Kurz: Konfigurace virtuálních sítí pro spravovanou doménu služby Microsoft Entra Domain Services

Aby bylo možné zajistit připojení k uživatelům a aplikacím, nasadí se spravovaná doména služby Microsoft Entra Domain Services do podsítě virtuální sítě Azure. Tato podsíť virtuální sítě by se měla používat jenom pro prostředky spravované domény poskytované platformou Azure.

Při vytváření vlastních virtuálních počítačů a aplikací by se neměly nasazovat do stejné podsítě virtuální sítě. Místo toho byste měli vytvářet a nasazovat aplikace do samostatné podsítě virtuální sítě nebo v samostatné virtuální síti, která je v partnerském vztahu k virtuální síti Domain Services.

V tomto kurzu se dozvíte, jak vytvořit a nakonfigurovat vyhrazenou podsíť virtuální sítě nebo jak vytvořit partnerský vztah jiné sítě k virtuální síti spravované domény služby Domain Services.

V tomto kurzu se naučíte:

• Vysvětlení možností připojení virtuální sítě k prostředkům připojeným k doméně ke službě Domain Services
• Vytvoření rozsahu IP adres a další podsítě ve virtuální síti Domain Services
• Konfigurace partnerského vztahu virtuálních sítí k síti, která je oddělená od služby Domain Services

Pokud nemáte předplatné Azure, vytvořte si účet , než začnete.

Požadavky

K dokončení tohoto kurzu potřebujete následující prostředky a oprávnění:

• Aktivní předplatné Azure.
  • Pokud nemáte předplatné Azure, vytvořte účet.
• Tenant Microsoft Entra přidružený k vašemu předplatnému, buď synchronizovaný s místním adresářem, nebo s cloudovým adresářem.
  • V případě potřeby vytvořte tenanta Microsoft Entra nebo přidružte předplatné Azure k vašemu účtu.
• K povolení služby Domain Services potřebujete aplikační Správa istrator a skupiny Správa istrator Microsoft Entra.
• K vytvoření požadovaných prostředků Domain Services potřebujete roli Přispěvatel služby Domain Services v Azure.
• Spravovaná doména služby Microsoft Entra Domain Services je povolená a nakonfigurovaná ve vašem tenantovi Microsoft Entra.
  • V případě potřeby první kurz vytvoří a nakonfiguruje spravovanou doménu služby Microsoft Entra Domain Services.

Přihlaste se do Centra pro správu Microsoft Entra

V tomto kurzu vytvoříte a nakonfigurujete spravovanou doménu pomocí Centra pro správu Microsoft Entra. Začněte tím, že se nejprve přihlásíte do Centra pro správu Microsoft Entra.

Možnosti připojení úloh aplikací

V předchozím kurzu se vytvořila spravovaná doména, která pro virtuální síť používala některé výchozí možnosti konfigurace. Tyto výchozí možnosti vytvořily virtuální síť Azure a podsíť virtuální sítě. Řadiče domény služby Domain Services, které poskytují spravované doménové služby, jsou připojené k této podsíti virtuální sítě.

Při vytváření a spouštění virtuálních počítačů, které potřebují používat spravovanou doménu, je potřeba zajistit síťové připojení. Toto síťové připojení je možné poskytnout jedním z následujících způsobů:

• Vytvořte další podsíť virtuální sítě ve virtuální síti spravované domény. Tato další podsíť je místo, kde vytváříte a propojíte virtuální počítače.
  • Vzhledem k tomu, že virtuální počítače jsou součástí stejné virtuální sítě, můžou automaticky provádět překlad názvů a komunikovat s řadiči domény domain Services.
• Nakonfigurujte partnerský vztah virtuálních sítí Azure z virtuální sítě spravované domény do jedné nebo více samostatných virtuálních sítí. Tyto samostatné virtuální sítě jsou místo, kde vytváříte a propojíte virtuální počítače.
  • Při konfiguraci partnerského vztahu virtuálních sítí musíte také nakonfigurovat nastavení DNS tak, aby používalo překlad názvů zpět na řadiče domény Domain Services.

Obvykle používáte pouze jednu z těchto možností připojení k síti. Volba je často nižší, než jak chcete spravovat samostatné prostředky Azure.

• Pokud chcete spravovat službu Domain Services a připojené virtuální počítače jako jednu skupinu prostředků, můžete pro virtuální počítače vytvořit další podsíť virtuální sítě.
• Pokud chcete oddělit správu služby Domain Services a pak všechny připojené virtuální počítače, můžete použít partnerský vztah virtuálních sítí.
  • Můžete se také rozhodnout použít partnerský vztah virtuálních sítí k zajištění připojení k existujícím virtuálním počítačům ve vašem prostředí Azure, které jsou připojené k existující virtuální síti.

V tomto kurzu stačí nakonfigurovat jenom jednu z těchto možností připojení k virtuální síti.

Další informace o plánování a konfiguraci virtuální sítě najdete v tématu Důležité informace o sítích pro službu Microsoft Entra Domain Services.

Vytvoření podsítě virtuální sítě

Ve výchozím nastavení virtuální síť Azure vytvořená se spravovanou doménou obsahuje jednu podsíť virtuální sítě. Tuto podsíť virtuální sítě by měla používat jenom platforma Azure k poskytování spravovaných doménových služeb. Pokud chcete vytvořit a používat vlastní virtuální počítače v této virtuální síti Azure, vytvořte další podsíť.

Pokud chcete vytvořit podsíť virtuální sítě pro virtuální počítače a úlohy aplikací, proveďte následující kroky:

1. V Centru pro správu Microsoft Entra vyberte skupinu prostředků vaší spravované domény, například myResourceGroup. V seznamu prostředků zvolte výchozí virtuální síť, například aadds-vnet.

2. V levé nabídce okna virtuální sítě vyberte Adresní prostor. Virtuální síť se vytvoří s jedním adresním prostorem 10.0.2.0/24, který se používá ve výchozí podsíti.

   Přidejte do virtuální sítě další rozsah IP adres. Velikost tohoto rozsahu adres a skutečného rozsahu IP adres, který se má použít, závisí na jiných síťových prostředcích, které jsou už nasazené. Rozsah IP adres by se neměl překrývat s žádnými existujícími rozsahy adres ve vašem prostředí Azure ani v místním prostředí. Ujistěte se, že velikost rozsahu IP adres dostatečně velký pro počet virtuálních počítačů, které očekáváte, že se nasadí do podsítě.

   V následujícím příkladu se přidá další rozsah IP adres 10.0.3.0/24 . Až budete připraveni, vyberte Uložit.

   

3. V levé nabídce okna virtuální sítě vyberte Podsítě a pak zvolte + Podsíť a přidejte podsíť .

4. Zadejte název podsítě, například úlohy. V případě potřeby aktualizujte rozsah adres, pokud chcete použít podmnožinu rozsahu IP adres nakonfigurovaného pro virtuální síť v předchozích krocích. Prozatím ponechte výchozí hodnoty možností, jako je skupina zabezpečení sítě, směrovací tabulka nebo koncové body služby.

   V následujícím příkladu se vytvoří podsíť s názvem úlohy, která používá rozsah IP adres 10.0.3.0/24:

   

5. Až budete připraveni, vyberte OK. Vytvoření podsítě virtuální sítě chvíli trvá.

Když vytvoříte virtuální počítač, který potřebuje používat spravovanou doménu, nezapomeňte vybrat tuto podsíť virtuální sítě. Nevytvávejte virtuální počítače ve výchozí podsíti aadds-subnet. Pokud vyberete jinou virtuální síť, neexistuje připojení k síti a překlad DNS pro přístup ke spravované doméně, pokud nenakonfigurujete partnerský vztah virtuálních sítí.

Konfigurace partnerského vztahu virtuálních sítí

Možná máte existující virtuální síť Azure pro virtuální počítače nebo chcete zachovat samostatnou virtuální síť spravované domény. Pokud chcete používat spravovanou doménu, virtuální počítače v jiných virtuálních sítích potřebují způsob, jak komunikovat s řadiči domény služby Domain Services. Toto připojení je možné poskytnout pomocí partnerského vztahu virtuálních sítí Azure.

V případě partnerského vztahu virtuálních sítí Azure jsou dvě virtuální sítě vzájemně propojené, aniž by bylo potřeba zařízení virtuální privátní sítě (VPN). Partnerský vztah sítě umožňuje rychle propojit virtuální sítě a definovat toky provozu napříč prostředím Azure.

Další informace o partnerském vztahu najdete v přehledu partnerského vztahu virtuálních sítí Azure.

Pokud chcete vytvořit partnerský vztah virtuální sítě k virtuální síti spravované domény, proveďte následující kroky:

1. Zvolte výchozí virtuální síť vytvořenou pro vaši spravovanou doménu s názvem aadds-vnet.

2. V levé nabídce okna virtuální sítě vyberte Partnerské vztahy.

3. Pokud chcete vytvořit partnerský vztah, vyberte + Přidat. V následujícím příkladu je výchozí síť aadds-vnet v partnerském vztahu k virtuální síti s názvem myVnet. Nakonfigurujte následující nastavení s vlastními hodnotami:

   • Název partnerského vztahu z aadds-vnet do vzdálené virtuální sítě: Popisný identifikátor těchto dvou sítí, například aadds-vnet-to-myvnet
   • Typ nasazení virtuální sítě: Resource Manager
   • Předplatné: Předplatné virtuální sítě, ke které chcete vytvořit partnerský vztah, například Azure
   • Virtuální síť: Virtuální síť, ke které chcete vytvořit partnerský vztah, například myVnet
   • Název partnerského vztahu z myVnet do aadds-vnet: Popisný identifikátor těchto dvou sítí, například myvnet-to-aadds-vnet

   

   Pro přístup k virtuální síti nebo přesměrovaný provoz ponechte jakékoli jiné výchozí hodnoty, pokud nemáte specifické požadavky pro vaše prostředí, a pak vyberte OK.

4. Vytvoření partnerského vztahu ve virtuální síti Domain Services a vybrané virtuální síti chvíli trvá. Jakmile budete připraveni, stavpartnerského vztahu se Připojení, jak je znázorněno v následujícím příkladu:

   

Než budou moct virtuální počítače v partnerské virtuální síti používat spravovanou doménu, nakonfigurujte servery DNS tak, aby umožňovaly správné překlady ip adres.

Konfigurace serverů DNS v partnerské virtuální síti

Aby virtuální počítače a aplikace v partnerské virtuální síti úspěšně komunikovaly se spravovanou doménou, musí se aktualizovat nastavení DNS. IP adresy řadičů domény služby Domain Services musí být nakonfigurované jako servery DNS v partnerské virtuální síti. Existují dva způsoby konfigurace řadičů domény jako serverů DNS pro partnerský virtuální síť:

• Nakonfigurujte servery DNS virtuální sítě Azure tak, aby používaly řadiče domény Domain Services.
• Nakonfigurujte existující server DNS, který se používá v partnerské virtuální síti, aby pomocí podmíněného předávání DNS směroval dotazy do spravované domény. Tyto kroky se liší v závislosti na používaném existujícím serveru DNS.

V tomto kurzu nakonfigurujeme servery DNS virtuální sítě Azure tak, aby směrovali všechny dotazy na řadiče domény Domain Services.

1. V Centru pro správu Microsoft Entra vyberte skupinu prostředků partnerské virtuální sítě, například myResourceGroup. V seznamu prostředků zvolte virtuální síť s partnerským vztahem, například myVnet.

2. V levé nabídce okna virtuální sítě vyberte servery DNS.

3. Ve výchozím nastavení používá virtuální síť integrované servery DNS poskytované v Azure. Zvolte použití vlastních serverů DNS. Zadejte IP adresy pro řadiče domény služby Domain Services, které jsou obvykle 10.0.2.4 a 10.0.2.5. Tyto IP adresy potvrďte v okně Přehled vaší spravované domény na portálu.

   

4. Až budete připraveni, vyberte Uložit. Aktualizace serverů DNS pro virtuální síť chvíli trvá.

5. Pokud chcete na virtuální počítače použít aktualizovaná nastavení DNS, restartujte virtuální počítače připojené k partnerské virtuální síti.

Při vytváření virtuálního počítače, který potřebuje používat spravovanou doménu, se ujistěte, že jste vybrali tuto partnerský virtuální síť. Pokud vyberete jinou virtuální síť, neexistuje připojení k síti a překlad DNS pro přístup ke spravované doméně.

Další kroky

V tomto kurzu jste se naučili, jak:

• Vysvětlení možností připojení virtuální sítě k prostředkům připojeným k doméně ke službě Domain Services
• Vytvoření rozsahu IP adres a další podsítě ve virtuální síti Domain Services
• Konfigurace partnerského vztahu virtuálních sítí k síti, která je oddělená od služby Domain Services

Pokud chcete zobrazit tuto spravovanou doménu v akci, vytvořte a připojte virtuální počítač k doméně.

Připojení virtuálního počítače s Windows Serverem ke spravované doméně