Oktatóanyag: Virtuális hálózatkezelés konfigurálása felügyelt Microsoft Entra Domain Services-tartományokhoz
A felhasználókhoz és alkalmazásokhoz való kapcsolódás érdekében egy Microsoft Entra Domain Services által felügyelt tartomány lesz üzembe helyezve egy Azure-beli virtuális hálózati alhálózaton. Ez a virtuális hálózati alhálózat csak az Azure platform által biztosított felügyelt tartományi erőforrásokhoz használható.
Ha saját virtuális gépeket és alkalmazásokat hoz létre, azokat nem szabad ugyanabba a virtuális hálózati alhálózatba telepíteni. Ehelyett létre kell hoznia és üzembe kell helyeznie az alkalmazásokat egy külön virtuális hálózati alhálózatban, vagy egy külön virtuális hálózatban, amely a Domain Services virtuális hálózatához van társítva.
Ez az oktatóanyag bemutatja, hogyan hozhat létre és konfigurálhat dedikált virtuális hálózati alhálózatot, vagy hogyan társviszonyt létesíthet egy másik hálózattal a Domain Services által felügyelt tartomány virtuális hálózatával.
Ebben az oktatóanyagban az alábbiakkal fog megismerkedni:
- A Tartományszolgáltatásokhoz tartományhoz csatlakoztatott erőforrások virtuális hálózati csatlakozási lehetőségeinek ismertetése
- IP-címtartomány és további alhálózat létrehozása a Domain Services virtuális hálózatban
- Virtuális hálózatok közötti társviszony-létesítés konfigurálása a Domain Services szolgáltatástól független hálózathoz
Ha nem rendelkezik Azure-előfizetéssel, a kezdés előtt hozzon létre egy fiókot .
Előfeltételek
Az oktatóanyag elvégzéséhez a következő erőforrásokra és jogosultságokra van szüksége:
- Aktív Azure-előfizetés.
- Ha nem rendelkezik Azure-előfizetéssel, hozzon létre egy fiókot.
- Az előfizetéséhez társított Microsoft Entra-bérlő, amely egy helyszíni vagy egy csak felhőalapú címtárral van szinkronizálva.
- Szükség esetén hozzon létre egy Microsoft Entra-bérlőt, vagy rendelje hozzá az Azure-előfizetést a fiókjához.
- A tartományi szolgáltatások engedélyezéséhez alkalmazás-Rendszergazda istrator és csoportok Rendszergazda istrator Microsoft Entra-szerepkörökre van szüksége a bérlőben.
- A szükséges Domain Services-erőforrások létrehozásához Tartományi szolgáltatások közreműködői Azure-szerepkörre van szüksége.
- A Microsoft Entra Domain Services által felügyelt tartomány engedélyezve és konfigurálva van a Microsoft Entra-bérlőben.
- Szükség esetén az első oktatóanyag létrehoz és konfigurál egy Felügyelt Microsoft Entra Domain Services-tartományt.
Jelentkezzen be a Microsoft Entra felügyeleti központba
Ebben az oktatóanyagban a felügyelt tartományt a Microsoft Entra felügyeleti központ használatával hozza létre és konfigurálja. Első lépésként jelentkezzen be a Microsoft Entra felügyeleti központjába.
Az alkalmazás számítási feladatainak csatlakozási lehetőségei
Az előző oktatóanyagban létrehoztunk egy felügyelt tartományt, amely néhány alapértelmezett konfigurációs beállítást használt a virtuális hálózathoz. Ezek az alapértelmezett beállítások azure-beli virtuális hálózatot és virtuális hálózati alhálózatot hoztak létre. A felügyelt tartományi szolgáltatásokat biztosító tartományvezérlők ehhez a virtuális hálózati alhálózathoz csatlakoznak.
A felügyelt tartomány használatához szükséges virtuális gépek létrehozásakor és futtatásakor hálózati kapcsolatot kell biztosítani. Ez a hálózati kapcsolat a következő módok egyikével biztosítható:
- Hozzon létre egy további virtuális hálózati alhálózatot a felügyelt tartomány virtuális hálózatában. Ezen a további alhálózaton hozhatja létre és csatlakoztathatja a virtuális gépeket.
- Mivel a virtuális gépek ugyanahhoz a virtuális hálózathoz tartoznak, automatikusan végrehajthatják a névfeloldásokat, és kommunikálhatnak a tartományvezérlőkkel.
- Konfigurálja az Azure-beli virtuális hálózatok közötti társviszonyt a felügyelt tartomány virtuális hálózatáról egy vagy több különálló virtuális hálózatra. Ezek a különálló virtuális hálózatok hozzák létre és csatlakoztatják a virtuális gépeket.
- A virtuális hálózatok közötti társviszony-létesítés konfigurálásakor a DNS-beállításokat is konfigurálnia kell a névfeloldás tartományvezérlőkhöz való visszaszolgáltatásához.
Általában csak az egyik hálózati kapcsolati lehetőséget használja. A választás gyakran a különálló Azure-erőforrások kezelésének módján múlik.
- Ha a tartományi szolgáltatásokat és a csatlakoztatott virtuális gépeket erőforráscsoportként szeretné kezelni, létrehozhat egy további virtuális hálózati alhálózatot a virtuális gépekhez.
- Ha el szeretné különíteni a Tartományi szolgáltatások kezelését, majd a csatlakoztatott virtuális gépeket, használhat virtuális hálózati társviszony-létesítést.
- Dönthet úgy is, hogy virtuális hálózatok közötti társviszony-létesítést használ az Azure-környezet meglévő virtuális gépeihez való kapcsolódáshoz, amelyek egy meglévő virtuális hálózathoz csatlakoznak.
Ebben az oktatóanyagban csak egy virtuális hálózati kapcsolati lehetőséget kell konfigurálnia.
A virtuális hálózat megtervezéséről és konfigurálásáról további információt a Microsoft Entra Domain Services hálózatkezelési szempontjaiban talál.
Virtuális hálózati alhálózat létrehozása
Alapértelmezés szerint a felügyelt tartománnyal létrehozott Azure-beli virtuális hálózat egyetlen virtuális hálózati alhálózatot tartalmaz. Ezt a virtuális hálózati alhálózatot csak az Azure-platform használhatja felügyelt tartományi szolgáltatások biztosítására. Ha saját virtuális gépeket szeretne létrehozni és használni ebben az Azure-beli virtuális hálózatban, hozzon létre egy további alhálózatot.
Virtuális gépek és alkalmazásterhelések virtuális hálózati alhálózatának létrehozásához hajtsa végre a következő lépéseket:
A Microsoft Entra Felügyeleti központban válassza ki a felügyelt tartomány erőforráscsoportját, például a myResourceGroupot. Az erőforrások listájában válassza ki az alapértelmezett virtuális hálózatot, például az aadds-vnetet.
A virtuális hálózat ablakának bal oldali menüjében válassza a Címtér lehetőséget. A virtuális hálózat egyetlen 10.0.2.0/24 címtérrel jön létre, amelyet az alapértelmezett alhálózat használ.
Adjon hozzá egy további IP-címtartományt a virtuális hálózathoz. A címtartomány mérete és a ténylegesen használandó IP-címtartomány a már üzembe helyezett egyéb hálózati erőforrásoktól függ. Az IP-címtartomány nem lehet átfedésben az Azure-ban vagy a helyszíni környezetben meglévő címtartományokkal. Győződjön meg arról, hogy az IP-címtartomány elég nagy ahhoz a virtuális géphez, amelyet az alhálózaton üzembe kíván helyezni.
A következő példában egy további 10.0.3.0/24 IP-címtartományt adunk hozzá. Ha elkészült, válassza a Mentés lehetőséget.
Ezután a virtuális hálózat ablakának bal oldali menüjében válassza az Alhálózatok lehetőséget, majd az alhálózat hozzáadásához válassza az + Alhálózat lehetőséget.
Adja meg az alhálózat nevét, például a számítási feladatokat. Szükség esetén frissítse a címtartományt , ha az előző lépésekben a virtuális hálózathoz konfigurált IP-címtartomány egy részét szeretné használni. Egyelőre hagyja meg az alapértelmezett beállításokat, például a hálózati biztonsági csoportot, az útvonaltáblát és a szolgáltatásvégpontokat.
Az alábbi példában létrehozunk egy számítási feladatok nevű alhálózatot , amely a 10.0.3.0/24 IP-címtartományt használja:
Ha elkészült, válassza az OK gombot. A virtuális hálózati alhálózat létrehozása néhány percet vesz igénybe.
A felügyelt tartomány használatához szükséges virtuális gép létrehozásakor győződjön meg arról, hogy ezt a virtuális hálózati alhálózatot választja ki. Ne hozzon létre virtuális gépeket az alapértelmezett aadds-alhálózatban. Ha másik virtuális hálózatot választ, nincs hálózati kapcsolat és DNS-feloldás a felügyelt tartomány eléréséhez, hacsak nem konfigurálja a virtuális hálózatok közötti társviszony-létesítést.
Virtuális hálózatok közötti társviszony-létesítés konfigurálása
Előfordulhat, hogy rendelkezik virtuális gépekhez készült Azure-beli virtuális hálózatokkal, vagy külön szeretné tartani a felügyelt tartomány virtuális hálózatát. A felügyelt tartomány használatához más virtuális hálózatok virtuális gépeinek módot kell adni a tartományvezérlőkkel való kommunikációra. Ez a kapcsolat azure-beli virtuális hálózatok közötti társviszony-létesítéssel biztosítható.
Az Azure-beli virtuális hálózatok közötti társviszony-létesítés során két virtuális hálózat csatlakozik egymáshoz anélkül, hogy virtuális magánhálózati (VPN-) eszközre van szükség. A hálózati társviszony-létesítéssel gyorsan csatlakoztathat virtuális hálózatokat, és meghatározhatja a forgalomfolyamatokat az Azure-környezetben.
A társviszony-létesítéssel kapcsolatos további információkért tekintse meg az Azure virtuális hálózatok közötti társviszony-létesítés áttekintését.
Ha virtuális hálózatot szeretne társítani a felügyelt tartomány virtuális hálózatával, hajtsa végre az alábbi lépéseket:
Válassza ki az aadds-vnet nevű felügyelt tartományhoz létrehozott alapértelmezett virtuális hálózatot.
A virtuális hálózat ablakának bal oldali menüjében válassza a Társviszonyok lehetőséget.
Társviszony létrehozásához válassza a + Hozzáadás lehetőséget. Az alábbi példában az alapértelmezett aadds-vnet egy myVnet nevű virtuális hálózathoz van társviszonyban. Konfigurálja a következő beállításokat a saját értékeivel:
- Az aadds-vnet és a távoli virtuális hálózat közötti társviszony neve: A két hálózat leíró azonosítója, például aadds-vnet-to-myvnet
- Virtuális hálózat üzembehelyezési típusa: Resource Manager
- Előfizetés: Annak a virtuális hálózatnak az előfizetése, amelyhez társviszonyt kíván létesíteni, például az Azure
- Virtuális hálózat: A virtuális hálózat, amelyhez társviszonyt kíván létesíteni, például myVnet
- A myVnet és az aadds-vnet közötti társviszony-létesítés neve: A két hálózat leíró azonosítója, például myvnet-to-aadds-vnet
Hagyja meg a virtuális hálózati hozzáférés vagy a továbbított forgalom egyéb alapértelmezett értékét, kivéve, ha a környezetére vonatkozó konkrét követelményekkel rendelkezik, majd válassza az OK gombot.
A társviszony létrehozása a Domain Services virtuális hálózaton és a kiválasztott virtuális hálózaton is eltarthat néhány percig. Ha elkészült, a társviszony-létesítési állapotjelentésekCsatlakozás, ahogyan az alábbi példában látható:
Mielőtt a társhálózat virtuális gépei használhatják a felügyelt tartományt, konfigurálja a DNS-kiszolgálókat a megfelelő névfeloldás engedélyezéséhez.
DNS-kiszolgálók konfigurálása a társhálózatban
Ahhoz, hogy a társhálózatban lévő virtuális gépek és alkalmazások sikeresen kommunikáljanak a felügyelt tartománnyal, frissíteni kell a DNS-beállításokat. A tartományvezérlők IP-címeit a társhálózaton lévő DNS-kiszolgálókként kell konfigurálni. A tartományvezérlőket kétféleképpen konfigurálhatja DNS-kiszolgálóként a társhálózathoz:
- Konfigurálja az Azure-beli virtuális hálózati DNS-kiszolgálókat a tartományvezérlők használatára.
- Konfigurálja a társhálózaton használt meglévő DNS-kiszolgálót a feltételes DNS-továbbítás használatára a lekérdezések felügyelt tartományba való irányításához. Ezek a lépések a használatban lévő DNS-kiszolgálótól függően változnak.
Ebben az oktatóanyagban konfiguráljuk az Azure-beli virtuális hálózati DNS-kiszolgálókat, hogy az összes lekérdezést a tartományvezérlőkhöz irányítsuk.
A Microsoft Entra Felügyeleti központban válassza ki a társhálózat erőforráscsoportját, például a myResourceGroupot. Az erőforrások listájában válassza ki a társviszonyban lévő virtuális hálózatot, például a myVnetet.
A virtuális hálózat ablakának bal oldali menüjében válassza ki a DNS-kiszolgálókat.
A virtuális hálózat alapértelmezés szerint a beépített Azure-beli DNS-kiszolgálókat használja. Válassza ki az egyéni DNS-kiszolgálók használatát. Adja meg a tartományvezérlők IP-címét, amelyek általában 10.0.2.4 és 10.0.2.5. Ellenőrizze ezeket az IP-címeket a felügyelt tartomány áttekintési ablakában a portálon.
Ha elkészült, válassza a Mentés lehetőséget. A virtuális hálózat DNS-kiszolgálóinak frissítése néhány percet vesz igénybe.
A frissített DNS-beállítások virtuális gépekre való alkalmazásához indítsa újra a társhálózathoz csatlakoztatott virtuális gépeket.
A felügyelt tartomány használatához szükséges virtuális gép létrehozásakor győződjön meg arról, hogy ezt a társhálózatot választja. Ha másik virtuális hálózatot választ, nincs hálózati kapcsolat és DNS-feloldás a felügyelt tartomány eléréséhez.
További lépések
Ez az oktatóanyag bemutatta, hogyan végezheti el az alábbi műveleteket:
- A Tartományszolgáltatásokhoz tartományhoz csatlakoztatott erőforrások virtuális hálózati csatlakozási lehetőségeinek ismertetése
- IP-címtartomány és további alhálózat létrehozása a Domain Services virtuális hálózatban
- Virtuális hálózatok közötti társviszony-létesítés konfigurálása a Domain Services szolgáltatástól független hálózathoz
Ha működés közben szeretné megtekinteni ezt a felügyelt tartományt, hozzon létre és csatlakozzon egy virtuális géphez a tartományhoz.