Esercitazione: Configurare la rete virtuale per un dominio gestito di Microsoft Entra Domain Services

Per fornire connettività a utenti e applicazioni, un dominio gestito di Microsoft Entra Domain Services viene distribuito in una subnet di rete virtuale di Azure. Questa subnet di rete virtuale dovrà essere usata solo per le risorse del dominio gestito fornite dalla piattaforma Azure.

Le VM e le applicazioni personalizzate create non devono essere distribuite nella stessa subnet di rete virtuale. È invece necessario creare e distribuire le applicazioni in una subnet di rete virtuale separata o in una rete virtuale separata con peering alla rete virtuale di Servizi di dominio.

Questa esercitazione illustra come creare e configurare una subnet di rete virtuale dedicata o come eseguire il peering di una rete diversa alla rete virtuale del dominio gestito di Servizi di dominio.

In questa esercitazione apprenderai a:

• Informazioni sulle opzioni di connettività della rete virtuale per le risorse aggiunte a un dominio a Servizi di dominio
• Creare un intervallo di indirizzi IP e una subnet aggiuntiva nella rete virtuale di Servizi di dominio
• Configurare il peering di rete virtuale in una rete separata da Servizi di dominio

Se non si ha una sottoscrizione di Azure, creare un account prima di iniziare.

Prerequisiti

Per completare l'esercitazione, sono necessari i privilegi e le risorse seguenti:

• Una sottoscrizione di Azure attiva.
  • Se non si ha una sottoscrizione di Azure, creare un account.
• Un tenant di Microsoft Entra associato alla sottoscrizione, sincronizzato con una directory locale o una directory solo cloud.
  • Se necessario, creare un tenant di Microsoft Entra o associare una sottoscrizione di Azure all'account.
• Per abilitare Servizi di dominio, sono necessari i ruoli di Application Amministrazione Amministrazione istrator e Groups Amministrazione istrator Di Microsoft Entra nel tenant.
• Per creare le risorse di Servizi di dominio necessarie, è necessario il ruolo di Azure Collaboratore servizi di dominio.
• Un dominio gestito di Microsoft Entra Domain Services abilitato e configurato nel tenant di Microsoft Entra.
  • Se necessario, la prima esercitazione crea e configura un dominio gestito di Microsoft Entra Domain Services.

Accedere all'interfaccia di amministrazione di Microsoft Entra

In questa esercitazione si crea e si configura il dominio gestito usando l'interfaccia di amministrazione di Microsoft Entra. Per iniziare, accedere prima all'interfaccia di amministrazione di Microsoft Entra.

Opzioni di connettività dei carichi di lavoro delle applicazioni

Nell'esercitazione precedente è stato creato un dominio gestito che usa alcune opzioni di configurazione predefinite per la rete virtuale. Con queste opzioni predefinite sono state create una rete virtuale e una subnet di rete virtuale di Azure. I controller di dominio di Servizi di dominio che forniscono i servizi di dominio gestiti sono connessi a questa subnet di rete virtuale.

Quando si creano ed eseguono le VM che devono usare il dominio gestito, è necessario fornire connettività di rete. Questa connettività di rete può essere fornita in uno dei modi seguenti:

• Creare una subnet di rete virtuale aggiuntiva nella rete virtuale del dominio gestito. Questa subnet aggiuntiva è quella in cui si creano e si connettono le VM.
  • Poiché le macchine virtuali fanno parte della stessa rete virtuale, possono eseguire automaticamente la risoluzione dei nomi e comunicare con i controller di dominio di Servizi di dominio.
• Configurare il peering di reti virtuali di Azure dalla rete virtuale del dominio gestito a una o più reti virtuali separate. Queste reti virtuali separate sono quelle in cui si creano e si connettono le VM.
  • Quando si configura il peering di rete virtuale, è necessario configurare anche le impostazioni DNS per usare nuovamente la risoluzione dei nomi nei controller di dominio di Servizi di dominio.

In genere si usa solo una di queste opzioni di connettività di rete. La scelta dipende solitamente da come si vogliono gestire separatamente le risorse di Azure.

• Se si vogliono gestire Servizi di dominio e macchine virtuali connesse come un gruppo di risorse, è possibile creare una subnet di rete virtuale aggiuntiva per le macchine virtuali.
• Se si vuole separare la gestione di Servizi di dominio e quindi qualsiasi macchina virtuale connessa, è possibile usare il peering di rete virtuale.
  • È anche possibile scegliere di usare il peering di reti virtuali per fornire connettività alle VM esistenti nell'ambiente di Azure che sono connesse a una rete virtuale esistente.

In questa esercitazione è sufficiente configurare una di queste opzioni di connettività di reti virtuali.

Per altre informazioni su come pianificare e configurare la rete virtuale, vedere Considerazioni sulla rete per Microsoft Entra Domain Services.

Creare una subnet di rete virtuale

Per impostazione predefinita, la rete virtuale di Azure creata con il dominio gestito contiene una singola subnet di rete virtuale. Questa subnet di rete virtuale dovrà essere usata solo dalla piattaforma Azure per fornire servizi di dominio gestito. Per creare e usare le proprie VM in questa rete virtuale di Azure, creare una subnet aggiuntiva.

Per creare una subnet di rete virtuale per le VM e i carichi di lavoro delle applicazioni, completare i passaggi seguenti:

1. Nell'interfaccia di amministrazione di Microsoft Entra selezionare il gruppo di risorse del dominio gestito, ad esempio myResourceGroup. Nell'elenco di risorse scegliere la rete virtuale predefinita, ad esempio aadds-vnet.

2. Nel menu sinistro della finestra della rete virtuale selezionare Spazio degli indirizzi. La rete virtuale viene creata con un unico spazio indirizzi, 10.0.2.0/24, usato dalla subnet predefinita.

   Aggiungere un intervallo di indirizzi IP aggiuntivo alla rete virtuale. Le dimensioni di questo intervallo di indirizzi e l'intervallo di indirizzi IP effettivo da usare dipendono dalle altre risorse di rete già distribuite. L'intervallo di indirizzi IP non deve sovrapporsi agli intervalli di indirizzi esistenti nell'ambiente di Azure o in locale. Assicurarsi di scegliere dimensioni dell'intervallo di indirizzi IP sufficienti per il numero di VM che si prevede di distribuire nella subnet.

   Nell'esempio seguente viene aggiunto l'intervallo di indirizzi IP 10.0.3.0/24. Al termine, selezionare Salva.

   

3. Successivamente, nel menu sinistro della finestra della rete virtuale selezionare Subnet, quindi scegliere + Subnet per aggiungere una subnet.

4. Immettere un nome per la subnet, ad esempio workloads. Se necessario, aggiornare l'opzione Intervallo di indirizzi se si vuole usare un sottoinsieme dell'intervallo di indirizzi IP configurato per la rete virtuale nei passaggi precedenti. Per il momento, lasciare le impostazioni predefinite per opzioni come gruppo di sicurezza di rete, tabella di route ed endpoint di servizio.

   Nell'esempio seguente viene creata una subnet denominata workloads che usa l'intervallo di indirizzi IP 10.0.3.0/24:

   

5. Al termine, selezionare OK. La creazione della subnet di rete virtuale richiede alcuni secondi.

Quando si crea una VM che deve usare il dominio gestito, assicurarsi di selezionare questa subnet di rete virtuale. Non creare VM nella subnet aadds-subnet predefinita. Se si seleziona una rete virtuale diversa, la connettività di rete e la risoluzione DNS non sono disponibili per raggiungere il dominio gestito, a meno che non si configuri il peering di reti virtuali.

Configurare il peering della rete virtuale

È possibile che sia già presente una rete virtuale di Azure per le macchine virtuali o che si voglia lasciare separata la rete virtuale del dominio gestito. Per usare il dominio gestito, le macchine virtuali in altre reti virtuali necessitano di un modo per comunicare con i controller di dominio di Servizi di dominio. Questa connettività può essere fornita tramite il peering di reti virtuali di Azure.

Con il peering di reti virtuali di Azure, vengono connesse due reti virtuali tra loro, senza la necessità di un dispositivo VPN (Virtual Private Network). Il peering di reti consente di connettere rapidamente le reti virtuali e di definire i flussi del traffico nell'ambiente di Azure.

Per altre informazioni sul peering, vedere la panoramica sul peering di reti virtuali di Azure.

Per collegare in peering una rete virtuale alla rete virtuale del dominio gestito, completare i passaggi seguenti:

1. Scegliere la rete virtuale predefinita creata per il dominio gestito denominata aadds-vnet.

2. Nel menu sinistro della finestra della rete virtuale selezionare Peering.

3. Per creare un peering, selezionare + Aggiungi. Nell'esempio seguente, la rete virtuale predefinita aadds-vnet viene collegata in peering a una rete virtuale denominata myVnet. Configurare le impostazioni seguenti con i propri valori:

   • Nome del peering da aadds-vnet alla rete virtuale remota: identificatore descrittivo delle due reti, ad esempio aadds-vnet-to-myvnet
   • Tipo di distribuzione di rete virtuale: Resource Manager
   • Sottoscrizione: sottoscrizione della rete virtuale a cui si vuole eseguire il peering, ad esempio Azure
   • Rete virtuale: la rete virtuale a cui si vuole eseguire il peering, ad esempio myVnet
   • Nome del peering da myVnet a aadds-vnet: identificatore descrittivo delle due reti, ad esempio myvnet-to-aadds-vnet

   

   Lasciare le altre impostazioni predefinite per l'accesso alla rete virtuale o il traffico inoltrato a meno che non si abbiano requisiti specifici per l'ambiente, quindi selezionare OK.

4. La creazione del peering nella rete virtuale di Servizi di dominio e nella rete virtuale selezionata richiede alcuni istanti. Al termine, per Stato peering è indicato Connesso, come illustrato nell'esempio seguente:

   

Prima che le VM nella rete virtuale con peering possano usare il dominio gestito, è necessario configurare i server DNS in modo da consentire la risoluzione dei nomi corretta.

Configurare i server DNS nella rete virtuale con peering

Per consentire alle VM e alle applicazioni nella rete virtuale con peering di comunicare correttamente con il dominio gestito, è necessario aggiornare le impostazioni DNS. Gli indirizzi IP dei controller di dominio di Servizi di dominio devono essere configurati come server DNS nella rete virtuale con peering. È possibile configurarli in due modi:

• Configurare i server DNS di rete virtuale di Azure per l'uso dei controller di dominio di Servizi di dominio.
• Configurare il server DNS esistente in uso nella rete virtuale con peering per l'uso dell'inoltro DNS condizionale in modo da indirizzare le query al dominio gestito. Questa procedura varia a seconda del server DNS esistente in uso.

In questa esercitazione verranno configurati i server DNS della rete virtuale di Azure per indirizzare tutte le query ai controller di dominio di Servizi di dominio.

1. Nell'interfaccia di amministrazione di Microsoft Entra selezionare il gruppo di risorse della rete virtuale con peering, ad esempio myResourceGroup. Nell'elenco di risorse scegliere la rete virtuale con peering, ad esempio myVnet.

2. Nel menu sinistro della finestra della rete virtuale selezionare Server DNS.

3. Per impostazione predefinita, una rete virtuale usa i server DNS predefiniti forniti da Azure. Scegliere di usare server DNS personalizzati. Immettere gli indirizzi IP per i controller di dominio di Servizi di dominio, che sono in genere 10.0.2.4 e 10.0.2.5. Confermare questi indirizzi IP nella finestra Panoramica del dominio gestito nel portale.

   

4. Al termine, selezionare Salva. L'aggiornamento dei server DNS per la rete virtuale richiede alcuni secondi.

5. Per applicare le impostazioni DNS aggiornate alle macchine virtuali, riavviare le VM connesse alla rete virtuale con peering.

Quando si crea una VM che deve usare il dominio gestito, assicurarsi di selezionare questa rete virtuale con peering. Se si seleziona una rete virtuale diversa, la connettività di rete e la risoluzione DNS non sono disponibili per raggiungere il dominio gestito.

Passaggi successivi

Questa esercitazione ha descritto come:

• Informazioni sulle opzioni di connettività della rete virtuale per le risorse aggiunte a un dominio a Servizi di dominio
• Creare un intervallo di indirizzi IP e una subnet aggiuntiva nella rete virtuale di Servizi di dominio
• Configurare il peering di rete virtuale in una rete separata da Servizi di dominio

Per vedere il dominio gestito in azione, creare e aggiungere una macchina virtuale al dominio.

Aggiungere una macchina virtuale Windows Server a un dominio gestito