Tutorial: Konfigurieren eines virtuellen Netzwerks für eine verwaltete Microsoft Entra Domain Services-Domäne
Um Konnektivität für Benutzer*innen und Anwendungen bereitzustellen, wird eine verwaltete Microsoft Entra Domain Services-Domäne in einem Azure-VNet-Subnetz bereitgestellt. Dieses VNET-Subnetz darf nur für die von der Azure-Plattform bereitgestellten Ressourcen der verwalteten Domäne verwendet werden.
Selbst erstellte virtuelle Computer und Anwendungen dürfen nicht im gleichen VNET-Subnetz bereitgestellt werden. Stattdessen müssen Ihre Anwendungen in einem separaten VNet-Subnetz oder in einem separaten VNet erstellt und bereitgestellt werden, das mittels Peering mit dem Domain Services-VNet verbunden ist.
In diesem Tutorial erfahren Sie, wie Sie ein dediziertes VNet-Subnetz erstellen und konfigurieren oder ein anderes Netzwerk mittels Peering mit dem virtuellen Netzwerk der verwalteten Domain Services-Domäne verbinden.
In diesem Tutorial lernen Sie Folgendes:
- Nachvollziehen der VNet-Konnektivitätsoptionen für in die Domäne eingebundene Ressourcen im Zusammenhang mit Domain Services
- Erstellen eines IP-Adressbereichs und eines zusätzlichen Subnetzes im virtuellen Domain Services-Netzwerk
- Konfigurieren des Peerings virtueller Netzwerke in einem von Domain Services getrennten Netzwerk
Wenn Sie kein Azure-Abonnement besitzen, erstellen Sie ein Konto, bevor Sie beginnen.
Voraussetzungen
Für dieses Tutorial benötigen Sie die folgenden Ressourcen und Berechtigungen:
- Ein aktives Azure-Abonnement.
- Wenn Sie kein Azure-Abonnement besitzen, erstellen Sie ein Konto.
- Einen mit Ihrem Abonnement verknüpften Microsoft Entra-Mandanten, der entweder mit einem lokalen Verzeichnis synchronisiert oder ein reines Cloudverzeichnis ist.
- Erstellen Sie einen Microsoft Entra-Mandanten, oder verknüpfen Sie ein Azure-Abonnement mit Ihrem Konto, sofern erforderlich.
- Sie benötigen die Microsoft Entra-Rollen Anwendungsadministrator und Gruppenadministrator in Ihrem Mandanten, um Domain Services zu aktivieren.
- Sie benötigen die Azure-Rolle Domain Services-Mitwirkender, um die erforderlichen Domain Services-Ressourcen zu erstellen.
- Eine von Microsoft Entra Domain Services verwaltete Domäne, die in Ihrem Microsoft Entra-Mandanten aktiviert und konfiguriert ist
- Im ersten Tutorial wird bei Bedarf eine von Microsoft Entra Domain Services verwaltete Domäne erstellt und konfiguriert.
Anmelden beim Microsoft Entra Admin Center
In diesem Tutorial erstellen und konfigurieren Sie die verwaltete Domäne über das Microsoft Entra Admin Center. Um zu beginnen, melden Sie sich zunächst beim Microsoft Entra Admin Center an.
Konnektivitätsoptionen für die Anwendungsworkload
Im vorherigen Tutorial wurde eine verwaltete Domäne mit einigen Standardkonfigurationsoptionen für das virtuelle Netzwerk erstellt. Durch diese Standardoptionen wurden ein virtuelles Azure-Netzwerk und ein VNET-Subnetz erstellt. Die Domain Services-Domänencontroller, die die verwalteten Domänendienste bereitstellen, sind mit diesem VNet-Subnetz verbunden.
Wenn Sie virtuelle Computer erstellen und ausführen, die die verwaltete Domäne benötigen, ist Netzwerkkonnektivität erforderlich. Diese Netzwerkkonnektivität kann auf eine der folgenden Arten bereitgestellt werden:
- Erstellen Sie im virtuellen Netzwerk der verwalteten Domäne ein zusätzliches VNET-Subnetz. In diesem zusätzlichen Subnetz können Sie dann Ihre virtuellen Computer erstellen und verbinden.
- Da die VMs demselben virtuellen Netzwerk angehören, können sie automatisch eine Namensauflösung durchführen und mit den Domain Services-Domänencontrollern kommunizieren.
- Konfigurieren Sie das Peering virtueller Azure-Netzwerke zwischen dem virtuellen Netzwerk der verwalteten Domäne und mindestens einem separaten virtuellen Netzwerk. In diesen separaten virtuellen Netzwerken können Sie Ihre virtuellen Computer erstellen und verbinden.
- Wenn Sie das Peering virtueller Netzwerke konfigurieren, müssen Sie auch DNS-Einstellungen konfigurieren, um die Namensauflösung für die Domain Services-Domänencontroller zu verwenden.
In der Regel wird nur eine dieser Netzwerkkonnektivitätsoptionen verwendet. Die Wahl der Option hängt häufig davon ab, wie Sie Ihre Azure-Ressourcen verwalten/trennen möchten.
- Wenn Sie Domain Services und verbundene VMs als einzelne Ressourcengruppe verwalten möchten, können Sie ein zusätzliches VNet-Subnetz für die VMs erstellen.
- Wenn Sie Domain Services und verbundene VMs getrennt verwalten möchten, können Sie das Peering virtueller Netzwerke verwenden.
- Das Peering virtueller Netzwerke kann auch verwendet werden, um Konnektivität für vorhandene virtuelle Computer in Ihrer Azure-Umgebung bereitzustellen, die mit einem vorhandenen virtuellen Netzwerk verbunden sind.
In diesem Tutorial muss lediglich eine dieser Verbindungsoptionen für das virtuelle Netzwerk konfiguriert werden.
Weitere Informationen zum Planen und Konfigurieren des virtuellen Netzwerks finden Sie unter Netzwerkaspekte für die Microsoft Entra Domain Services.
Erstellen eines VNET-Subnetzes
Standardmäßig enthält das virtuelle Azure-Netzwerk, das mit der verwalteten Domäne erstellt wurde, ein einzelnes VNET-Subnetz. Dieses VNET-Subnetz darf von der Azure-Plattform nur verwendet werden, um Ressourcen der verwalteten Domäne bereitzustellen. Erstellen Sie ein zusätzliches Subnetz, um Ihre eigenen virtuellen Computer in diesem virtuellen Azure-Netzwerk zu erstellen und zu verwenden.
Gehen Sie wie folgt vor, um ein VNET-Subnetz für virtuelle Computer und Anwendungsworkloads zu erstellen:
Wählen Sie im Microsoft Entra Admin Center die Ressourcengruppe Ihrer verwalteten Domäne aus, z. B. myResourceGroup. Wählen Sie in der Ressourcenliste das virtuelle Standardnetzwerk aus (beispielsweise aadds-vnet).
Wählen Sie im Menü auf der linken Seite des Fensters des virtuellen Netzwerks die Option Adressraum aus. Das virtuelle Netzwerk wird mit einem einzelnen Adressraum (10.0.2.0/24) erstellt. Dieser wird vom Standardsubnetz verwendet.
Fügen Sie dem virtuellen Netzwerk einen zusätzlichen IP-Adressbereich hinzu. Die Größe dieses Adressbereichs und der tatsächlich zu verwendende IP-Adressbereich hängen von anderen, bereits bereitgestellten Netzwerkressourcen ab. Der IP-Adressbereich darf sich nicht mit vorhandenen Adressbereichen in Ihrer Azure-Umgebung oder in Ihrer lokalen Umgebung überschneiden. Wählen Sie die Größe des IP-Adressbereichs so, dass sie für die Anzahl virtueller Computer ausreicht, die voraussichtlich im Subnetz bereitgestellt werden.
Im folgenden Beispiel wird ein zusätzlicher IP-Adressbereich (10.0.3.0/24) hinzugefügt. Wählen Sie Speichern aus, wenn Sie so weit sind.
Wählen Sie als Nächstes im Menü auf der linken Seite des Fensters für das virtuelle Netzwerk die Option Subnetze und anschließend + Subnetz aus, um ein Subnetz hinzuzufügen.
Geben Sie einen Namen für das Subnetz ein (beispielsweise workloads). Aktualisieren Sie bei Bedarf den Adressbereich, wenn Sie eine Teilmenge des IP-Adressbereichs verwenden möchten, der in den vorherigen Schritten für das virtuelle Netzwerk konfiguriert wurde. Behalten Sie für Optionen wie Netzwerksicherheitsgruppe, Routingtabelle und Dienstendpunkte vorerst die Standardeinstellungen bei.
Im folgenden Beispiel wird ein Subnetz namens workloads mit dem IP-Adressbereich 10.0.3.0/24 erstellt:
Wählen Sie nach Abschluss des Vorgangs OK aus. Die Erstellung des VNET-Subnetzes dauert etwas.
Wenn Sie einen virtuellen Computer erstellen, der die verwaltete Domäne verwenden muss, muss dieses VNET-Subnetz ausgewählt werden. Erstellen Sie keine virtuellen Computer im Standardsubnetz (aadds-subnet). Wenn Sie ein anderes virtuelles Netzwerk auswählen, besteht keine Netzwerkkonnektivität, und es gibt keine DNS-Auflösung, um die verwaltete Domäne zu erreichen – es sei denn, Sie konfigurieren das Peering virtueller Netzwerke.
Konfigurieren des VNET-Peerings
Möglicherweise verfügen Sie über ein bereits vorhandenes virtuelles Azure-Netzwerk für virtuelle Computer oder möchten Ihr virtuelles Netzwerk der verwalteten Domäne separat nutzen. Um die verwaltete Domäne verwenden zu können, müssen VMs in anderen virtuellen Netzwerken mit den Domain Services-Domänencontrollern kommunizieren können. Diese Konnektivität kann mithilfe des Peerings virtueller Azure-Netzwerke bereitgestellt werden.
Mithilfe des Peerings virtueller Azure-Netzwerke werden zwei virtuelle Netzwerke ohne Verwendung eines VPN-Geräts (virtuelles privates Netzwerk) miteinander verbunden. Per Netzwerkpeering können Sie schnell eine Verbindung zwischen virtuellen Netzwerken herstellen und Datenverkehrsflüsse in Ihrer gesamten Azure-Umgebung definieren.
Weitere Informationen zum Peering finden Sie in der Übersicht über das Peering virtueller Azure-Netzwerke.
Gehen Sie wie folgt vor, wenn Sie ein virtuelles Netzwerk mittels Peering mit dem virtuellen Netzwerk der verwalteten Domäne verbinden möchten:
Wählen Sie das virtuelle Standardnetzwerk aus, das für Ihre verwaltete Domäne namens aadds-vnet erstellt wurde.
Wählen Sie im Menü auf der linken Seite des Fensters des virtuellen Netzwerks die Option Peerings aus.
Wählen Sie + Hinzufügen aus, um ein Peering zu erstellen. Im folgenden Beispiel wird das virtuelle Standardnetzwerk aadds-vnet mittels Peering mit einem virtuellen Netzwerk namens myVnet verbunden. Konfigurieren Sie die folgenden Einstellungen mit Ihren eigenen Werten:
- Name für das Peering von „aadds-vnet“ zu „Virtuelles Remotenetzwerk“ : Ein aussagekräftiger Bezeichner für die beiden Netzwerke (beispielsweise aadds-vnet-to-myvnet).
- Bereitstellungsmodell für das virtuelle Netzwerk: Ressourcen-Manager
- Abonnement: Das Abonnement des virtuellen Netzwerks, das Sie mittels Peering verbinden möchten (beispielsweise Azure).
- Virtuelles Netzwerk: Das virtuelle Netzwerk, das Sie mittels Peering verbinden möchten (beispielsweise myVnet).
- Name für das Peering von „myVnet“ zu „aadds-vnet“ : Ein aussagekräftiger Bezeichner für die beiden Netzwerke (beispielsweise myvnet-to-aadds-vnet).
Behalten Sie die Standardeinstellungen für den VNET-Zugriff sowie für weitergeleiteten Datenverkehr bei – es sei denn, Sie haben spezielle Anforderungen für Ihre Umgebung. Wählen Sie OK aus.
Es dauert etwas, bis das Peering sowohl für das virtuelle Domain Services-Netzwerk als auch für das ausgewählte virtuelle Netzwerk eingerichtet wurde. Nach Abschluss des Vorgangs wird unter Peeringstatus der Status Verbunden angezeigt, wie im folgenden Beispiel zu sehen:
Damit virtuelle Computer im virtuellen Netzwerk mit Peering die verwaltete Domäne verwenden können, müssen die DNS-Server für eine korrekte Namensauflösung konfiguriert werden.
Konfigurieren von DNS-Servern im mittels Peering verbundenen virtuellen Netzwerk
Damit virtuelle Computer und Anwendungen im virtuellen Netzwerk mit Peering erfolgreich mit der verwalteten Domäne kommunizieren können, müssen die DNS-Einstellungen aktualisiert werden. Die IP-Adressen der Domain Services-Domänencontroller müssen als DNS-Server für das mittels Peering verbundene virtuelle Netzwerk konfiguriert werden. Domänencontroller können auf zwei Arten als DNS-Server für das mittels Peering verbundene virtuelle Netzwerk konfiguriert werden:
- Konfigurieren Sie die DNS-Server des virtuellen Azure-Netzwerks für die Verwendung der Domain Services-Domänencontroller.
- Konfigurieren Sie den vorhandenen DNS-Server, der im virtuellen Netzwerk mit Peering verwendet wird, für die Verwendung der bedingten DNS-Weiterleitung, um Abfragen an die verwaltete Domäne weiterzuleiten. Diese Schritte sind abhängig vom verwendeten vorhandenen DNS-Server.
In diesem Tutorial werden die DNS-Server des virtuellen Azure-Netzwerks für die Weiterleitung aller Abfragen an die Domain Services-Domänencontroller konfiguriert.
Wählen Sie im Microsoft Entra Admin Center die Ressourcengruppe des Peer-VNets aus, z. B. myResourceGroup. Wählen Sie in der Ressourcenliste das mittels Peering verbundene virtuelle Netzwerk aus (beispielsweise myVnet).
Wählen Sie im Menü auf der linken Seite des Fensters des virtuellen Netzwerks die Option DNS-Server aus.
Von einem virtuellen Netzwerk werden standardmäßig die integrierten, von Azure bereitgestellten DNS-Server verwendet. Wählen Sie die DNS-Serveroption Benutzerdefiniert aus. Geben Sie die IP-Adressen für die Domain Services-Domänencontroller ein (üblicherweise 10.0.2.4 und 10.0.2.5). Bestätigen Sie diese IP-Adressen im Portal im Fenster Übersicht Ihrer verwalteten Domäne.
Wählen Sie Speichern aus, wenn Sie so weit sind. Es dauert etwas, bis die DNS-Server für das virtuelle Netzwerk aktualisiert wurden.
Starten Sie die virtuellen Computer, die mit dem mittels Peering verbundenen virtuellen Netzwerk verbunden sind, um die aktualisierten DNS-Einstellungen auf die virtuellen Computer anzuwenden.
Wenn Sie einen virtuellen Computer erstellen, der die verwaltete Domäne verwenden muss, muss dieses virtuelle Netzwerk mit Peering ausgewählt werden. Wenn Sie ein anderes virtuelles Netzwerk auswählen, besteht keine Netzwerkkonnektivität, und es gibt keine DNS-Auflösung, um die verwaltete Domäne zu erreichen.
Nächste Schritte
In diesem Tutorial haben Sie Folgendes gelernt:
- Nachvollziehen der VNet-Konnektivitätsoptionen für in die Domäne eingebundene Ressourcen im Zusammenhang mit Domain Services
- Erstellen eines IP-Adressbereichs und eines zusätzlichen Subnetzes im virtuellen Domain Services-Netzwerk
- Konfigurieren des Peerings virtueller Netzwerke in einem von Domain Services getrennten Netzwerk
Um diese verwaltete Domäne in Aktion zu erleben, erstellen Sie eine VM, und binden Sie diese in die Domäne ein.