use with Azure AD Domain Services.

Tipo di rete virtuale di AzureType of Azure virtual network

  • Reti virtuali di gestione risorse: la funzionalità Azure AD Domain Services può essere abilitata nelle reti virtuali create usando Azure Resource Manager.Resource Manager virtual networks: Azure AD Domain Services can be enabled in virtual networks created using Azure Resource Manager.
  • Non è possibile abilitare Azure AD Domain Services in una rete virtuale di Azure classica.You cannot enable Azure AD Domain Services in a classic Azure virtual network.
  • È possibile connettere altre reti virtuali alla rete virtuale in cui è abilitata la funzionalità Azure AD Domain Services.You can connect other virtual networks to the virtual network in which Azure AD Domain Services is enabled. Per altre informazioni, vedere la sezione Connettività di rete.For more information, see the Network connectivity section.
  • Reti virtuali a livello di area: se si prevede di usare una rete virtuale esistente, assicurarsi che sia una rete virtuale a livello di area.Regional Virtual Networks: If you plan to use an existing virtual network, ensure that it is a regional virtual network.

Area di Azure per la rete virtualeAzure region for the virtual network

  • Il dominio gestito di Azure AD Domain Services viene distribuito nella stessa area di Azure della rete virtuale in cui si è scelto di abilitare il servizio.Your Azure AD Domain Services managed domain is deployed in the same Azure region as the virtual network you choose to enable the service in.
  • Selezionare una rete virtuale in un'area di Azure supportata da Azure AD Domain Services.Select a virtual network in an Azure region supported by Azure AD Domain Services.
  • Per informazioni sulle aree di Azure in cui è disponibile Azure AD Domain Services, vedere la pagina relativa ai servizi di Azure per area .See the Azure services by region page to know the Azure regions in which Azure AD Domain Services is available.

Requisiti per la rete virtualeRequirements for the virtual network

  • Prossimità ai carichi di lavoro di Azure: selezionare la rete virtuale che ospita o ospiterà le macchine virtuali che richiedono l'accesso ad Azure AD Domain Services.Proximity to your Azure workloads: Select the virtual network that currently hosts/will host virtual machines that need access to Azure AD Domain Services. È anche possibile scegliere di connettere le reti virtuali se i carichi di lavoro vengono distribuiti in una rete virtuale diversa dal dominio gestito.You may also choose to connect virtual networks if your workloads are deployed in a different virtual network than the managed domain.
  • Server DNS personalizzati/Bring-Your-Own: assicurarsi che non siano presenti server DNS personalizzati configurati per la rete virtuale.Custom/bring-your-own DNS servers: Ensure that there are no custom DNS servers configured for the virtual network. Un esempio di server DNS personalizzato è un'istanza di DNS di Windows Server in esecuzione su una VM Windows Server distribuita nella rete virtuale.An example of a custom DNS server is an instance of Windows Server DNS running on a Windows Server VM that you have deployed in the virtual network. Azure AD Domain Services non si integra con i server DNS personalizzati distribuiti nella rete virtuale.Azure AD Domain Services does not integrate with any custom DNS servers deployed within the virtual network.
  • Domini esistenti con lo stesso nome di dominio: assicurarsi che non sia presente un dominio esistente con lo stesso nome di dominio disponibile nella rete virtuale.Existing domains with the same domain name: Ensure that you do not have an existing domain with the same domain name available on that virtual network. Ad esempio, si supponga che un dominio denominato 'contoso.com' sia già disponibile nella rete virtuale selezionata.For instance, assume you have a domain called 'contoso.com' already available on the selected virtual network. Provare successivamente ad abilitare un dominio gestito di Azure AD Domain Services con lo stesso nome di dominio, ovvero 'contoso.com', alla rete virtuale.Later, you try to enable an Azure AD Domain Services managed domain with the same domain name (that is 'contoso.com') on that virtual network. Si verifica un errore quando si prova ad abilitare Azure AD Domain Services.You encounter a failure when trying to enable Azure AD Domain Services. L'errore è dovuto a conflitti di nomi per il nome di dominio nella rete virtuale.This failure is due to name conflicts for the domain name on that virtual network. In questa situazione è necessario usare un nome diverso per configurare il dominio gestito di Servizi di dominio Azure AD.In this situation, you must use a different name to set up your Azure AD Domain Services managed domain. In alternativa, è possibile eseguire il deprovisioning del dominio esistente e quindi abilitare Servizi di dominio Azure AD.Alternately, you can de-provision the existing domain and then proceed to enable Azure AD Domain Services.

Avviso

Non è possibile spostare Domain Services in una rete virtuale diversa dopo l'abilitazione del servizio.You cannot move Domain Services to a different virtual network after you have enabled the service.

Gruppi di sicurezza di rete e struttura della subnetNetwork Security Groups and subnet design

Un gruppo di sicurezza di rete (NSG) contiene un elenco di regole dell'elenco di controllo di accesso (ACL) che consentono o rifiutano il traffico di rete alle istanze di VM in una rete virtuale.A Network Security Group (NSG) contains a list of Access Control List (ACL) rules that allow or deny network traffic to your VM instances in a Virtual Network. I gruppi di sicurezza di rete possono essere associati a subnet o singole istanze VM in una subnet.NSGs can be associated with either subnets or individual VM instances within that subnet. Quando un gruppo di sicurezza di rete viene associato a una subnet, le regole ACL si applicano a tutte le istanze di VM in tale subnet.When an NSG is associated with a subnet, the ACL rules apply to all the VM instances in that subnet. Il traffico verso una singola VM può essere inoltre ulteriormente limitato associando un gruppo di sicurezza di rete direttamente a tale VM.In addition, traffic to an individual VM can be restricted further by associating an NSG directly to that VM.

Struttura consigliata per la subnet

Linee guida per la scelta di una subnetGuidelines for choosing a subnet

  • Distribuire Azure Active Directory Domain Services in una subnet separata dedicata nella rete virtuale di Azure.Deploy Azure AD Domain Services to a separate dedicated subnet within your Azure virtual network.
  • Non applicare alcun gruppo di sicurezza di rete alla subnet dedicata per il dominio gestito.Do not apply NSGs to the dedicated subnet for your managed domain. Se è necessario applicare gruppi di sicurezza di rete alla subnet dedicata, verificare di non bloccare le porte necessarie per la manutenzione e la gestione del dominio.If you must apply NSGs to the dedicated subnet, ensure you do not block the ports required to service and manage your domain.
  • Non limitare in modo eccessivo il numero di indirizzi IP disponibili nella subnet dedicata per il dominio gestito.Do not overly restrict the number of IP addresses available within the dedicated subnet for your managed domain. Un'eccessiva limitazione impedisce al servizio di rendere disponibili due controller di dominio per il dominio gestito.This restriction prevents the service from making two domain controllers available for your managed domain.
  • Non abilitare Azure AD Domain Services nella subnet del gateway della rete virtuale.Do not enable Azure AD Domain Services in the gateway subnet of your virtual network.

Avviso

Quando si associa un gruppo di sicurezza di rete a una subnet in cui è abilitata la funzionalità Azure AD Domain Services, è possibile che si interferisca con la possibilità di manutenzione e gestione del dominio da parte di Microsoft.When you associate an NSG with a subnet in which Azure AD Domain Services is enabled, you may disrupt Microsoft's ability to service and manage the domain. Viene inoltre ostacolata la sincronizzazione tra il tenant Azure AD e il dominio gestito.Additionally, synchronization between your Azure AD tenant and your managed domain is disrupted. Il Contratto di servizio non si applica alle distribuzioni in cui è stato creato un gruppo di sicurezza di rete che impedisce ad Azure Active Directory Domain Services di aggiornare e gestire il dominio.The SLA does not apply to deployments where an NSG has been applied that blocks Azure AD Domain Services from updating and managing your domain.

Porte necessarie per Azure Active Directory Domain ServicesPorts required for Azure AD Domain Services

Azure Active Directory Domain Services richiede le porte seguenti per la manutenzione e la gestione del dominio.The following ports are required for Azure AD Domain Services to service and maintain your managed domain. Verificare che queste porte non siano bloccate per la subnet in cui è stato abilitato il dominio gestito.Ensure that these ports are not blocked for the subnet in which you have enabled your managed domain.

Numero della portaPort number ScopoPurpose
443443 Sincronizzazione con il tenant di Azure ADSynchronization with your Azure AD tenant
33893389 Gestione del dominioManagement of your domain
59865986 Gestione del dominioManagement of your domain
636636 Accesso LDAP sicuro (LDAPS) per il dominio gestitoSecure LDAP (LDAPS) access to your managed domain

La porta 5986 viene usata per eseguire attività di gestione con la comunicazione remota di PowerShell nel dominio gestito.Port 5986 is used to perform management tasks using PowerShell remoting on your managed domain. I controller di dominio del dominio gestito non sono in genere in ascolto su questa porta.The domain controllers for your managed domain do not usually listen on this port. Il servizio apre questa porta sui controller di dominio gestiti solo quando per il dominio gestito deve essere eseguita un'operazione di gestione o di manutenzione.The service opens this port on managed domain controllers only when a management or maintenance operation needs to be performed for the managed domain. Non appena completata l'operazione, il servizio arresta la porta sui controller di dominio gestiti.As soon as the operation completes, the service shuts down this port on the managed domain controllers.

La porta 3389 viene usata per le connessioni desktop remoto per il dominio gestito.Port 3389 is used for remote desktop connections to your managed domain. Anche questa porta resta per la maggior parte del tempo disattivata nel dominio gestito.This port also remains largely turned off on your managed domain. Il servizio abilita questa porta solo se è necessario connettersi al dominio gestito per la risoluzione dei problemi in risposta a una richiesta di assistenza avviata dall'utente.The service enables this port only if we need to connect to your managed domain for troubleshooting purposes, initiated in response to a service request you initiate. Questo meccanismo non viene usato regolarmente poiché le attività di gestione e monitoraggio vengono eseguite usando la comunicazione remota di PowerShell.This mechanism is not used on an ongoing basis since management and monitoring tasks are performed using PowerShell remoting. Questa porta viene usata solo nel raro caso che sia necessario connettersi in remoto al dominio gestito per la risoluzione dei problemi avanzata.This port is used only in the rare event that we need to connect remotely to your managed domain for advanced troubleshooting. La porta viene chiusa non appena l'operazione di risoluzione dei problemi viene completata.The port is closed as soon as the troubleshooting operation is complete.

Gruppo di sicurezza di rete (NSG) di esempio per le reti virtuali con Azure AD Domain ServicesSample NSG for virtual networks with Azure AD Domain Services

La tabella seguente illustra un gruppo di sicurezza di rete di esempio che è possibile configurare per una rete virtuale con un dominio gestito di Azure AD Domain Services.The following table illustrates a sample NSG you can configure for a virtual network with an Azure AD Domain Services managed domain. Questa regola consente il traffico sulle porte specificate per garantire che il dominio gestito rimanga aggiornato, che vengano applicate le patch e possa essere monitorato da Microsoft.This rule allows inbound traffic over the required ports to ensure your managed domain stays patched, updated and can be monitored by Microsoft. La regola predefinita "DenyAll" si applica a tutto il traffico in ingresso da Internet.The default 'DenyAll' rule applies to all other inbound traffic from the internet.

Il gruppo di sicurezza di rete mostra anche come bloccare l'accesso LDAP sicuro tramite Internet.Additionally, the NSG also illustrates how to lock down secure LDAP access over the internet. Ignorare questa regola se l'accesso LDAP sicuro al dominio gestito tramite Internet non è stato abilitato.Skip this rule if you have not enabled secure LDAP access to your managed domain over the internet. Il gruppo di sicurezza di rete contiene alcune regole che consentono l'accesso LDAPS in ingresso sulla porta TCP 636 solo da un set specificato di indirizzi IP.The NSG contains a set of rules that allow inbound LDAPS access over TCP port 636 only from a specified set of IP addresses. La regola del gruppo di sicurezza di rete per consentire l'accesso LDAPS su Internet da indirizzi IP specificati ha una priorità superiore rispetto alla regola DenyAll del gruppo di sicurezza di rete.The NSG rule to allow LDAPS access over the internet from specified IP addresses has a higher priority than the DenyAll NSG rule.

Gruppo di sicurezza di rete di esempio per proteggere l'accesso LDAPS su Internet

Altre informazioni - Creare un gruppo di sicurezza di rete.More information - Create a Network Security Group.

Connettività di reteNetwork connectivity

Un dominio gestito di Azure AD Domain Services può essere abilitato solo in una singola rete virtuale di Azure.An Azure AD Domain Services managed domain can be enabled only within a single virtual network in Azure.

Scenari per la connessione di reti di AzureScenarios for connecting Azure networks

È possibile connettere le reti virtuali di Azure per l'uso del dominio gestito negli scenari di distribuzione seguenti:Connect Azure virtual networks to use the managed domain in any of the following deployment scenarios:

Usare il dominio gestito in più di una rete virtuale di AzureUse the managed domain in more than one Azure virtual network

È possibile connettere altre reti virtuali di Azure alla rete virtuale di Azure in cui è stata abilitata la funzionalità Azure AD Domain Services.You can connect other Azure virtual networks to the Azure virtual network in which you have enabled Azure AD Domain Services. Questa connessione VPN/peering reti virtuali consente di usare il dominio gestito con i carichi di lavoro distribuiti in altre reti virtuali.This VPN/VNet peering connection enables you to use the managed domain with your workloads deployed in other virtual networks.

Connettività di rete virtuale classica

Usare il dominio gestito in una rete virtuale basata su Resource ManagerUse the managed domain in a Resource Manager-based virtual network

È possibile connettere una rete virtuale basata su Resource Manager alla rete virtuale classica in cui è abilitata la funzionalità Azure AD Domain Services.You can connect a Resource Manager-based virtual network to the Azure classic virtual network in which you have enabled Azure AD Domain Services. Questa connessione consente di usare il dominio gestito con i carichi di lavoro distribuiti nella rete virtuale basata su Resource Manager.This connection enables you to use the managed domain with your workloads deployed in the Resource Manager-based virtual network.

Connettività da rete virtuale basata su Resource Manager a rete virtuale classica

Opzioni per le connessioni di reteNetwork connection options

  • Connessioni da rete virtuale a rete virtuale tramite il peering reti virtuali: il peering reti virtuali è un meccanismo che connette due reti virtuali nella stessa area tramite la rete backbone di Azure.VNet-to-VNet connections using virtual network peering: Virtual network peering is a mechanism that connects two virtual networks in the same region through the Azure backbone network. Una volta eseguito il peering, le due reti virtuali appaiono come una sola per qualsiasi scopo di connettività.Once peered, the two virtual networks appear as one for all connectivity purposes. Continuano a essere gestite come risorse separate, ma le macchine virtuali in queste reti virtuali possono comunicare direttamente tra di esse usando gli indirizzi IP privati.They are still managed as separate resources, but virtual machines in these virtual networks can communicate with each other directly by using private IP addresses.

    Connettività di rete virtuale tramite peering

    Altre informazioni: Peering reti virtualiMore information - virtual network peering

  • Connessioni da rete virtuale a rete virtuale tramite connessioni VPN da sito a sito: la connessione di una rete virtuale a un'altra rete virtuale è simile alla connessione di una rete virtuale a un percorso di sito locale.VNet-to-VNet connections using site-to-site VPN connections: Connecting a virtual network to another virtual network (VNet-to-VNet) is similar to connecting a virtual network to an on-premises site location. Entrambi i tipi di connettività utilizzano un gateway VPN per fornire un tunnel sicuro tramite IPsec/IKE.Both connectivity types use a VPN gateway to provide a secure tunnel using IPsec/IKE.

    Connettività di rete virtuale tramite gateway VPN

    Altre informazioni: connettere reti virtuali usando il gateway VPNMore information - connect virtual networks using VPN gateway