Considerazioni sulla progettazione della rete virtuale e opzioni di configurazione per Microsoft Entra Domain Services
Microsoft Entra Domain Services fornisce servizi di autenticazione e gestione ad altre applicazioni e carichi di lavoro. La connettività di rete è un componente chiave. Senza le risorse di rete virtuale configurate correttamente, le applicazioni e i carichi di lavoro non possono comunicare con e usare le funzionalità fornite da Servizi di dominio. Pianificare i requisiti di rete virtuale per assicurarsi che Servizi di dominio possa gestire le applicazioni e i carichi di lavoro in base alle esigenze.
Questo articolo illustra le considerazioni e i requisiti di progettazione per una rete virtuale di Azure per supportare Domain Services.
Progettazione della rete virtuale di Azure
Per fornire connettività di rete e consentire alle applicazioni e ai servizi di eseguire l'autenticazione in un dominio gestito di Servizi di dominio, usare una rete virtuale e una subnet di Azure. Idealmente, il dominio gestito deve essere distribuito nella propria rete virtuale.
È possibile includere una subnet applicazione separata nella stessa rete virtuale per ospitare la macchina virtuale di gestione o i carichi di lavoro delle applicazioni leggere. Una rete virtuale separata per carichi di lavoro di applicazioni più grandi o complessi, con peering alla rete virtuale di Servizi di dominio, è in genere la progettazione più appropriata.
Altre opzioni di progettazione sono valide, purché siano soddisfatti i requisiti descritti nelle sezioni seguenti per la rete virtuale e la subnet.
Durante la progettazione della rete virtuale per Servizi di dominio, si applicano le considerazioni seguenti:
- I servizi di dominio devono essere distribuiti nella stessa area di Azure della rete virtuale.
- In questo momento, è possibile distribuire un solo dominio gestito per ogni tenant di Microsoft Entra. Il dominio gestito viene distribuito in una singola area. Assicurarsi di creare o selezionare una rete virtuale in un'area che supporta Servizi di dominio.
- Prendere in considerazione la prossimità di altre aree di Azure e delle reti virtuali che ospitano i carichi di lavoro dell'applicazione.
- Per ridurre al minimo la latenza, mantenere le applicazioni principali vicine o nella stessa area della subnet di rete virtuale per il dominio gestito. È possibile usare il peering di rete virtuale o le connessioni VPN tra reti virtuali di Azure. Queste opzioni di connessione sono descritte in una sezione seguente.
- La rete virtuale non può basarsi su servizi DNS diversi da quelli forniti dal dominio gestito.
- Domain Services fornisce il proprio servizio DNS. La rete virtuale deve essere configurata per l'uso di questi indirizzi del servizio DNS. La risoluzione dei nomi per spazi dei nomi aggiuntivi può essere eseguita usando server d'inoltro condizionale.
- Non è possibile usare le impostazioni del server DNS personalizzate per indirizzare query da altri server DNS, incluse le macchine virtuali. Le risorse nella rete virtuale devono usare il servizio DNS fornito dal dominio gestito.
Importante
Non è possibile spostare Servizi di dominio in una rete virtuale diversa dopo aver abilitato il servizio.
Un dominio gestito si connette a una subnet in una rete virtuale di Azure. Progettare questa subnet per Domain Services con le considerazioni seguenti:
Un dominio gestito deve essere distribuito nella propria subnet. L'uso di una subnet, di una subnet del gateway o di un gateway remoto esistente nel peering di rete virtuale non è supportato.
Durante la distribuzione di un dominio gestito viene creato un gruppo di sicurezza di rete. Questo gruppo di sicurezza di rete contiene le regole necessarie per la comunicazione corretta del servizio.
- Non creare o usare un gruppo di sicurezza di rete esistente con regole personalizzate.
Un dominio gestito richiede 3-5 indirizzi IP. Assicurarsi che l'intervallo di indirizzi IP della subnet possa fornire questo numero di indirizzi.
- La limitazione degli indirizzi IP disponibili può impedire al dominio gestito di mantenere due controller di dominio.
Nota
Non è consigliabile usare indirizzi IP pubblici per le reti virtuali e le relative subnet a causa dei problemi seguenti:
Scarsità dell'indirizzo IP: gli indirizzi IP pubblici IPv4 sono limitati e la loro domanda spesso supera l'offerta disponibile. Esistono anche indirizzi IP potenzialmente sovrapposti con endpoint pubblici.
Rischi per la sicurezza: l'uso di indirizzi IP pubblici per le reti virtuali espone i dispositivi direttamente a Internet, aumentando il rischio di accessi non autorizzati e potenziali attacchi. Senza misure di sicurezza appropriate, i dispositivi possono diventare vulnerabili a varie minacce.
Complessità: la gestione di una rete virtuale con indirizzi IP pubblici può essere più complessa rispetto all'uso di indirizzi IP privati, in quanto richiede la gestione degli intervalli IP esterni e la garanzia di una corretta segmentazione e sicurezza di rete.
È consigliabile usare indirizzi IP privati. Se si usa un indirizzo IP pubblico, assicurarsi di essere il proprietario o l'utente dedicato degli indirizzi IP scelti nell'intervallo pubblico scelto.
Il diagramma di esempio seguente illustra una progettazione valida in cui il dominio gestito ha una propria subnet, una subnet del gateway per la connettività esterna e i carichi di lavoro dell'applicazione si trovano in una subnet connessa all'interno della rete virtuale:
Connessione ions alla rete virtuale di Servizi di dominio
Come indicato nella sezione precedente, è possibile creare un dominio gestito solo in una singola rete virtuale in Azure e creare un solo dominio gestito per ogni tenant di Microsoft Entra. In base a questa architettura, potrebbe essere necessario connettere una o più reti virtuali che ospitano i carichi di lavoro dell'applicazione alla rete virtuale del dominio gestito.
È possibile connettere i carichi di lavoro dell'applicazione ospitati in altre reti virtuali di Azure usando uno dei metodi seguenti:
- Peering di rete virtuale
- Rete privata virtuale (VPN)
Peering di rete virtuale
Peering di rete virtuale è un meccanismo che connette due reti virtuali nella stessa area tramite la rete backbone di Azure. Il peering di rete virtuale globale può connettere la rete virtuale tra aree di Azure. Una volta eseguito il peering, le due reti virtuali consentono alle risorse, ad esempio le macchine virtuali, di comunicare tra loro direttamente usando indirizzi IP privati. L'uso del peering di rete virtuale consente di distribuire un dominio gestito con i carichi di lavoro dell'applicazione distribuiti in altre reti virtuali.
Per altre informazioni, vedere Panoramica del peering di reti virtuali di Azure.
Rete privata virtuale (VPN)
È possibile connettere una rete virtuale a un'altra rete virtuale (da rete virtuale a rete virtuale) nello stesso modo in cui è possibile configurare una rete virtuale in un percorso del sito locale. Entrambe le connessioni usano un gateway VPN per creare un tunnel sicuro usando IPsec/IKE. Questo modello di connessione consente di distribuire il dominio gestito in una rete virtuale di Azure e quindi di connettere posizioni locali o altri cloud.
Per altre informazioni sull'uso della rete privata virtuale, vedere Configurare una connessione gateway VPN da rete virtuale a rete virtuale tramite l'interfaccia di amministrazione di Microsoft Entra.
Risoluzione dei nomi durante la connessione di reti virtuali
Le reti virtuali connesse alla rete virtuale del dominio gestito in genere hanno le proprie impostazioni DNS. Quando si connettono reti virtuali, non configura automaticamente la risoluzione dei nomi per la rete virtuale di connessione per risolvere i servizi forniti dal dominio gestito. La risoluzione dei nomi nelle reti virtuali di connessione deve essere configurata per consentire ai carichi di lavoro dell'applicazione di individuare il dominio gestito.
È possibile abilitare la risoluzione dei nomi usando server d'inoltro DNS condizionali nel server DNS che supporta le reti virtuali di connessione o usando gli stessi indirizzi IP DNS dalla rete virtuale del dominio gestito.
Risorse di rete usate da Domain Services
Un dominio gestito crea alcune risorse di rete durante la distribuzione. Queste risorse sono necessarie per il corretto funzionamento e la gestione del dominio gestito e non devono essere configurate manualmente.
Non bloccare le risorse di rete usate da Servizi di dominio. Se le risorse di rete vengono bloccate, non possono essere eliminate. Quando i controller di dominio devono essere ricompilati in tal caso, è necessario creare nuove risorse di rete con indirizzi IP diversi.
| Risorsa di Azure | Descrizione |
|---|---|
| Scheda interfaccia di rete | Domain Services ospita il dominio gestito in due controller di dominio (DCS) eseguiti in Windows Server come macchine virtuali di Azure. Ogni macchina virtuale ha un'interfaccia di rete virtuale che si connette alla subnet della rete virtuale. |
| Indirizzo IP pubblico standard dinamico | Domain Services comunica con il servizio di sincronizzazione e gestione usando un indirizzo IP pubblico sku Standard. Per altre informazioni sugli indirizzi IP pubblici, vedere Tipi di indirizzi IP e metodi di allocazione in Azure. |
| Servizio di bilanciamento del carico Standard di Azure | Domain Services usa un servizio di bilanciamento del carico SKU Standard per NAT (Network Address Translation) e il bilanciamento del carico (se usato con LDAP sicuro). Per altre informazioni sui servizi di bilanciamento del carico di Azure, vedere Che cos'è Azure Load Balancer? |
| Regole NAT (Network Address Translation) | Domain Services crea e usa due regole NAT in ingresso nel servizio di bilanciamento del carico per la comunicazione remota sicura di PowerShell. Se viene usato un servizio di bilanciamento del carico DELLO SKU Standard, anche questa avrà una regola NAT in uscita. Per il servizio di bilanciamento del carico SKU Basic, non è necessaria alcuna regola NAT in uscita. |
| Regole del servizio di bilanciamento del carico | Quando un dominio gestito è configurato per LDAP sicuro sulla porta TCP 636, vengono create tre regole e usate in un servizio di bilanciamento del carico per distribuire il traffico. |
Avviso
Non eliminare o modificare alcuna risorsa di rete creata da Servizi di dominio, ad esempio la configurazione manuale del servizio di bilanciamento del carico o le regole. Se si elimina o si modifica una qualsiasi delle risorse di rete, potrebbe verificarsi un'interruzione del servizio Domain Services.
Gruppi di sicurezza di rete e porte necessarie
Un gruppo di sicurezza di rete contiene un elenco di regole che consentono o negano il traffico di rete in una rete virtuale di Azure. Quando si distribuisce un dominio gestito, viene creato un gruppo di sicurezza di rete con un set di regole che consentono al servizio di fornire funzioni di autenticazione e gestione. Questo gruppo di sicurezza di rete predefinito è associato alla subnet della rete virtuale in cui viene distribuito il dominio gestito.
Le sezioni seguenti illustrano i gruppi di sicurezza di rete e i requisiti delle porte in ingresso e in uscita.
Connessioni in ingresso
Le regole in ingresso del gruppo di sicurezza di rete seguenti sono necessarie per il dominio gestito per fornire servizi di autenticazione e gestione. Non modificare o eliminare queste regole del gruppo di sicurezza di rete per la subnet di rete virtuale per il dominio gestito.
| Origine | Tag del servizio di origine | Intervalli porte di origine | Destinazione | Servizioo | Intervalli porte di destinazione | Protocollo | Azione | Richiesto | Scopo |
|---|---|---|---|---|---|---|---|---|---|
| Tag di servizio | AzureActiveDirectoryDomainServices | * | Any | WinRM | 5986 | TCP | Consenti | Sì | Gestione del dominio. |
| Tag di servizio | CorpNetSaw | * | Any | RDP | 3389 | TCP | Consenti | Facoltativo | Debug per il supporto |
Si noti che il tag di servizio CorpNetSaw non è disponibile tramite l'interfaccia di amministrazione di Microsoft Entra e la regola del gruppo di sicurezza di rete per CorpNetSaw deve essere aggiunta tramite PowerShell.
Domain Services si basa anche sulle regole di sicurezza predefinite AllowVnetInBound e AllowAzureLoadBalancerInBound.
La regola AllowVnetInBound consente tutto il traffico all'interno della rete virtuale che consente ai controller di dominio di comunicare e replicare correttamente, nonché consentire l'aggiunta a un dominio e altri servizi di dominio ai membri del dominio. Per altre informazioni sulle porte necessarie per Windows, vedere Panoramica dei servizi e requisiti delle porte di rete per Windows.
La regola AllowAzureLoadBalancerInBound è necessaria anche in modo che il servizio possa comunicare correttamente tramite il bilanciamento del carico per gestire i controller di dominio. Questo gruppo di sicurezza di rete protegge Domain Services ed è necessario affinché il dominio gestito funzioni correttamente. Non eliminare questo gruppo di sicurezza di rete. Il servizio di bilanciamento del carico non funzionerà correttamente senza di esso.
Se necessario, è possibile creare il gruppo di sicurezza di rete e le regole necessari usando Azure PowerShell.
Avviso
Quando si associa un gruppo di sicurezza di rete non configurato correttamente o una tabella di route definita dall'utente alla subnet in cui viene distribuito il dominio gestito, è possibile interrompere la capacità di Microsoft di eseguire il servizio e gestire il dominio. Anche la sincronizzazione tra il tenant di Microsoft Entra e il dominio gestito viene interrotta. Seguire tutti i requisiti elencati per evitare una configurazione non supportata che potrebbe interrompere la sincronizzazione, l'applicazione di patch o la gestione.
Se si usa LDAP sicuro, è possibile aggiungere la regola della porta TCP 636 necessaria per consentire il traffico esterno, se necessario. L'aggiunta di questa regola non inserisce le regole del gruppo di sicurezza di rete in uno stato non supportato. Per altre informazioni, vedere Bloccare l'accesso LDAP sicuro tramite Internet
Il contratto di servizio di Azure non si applica alle distribuzioni bloccate dagli aggiornamenti o dalla gestione da un gruppo di sicurezza di rete configurato in modo non corretto o una tabella di route definita dall'utente. Una configurazione di rete interrotta può anche impedire l'applicazione di patch di sicurezza.
Connettività in uscita
Per la connettività in uscita, è possibile mantenere AllowVnetOutbound e AllowInternetOutBound o limitare il traffico in uscita usando i ServiceTag elencati nella tabella seguente. Il ServiceTag per AzureUpdateDelivery deve essere aggiunto tramite PowerShell. Assicurarsi che nessun altro gruppo di sicurezza di rete con priorità più alta nega la connettività in uscita. Se la connettività in uscita viene negata, la replica non funzionerà tra i set di repliche.
| Numero di porta in uscita | Protocollo | Source (Sorgente) | Destination | Azione | Richiesto | Scopo |
|---|---|---|---|---|---|---|
| 443 | TCP | Any | AzureActiveDirectoryDomainServices | Consenti | Sì | Comunicazione con il servizio di gestione di Microsoft Entra Domain Services. |
| 443 | TCP | Any | AzureMonitor | Allow | Sì | Monitoraggio delle macchine virtuali. |
| 443 | TCP | Any | Storage | Allow | Sì | Comunicazione con Archiviazione di Azure. |
| 443 | TCP | Any | Microsoft Entra ID | Consenti | Sì | Comunicazione con Microsoft Entra ID. |
| 443 | TCP | Any | AzureUpdateDelivery | Consenti | Sì | Comunicazione con Windows Update. |
| 80 | TCP | Any | AzureFrontDoor.FirstParty | Consenti | Sì | Download di patch da Windows Update. |
| 443 | TCP | Any | GuestAndHybridManagement | Consenti | Sì | Gestione automatica delle patch di sicurezza. |
Porta 5986 - Gestione tramite la comunicazione remota di PowerShell
- Usato per eseguire attività di gestione tramite la comunicazione remota di PowerShell nel dominio gestito.
- Senza l'accesso a questa porta, il dominio gestito non può essere aggiornato, configurato, sottoposto a backup o monitorato.
- È possibile limitare l'accesso in ingresso a questa porta al tag del servizio AzureActiveDirectoryDomainServices .
Porta 3389 - Gestione con Desktop remoto
- Usato per le connessioni desktop remoto ai controller di dominio nel dominio gestito.
- La regola predefinita del gruppo di sicurezza di rete usa il tag del servizio CorpNetSaw per limitare ulteriormente il traffico.
- Questo tag di servizio consente solo workstation di accesso sicuro nella rete aziendale Microsoft di usare desktop remoto al dominio gestito.
- L'accesso è consentito solo con giustificazione aziendale, ad esempio per scenari di gestione o risoluzione dei problemi.
- Questa regola può essere impostata su Nega e può essere impostata solo su Consenti quando necessario. La maggior parte delle attività di gestione e monitoraggio viene eseguita tramite la comunicazione remota di PowerShell. RDP viene usato solo nel raro caso in cui Microsoft debba connettersi in remoto al dominio gestito per la risoluzione dei problemi avanzata.
Non è possibile selezionare manualmente il tag del servizio CorpNetSaw dal portale se si tenta di modificare questa regola del gruppo di sicurezza di rete. È necessario usare Azure PowerShell o l'interfaccia della riga di comando di Azure per configurare manualmente una regola che usa il tag del servizio CorpNetSaw .
Ad esempio, è possibile usare lo script seguente per creare una regola che consenta RDP:
Get-AzNetworkSecurityGroup -Name "nsg-name" -ResourceGroupName "resource-group-name" | Add-AzNetworkSecurityRuleConfig -Name "new-rule-name" -Access "Allow" -Protocol "TCP" -Direction "Inbound" -Priority "priority-number" -SourceAddressPrefix "CorpNetSaw" -SourcePortRange "*" -DestinationPortRange "3389" -DestinationAddressPrefix "*" | Set-AzNetworkSecurityGroup
Route definite dall'utente
Le route definite dall'utente non vengono create per impostazione predefinita e non sono necessarie per il corretto funzionamento di Servizi di dominio. Se è necessario usare le tabelle di route, evitare di apportare modifiche alla route 0.0.0.0.0 . Le modifiche apportate a questa route interrompono Servizi di dominio e impostano il dominio gestito in uno stato non supportato.
È anche necessario instradare il traffico in ingresso dagli indirizzi IP inclusi nei rispettivi tag del servizio di Azure alla subnet del dominio gestito. Per altre informazioni sui tag del servizio e sull'indirizzo IP associato, vedere Intervalli IP e tag di servizio di Azure - Cloud pubblico.
Attenzione
Questi intervalli IP del data center di Azure possono cambiare senza preavviso. Assicurarsi di disporre di processi per verificare di avere gli indirizzi IP più recenti.
Passaggi successivi
Per altre informazioni su alcune delle risorse di rete e sulle opzioni di connessione usate da Servizi di dominio, vedere gli articoli seguenti: