Samouczek: konfigurowanie sieci wirtualnej dla domeny zarządzanej usług Microsoft Entra Domain Services

Aby zapewnić łączność z użytkownikami i aplikacjami, domena zarządzana usług Microsoft Entra Domain Services jest wdrażana w podsieci sieci wirtualnej platformy Azure. Ta podsieć sieci wirtualnej powinna być używana tylko dla zasobów domeny zarządzanej udostępnianych przez platformę Azure.

Podczas tworzenia własnych maszyn wirtualnych i aplikacji nie należy ich wdrażać w tej samej podsieci sieci wirtualnej. Zamiast tego należy utworzyć i wdrożyć aplikacje w oddzielnej podsieci sieci wirtualnej lub w oddzielnej sieci wirtualnej równorzędnej z siecią wirtualną usług Domain Services.

W tym samouczku przedstawiono sposób tworzenia i konfigurowania dedykowanej podsieci sieci wirtualnej lub komunikacji równorzędnej innej sieci z siecią wirtualną domeny zarządzanej usług Domain Services.

Z tego samouczka dowiesz się, jak wykonywać następujące czynności:

• Omówienie opcji łączności sieci wirtualnej dla zasobów przyłączonych do domeny w usługach Domain Services
• Tworzenie zakresu adresów IP i dodatkowej podsieci w sieci wirtualnej usług Domenowych
• Konfigurowanie komunikacji równorzędnej sieci wirtualnych z siecią oddzieloną od usług Domain Services

Jeśli nie masz subskrypcji platformy Azure, przed rozpoczęciem utwórz konto.

Wymagania wstępne

Do ukończenia tego samouczka potrzebne są następujące zasoby i uprawnienia:

• Aktywna subskrypcja platformy Azure.
  • Jeśli nie masz subskrypcji platformy Azure, utwórz konto.
• Dzierżawa firmy Microsoft Entra skojarzona z twoją subskrypcją, zsynchronizowana z katalogiem lokalnym lub katalogiem tylko w chmurze.
  • W razie potrzeby utwórz dzierżawę firmy Microsoft Entra lub skojarz subskrypcję platformy Azure z twoim kontem.
• Aby włączyć usługi Domain Services, potrzebne są role application Administracja istrator i groups Administracja istrator firmy Microsoft w dzierżawie.
• Aby utworzyć wymagane zasoby usług domenowych, musisz mieć rolę współautora usług domenowych platformy Azure.
• Domena zarządzana usług Microsoft Entra Domain Services jest włączona i skonfigurowana w dzierżawie firmy Microsoft Entra.
  • W razie potrzeby pierwszy samouczek tworzy i konfiguruje domenę zarządzaną usług Microsoft Entra Domain Services.

Zaloguj się do centrum administracyjnego usługi Microsoft Entra

W tym samouczku utworzysz i skonfigurujesz domenę zarządzaną przy użyciu centrum administracyjnego firmy Microsoft Entra. Aby rozpocząć, najpierw zaloguj się do centrum administracyjnego firmy Microsoft Entra.

Opcje łączności obciążeń aplikacji

W poprzednim samouczku utworzono domenę zarządzaną, która używała niektórych domyślnych opcji konfiguracji dla sieci wirtualnej. Te domyślne opcje utworzyły sieć wirtualną platformy Azure i podsieć sieci wirtualnej. Kontrolery domeny usług domenowych, które zapewniają zarządzane usługi domenowe, są połączone z tą podsiecią sieci wirtualnej.

Podczas tworzenia i uruchamiania maszyn wirtualnych, które muszą używać domeny zarządzanej, należy zapewnić łączność sieciową. Tę łączność sieciową można udostępnić w jeden z następujących sposobów:

• Utwórz dodatkową podsieć sieci wirtualnej w sieci wirtualnej domeny zarządzanej. Ta dodatkowa podsieć to miejsce tworzenia i łączenia maszyn wirtualnych.
  • Ponieważ maszyny wirtualne są częścią tej samej sieci wirtualnej, mogą automatycznie wykonywać rozpoznawanie nazw i komunikować się z kontrolerami domeny usług Domain Services.
• Skonfiguruj komunikację równorzędną sieci wirtualnych platformy Azure z sieci wirtualnej domeny zarządzanej do co najmniej jednej oddzielnej sieci wirtualnej. Te oddzielne sieci wirtualne są miejscem tworzenia i łączenia maszyn wirtualnych.
  • Podczas konfigurowania komunikacji równorzędnej sieci wirtualnych należy również skonfigurować ustawienia DNS, aby używać rozpoznawania nazw z powrotem do kontrolerów domeny usług Domenowych.

Zazwyczaj używasz tylko jednej z tych opcji łączności sieciowej. Wybór często polega na tym, jak chcesz zarządzać oddzielnymi zasobami platformy Azure.

• Jeśli chcesz zarządzać usługami Domain Services i połączonymi maszynami wirtualnymi jako jedną grupą zasobów, możesz utworzyć dodatkową podsieć sieci wirtualnej dla maszyn wirtualnych.
• Jeśli chcesz oddzielić zarządzanie usługami Domain Services, a następnie wszystkie połączone maszyny wirtualne, możesz użyć komunikacji równorzędnej sieci wirtualnych.
  • Możesz również użyć komunikacji równorzędnej sieci wirtualnych w celu zapewnienia łączności z istniejącymi maszynami wirtualnymi w środowisku platformy Azure połączonymi z istniejącą siecią wirtualną.

W tym samouczku wystarczy skonfigurować tylko te opcje łączności sieci wirtualnej.

Aby uzyskać więcej informacji na temat planowania i konfigurowania sieci wirtualnej, zobacz Zagadnienia dotyczące sieci dla usług Microsoft Entra Domain Services.

Tworzenie podsieci sieci wirtualnej

Domyślnie sieć wirtualna platformy Azure utworzona przy użyciu domeny zarządzanej zawiera jedną podsieć sieci wirtualnej. Ta podsieć sieci wirtualnej powinna być używana tylko przez platformę Azure do świadczenia zarządzanych usług domenowych. Aby utworzyć i użyć własnych maszyn wirtualnych w tej sieci wirtualnej platformy Azure, utwórz dodatkową podsieć.

Aby utworzyć podsieć sieci wirtualnej dla maszyn wirtualnych i obciążeń aplikacji, wykonaj następujące kroki:

1. W centrum administracyjnym firmy Microsoft Entra wybierz grupę zasobów domeny zarządzanej, taką jak myResourceGroup. Z listy zasobów wybierz domyślną sieć wirtualną, taką jak aadds-vnet.

2. W menu po lewej stronie okna sieci wirtualnej wybierz pozycję Przestrzeń adresowa. Sieć wirtualna jest tworzona z jedną przestrzenią adresową 10.0.2.0/24, która jest używana przez domyślną podsieć.

   Dodaj dodatkowy zakres adresów IP do sieci wirtualnej. Rozmiar tego zakresu adresów i rzeczywisty zakres adresów IP do użycia zależy od innych już wdrożonych zasobów sieciowych. Zakres adresów IP nie powinien pokrywać się z żadnymi istniejącymi zakresami adresów na platformie Azure ani w środowisku lokalnym. Upewnij się, że rozmiar zakresu adresów IP jest wystarczająco duży dla liczby maszyn wirtualnych, które mają zostać wdrożone w podsieci.

   W poniższym przykładzie zostanie dodany dodatkowy zakres adresów IP 10.0.3.0/24 . Gdy wszystko będzie gotowe, wybierz pozycję Zapisz.

   

3. Następnie w menu po lewej stronie okna sieci wirtualnej wybierz pozycję Podsieci, a następnie wybierz pozycję + Podsieć, aby dodać podsieć.

4. Wprowadź nazwę podsieci, taką jak obciążenia. W razie potrzeby zaktualizuj zakres adresów, jeśli chcesz użyć podzbioru zakresu adresów IP skonfigurowanego dla sieci wirtualnej w poprzednich krokach. Na razie pozostaw wartości domyślne dla opcji, takich jak sieciowa grupa zabezpieczeń, tabela tras, punkty końcowe usługi.

   W poniższym przykładzie tworzona jest podsieć o nazwie workloads, która używa zakresu adresów IP 10.0.0.3.0/24:

   

5. Gdy wszystko będzie gotowe, wybierz przycisk OK. Utworzenie podsieci sieci wirtualnej zajmuje kilka chwil.

Podczas tworzenia maszyny wirtualnej, która musi używać domeny zarządzanej, upewnij się, że wybrano tę podsieć sieci wirtualnej. Nie twórz maszyn wirtualnych w domyślnej podsieci aadds.. W przypadku wybrania innej sieci wirtualnej nie ma łączności sieciowej i rozpoznawania nazw DNS w celu nawiązania połączenia z domeną zarządzaną, chyba że skonfigurujesz komunikację równorzędną sieci wirtualnych.

Konfigurowanie komunikacji równorzędnej sieci wirtualnych

Być może masz istniejącą sieć wirtualną platformy Azure dla maszyn wirtualnych lub chcesz zachować oddzielną sieć wirtualną domeny zarządzanej. Aby korzystać z domeny zarządzanej, maszyny wirtualne w innych sieciach wirtualnych wymagają sposobu komunikowania się z kontrolerami domeny usług domenowych. Tę łączność można zapewnić za pomocą komunikacji równorzędnej sieci wirtualnych platformy Azure.

Dzięki komunikacji równorzędnej sieci wirtualnych platformy Azure dwie sieci wirtualne są połączone ze sobą bez konieczności używania wirtualnego urządzenia sieci prywatnej (VPN). Komunikacja równorzędna sieci umożliwia szybkie łączenie sieci wirtualnych i definiowanie przepływów ruchu w środowisku platformy Azure.

Aby uzyskać więcej informacji na temat komunikacji równorzędnej, zobacz Omówienie komunikacji równorzędnej sieci wirtualnych platformy Azure.

Aby połączyć sieć wirtualną za pomocą komunikacji równorzędnej z siecią wirtualną domeny zarządzanej, wykonaj następujące czynności:

1. Wybierz domyślną sieć wirtualną utworzoną dla domeny zarządzanej o nazwie aadds-vnet.

2. W menu po lewej stronie okna sieci wirtualnej wybierz pozycję Komunikacje równorzędne.

3. Aby utworzyć komunikację równorzędną, wybierz pozycję + Dodaj. W poniższym przykładzie domyślna sieć aadds-vnet jest równorzędna z siecią wirtualną o nazwie myVnet. Skonfiguruj następujące ustawienia przy użyciu własnych wartości:

   • Nazwa komunikacji równorzędnej z sieci aadds-vnet do zdalnej sieci wirtualnej: opisowy identyfikator dwóch sieci, taki jak aadds-vnet-to-myvnet
   • Typ wdrożenia sieci wirtualnej: Resource Manager
   • Subskrypcja: subskrypcja sieci wirtualnej, z którą chcesz się łączyć równorzędnie, na przykład na platformie Azure
   • Sieć wirtualna: sieć wirtualna, z którą chcesz się połączyć równorzędnie, na przykład myVnet
   • Nazwa komunikacji równorzędnej z sieci myVnet do aadds-vnet: opisowy identyfikator dwóch sieci, taki jak myvnet-to-aadds-vnet

   

   Pozostaw inne wartości domyślne dla dostępu do sieci wirtualnej lub ruchu przekazywanego, chyba że masz określone wymagania dotyczące środowiska, a następnie wybierz przycisk OK.

4. Utworzenie komunikacji równorzędnej w sieci wirtualnej usług Domain Services i wybranej sieci wirtualnej zajmuje kilka chwil. Gdy wszystko będzie gotowe, stan komunikacji równorzędnej zostanie Połączenie, jak pokazano w poniższym przykładzie:

   

Zanim maszyny wirtualne w równorzędnej sieci wirtualnej będą mogły używać domeny zarządzanej, skonfiguruj serwery DNS, aby umożliwić poprawne rozpoznawanie nazw.

Konfigurowanie serwerów DNS w równorzędnej sieci wirtualnej

Aby maszyny wirtualne i aplikacje w równorzędnej sieci wirtualnej pomyślnie komunikowały się z domeną zarządzaną, należy zaktualizować ustawienia DNS. Adresy IP kontrolerów domeny usług domenowych muszą być skonfigurowane jako serwery DNS w równorzędnej sieci wirtualnej. Istnieją dwa sposoby konfigurowania kontrolerów domeny jako serwerów DNS dla równorzędnej sieci wirtualnej:

• Skonfiguruj serwery DNS sieci wirtualnej platformy Azure do korzystania z kontrolerów domeny usług Domenowych.
• Skonfiguruj istniejący serwer DNS w użyciu w równorzędnej sieci wirtualnej, aby używać warunkowego przekazywania DNS do bezpośrednich zapytań do domeny zarządzanej. Te kroki różnią się w zależności od używanego istniejącego serwera DNS.

W tym samouczku skonfigurujemy serwery DNS sieci wirtualnej platformy Azure tak, aby kierowały wszystkie zapytania do kontrolerów domeny usług Domain Services.

1. W centrum administracyjnym firmy Microsoft Entra wybierz grupę zasobów równorzędnej sieci wirtualnej, na przykład myResourceGroup. Z listy zasobów wybierz równorzędną sieć wirtualną, taką jak myVnet.

2. W menu po lewej stronie okna sieci wirtualnej wybierz pozycję Serwery DNS.

3. Domyślnie sieć wirtualna używa wbudowanych serwerów DNS udostępnianych przez platformę Azure. Wybierz opcję używania niestandardowych serwerów DNS. Wprowadź adresy IP kontrolerów domeny usług domenowych, które są zwykle 10.0.2.4 i 10.0.2.5. Potwierdź te adresy IP w oknie Przegląd domeny zarządzanej w portalu.

   

4. Gdy wszystko będzie gotowe, wybierz pozycję Zapisz. Zaktualizowanie serwerów DNS dla sieci wirtualnej zajmuje kilka chwil.

5. Aby zastosować zaktualizowane ustawienia DNS do maszyn wirtualnych, uruchom ponownie maszyny wirtualne połączone z równorzędną siecią wirtualną.

Podczas tworzenia maszyny wirtualnej, która musi używać domeny zarządzanej, upewnij się, że wybrano tę równorzędną sieć wirtualną. W przypadku wybrania innej sieci wirtualnej nie ma łączności sieciowej i rozpoznawania nazw DNS w celu uzyskania dostępu do domeny zarządzanej.

Następne kroki

W tym samouczku zawarto informacje na temat wykonywania następujących czynności:

• Omówienie opcji łączności sieci wirtualnej dla zasobów przyłączonych do domeny w usługach Domain Services
• Tworzenie zakresu adresów IP i dodatkowej podsieci w sieci wirtualnej usług Domenowych
• Konfigurowanie komunikacji równorzędnej sieci wirtualnych z siecią oddzieloną od usług Domain Services

Aby zobaczyć, jak działa ta domena zarządzana, utwórz i dołącz maszynę wirtualną do domeny.

Dołączanie maszyny wirtualnej z systemem Windows Server do domeny zarządzanej