Tutoriel : Configurer la mise en réseau virtuelle pour un domaine managé Microsoft Entra Domain Services

Pour fournir une connectivité aux utilisateurs et aux applications, un domaine managé Microsoft Entra Domain Services est déployé dans un sous-réseau de réseau virtuel Azure. Ce sous-réseau de réseau virtuel ne doit être utilisé que pour les ressources de domaine managé fournies par la plateforme Azure.

Lorsque vous créez vos propres machines virtuelles et applications, elles ne doivent pas être déployées dans le même sous-réseau de réseau virtuel. Au lieu de cela, vous devez créer et déployer vos applications dans un sous-réseau de réseau virtuel distinct, ou dans un réseau virtuel distinct appairé au réseau virtuel Domain Services.

Ce tutoriel vous montre comment créer et configurer un sous-réseau dédié dans un réseau virtuel ou comment mettre en peering un autre réseau au réseau virtuel du domaine géré par les services de domaine.

Dans ce tutoriel, vous allez apprendre à :

• Comprendre les options de connectivité de réseau virtuel pour les ressources jointes à un domaine aux services de domaine
• Créer une plage d’adresses IP et un sous-réseau supplémentaire dans le réseau virtuel Services de domaine
• Configurer le peering de réseaux virtuels sur un réseau distinct des services de domaine

Si vous n’avez pas d’abonnement Azure, créez un compte avant de commencer.

Prerequisites

Pour effectuer ce tutoriel, vous avez besoin des ressources et des privilèges suivants :

• Un abonnement Azure actif.
  • Si vous n’avez pas d’abonnement Azure, créez un compte.
• Un tenant Microsoft Entra associé à votre abonnement, soit synchronisé avec un annuaire local, soit uniquement avec un annuaire cloud.
  • Si nécessaire, créez un locataire Microsoft Entra ou associez un abonnement Azure à votre compte.
• Vous avez besoin des rôles Administrateur d’application et Administrateur de groupes Microsoft Entra dans votre locataire pour activer les services de domaine.
• Vous avez besoin du rôle Azure Contributeur de services de domaine pour créer les ressources Domain Services requises.
• Un domaine géré par Microsoft Entra Domain Services, activé et configuré dans le tenant de votre instance Microsoft Entra.
  • Si nécessaire, le premier didacticiel crée et configure un domaine managé Microsoft Entra Domain Services.

Connectez-vous au Centre d’administration Microsoft Entra

Dans ce tutoriel, vous allez créer et configurer le domaine managé à l’aide du Centre d’administration Microsoft Entra. Pour commencer, connectez-vous d’abord au Centre d’administration Microsoft Entra.

Options de connectivité pour les charges de travail applicatives

Dans le tutoriel précédent, un domaine managé a été créé qui a utilisé certaines options de configuration par défaut pour le réseau virtuel. Ces options par défaut ont créé un réseau virtuel Azure et un sous-réseau de réseau virtuel. Les contrôleurs de domaine Domain Services qui fournissent les services de domaine managés sont connectés à ce sous-réseau de réseau virtuel.

Lorsque vous créez et exécutez des machines virtuelles qui doivent utiliser le domaine managé, la connectivité réseau doit être fournie. Cette connectivité réseau peut être fournie de l’une des manières suivantes :

• Créez un sous-réseau de réseau virtuel supplémentaire dans le réseau virtuel du domaine managé. Ce sous-réseau supplémentaire est l’endroit où vous créez et connectez vos machines virtuelles.
  • Étant donné que les machines virtuelles font partie du même réseau virtuel, elles peuvent effectuer automatiquement une résolution de noms et communiquer avec les contrôleurs de domaine des Domain Services.
• Configurez le peering de réseaux virtuels Azure à partir du réseau virtuel du domaine managé vers un ou plusieurs réseaux virtuels distincts. Ces réseaux virtuels distincts sont là où vous créez et connectez vos machines virtuelles.
  • Lorsque vous configurez le peering de réseaux virtuels, vous devez également configurer les paramètres DNS pour utiliser la résolution de noms vers les contrôleurs de domaine Domain Services.

En règle générale, vous n’utilisez qu’une de ces options de connectivité réseau. Le choix dépend souvent de la manière dont vous souhaitez gérer séparément vos ressources Azure.

• Si vous souhaitez gérer les services de domaine et les machines virtuelles connectées en tant que groupe de ressources, vous pouvez créer un sous-réseau de réseau virtuel supplémentaire pour les machines virtuelles.
• Si vous souhaitez séparer la gestion des services de domaine, puis toutes les machines virtuelles connectées, vous pouvez utiliser le peering de réseaux virtuels.
  • Vous pouvez également choisir d’utiliser le peering de réseaux virtuels pour fournir une connectivité aux machines virtuelles existantes dans votre environnement Azure qui sont connectées à un réseau virtuel existant.

Dans ce tutoriel, vous n’avez besoin de configurer qu’une de ces options de connectivité de réseau virtuel.

Pour plus d’informations sur la planification et la configuration du réseau virtuel, consultez les considérations relatives au réseau pour Microsoft Entra Domain Services.

Créer un sous-réseau de réseau virtuel

Par défaut, le réseau virtuel Azure créé avec le domaine managé contient un seul sous-réseau de réseau virtuel. Ce sous-réseau de réseau virtuel doit uniquement être utilisé par la plateforme Azure pour fournir des services de domaine managés. Pour créer et utiliser vos propres machines virtuelles dans ce réseau virtuel Azure, créez un sous-réseau supplémentaire.

Pour créer un sous-réseau de réseau virtuel pour les machines virtuelles et les charges de travail d’application, procédez comme suit :

1. Dans le Centre d’administration Microsoft Entra, sélectionnez le groupe de ressources de votre domaine managé, tel que myResourceGroup. Dans la liste des ressources, choisissez le réseau virtuel par défaut, tel qu’aadds-vnet.

2. Dans le menu de gauche de la fenêtre de réseau virtuel, sélectionnez Espace d’adressage. Le réseau virtuel est créé avec un espace d’adressage unique de 10.0.2.0/24, qui est utilisé par le sous-réseau par défaut.

   Ajoutez une plage d’adresses IP supplémentaire au réseau virtuel. La taille de cette plage d’adresses et la plage d’adresses IP réelles à utiliser dépendent d’autres ressources réseau déjà déployées. La plage d’adresses IP ne doit pas chevaucher les plages d’adresses existantes dans votre environnement Azure ou local. Veillez à dimensionner la plage d’adresses IP suffisamment grande pour le nombre de machines virtuelles que vous prévoyez de déployer dans le sous-réseau.

   Dans l’exemple suivant, une plage d’adresses IP supplémentaire de 10.0.3.0/24 est ajoutée. Quand vous êtes prêt, sélectionnez Enregistrer.

   

3. Ensuite, dans le menu de gauche de la fenêtre de réseau virtuel, sélectionnez Sous-réseaux, puis choisissez + Sous-réseau pour ajouter un sous-réseau .

4. Entrez un nom pour le sous-réseau, tel que les charges de travail. Si nécessaire, mettez à jour la plage d’adresses si vous souhaitez utiliser un sous-ensemble de la plage d’adresses IP configurée pour le réseau virtuel dans les étapes précédentes. Pour l’instant, conservez les valeurs par défaut pour les options telles que le groupe de sécurité réseau, la table de routage, les points de terminaison de service.

   Dans l’exemple suivant, un sous-réseau nommé charges de travail est créé qui utilise la plage d’adresses IP 10.0.0.3.0/24 :

   

5. Lorsque vous êtes prêt, sélectionnez OK. La création du sous-réseau de réseau virtuel prend quelques instants.

Lorsque vous créez une machine virtuelle qui doit utiliser le domaine managé, veillez à sélectionner ce sous-réseau de réseau virtuel. Ne créez pas de machines virtuelles dans le sous-réseau aadds-subnet par défaut. Si vous sélectionnez un autre réseau virtuel, il n'existe ni connectivité réseau, ni résolution DNS pour atteindre le domaine managé, sauf si vous configurez le peering de réseau virtuel.

Configurer le peering de réseaux virtuels

Vous disposez peut-être d’un réseau virtuel Azure existant pour les machines virtuelles ou souhaitez séparer votre réseau virtuel de domaine managé. Pour utiliser le domaine managé, les machines virtuelles d’autres réseaux virtuels ont besoin d’un moyen de communiquer avec les contrôleurs de domaine Domain Services. Cette connectivité peut être fournie à l’aide du peering de réseaux virtuels Azure.

Avec le peering de réseaux virtuels Azure, deux réseaux virtuels sont connectés ensemble, sans avoir besoin d’un appareil VPN (Virtual Private Network). Le peering réseau vous permet de connecter rapidement des réseaux virtuels et de définir des flux de trafic dans votre environnement Azure.

Pour plus d’informations sur le peering, consultez la vue d’ensemble du peering de réseaux virtuels Azure.

Pour appairer un réseau virtuel au réseau virtuel de domaine managé, procédez comme suit :

1. Choisissez le réseau virtuel par défaut créé pour votre domaine managé nommé aadds-vnet.

2. Dans le menu de gauche de la fenêtre de réseau virtuel, sélectionnez Peerings.

3. Pour créer un peering, sélectionnez + Ajouter. Dans l’exemple suivant, le réseau aadds-vnet par défaut est associé à un réseau virtuel nommé myVnet. Configurez les paramètres suivants avec vos propres valeurs :

   • Nom du peering de aadds-vnet vers un réseau virtuel distant : un identificateur descriptif des deux réseaux, tel que aadds-vnet-to-myvnet.
   • Type de déploiement de réseau virtuel : Resource Manager
   • Abonnement : abonnement du réseau virtuel auquel vous souhaitez appairer, par exemple Azure
   • Réseau virtuel : réseau virtuel auquel vous souhaitez appairer, tel que myVnet
   • Nom du peering de myVnet à aadds-vnet : identificateur descriptif des deux réseaux, par exemple myvnet-to-aadds-vnet

   

   Conservez les autres valeurs par défaut pour l’accès au réseau virtuel ou le trafic transféré, sauf si vous avez des exigences spécifiques pour votre environnement, puis sélectionnez OK.

4. La création du peering sur le réseau virtuel Domain Services et le réseau virtuel que vous avez sélectionné prend quelques instants. Une fois prêt, l’état du peering indique connecté, comme illustré dans l’exemple suivant :

   

Avant que les machines virtuelles du réseau virtuel appairé puissent utiliser le domaine contrôlé, configurez les serveurs DNS pour permettre une résolution correcte des noms.

Configurer les serveurs DNS dans le réseau virtuel connecté

Pour que les machines virtuelles et les applications du réseau virtuel partagé communiquent efficacement avec le domaine managé, les paramètres DNS doivent être mis à jour. Les adresses IP des contrôleurs de domaine des services de domaine doivent être configurées en tant que serveurs DNS sur le réseau virtuel en mode peering. Il existe deux façons de configurer les contrôleurs de domaine comme serveurs DNS pour le réseau virtuel pairé :

• Configurez les serveurs DNS de réseau virtuel Azure pour utiliser les contrôleurs de domaine Domain Services.
• Configurez le serveur DNS existant utilisé sur le réseau virtuel appairé pour utiliser le transfert conditionnel de DNS afin de diriger les requêtes vers le domaine géré. Ces étapes varient en fonction du serveur DNS existant en cours d’utilisation.

Dans ce tutoriel, nous allons configurer les serveurs DNS de réseau virtuel Azure pour diriger toutes les requêtes vers les contrôleurs de domaine Domain Services.

1. Dans le Centre d’administration Microsoft Entra, sélectionnez le groupe de ressources du réseau virtuel appairé, tel que myResourceGroup. Dans la liste des ressources, choisissez le réseau virtuel appairé, tel que myVnet.

2. Dans le menu de gauche de la fenêtre de réseau virtuel, sélectionnez serveurs DNS.

3. Par défaut, un réseau virtuel utilise les serveurs DNS intégrés fournis par Azure. Choisissez d’utiliser des serveurs DNS personnalisés . Entrez les adresses IP des contrôleurs de domaine Domain Services, qui sont généralement 10.0.2.4 et 10.0.2.5. Confirmez ces adresses IP dans la fenêtre Vue d’ensemble de votre domaine managé dans le portail.

   

4. Quand vous êtes prêt, sélectionnez Enregistrer. La mise à jour des serveurs DNS pour le réseau virtuel prend quelques instants.

5. Pour appliquer les paramètres DNS mis à jour aux VMs, redémarrez les VMs connectées au réseau virtuel en peering.

Lorsque vous créez une machine virtuelle qui doit utiliser le domaine géré, assurez-vous de sélectionner ce réseau virtuel associé. Si vous sélectionnez un autre réseau virtuel, il n’existe aucune connectivité réseau et résolution DNS pour atteindre le domaine managé.

Étapes suivantes

Dans ce didacticiel, vous avez appris à :

• Comprendre les options de connectivité de réseau virtuel pour les ressources jointes à un domaine aux services de domaine
• Créer une plage d’adresses IP et un sous-réseau supplémentaire dans le réseau virtuel Services de domaine
• Configurer le peering de réseaux virtuels vers un réseau distinct des services de domaine.

Pour voir ce domaine managé en action, créez et joignez une machine virtuelle au domaine.

Joindre une machine virtuelle Windows Server à votre domaine managé