Kurz: Konfigurace virtuálních sítí pro spravovanou doménu služby Microsoft Entra Domain Services

Aby bylo možné zajistit připojení k uživatelům a aplikacím, nasadí se spravovaná doména služby Microsoft Entra Domain Services do podsítě virtuální sítě Azure. Tato podsíť virtuální sítě by se měla používat jenom pro prostředky spravované domény poskytované platformou Azure.

Při vytváření vlastních virtuálních počítačů a aplikací by se neměly nasazovat do stejné podsítě virtuální sítě. Místo toho byste měli vytvářet a nasazovat aplikace do samostatné podsítě virtuální sítě nebo v samostatné virtuální síti, která je v partnerském vztahu k virtuální síti Domain Services.

V tomto kurzu se dozvíte, jak vytvořit a nakonfigurovat vyhrazenou podsíť virtuální sítě nebo jak vytvořit partnerský vztah jiné sítě k virtuální síti spravované domény služby Domain Services.

V tomto kurzu se naučíte:

• Pochopte možnosti připojení virtuální sítě pro prostředky připojené k doméně ke službě Domain Services
• Vytvoření rozsahu IP adres a další podsítě ve virtuální síti Domain Services
• Nakonfigurujte propojení virtuálních sítí se sítí, která je oddělena od Doménových služeb.

Pokud nemáte předplatné Azure, vytvořte si účet, než začnete.

Požadavky

K dokončení tohoto kurzu potřebujete následující prostředky a oprávnění:

• Aktivní předplatné Azure.
  • Pokud nemáte předplatné Azure, vytvořte účet.
• Tenant Microsoft Entra přidružený k vašemu předplatnému, buď synchronizovaný s místním adresářem, nebo s cloudovým adresářem.
  • V případě potřeby vytvořte tenanta Microsoft Entra nebo přidružit Azure předplatné k vašemu účtu.
• K povolení služby Domain Services potřebujete správce aplikací a správce skupin skupiny role Microsoft Entra ve vašem tenantovi.
• K vytvoření požadovaných prostředků Domain Services potřebujete roli Přispěvatel služby Domain Services v Azure.
• Spravovaná doména služby Microsoft Entra Domain Services je ve vašem tenantovi Microsoft Entra povolená a nakonfigurovaná.
  • V případě potřeby první kurz vytvoří a nakonfiguruje spravovanou doménu služby Microsoft Entra Domain Services.

Přihlášení k Centru pro správu Microsoft Entra

V tomto kurzu vytvoříte a nakonfigurujete spravovanou doménu pomocí Centra pro správu Microsoft Entra. Začněte tím, že se nejprve přihlásíte do centra pro správu Microsoft Entra.

Možnosti připojení pro pracovní zátěž aplikací

V předchozím kurzu se vytvořila spravovaná doména, která pro virtuální síť používala některé výchozí možnosti konfigurace. Tyto výchozí možnosti vytvořily virtuální síť Azure a podsíť virtuální sítě. Řadiče domény služby Domain Services, které poskytují spravované doménové služby, jsou připojené k této podsíti virtuální sítě.

Při vytváření a spouštění virtuálních počítačů, které potřebují používat spravovanou doménu, je potřeba zajistit síťové připojení. Toto síťové připojení je možné poskytnout jedním z následujících způsobů:

• Vytvořte další podsíť virtuální sítě ve virtuální síti spravované domény. Tato další podsíť je místo, kde vytváříte a propojíte virtuální počítače.
  • Vzhledem k tomu, že virtuální počítače jsou součástí stejné virtuální sítě, můžou automaticky provádět překlad názvů a komunikovat s řadiči domény domain Services.
• Nakonfigurujte propojení virtuálních sítí Azure ve virtuální síti spravovanou doménou do jedné nebo více samostatných virtuálních sítí. Tyto samostatné virtuální sítě jsou místo, kde vytváříte a propojíte virtuální počítače.
  • Při konfiguraci partnerského vztahu virtuálních sítí musíte také nakonfigurovat nastavení DNS tak, aby používalo překlad názvů zpět na řadiče domény Domain Services.

Obvykle používáte pouze jednu z těchto možností připojení k síti. Volba často závisí na tom, jak chcete spravovat oddělené prostředky Azure.

• Pokud chcete spravovat službu Domain Services a připojené virtuální počítače jako jednu skupinu prostředků, můžete pro virtuální počítače vytvořit další podsíť virtuální sítě.
• Pokud chcete oddělit správu doménových služeb a poté všechny připojené virtuální počítače, můžete využít propojování virtuálních sítí.
  • Můžete se také rozhodnout využít peering virtuálních sítí k zajištění připojení ke stávajícím virtuálním počítačům ve vašem prostředí Azure, které jsou připojeny k existující virtuální síti.

V tomto kurzu stačí nakonfigurovat jenom jednu z těchto možností připojení k virtuální síti.

Další informace o plánování a konfiguraci virtuální sítě najdete v tématu aspekty sítí pro službu Microsoft Entra Domain Services.

Vytvoření podsítě virtuální sítě

Ve výchozím nastavení virtuální síť Azure vytvořená se spravovanou doménou obsahuje jednu podsíť virtuální sítě. Tuto podsíť virtuální sítě by měla používat jenom platforma Azure k poskytování spravovaných doménových služeb. Pokud chcete vytvořit a používat vlastní virtuální počítače v této virtuální síti Azure, vytvořte další podsíť.

Pokud chcete vytvořit podsíť virtuální sítě pro virtuální počítače a úlohy aplikací, proveďte následující kroky:

1. V Centru pro správu Microsoft Entra vyberte skupinu prostředků vaší spravované domény, například myResourceGroup. V seznamu prostředků zvolte výchozí virtuální síť, například aadds-vnet .

2. V levé nabídce okna virtuální sítě vyberte Adresní prostor. Virtuální síť se vytvoří s jedním adresním prostorem 10.0.2.0/24, který se používá ve výchozí podsíti.

   Přidejte do virtuální sítě další rozsah IP adres. Velikost tohoto rozsahu adres a skutečného rozsahu IP adres, který se má použít, závisí na jiných síťových prostředcích, které jsou už nasazené. Rozsah IP adres by se neměl překrývat s žádnými existujícími rozsahy adres ve vašem prostředí Azure ani v místním prostředí. Ujistěte se, že je velikost rozsahu IP adres dostatečně velká pro počet virtuálních počítačů, které očekáváte nasadit do podsítě.

   V následujícím příkladu se přidá další rozsah IP adres 10.0.3.0/24. Až budete připraveni, zvolte Uložit.

   

3. Dále v levé nabídce okna virtuální sítě vyberte Podsítěa pak zvolte + Podsíť přidat podsíť.

4. Zadejte název podsítě, například úlohy. V případě potřeby aktualizujte rozsahu adres, pokud chcete použít podmnožinu rozsahu IP adres nakonfigurovanou pro virtuální síť v předchozích krocích. Prozatím ponechte výchozí hodnoty možností, jako je skupina zabezpečení sítě, směrovací tabulka nebo koncové body služby.

   V následujícím příkladu se vytvoří podsíť s názvem úloh, která používá rozsah IP adres 10.0.3.0/24:

   

5. Až budete připraveni, vyberte OK. Vytvoření podsítě virtuální sítě chvíli trvá.

Když vytvoříte virtuální počítač, který potřebuje používat spravovanou doménu, nezapomeňte vybrat tuto podsíť virtuální sítě. Nevytvádejte virtuální počítače ve výchozím aadds-subnet. Pokud vyberete jinou virtuální síť, není k dispozici síťové připojení a rozlišení DNS pro přístup ke spravované doméně, pokud nenakonfigurujete peerování virtuálních sítí.

Konfigurace propojení virtuálních sítí

Možná máte existující virtuální síť Azure pro virtuální počítače nebo chcete zachovat samostatnou virtuální síť spravované domény. Pokud chcete používat spravovanou doménu, virtuální počítače v jiných virtuálních sítích potřebují způsob, jak komunikovat s řadiči domény služby Domain Services. Toto připojení je možné poskytnout pomocí spojení virtuálních sítí Azure.

V případě partnerského vztahu virtuálních sítí Azure jsou dvě virtuální sítě vzájemně propojené, aniž by bylo potřeba zařízení virtuální privátní sítě (VPN). Partnerský vztah sítě umožňuje rychle propojit virtuální sítě a definovat toky provozu napříč prostředím Azure.

Další informace o propojení najdete v tématu přehled propojení virtuálních sítí Azure.

Pokud chcete připojit virtuální síť k virtuální síti spravované doménou, proveďte následující kroky:

1. Zvolte výchozí virtuální síť vytvořenou pro vaši spravovanou doménu s názvem aadds-vnet .

2. V levé nabídce okna virtuální sítě vyberte Peeringy.

3. Chcete-li vytvořit peering, vyberte + Přidat. V následujícím příkladu je výchozí aadds-vnet propojeno s virtuální sítí s názvem myVnet. Nakonfigurujte následující nastavení s vlastními hodnotami:

   • Název peeringu z aadds-vnet do vzdálené virtuální sítě: Popisný identifikátor těchto dvou sítí, například aadds-vnet-to-myvnet
   • typ nasazení virtuální sítě: Resource Manager
   • předplatné: Předplatné virtuální sítě, ke které se chcete propojit, například Azure
   • virtuální síť: Virtuální síť, ke které chcete propojit, například myVnet
   • název partnerského připojení mezi myVnet a aadds-vnet: Popisný identifikátor obou sítí, například myvnet-to-aadds-vnet

   

   Pokud nemáte pro své prostředí specifické požadavky, ponechte všechny ostatní výchozí hodnoty pro přístup k virtuální síti nebo předávaný provoz a pak vyberte OK.

4. Vytvoření propojení ve virtuální síti Domain Services a ve vybrané virtuální síti zabere jen pár okamžiků. Až budete připraveni, zprávy o stavu spojení zobrazí Připojené, jak je uvedeno v následujícím příkladu:

   

Než budou moci virtuální počítače v partnerské virtuální síti používat spravovanou doménu, nakonfigurujte servery DNS tak, aby umožnily správné rozlišení názvů.

Konfigurace serverů DNS v partnerské virtuální síti

Aby virtuální počítače a aplikace v partnerské virtuální síti úspěšně komunikovaly se spravovanou doménou, musí se aktualizovat nastavení DNS. IP adresy řadičů domény služby Domain Services musí být nakonfigurované jako servery DNS v partnerské virtuální síti. Jsou dva způsoby konfigurace řadičů domény jako serverů DNS pro spřažené virtuální síťe:

• Nakonfigurujte servery DNS virtuální sítě Azure tak, aby používaly řadiče domény Domain Services.
• Nakonfigurujte existující server DNS, který se používá v partnerské virtuální síti, aby pomocí podmíněného předávání DNS směroval dotazy do spravované domény. Tyto kroky se liší v závislosti na používaném existujícím serveru DNS.

V tomto kurzu nakonfigurujeme servery DNS virtuální sítě Azure tak, aby směrovali všechny dotazy na řadiče domény Domain Services.

1. V Centru pro správu Microsoft Entra vyberte skupinu prostředků partnerské virtuální sítě, například myResourceGroup. V seznamu prostředků vyberte partnerskou virtuální síť, například myVnet.

2. V levé nabídce okna virtuální sítě vyberte servery DNS.

3. Ve výchozím nastavení používá virtuální síť integrované servery DNS poskytované v Azure. Zvolte použití vlastních serverů DNS. Zadejte IP adresy pro řadiče domény služby Domain Services, které jsou obvykle 10.0.2.4 a 10.0.2.5. Tyto IP adresy potvrďte v okně přehledu spravované domény na portálu.

   

4. Až budete připraveni, vyberte Uložit. Aktualizace serverů DNS pro virtuální síť chvíli trvá.

5. Pokud chcete na virtuální počítače použít aktualizovaná nastavení DNS, restartujte virtuální počítače připojené k partnerské virtuální síti.

Při vytváření virtuálního počítače, který potřebuje používat spravovanou doménu, se ujistěte, že jste vybrali tuto propojenou virtuální síť. Pokud vyberete jinou virtuální síť, nebude žádné připojení k síti ani rozlišení DNS pro přístup ke spravované doméně.

Další kroky

V tomto kurzu jste se naučili:

• Pochopte možnosti připojení virtuální sítě pro prostředky připojené k doméně ke službám Domain Services
• Vytvoření rozsahu IP adres a další podsítě ve virtuální síti Domain Services
• Nakonfigurujte partnerské propojení virtuálních sítí k síti, oddělené od služby Domain Services

Pokud chcete zobrazit tuto spravovanou doménu v akci, vytvořte a připojte virtuální počítač k doméně.

Připojení virtuálního počítače s Windows Serverem k spravované domény