教學課程：設定 Microsoft Entra Domain Services 受控網域的虛擬網路

為了提供使用者和應用程式的連線能力，Microsoft Entra Domain Services 受控網域會部署到 Azure 虛擬網路子網。 此虛擬網路子網只應該用於 Azure 平臺所提供的受控網域資源。

當您建立自己的 VM 和應用程式時，不應該部署到相同的虛擬網路子網。 相反地，您應該建立應用程式並將其部署至不同的虛擬網路子網，或在與 Domain Services 虛擬網路對等互連的個別虛擬網路中。

本教學課程說明如何建立和設定專用虛擬網路子網，或如何將不同的網路對等互連至 Domain Services 受控網域的虛擬網路。

在本教學課程中，您會了解如何：

• 瞭解已加入網域資源的虛擬網路連線選項至網域服務
• 在 Domain Services 虛擬網路中建立 IP 位址範圍和其他子網
• 設定與網域服務分開的網路虛擬網路對等互連

如尚未擁有 Azure 訂用帳戶，請在開始之前先建立帳戶。

必要條件

若要完成本教學課程，您需要下列資源和許可權：

• 啟用中的 Azure 訂用帳戶。
  • 如果您沒有 Azure 訂用帳戶， 請建立帳戶 。
• 與您的訂用帳戶相關聯的 Microsoft Entra 租使用者，會與內部部署目錄或僅限雲端目錄同步。
  • 如有需要， 請建立 Microsoft Entra 租使用者 ，或 建立 Azure 訂用帳戶與您的帳戶 的關聯。
• 您需要 租使用者中的 Application 管理員istrator 和 Groups 管理員istrator Microsoft Entra 角色，才能啟用 Domain Services。
• 您需要 Domain Services 參與者 Azure 角色，才能建立必要的 Domain Services 資源。
• 在您的 Microsoft Entra 租使用者中啟用和設定 Microsoft Entra Domain Services 受控網域。
  • 如有需要，第一個教學課程 會建立並設定 Microsoft Entra Domain Services 受控網域 。

登入 Microsoft Entra 系統管理中心

在本教學課程中，您會使用 Microsoft Entra 系統管理中心來建立和設定受控網域。 若要開始使用，請先登入 Microsoft Entra 系統管理中心 。

應用程式工作負載連線選項

在上一個教學課程中，已建立受控網域，以使用虛擬網路的一些預設組態選項。 這些預設選項會建立 Azure 虛擬網路和虛擬網路子網。 提供受控網域服務的 Domain Services 網域控制站會連線到此虛擬網路子網。

當您建立並執行需要使用受控網域的 VM 時，必須提供網路連線能力。 您可以使用下列其中一種方式來提供此網路連線：

• 在受控網域的虛擬網路中建立額外的虛擬網路子網。 這個額外的子網是您建立和連線 VM 的位置。
  • 由於 VM 是相同虛擬網路的一部分，因此可以自動執行名稱解析，並與 Domain Services 網域控制站通訊。
• 設定從受控網域虛擬網路到一或多個個別虛擬網路的 Azure 虛擬網路對等互連。 這些個別的虛擬網路是您建立和連線 VM 的位置。
  • 當您設定虛擬網路對等互連時，也必須設定 DNS 設定，以使用名稱解析回到 Domain Services 網域控制站。

通常，您只會使用其中一個網路連線選項。 選擇通常要如何管理個別的 Azure 資源。

• 如果您想要將網域服務和連線的 VM 作為一組資源來管理，您可以為 VM 建立額外的虛擬網路子網。
• 如果您想要將網域服務的管理與任何連線的 VM 分開，您可以使用虛擬網路對等互連。
  • 您也可以選擇使用虛擬網路對等互連，為連線到現有虛擬網路的 Azure 環境中現有的 VM 提供連線能力。

在本教學課程中，您只需要設定其中一個虛擬網路連線選項。

如需如何規劃和設定虛擬網路的詳細資訊，請參閱 Microsoft Entra Domain Services 的網路考慮。

建立虛擬網路子網

根據預設，使用受控網域建立的 Azure 虛擬網路包含單一虛擬網路子網。 此虛擬網路子網只能由 Azure 平臺用來提供受控網域服務。 若要在此 Azure 虛擬網路中建立和使用您自己的 VM，請建立額外的子網。

若要建立 VM 和應用程式工作負載的虛擬網路子網，請完成下列步驟：

1. 在 Microsoft Entra 系統管理中心中，選取受控網域的資源群組，例如 myResourceGroup 。 從資源清單中，選擇預設虛擬網路，例如 aadds-vnet 。

2. 在虛擬網路視窗的左側功能表中，選取 [位址空間 ]。 虛擬網路會使用預設子網所使用的單一位址空間 10.0.2.0/24 來建立。

   將額外的 IP 位址範圍新增至虛擬網路。 此位址範圍和實際要使用的 IP 位址範圍大小取決於已部署的其他網路資源。 IP 位址範圍不應與 Azure 或內部部署環境中任何現有的位址範圍重迭。 請確定您大小 IP 位址範圍夠大，足以容納您預期要部署到子網中的 VM 數目。

   在下列範例中，會新增額外的 IP 位址範圍 10.0.3.0/24 。 準備好時，請選取 [ 儲存 ]。

   

3. 接下來，在虛擬網路視窗的左側功能表中，選取 [子網 ]，然後選擇 [ + 子網 ] 以新增子網。

4. 輸入子網的名稱，例如 工作負載 。 如有需要，如果您想要使用先前步驟中針對虛擬網路設定的 IP 位址範圍子集，請更新 位址 範圍。 目前，請保留網路安全性群組、路由表、服務端點等選項的預設值。

   在下列範例中，會建立名為 workloads 的 子網，其使用 10.0.3.0/24 IP 位址範圍：

   

5. 準備好時，請選取 [ 確定 ]。 建立虛擬網路子網需要幾分鐘的時間。

當您建立需要使用受控網域的 VM 時，請確定您選取此虛擬網路子網。 請勿在預設 aadds-subnet 中建立 VM。 如果您選取不同的虛擬網路，除非您設定虛擬網路對等互連，否則不會有任何網路連線和 DNS 解析可連線到受控網域。

設定虛擬網路對等互連

您可能有適用于 VM 的現有 Azure 虛擬網路，或想要將受控網域虛擬網路分開。 若要使用受控網域，其他虛擬網路中的 VM 需要與 Domain Services 網域控制站通訊的方式。 您可以使用 Azure 虛擬網路對等互連來提供此連線。

透過 Azure 虛擬網路對等互連，兩個虛擬網路會連線在一起，而不需要虛擬私人網路 （VPN） 裝置。 網路對等互連可讓您快速連線虛擬網路，並定義 Azure 環境中的流量流程。

如需對等互連的詳細資訊，請參閱 Azure 虛擬網路對等互連概觀 。

若要將虛擬網路對等互連至受控網域虛擬網路，請完成下列步驟：

1. 選擇為您的受控網域建立的預設虛擬網路，名為 aadds-vnet 。

2. 在虛擬網路視窗的左側功能表中，選取 [對等互連 ]。

3. 若要建立對等互連，請選取 [+ 新增 ]。 在下列範例中，預設 aadds-vnet 會對等互連至名為 myVnet 的虛擬網路。 使用您自己的值設定下列設定：

   • 從 aadds-vnet 對遠端虛擬網路 對等互連的名稱：兩個網路的描述性識別碼，例如 aadds-vnet-to-myvnet
   • 虛擬網路部署類型 ： Resource Manager
   • 訂 用帳戶：您想要對等互連的虛擬網路訂用帳戶，例如 Azure
   • 虛擬網路 ：您想要對等互連的虛擬網路，例如 myVnet
   • 從 myVnet 對 aadds-vnet 對等互連的名稱：兩個網路的描述性識別碼，例如 myvnet-to-aadds-vnet

   

   除非您有環境的特定需求，否則保留虛擬網路存取或轉送流量的任何其他預設值，然後選取 [ 確定 ]。

4. 在網域服務虛擬網路和您選取的虛擬網路上建立對等互連需要一些時間。 準備好時， 對等互連狀態 會報告 連線 ，如下列範例所示：

   

在對等互連虛擬網路中的 VM 可以使用受控網域之前，請設定 DNS 伺服器以允許正確的名稱解析。

在對等互連虛擬網路中設定 DNS 伺服器

若要讓對等互連虛擬網路中的 VM 和應用程式成功與受控網域通訊，則必須更新 DNS 設定。 Domain Services 網域控制站的 IP 位址必須設定為對等互連虛擬網路上的 DNS 伺服器。 有兩種方式可將網域控制站設定為對等互連虛擬網路的 DNS 伺服器：

• 設定 Azure 虛擬網路 DNS 伺服器以使用 Domain Services 網域控制站。
• 設定在對等互連虛擬網路上使用的現有 DNS 伺服器，以使用條件式 DNS 轉送將查詢導向受控網域。 這些步驟會根據使用中的現有 DNS 伺服器而有所不同。

在本教學課程中，讓我們設定 Azure 虛擬網路 DNS 伺服器，將所有查詢導向 Domain Services 網域控制站。

1. 在 Microsoft Entra 系統管理中心中，選取對等互連虛擬網路的資源群組，例如 myResourceGroup 。 從資源清單中，選擇對等互連的虛擬網路，例如 myVnet 。

2. 在虛擬網路視窗的左側功能表中，選取 [DNS 伺服器 ]。

3. 根據預設，虛擬網路會使用內建的 Azure 提供的 DNS 伺服器。 選擇使用 自訂 DNS 伺服器。 輸入網域服務網域控制站的 IP 位址，通常是 10.0.2.4 和 10.0.2.5 。 在入口網站中受控網域的 [概觀] 視窗中確認這些 IP 位址 。

   

4. 準備好時，請選取 [ 儲存 ]。 更新虛擬網路的 DNS 伺服器需要一些時間。

5. 若要將更新的 DNS 設定套用至 VM，請重新開機連線至對等互連虛擬網路的 VM。

當您建立需要使用受控網域的 VM 時，請確定您選取此對等互連虛擬網路。 如果您選取不同的虛擬網路，則沒有任何網路連線和 DNS 解析可連線到受控網域。

下一步

在本教學課程中，您已了解如何：

• 瞭解已加入網域資源的虛擬網路連線選項至網域服務
• 在 Domain Services 虛擬網路中建立 IP 位址範圍和其他子網
• 設定與網域服務分開的網路虛擬網路對等互連

若要查看此受控網域的運作情形，請建立虛擬機器並加入網域。

將 Windows Server 虛擬機器加入受控網域