Lernprogramm: Konfigurieren von virtuellen Netzwerken für eine verwaltete Domäne von Microsoft Entra Domain Services

Um Verbindungen mit Benutzern und Anwendungen bereitzustellen, wird eine verwaltete Microsoft Entra Domain Services-Domäne in einem virtuellen Azure-Netzwerk-Subnetz bereitgestellt. Dieses subnetz für virtuelle Netzwerke sollte nur für die von der Azure-Plattform bereitgestellten verwalteten Domänenressourcen verwendet werden.

Wenn Sie eigene VMs und Anwendungen erstellen, sollten sie nicht im selben virtuellen Netzwerk-Subnetz bereitgestellt werden. Stattdessen sollten Sie Ihre Anwendungen in einem separaten virtuellen Netzwerk-Subnetz oder in einem separaten virtuellen Netzwerk erstellen und bereitstellen, das mit dem virtuellen Netzwerk der Domänendienste verknüpft ist.

In diesem Lernprogramm erfahren Sie, wie Sie ein eigenes virtuelles Netzwerksubnetz konfigurieren und erstellen. Außerdem wird gezeigt, wie Sie ein anderes Netzwerk mit dem virtuellen Netzwerk der verwalteten Domäne der Domänendienste verbinden können.

In diesem Tutorial lernen Sie Folgendes:

• Nachvollziehen der VNet-Konnektivitätsoptionen für in die Domäne eingebundene Ressourcen im Zusammenhang mit Domain Services
• Erstellen eines IP-Adressbereichs und eines zusätzlichen Subnetzes im virtuellen Netzwerk der Domänendienste
• Konfigurieren Sie das virtuelle Netzwerk-Peering mit einem Netzwerk, das von den Domänendiensten getrennt ist.

Wenn Sie nicht über ein Azure-Abonnement verfügen, erstellen Sie ein Konto , bevor Sie beginnen.

Voraussetzungen

Um dieses Lernprogramm abzuschließen, benötigen Sie die folgenden Ressourcen und Berechtigungen:

• Ein aktives Azure-Abonnement.
  • Wenn Sie nicht über ein Azure-Abonnement verfügen, erstellen Sie ein Konto.
• Ein Microsoft Entra-Mandant, der Ihrem Abonnement zugeordnet ist und entweder mit einem lokalen Verzeichnis oder einem reinen Cloud-Verzeichnis synchronisiert ist.
  • Erstellen Sie bei Bedarf einen Microsoft Entra-Mandanten, oder ordnen Sie Ihrem Konto ein Azure-Abonnement zu.
• Sie benötigen die Microsoft Entra-Rollen Anwendungsadministrator und Gruppenadministrator in Ihrem Mandanten, um Domänendienste zu aktivieren.
• Sie benötigen die Azure-Rolle "Domain Services-Mitwirkender", um die erforderlichen Domänendiensteressourcen zu erstellen.
• Eine verwaltete Domäne von Microsoft Entra Domain Services ist in Ihrem Microsoft Entra-Mandanten aktiviert und konfiguriert.
  • Falls erforderlich, erstellt und konfiguriert das erste Tutorial eine verwaltete Domänevon Microsoft Entra Domain Services.

Melden Sie sich beim Microsoft Entra Admin Center an

In diesem Lernprogramm erstellen und konfigurieren Sie die verwaltete Domäne mithilfe des Microsoft Entra Admin Centers. Um zu beginnen, melden Sie sich zuerst beim Microsoft Entra Admin Centeran.

Konnektivitätsoptionen für Anwendungsworkloads

Im vorherigen Lernprogramm wurde eine verwaltete Domäne erstellt, die einige Standardkonfigurationsoptionen für das virtuelle Netzwerk verwendet hat. Diese Standardoptionen haben ein virtuelles Azure-Netzwerk und ein virtuelles Netzwerk-Subnetz erstellt. Die Domänencontroller der Domänendienste, die die verwalteten Domänendienste bereitstellen, sind mit diesem virtuellen Netzwerksubnetz verbunden.

Wenn Sie virtuelle Computer erstellen und ausführen, die die verwaltete Domäne verwenden müssen, muss die Netzwerkkonnektivität bereitgestellt werden. Diese Netzwerkkonnektivität kann auf eine der folgenden Arten bereitgestellt werden:

• Erstellen Sie ein zusätzliches virtuelles Netzwerk-Subnetz im virtuellen Netzwerk der verwalteten Domäne. Dieses zusätzliche Subnetz ist der Ort, an dem Sie Ihre virtuellen Computer erstellen und verbinden.
  • Da die virtuellen Computer Teil desselben virtuellen Netzwerks sind, können sie automatisch die Namensauflösung ausführen und mit den Domänencontrollern der Domänendienste kommunizieren.
• Konfigurieren Sie Azure Virtual Network Peering vom virtuellen Netzwerk der verwalteten Domäne zu einem oder mehreren separaten virtuellen Netzwerken. Diese separaten virtuellen Netzwerke sind der Ort, an dem Sie Ihre virtuellen Computer erstellen und verbinden.
  • Wenn Sie das Peering virtueller Netzwerke konfigurieren, müssen Sie auch DNS-Einstellungen konfigurieren, um die Namensauflösung für die Domain Services-Domänencontroller zu verwenden.

In der Regel verwenden Sie nur eine dieser Netzwerkkonnektivitätsoptionen. Die Wahl liegt häufig darin, wie Sie Ihre Azure-Ressourcen separat verwalten möchten.

• Wenn Sie Domänendienste und verbundene VMs als eine Gruppe von Ressourcen verwalten möchten, können Sie ein zusätzliches virtuelles Netzwerksubnetz für VMs erstellen.
• Wenn Sie die Verwaltung von Domänendiensten und dann alle verbundenen virtuellen Computer trennen möchten, können Sie virtuelle Netzwerk-Peering verwenden.
  • Sie können auch virtuelles Netzwerk-Peering verwenden, um verbindungen mit vorhandenen virtuellen Computern in Ihrer Azure-Umgebung bereitzustellen, die mit einem vorhandenen virtuellen Netzwerk verbunden sind.

In diesem Lernprogramm müssen Sie nur eine dieser Optionen für die Virtuelle Netzwerkkonnektivität konfigurieren.

Weitere Informationen zum Planen und Konfigurieren des virtuellen Netzwerks finden Sie unter Netzwerküberlegungen für Microsoft Entra Domain Services.

Erstellen eines virtuellen Netzwerksubnetz

Standardmäßig enthält das virtuelle Azure-Netzwerk, das mit der verwalteten Domäne erstellt wurde, ein einzelnes virtuelles Netzwerk-Subnetz. Dieses virtuelle Netzwerksubnetz sollte nur von der Azure-Plattform verwendet werden, um verwaltete Domänendienste bereitzustellen. Um Ihre eigenen virtuellen Computer in diesem virtuellen Azure-Netzwerk zu erstellen und zu verwenden, erstellen Sie ein zusätzliches Subnetz.

Führen Sie die folgenden Schritte aus, um ein virtuelles Netzwerk-Subnetz für VMs und Anwendungsworkloads zu erstellen:

1. Wählen Sie im Microsoft Entra Admin Center die Ressourcengruppe Ihrer verwalteten Domäne aus, z. B. myResourceGroup. Wählen Sie in der Liste der Ressourcen das virtuelle Standardnetzwerk aus, z. B. aadds-vnet.

2. Wählen Sie im Menü auf der linken Seite des Fensters des virtuellen Netzwerks die Option Adressraum aus. Das virtuelle Netzwerk wird mit einem einzelnen Adressraum (10.0.2.0/24) erstellt. Dieser wird vom Standardsubnetz verwendet.

   Fügen Sie dem virtuellen Netzwerk einen zusätzlichen IP-Adressbereich hinzu. Die Größe dieses Adressbereichs und der tatsächlich zu verwendende IP-Adressbereich hängen von anderen, bereits bereitgestellten Netzwerkressourcen ab. Der IP-Adressbereich darf sich nicht mit vorhandenen Adressbereichen in Ihrer Azure-Umgebung oder in Ihrer lokalen Umgebung überschneiden. Wählen Sie die Größe des IP-Adressbereichs so, dass sie für die Anzahl virtueller Computer ausreicht, die voraussichtlich im Subnetz bereitgestellt werden.

   Im folgenden Beispiel wird ein zusätzlicher IP-Adressbereich von 10.0.3.0/24 hinzugefügt. Wenn Sie fertig sind, wählen Sie "Speichern" aus.

   

3. Wählen Sie als Nächstes im Menü auf der linken Seite des Fensters für das virtuelle Netzwerk die Option Subnetze und anschließend + Subnetz aus, um ein Subnetz hinzuzufügen.

4. Geben Sie einen Namen für das Subnetz ein, z. B. Workloads. Aktualisieren Sie bei Bedarf den Adressbereich , wenn Sie in den vorherigen Schritten eine Teilmenge des für das virtuelle Netzwerk konfigurierten IP-Adressbereichs verwenden möchten. Lassen Sie vorerst die Standardwerte für Optionen wie Netzwerksicherheitsgruppe, Routentabelle und Dienstendpunkte unverändert.

   Im folgenden Beispiel wird ein Subnetz namens Workloads erstellt, das den IP-Adressbereich 10.0.3.0/24 verwendet:

   

5. Wählen Sie nach Abschluss des Vorgangs OK aus. Es dauert ein paar Augenblicke, um das virtuelle Netzwerk-Subnetz zu erstellen.

Wenn Sie einen virtuellen Computer erstellen, der die verwaltete Domäne verwenden muss, stellen Sie sicher, dass Sie dieses subnetz für virtuelle Netzwerke auswählen. Erstellen Sie keine virtuellen Computer im Standard-Aadds-Subnetz. Wenn Sie ein anderes virtuelles Netzwerk auswählen, gibt es keine Netzwerkkonnektivität und DNS-Auflösung, um die verwaltete Domäne zu erreichen, es sei denn, Sie konfigurieren ein virtuelles Netzwerk-Peering.

Konfigurieren des virtuellen Netzwerk-Peerings

Möglicherweise verfügen Sie über ein vorhandenes virtuelles Azure-Netzwerk für virtuelle Computer oder möchten Ihr verwaltetes virtuelles Netzwerk getrennt halten. Um die verwaltete Domäne zu verwenden, benötigen VMs in anderen virtuellen Netzwerken eine Möglichkeit, mit den Domänencontrollern der Domänendienste zu kommunizieren. Diese Konnektivität kann mithilfe von Azure Virtual Network Peering bereitgestellt werden.

Bei Azure Virtual Network Peering sind zwei virtuelle Netzwerke miteinander verbunden, ohne dass ein VPN-Gerät (Virtual Private Network) erforderlich ist. Mit Netzwerk-Peering können Sie virtuelle Netzwerke schnell verbinden und Datenverkehrsflüsse in Ihrer Azure-Umgebung definieren.

Weitere Informationen zum Peering finden Sie in der Azure Virtual Network Peering-Übersicht.

Führen Sie die folgenden Schritte aus, um ein virtuelles Netzwerk mit dem virtuellen Netzwerk der verwalteten Domäne zu peeren:

1. Wählen Sie das standardmäßige virtuelle Netzwerk aus, das für Ihre verwaltete Domäne mit dem Namen "aadds-vnet" erstellt wurde.

2. Wählen Sie im linken Menü des Virtuellen Netzwerkfensters Peerings aus.

3. Um einen Peering zu erstellen, wählen Sie +Hinzufügen aus. Im folgenden Beispiel wird das virtuelle Standardnetzwerk aadds-vnet mittels Peering mit einem virtuellen Netzwerk namens myVnet verbunden. Konfigurieren Sie die folgenden Einstellungen mit Ihren eigenen Werten:

   • Name des Peerings von aadds-vnet zu einem virtuellen Remotenetzwerk: Ein beschreibender Bezeichner der beiden Netzwerke, z. B. aadds-vnet-to-myvnet
   • Bereitstellungstyp für virtuelle Netzwerke: Ressourcen-Manager
   • Abonnement: Das Abonnement des virtuellen Netzwerks, mit dem Sie peeren möchten, z. B. Azure
   • Virtuelles Netzwerk: Das virtuelle Netzwerk, mit dem Sie peeren möchten, z. B. myVnet
   • Name des Peerings von myVnet zu aadds-vnet: Ein beschreibender Bezeichner der beiden Netzwerke, z. B. myvnet-to-aadds-vnet

   

   Belassen Sie alle anderen Standardwerte für den Zugriff auf virtuelle Netzwerke oder weitergeleiteten Datenverkehr, es sei denn, Sie verfügen über bestimmte Anforderungen für Ihre Umgebung, und wählen Sie dann "OK" aus.

4. Es dauert ein paar Augenblicke, um das Peering sowohl im virtuellen Netzwerk der Domänendienste als auch im von Ihnen ausgewählten virtuellen Netzwerk zu erstellen. Wenn sie bereit sind, meldet der Peeringstatus"Verbunden", wie im folgenden Beispiel gezeigt:

   

Damit virtuelle Computer im virtuellen Netzwerk mit Peering die verwaltete Domäne verwenden können, müssen die DNS-Server für eine korrekte Namensauflösung konfiguriert werden.

Konfigurieren von DNS-Servern im virtuellen Peered-Netzwerk

Damit VMs und Anwendungen im virtuellen Peernetzwerk erfolgreich mit der verwalteten Domäne kommunizieren können, müssen die DNS-Einstellungen aktualisiert werden. Die IP-Adressen der Domänencontroller der Domänendienste müssen als DNS-Server im virtuellen Peernetzwerk konfiguriert werden. Es gibt zwei Möglichkeiten, die Domänencontroller als DNS-Server für das virtuelle Peernetzwerk zu konfigurieren:

• Konfigurieren Sie die DNS-Server des virtuellen Azure-Netzwerks für die Verwendung der Domänencontroller der Domänendienste.
• Konfigurieren Sie den vorhandenen DNS-Server, der im virtuellen Peernetzwerk verwendet wird, um die bedingte DNS-Weiterleitung zu verwenden, um Abfragen an die verwaltete Domäne zu leiten. Diese Schritte variieren je nach dem vorhandenen verwendeten DNS-Server.

In diesem Lernprogramm konfigurieren wir die DNS-Server des virtuellen Azure-Netzwerks so, dass alle Abfragen an die Domänencontroller der Domänendienste ausgeführt werden.

1. Wählen Sie im Microsoft Entra Admin Center die Ressourcengruppe des virtuellen Peernetzwerks aus, z. B. myResourceGroup. Wählen Sie in der Liste der Ressourcen das virtuelle Peernetzwerk aus, z. B. myVnet.

2. Wählen Sie im linken Menü des Virtuellen Netzwerkfensters DNS-Server aus.

3. Standardmäßig verwendet ein virtuelles Netzwerk die in Azure bereitgestellten DNS-Server. Wählen Sie die Verwendung von benutzerdefinierten DNS-Servern aus. Geben Sie die IP-Adressen für die Domänencontroller der Domänendienste ein, die normalerweise 10.0.2.4 und 10.0.2.5 sind. Bestätigen Sie diese IP-Adressen im Übersichtsfenster Ihrer verwalteten Domäne im Portal.

   

4. Wenn Sie fertig sind, wählen Sie "Speichern" aus. Es dauert ein paar Minuten, die DNS-Server für das virtuelle Netzwerk zu aktualisieren.

5. Um die aktualisierten DNS-Einstellungen auf die virtuellen Computer anzuwenden, starten Sie virtuelle Computer neu, die mit dem virtuellen Peernetzwerk verbunden sind.

Wenn Sie einen virtuellen Computer erstellen, der die verwaltete Domäne verwenden muss, stellen Sie sicher, dass Sie dieses virtuelle Peernetzwerk auswählen. Wenn Sie ein anderes virtuelles Netzwerk auswählen, gibt es keine Netzwerkkonnektivität und DNS-Auflösung, um die verwaltete Domäne zu erreichen.

Nächste Schritte

In diesem Tutorial haben Sie Folgendes gelernt:

• Nachvollziehen der VNet-Konnektivitätsoptionen für in die Domäne eingebundene Ressourcen im Zusammenhang mit Domain Services
• Erstellen eines IP-Adressbereichs und eines zusätzlichen Subnetzes im virtuellen Netzwerk der Domänendienste
• Konfigurieren Sie das virtuelle Netzwerk-Peering mit einem Netzwerk, das von den Domänendiensten getrennt ist.

Um diese verwaltete Domäne in Aktion zu sehen, erstellen Und verbinden Sie einen virtuellen Computer mit der Domäne.

Verbinden eines virtuellen Windows Server-Computers mit Ihrer verwalteten Domäne