Oktatóanyag: Virtuális hálózatkezelés konfigurálása felügyelt Microsoft Entra Domain Services-tartományokhoz

A felhasználókhoz és alkalmazásokhoz való kapcsolódás érdekében egy Microsoft Entra Domain Services által felügyelt tartomány lesz üzembe helyezve egy Azure-beli virtuális hálózati alhálózaton. Ez a virtuális hálózati alhálózat csak az Azure platform által biztosított felügyelt tartományi erőforrásokhoz használható.

Ha saját virtuális gépeket és alkalmazásokat hoz létre, azokat nem szabad ugyanabba a virtuális hálózati alhálózatba telepíteni. Ehelyett létre kell hoznia és üzembe kell helyeznie az alkalmazásokat egy külön virtuális hálózati alhálózatban, vagy egy külön virtuális hálózatban, amely a Domain Services virtuális hálózatához van társítva.

Ez az oktatóanyag bemutatja, hogyan hozhat létre és konfigurálhat dedikált virtuális hálózati alhálózatot, vagy hogyan társviszonyt létesíthet egy másik hálózattal a Domain Services által felügyelt tartomány virtuális hálózatával.

Ebben az oktatóanyagban az alábbiakkal fog megismerkedni:

• A Tartományszolgáltatásokhoz tartományhoz csatlakoztatott erőforrások virtuális hálózati csatlakozási lehetőségeinek ismertetése
• IP-címtartomány és további alhálózat létrehozása a Domain Services virtuális hálózatban
• Virtuális hálózatok közötti társviszony-létesítés konfigurálása a Domain Services szolgáltatástól független hálózathoz

Ha nem rendelkezik Azure-előfizetéssel, a kezdés előtt hozzon létre egy fiókot .

Előfeltételek

Az oktatóanyag elvégzéséhez a következő erőforrásokra és jogosultságokra van szüksége:

• Aktív Azure-előfizetés.
  • Ha nem rendelkezik Azure-előfizetéssel, hozzon létre egy fiókot.
• Az előfizetéséhez társított Microsoft Entra-bérlő, amely egy helyszíni vagy egy csak felhőalapú címtárral van szinkronizálva.
  • Szükség esetén hozzon létre egy Microsoft Entra-bérlőt, vagy rendelje hozzá az Azure-előfizetést a fiókjához.
• A tartományi szolgáltatások engedélyezéséhez alkalmazás-Rendszergazda istrator és csoportok Rendszergazda istrator Microsoft Entra-szerepkörökre van szüksége a bérlőben.
• A szükséges Domain Services-erőforrások létrehozásához Tartományi szolgáltatások közreműködői Azure-szerepkörre van szüksége.
• A Microsoft Entra Domain Services által felügyelt tartomány engedélyezve és konfigurálva van a Microsoft Entra-bérlőben.
  • Szükség esetén az első oktatóanyag létrehoz és konfigurál egy Felügyelt Microsoft Entra Domain Services-tartományt.

Jelentkezzen be a Microsoft Entra felügyeleti központba

Ebben az oktatóanyagban a felügyelt tartományt a Microsoft Entra felügyeleti központ használatával hozza létre és konfigurálja. Első lépésként jelentkezzen be a Microsoft Entra felügyeleti központjába.

Az alkalmazás számítási feladatainak csatlakozási lehetőségei

Az előző oktatóanyagban létrehoztunk egy felügyelt tartományt, amely néhány alapértelmezett konfigurációs beállítást használt a virtuális hálózathoz. Ezek az alapértelmezett beállítások azure-beli virtuális hálózatot és virtuális hálózati alhálózatot hoztak létre. A felügyelt tartományi szolgáltatásokat biztosító tartományvezérlők ehhez a virtuális hálózati alhálózathoz csatlakoznak.

A felügyelt tartomány használatához szükséges virtuális gépek létrehozásakor és futtatásakor hálózati kapcsolatot kell biztosítani. Ez a hálózati kapcsolat a következő módok egyikével biztosítható:

• Hozzon létre egy további virtuális hálózati alhálózatot a felügyelt tartomány virtuális hálózatában. Ezen a további alhálózaton hozhatja létre és csatlakoztathatja a virtuális gépeket.
  • Mivel a virtuális gépek ugyanahhoz a virtuális hálózathoz tartoznak, automatikusan végrehajthatják a névfeloldásokat, és kommunikálhatnak a tartományvezérlőkkel.
• Konfigurálja az Azure-beli virtuális hálózatok közötti társviszonyt a felügyelt tartomány virtuális hálózatáról egy vagy több különálló virtuális hálózatra. Ezek a különálló virtuális hálózatok hozzák létre és csatlakoztatják a virtuális gépeket.
  • A virtuális hálózatok közötti társviszony-létesítés konfigurálásakor a DNS-beállításokat is konfigurálnia kell a névfeloldás tartományvezérlőkhöz való visszaszolgáltatásához.

Általában csak az egyik hálózati kapcsolati lehetőséget használja. A választás gyakran a különálló Azure-erőforrások kezelésének módján múlik.

• Ha a tartományi szolgáltatásokat és a csatlakoztatott virtuális gépeket erőforráscsoportként szeretné kezelni, létrehozhat egy további virtuális hálózati alhálózatot a virtuális gépekhez.
• Ha el szeretné különíteni a Tartományi szolgáltatások kezelését, majd a csatlakoztatott virtuális gépeket, használhat virtuális hálózati társviszony-létesítést.
  • Dönthet úgy is, hogy virtuális hálózatok közötti társviszony-létesítést használ az Azure-környezet meglévő virtuális gépeihez való kapcsolódáshoz, amelyek egy meglévő virtuális hálózathoz csatlakoznak.

Ebben az oktatóanyagban csak egy virtuális hálózati kapcsolati lehetőséget kell konfigurálnia.

A virtuális hálózat megtervezéséről és konfigurálásáról további információt a Microsoft Entra Domain Services hálózatkezelési szempontjaiban talál.

Virtuális hálózati alhálózat létrehozása

Alapértelmezés szerint a felügyelt tartománnyal létrehozott Azure-beli virtuális hálózat egyetlen virtuális hálózati alhálózatot tartalmaz. Ezt a virtuális hálózati alhálózatot csak az Azure-platform használhatja felügyelt tartományi szolgáltatások biztosítására. Ha saját virtuális gépeket szeretne létrehozni és használni ebben az Azure-beli virtuális hálózatban, hozzon létre egy további alhálózatot.

Virtuális gépek és alkalmazásterhelések virtuális hálózati alhálózatának létrehozásához hajtsa végre a következő lépéseket:

1. A Microsoft Entra Felügyeleti központban válassza ki a felügyelt tartomány erőforráscsoportját, például a myResourceGroupot. Az erőforrások listájában válassza ki az alapértelmezett virtuális hálózatot, például az aadds-vnetet.

2. A virtuális hálózat ablakának bal oldali menüjében válassza a Címtér lehetőséget. A virtuális hálózat egyetlen 10.0.2.0/24 címtérrel jön létre, amelyet az alapértelmezett alhálózat használ.

   Adjon hozzá egy további IP-címtartományt a virtuális hálózathoz. A címtartomány mérete és a ténylegesen használandó IP-címtartomány a már üzembe helyezett egyéb hálózati erőforrásoktól függ. Az IP-címtartomány nem lehet átfedésben az Azure-ban vagy a helyszíni környezetben meglévő címtartományokkal. Győződjön meg arról, hogy az IP-címtartomány elég nagy ahhoz a virtuális géphez, amelyet az alhálózaton üzembe kíván helyezni.

   A következő példában egy további 10.0.3.0/24 IP-címtartományt adunk hozzá. Ha elkészült, válassza a Mentés lehetőséget.

   

3. Ezután a virtuális hálózat ablakának bal oldali menüjében válassza az Alhálózatok lehetőséget, majd az alhálózat hozzáadásához válassza az + Alhálózat lehetőséget.

4. Adja meg az alhálózat nevét, például a számítási feladatokat. Szükség esetén frissítse a címtartományt , ha az előző lépésekben a virtuális hálózathoz konfigurált IP-címtartomány egy részét szeretné használni. Egyelőre hagyja meg az alapértelmezett beállításokat, például a hálózati biztonsági csoportot, az útvonaltáblát és a szolgáltatásvégpontokat.

   Az alábbi példában létrehozunk egy számítási feladatok nevű alhálózatot , amely a 10.0.3.0/24 IP-címtartományt használja:

   

5. Ha elkészült, válassza az OK gombot. A virtuális hálózati alhálózat létrehozása néhány percet vesz igénybe.

A felügyelt tartomány használatához szükséges virtuális gép létrehozásakor győződjön meg arról, hogy ezt a virtuális hálózati alhálózatot választja ki. Ne hozzon létre virtuális gépeket az alapértelmezett aadds-alhálózatban. Ha másik virtuális hálózatot választ, nincs hálózati kapcsolat és DNS-feloldás a felügyelt tartomány eléréséhez, hacsak nem konfigurálja a virtuális hálózatok közötti társviszony-létesítést.

Virtuális hálózatok közötti társviszony-létesítés konfigurálása

Előfordulhat, hogy rendelkezik virtuális gépekhez készült Azure-beli virtuális hálózatokkal, vagy külön szeretné tartani a felügyelt tartomány virtuális hálózatát. A felügyelt tartomány használatához más virtuális hálózatok virtuális gépeinek módot kell adni a tartományvezérlőkkel való kommunikációra. Ez a kapcsolat azure-beli virtuális hálózatok közötti társviszony-létesítéssel biztosítható.

Az Azure-beli virtuális hálózatok közötti társviszony-létesítés során két virtuális hálózat csatlakozik egymáshoz anélkül, hogy virtuális magánhálózati (VPN-) eszközre van szükség. A hálózati társviszony-létesítéssel gyorsan csatlakoztathat virtuális hálózatokat, és meghatározhatja a forgalomfolyamatokat az Azure-környezetben.

A társviszony-létesítéssel kapcsolatos további információkért tekintse meg az Azure virtuális hálózatok közötti társviszony-létesítés áttekintését.

Ha virtuális hálózatot szeretne társítani a felügyelt tartomány virtuális hálózatával, hajtsa végre az alábbi lépéseket:

1. Válassza ki az aadds-vnet nevű felügyelt tartományhoz létrehozott alapértelmezett virtuális hálózatot.

2. A virtuális hálózat ablakának bal oldali menüjében válassza a Társviszonyok lehetőséget.

3. Társviszony létrehozásához válassza a + Hozzáadás lehetőséget. Az alábbi példában az alapértelmezett aadds-vnet egy myVnet nevű virtuális hálózathoz van társviszonyban. Konfigurálja a következő beállításokat a saját értékeivel:

   • Az aadds-vnet és a távoli virtuális hálózat közötti társviszony neve: A két hálózat leíró azonosítója, például aadds-vnet-to-myvnet
   • Virtuális hálózat üzembehelyezési típusa: Resource Manager
   • Előfizetés: Annak a virtuális hálózatnak az előfizetése, amelyhez társviszonyt kíván létesíteni, például az Azure
   • Virtuális hálózat: A virtuális hálózat, amelyhez társviszonyt kíván létesíteni, például myVnet
   • A myVnet és az aadds-vnet közötti társviszony-létesítés neve: A két hálózat leíró azonosítója, például myvnet-to-aadds-vnet

   

   Hagyja meg a virtuális hálózati hozzáférés vagy a továbbított forgalom egyéb alapértelmezett értékét, kivéve, ha a környezetére vonatkozó konkrét követelményekkel rendelkezik, majd válassza az OK gombot.

4. A társviszony létrehozása a Domain Services virtuális hálózaton és a kiválasztott virtuális hálózaton is eltarthat néhány percig. Ha elkészült, a társviszony-létesítési állapotjelentésekCsatlakozás, ahogyan az alábbi példában látható:

   

Mielőtt a társhálózat virtuális gépei használhatják a felügyelt tartományt, konfigurálja a DNS-kiszolgálókat a megfelelő névfeloldás engedélyezéséhez.

DNS-kiszolgálók konfigurálása a társhálózatban

Ahhoz, hogy a társhálózatban lévő virtuális gépek és alkalmazások sikeresen kommunikáljanak a felügyelt tartománnyal, frissíteni kell a DNS-beállításokat. A tartományvezérlők IP-címeit a társhálózaton lévő DNS-kiszolgálókként kell konfigurálni. A tartományvezérlőket kétféleképpen konfigurálhatja DNS-kiszolgálóként a társhálózathoz:

• Konfigurálja az Azure-beli virtuális hálózati DNS-kiszolgálókat a tartományvezérlők használatára.
• Konfigurálja a társhálózaton használt meglévő DNS-kiszolgálót a feltételes DNS-továbbítás használatára a lekérdezések felügyelt tartományba való irányításához. Ezek a lépések a használatban lévő DNS-kiszolgálótól függően változnak.

Ebben az oktatóanyagban konfiguráljuk az Azure-beli virtuális hálózati DNS-kiszolgálókat, hogy az összes lekérdezést a tartományvezérlőkhöz irányítsuk.

1. A Microsoft Entra Felügyeleti központban válassza ki a társhálózat erőforráscsoportját, például a myResourceGroupot. Az erőforrások listájában válassza ki a társviszonyban lévő virtuális hálózatot, például a myVnetet.

2. A virtuális hálózat ablakának bal oldali menüjében válassza ki a DNS-kiszolgálókat.

3. A virtuális hálózat alapértelmezés szerint a beépített Azure-beli DNS-kiszolgálókat használja. Válassza ki az egyéni DNS-kiszolgálók használatát. Adja meg a tartományvezérlők IP-címét, amelyek általában 10.0.2.4 és 10.0.2.5. Ellenőrizze ezeket az IP-címeket a felügyelt tartomány áttekintési ablakában a portálon.

   

4. Ha elkészült, válassza a Mentés lehetőséget. A virtuális hálózat DNS-kiszolgálóinak frissítése néhány percet vesz igénybe.

5. A frissített DNS-beállítások virtuális gépekre való alkalmazásához indítsa újra a társhálózathoz csatlakoztatott virtuális gépeket.

A felügyelt tartomány használatához szükséges virtuális gép létrehozásakor győződjön meg arról, hogy ezt a társhálózatot választja. Ha másik virtuális hálózatot választ, nincs hálózati kapcsolat és DNS-feloldás a felügyelt tartomány eléréséhez.

További lépések

Ez az oktatóanyag bemutatta, hogyan végezheti el az alábbi műveleteket:

• A Tartományszolgáltatásokhoz tartományhoz csatlakoztatott erőforrások virtuális hálózati csatlakozási lehetőségeinek ismertetése
• IP-címtartomány és további alhálózat létrehozása a Domain Services virtuális hálózatban
• Virtuális hálózatok közötti társviszony-létesítés konfigurálása a Domain Services szolgáltatástól független hálózathoz

Ha működés közben szeretné megtekinteni ezt a felügyelt tartományt, hozzon létre és csatlakozzon egy virtuális géphez a tartományhoz.

Windows Server rendszerű virtuális gép csatlakoztatása a felügyelt tartományhoz