Oktatóanyag: Virtuális hálózat konfigurálása egy felügyelt Microsoft Entra Domain Services tartományhoz

A felhasználókhoz és alkalmazásokhoz való kapcsolódás érdekében egy Microsoft Entra Domain Services által felügyelt tartomány lesz üzembe helyezve egy Azure-beli virtuális hálózati alhálózaton. Ez a virtuális hálózati alhálózat csak az Azure platform által biztosított felügyelt tartományi erőforrásokhoz használható.

Ha saját virtuális gépeket és alkalmazásokat hoz létre, azokat nem szabad ugyanabba a virtuális hálózati alhálózatba telepíteni. Ehelyett létre kell hoznia és üzembe kell helyeznie az alkalmazásokat egy külön virtuális hálózati alhálózatban, vagy egy külön virtuális hálózatban, amely a Domain Services virtuális hálózatához van társítva.

Ez az oktatóanyag bemutatja, hogyan hozhat létre és konfigurálhat dedikált virtuális hálózati alhálózatot, vagy hogyan társviszonyt létesíthet egy másik hálózattal a Domain Services által felügyelt tartomány virtuális hálózatával.

Ebben az oktatóanyagban a következőket sajátíthatja el:

• A tartományi szolgáltatásokhoz tartományba csatlakoztatott erőforrások virtuális hálózati csatlakozási lehetőségeinek megértése
• IP-címtartomány és további alhálózat létrehozása a Domain Services virtuális hálózatban
• Virtuális hálózatok társviszonyának konfigurálása egy, a Domain Services szolgáltatástól elkülönített hálózathoz

Ha nem rendelkezik Azure-előfizetéssel, a kezdés előtt hozzon létre egy fiókot.

Előfeltételek

Az oktatóanyag elvégzéséhez a következő erőforrásokra és jogosultságokra van szüksége:

• Aktív Azure-előfizetés.
  • Ha nem rendelkezik Azure-előfizetéssel, hozzon létre egy fiókot.
• Az előfizetéséhez társított Microsoft Entra-bérlő, amely egy helyszíni vagy csak felhőalapú címtárhoz van szinkronizálva.
  • Ha szükséges, hozzon létre egy Microsoft Entra-bérlőt, vagy társítson egy Azure-előfizetést a fiókjához.
• A Tartományi Szolgáltatások engedélyezéséhez a bérlőben alkalmazásadminisztrátori és csoportadminisztrátori Microsoft Entra szerepkörökre van szüksége.
• A szükséges Domain Services-erőforrások létrehozásához Tartományi szolgáltatások közreműködői Azure-szerepkörre van szüksége.
• A Microsoft Entra Domain Services által felügyelt tartomány engedélyezve és konfigurálva van a Microsoft Entra-bérlőben.
  • Szükség esetén az első oktatóanyag létrehoz és konfigurál egy Microsoft Entra Domain Services által felügyelt tartományt.

Bejelentkezés a Microsoft Entra Felügyeleti központba

Ebben az oktatóanyagban a felügyelt tartományt a Microsoft Entra felügyeleti központ használatával hozza létre és konfigurálja. Első lépésként jelentkezzen be a Microsoft Entra felügyeleti központ .

Az alkalmazás számítási feladatainak csatlakozási lehetőségei

Az előző oktatóanyagban létrehoztunk egy felügyelt tartományt, amely néhány alapértelmezett konfigurációs beállítást használt a virtuális hálózathoz. Ezek az alapértelmezett beállítások azure-beli virtuális hálózatot és virtuális hálózati alhálózatot hoztak létre. A felügyelt tartományi szolgáltatásokat biztosító tartományvezérlők ehhez a virtuális hálózati alhálózathoz csatlakoznak.

A felügyelt tartomány használatához szükséges virtuális gépek létrehozásakor és futtatásakor hálózati kapcsolatot kell biztosítani. Ez a hálózati kapcsolat a következő módok egyikével biztosítható:

• Hozzon létre egy további virtuális hálózati alhálózatot a felügyelt tartomány virtuális hálózatában. Ezen a további alhálózaton hozhatja létre és csatlakoztathatja a virtuális gépeket.
  • Mivel a virtuális gépek ugyanahhoz a virtuális hálózathoz tartoznak, automatikusan végrehajthatják a névfeloldásokat, és kommunikálhatnak a tartományvezérlőkkel.
• Konfigurálja az Azure virtuális hálózati összekapcsolását a felügyelt tartományhoz tartozó virtuális hálózatról egy vagy több különálló virtuális hálózatra. Ezek a különálló virtuális hálózatok hozzák létre és csatlakoztatják a virtuális gépeket.
  • Amikor konfigurálja a virtuális hálózatok közötti társviszony-létesítést, a DNS-beállításokat is be kell állítania a névfeloldás biztosításához a Domain Services tartományvezérlői felé.

Általában csak az egyik hálózati kapcsolati lehetőséget használja. A választás gyakran a különálló Azure-erőforrások kezelésének módján múlik.

• Ha a tartományi szolgáltatásokat és a csatlakoztatott virtuális gépeket erőforráscsoportként szeretné kezelni, létrehozhat egy további virtuális hálózati alhálózatot a virtuális gépekhez.
• Ha el szeretné különíteni a Tartományi szolgáltatások kezelését, valamint a csatlakoztatott virtuális gépeket, használhat virtuális hálózatösszekapcsolást.
  • Dönthet úgy is, hogy virtuális hálózatok közötti társviszony-létesítést használ az Azure-környezet meglévő virtuális gépeihez való kapcsolódáshoz, amelyek egy meglévő virtuális hálózathoz csatlakoznak.

Ebben az oktatóanyagban csak egy virtuális hálózati kapcsolati lehetőséget kell konfigurálnia.

A virtuális hálózat tervezéséről és konfigurálásáról további információt a Microsoft Entra Domain Services hálózatkezelési szempontjait ismertető cikkben talál.

Virtuális hálózati alhálózat létrehozása

Alapértelmezés szerint a felügyelt tartománnyal létrehozott Azure-beli virtuális hálózat egyetlen virtuális hálózati alhálózatot tartalmaz. Ezt a virtuális hálózati alhálózatot csak az Azure-platform használhatja felügyelt tartományi szolgáltatások biztosítására. Ha saját virtuális gépeket szeretne létrehozni és használni ebben az Azure-beli virtuális hálózatban, hozzon létre egy további alhálózatot.

Virtuális gépek és alkalmazásterhelések virtuális hálózati alhálózatának létrehozásához hajtsa végre a következő lépéseket:

1. A Microsoft Entra Felügyeleti központban válassza ki a felügyelt tartomány erőforráscsoportját, például myResourceGroup. Az erőforrások listájában válassza ki az alapértelmezett virtuális hálózatot, például aadds-vnet.

2. A virtuális hálózat ablakának bal oldali menüjében válassza a Címtérlehetőséget. A virtuális hálózat az alapértelmezett alhálózat által használt 10.0.2.0/24-egyetlen címterével jön létre.

   Adjon hozzá egy további IP-címtartományt a virtuális hálózathoz. A címtartomány mérete és a ténylegesen használandó IP-címtartomány a már üzembe helyezett egyéb hálózati erőforrásoktól függ. Az IP-címtartomány nem lehet átfedésben az Azure-ban vagy a helyszíni környezetben meglévő címtartományokkal. Győződjön meg arról, hogy az IP-címtartomány elég nagy ahhoz a virtuális géphez, amelyet az alhálózaton üzembe kíván helyezni.

   Az alábbi példában a 10.0.3.0/24 további IP-címtartománya lesz hozzáadva. Ha elkészült, válassza a Mentéslehetőséget.

   

3. Ezután a virtuális hálózat ablakának bal oldali menüjében válassza az Alhálózatok, majd az alhálózat hozzáadásához + Alhálózat lehetőséget.

4. Adjon nevet az alhálózatnak, mint például munkaterhelés. Szükség esetén frissítse a címtartományt, ha az előző lépésekben a virtuális hálózathoz konfigurált IP-címtartomány egy részét szeretné használni. Egyelőre hagyja meg az alapértelmezett beállításokat, például a hálózati biztonsági csoportot, az útvonaltáblát és a szolgáltatásvégpontokat.

   A következő példában létrejön egy számítási feladatok nevű alhálózat, amely a 10.0.3.0/24 IP-címtartományt használja:

   

5. Ha elkészült, válassza OKlehetőséget. A virtuális hálózati alhálózat létrehozása néhány percet vesz igénybe.

A felügyelt tartomány használatához szükséges virtuális gép létrehozásakor győződjön meg arról, hogy ezt a virtuális hálózati alhálózatot választja ki. Ne hozzon létre virtuális gépeket az alapértelmezett aadds-subnet. Ha másik virtuális hálózatot választ, nincs hálózati kapcsolat és DNS-feloldás a felügyelt tartomány eléréséhez, hacsak nem konfigurálja a virtuális hálózatok közötti társviszony-létesítést.

Virtuális hálózatok közötti társviszony konfigurálása

Előfordulhat, hogy rendelkezik virtuális gépekhez készült Azure-beli virtuális hálózatokkal, vagy külön szeretné tartani a felügyelt tartomány virtuális hálózatát. A felügyelt tartomány használatához más virtuális hálózatok virtuális gépeinek módot kell adni a tartományvezérlőkkel való kommunikációra. Ez a kapcsolat azure-beli virtuális hálózatok közötti társviszony-létesítéssel biztosítható.

Az Azure-beli virtuális hálózatok közötti társviszony-létesítés során két virtuális hálózat csatlakozik egymáshoz anélkül, hogy virtuális magánhálózati (VPN-) eszközre van szükség. A hálózati társviszony-létesítéssel gyorsan csatlakoztathat virtuális hálózatokat, és meghatározhatja a forgalomfolyamatokat az Azure-környezetben.

További információért a társviszony-létesítésről tekintse meg az Azure virtuális hálózati társviszony-létesítés áttekintéseoldalt.

Ha virtuális hálózatot szeretne társítani a felügyelt tartomány virtuális hálózatával, hajtsa végre az alábbi lépéseket:

1. Válassza ki a felügyelt tartományhoz létrehozott alapértelmezett virtuális hálózatot aadds-vnet.

2. A virtuális hálózat ablakának bal oldali menüjében válassza a Peeringeklehetőséget.

3. Társviszony létrehozásához válassza a +hozzáadása lehetőséget. Az alábbi példában az alapértelmezett aadds-vnet egy myVnetnevű virtuális hálózathoz van társítva. Konfigurálja a következő beállításokat a saját értékeivel:

   • Az aadds-vnet és a távoli virtuális hálózat közötti peering neve: A két hálózatot azonosító leíró jellegű azonosító, például aadds-vnet-to-myvnet
   • virtuális hálózat üzembe helyezési típusa: Resource Manager-
   • Előfizetés: Annak a virtuális hálózatnak az előfizetése, amelyhez össze szeretné kapcsolni, például Azure
   • Virtuális hálózat: A virtuális hálózat, amelyhez társviszonyt kíván létesíteni, például myVnet-
   • A myVnet és az aadds-vnetközötti társviszony-létesítés neve: A két hálózat leíró azonosítója, például myvnet-to-aadds-vnet

   

   Hagyja meg a virtuális hálózati hozzáférés vagy a továbbított forgalom egyéb alapértelmezett értékét, kivéve, ha a környezetére vonatkozó konkrét követelményekkel rendelkezik, majd válassza az OKlehetőséget.

4. A társviszony létrehozása a Domain Services virtuális hálózaton és a kiválasztott virtuális hálózaton is eltarthat néhány percig. Ha elkészült, a társviszony-létesítési állapot jelentések Csatlakoztatott, ahogyan az alábbi példában látható:

   

Mielőtt a társhálózat virtuális gépei használhatják a felügyelt tartományt, konfigurálja a DNS-kiszolgálókat a megfelelő névfeloldás engedélyezéséhez.

DNS-kiszolgálók konfigurálása a társhálózatban

Ahhoz, hogy a társhálózatban lévő virtuális gépek és alkalmazások sikeresen kommunikáljanak a felügyelt tartománnyal, frissíteni kell a DNS-beállításokat. A Domain Services tartományvezérlők IP-címeit a társkapcsolatban lévő virtuális hálózat DNS-kiszolgálóiként kell konfigurálni. A tartományvezérlőket kétféleképpen konfigurálhatja DNS-kiszolgálóként a társhálózathoz:

• Konfigurálja az Azure-beli virtuális hálózati DNS-kiszolgálókat a tartományvezérlők használatára.
• Konfigurálja a társhálózaton használt meglévő DNS-kiszolgálót a feltételes DNS-továbbítás használatára a lekérdezések felügyelt tartományba való irányításához. Ezek a lépések a használatban lévő DNS-kiszolgálótól függően változnak.

Ebben az oktatóanyagban konfiguráljuk az Azure-beli virtuális hálózati DNS-kiszolgálókat, hogy az összes lekérdezést a tartományvezérlőkhöz irányítsuk.

1. A Microsoft Entra Felügyeleti központban válassza ki a csatolt virtuális hálózat erőforráscsoportját, például myResourceGroup. Az erőforrások listájában válassza ki a társviszonyban lévő virtuális hálózatot, például myVnet.

2. A virtuális hálózat ablakának bal oldali menüjében válassza DNS-kiszolgálóklehetőséget.

3. A virtuális hálózat alapértelmezés szerint a beépített Azure-beli DNS-kiszolgálókat használja. Válassza egyéni DNS-kiszolgálók használatát. Adja meg a Domain Services tartományvezérlők IP-címeit, amelyek általában 10.0.2.4 és 10.0.2.5. Ellenőrizze ezeket az IP-címeket a felügyelt tartomány áttekintési ablakában a portálon.

   

4. Ha elkészült, válassza a Mentéslehetőséget. A virtuális hálózat DNS-kiszolgálóinak frissítése néhány percet vesz igénybe.

5. A frissített DNS-beállítások virtuális gépekre való alkalmazásához indítsa újra a társhálózathoz csatlakoztatott virtuális gépeket.

Amikor létrehoz egy virtuális gépet, amelynek szüksége van a felügyelt tartomány használatára, győződjön meg arról, hogy a társított virtuális hálózatot választja. Ha másik virtuális hálózatot választ, nincs hálózati kapcsolat és DNS-feloldás a felügyelt tartomány eléréséhez.

Következő lépések

Ebben az oktatóanyagban megtanulta, hogyan:

• A tartományi szolgáltatásokhoz tartományba csatlakoztatott erőforrások virtuális hálózati csatlakozási lehetőségeinek megértése
• IP-címtartomány és további alhálózat létrehozása a Domain Services virtuális hálózatban
• Virtuális hálózatok társviszonyának konfigurálása egy, a Domain Services szolgáltatástól elkülönített hálózathoz

Ha működés közben szeretné megtekinteni ezt a felügyelt tartományt, hozzon létre és csatlakozzon egy virtuális géphez a tartományhoz.

Windows Server rendszerű virtuális gép csatlakoztatása a felügyelt tartományhoz