Esercitazione: Creare e usare set di repliche per la resilienza o la georilevazione in Servizi di dominio Microsoft Entra

  • Articolo

Per migliorare la resilienza di un dominio gestito di Microsoft Entra Domain Services o distribuirlo in posizioni geografiche aggiuntive vicine alle applicazioni, è possibile usare i set di repliche. Ogni spazio dei nomi del dominio gestito di Servizi di dominio, ad esempio aaddscontoso.com, contiene un set di repliche iniziale. La possibilità di creare set di repliche aggiuntivi in altre aree di Azure supporta la resilienza geografica di un dominio gestito.

È possibile aggiungere un set di repliche a qualsiasi rete virtuale con peering in qualsiasi area di Azure che supporta Servizi di dominio.

In questa esercitazione apprenderai a:

  • Comprendere i requisiti delle reti virtuali
  • Creare un set di repliche
  • Eliminare un set di repliche

Se non si ha una sottoscrizione di Azure, creare un account prima di iniziare.

Prerequisiti

Per completare l'esercitazione, sono necessari i privilegi e le risorse seguenti:

  • Una sottoscrizione di Azure attiva.

  • Un tenant di Microsoft Entra associato alla sottoscrizione, sincronizzato con una directory locale o una directory solo cloud.

  • Un dominio gestito di Microsoft Entra Domain Services creato usando il modello di distribuzione Azure Resource Manager e configurato nel tenant di Microsoft Entra.

    Importante

    Per supportare i set di repliche, è necessario usare almeno lo SKU Enterprise per il dominio gestito. Se necessario, cambiare lo SKU di un dominio gestito.

Accedere all'interfaccia di amministrazione di Microsoft Entra

In questa esercitazione vengono creati e gestiti set di repliche usando l'interfaccia di amministrazione di Microsoft Entra. Per iniziare, accedere prima all'interfaccia di amministrazione di Microsoft Entra.

Considerazioni sulla rete

Le reti virtuali che ospitano set di repliche devono poter comunicare tra loro. Le applicazioni e i servizi che dipendono da Servizi di dominio necessitano anche della connettività di rete alle reti virtuali che ospitano i set di repliche. Per creare una rete di peer completa, sarà necessario configurare il peering di reti virtuali di Azure tra tutte le reti virtuali. I peering consentono una replica intrasito efficace tra i set di repliche.

Prima di poter usare i set di repliche in Servizi di dominio, esaminare i requisiti di rete virtuale di Azure seguenti:

  • Evitare la sovrapposizione degli spazi indirizzi IP per consentire il routing e il peering di reti virtuali.
  • Creare subnet con un numero di indirizzi IP sufficiente per supportare lo scenario.
  • Assicurarsi che Domain Services abbia la propria subnet. Non condividere la subnet della rete virtuale con i servizi e le VM delle applicazioni.
  • Le reti virtuali con peering NON sono transitive.

Suggerimento

Quando si crea un set di repliche nell'interfaccia di amministrazione di Microsoft Entra, vengono creati automaticamente i peering di rete tra reti virtuali.

Se necessario, è possibile creare una rete virtuale e una subnet quando si aggiunge un set di repliche nell'interfaccia di amministrazione di Microsoft Entra. In alternativa, è possibile scegliere risorse rete virtuale esistenti nell'area di destinazione per un set di repliche e consentire la creazione automatica dei peering, se non sono già presenti.

Creare un set di repliche

Quando si crea un dominio gestito, ad esempio aaddscontoso.com, viene creato un set di repliche iniziale. I set di repliche aggiuntivi condividono lo stesso spazio dei nomi e la stessa configurazione. Le modifiche apportate a Servizi di dominio, tra cui configurazione, identità utente e credenziali, gruppi, oggetti criteri di gruppo, oggetti computer e altre modifiche vengono applicate a tutti i set di repliche nel dominio gestito tramite la replica di Active Directory Domain Services.

In questa esercitazione viene creato un set di repliche aggiuntivo in un'area di Azure diversa dal set di repliche di Servizi di dominio iniziale.

Per creare un set di repliche aggiuntivo, seguire questa procedura:

  1. Nell'interfaccia di amministrazione di Microsoft Entra cercare e selezionare Microsoft Entra Domain Services.

  2. Scegliere il dominio gestito, ad esempio aaddscontoso.com.

  3. Sul lato sinistro selezionare Set di repliche. Ogni dominio gestito include un set di repliche iniziale nell'area selezionata, come illustrato nello screenshot di esempio seguente:

    Example screenshot to view and add a replica set in the Microsoft Entra admin center

    Per creare un set di repliche aggiuntivo, selezionare + Aggiungi.

  4. Nella finestra Add a replica set (Aggiungi set di repliche) selezionare l'area di destinazione, ad esempio Stati Uniti orientali.

    Selezionare una rete virtuale nell'area di destinazione, ad esempio vnet-eastus, e quindi scegliere una subnet, ad esempio aadds-subnet. Se necessario, scegliere Crea nuovo per aggiungere una rete virtuale nell'area di destinazione, quindi Gestisci per creare una subnet per Servizi di dominio.

    Se non sono già presenti, vengono creati automaticamente i peering di reti virtuali di Azure tra la rete virtuale del dominio gestito esistente e la rete virtuale di destinazione.

    Lo screenshot di esempio seguente illustra il processo di creazione di un nuovo set di repliche in Stati Uniti orientali:

    Example screenshot to create a replica set in the Microsoft Entra admin center

  5. Al termine, selezionare Salva.

Il processo di creazione del set di repliche richiede tempo, perché devono essere create le risorse nell'area di destinazione. Il dominio gestito viene quindi replicato con la replica di AD DS.

Mentre è in corso la distribuzione, il set di repliche viene visualizzato con lo stato Provisioning, come illustrato nello screenshot di esempio seguente. Al termine, il set di repliche è riportato come ln esecuzione.

Example screenshot of replica set deployment status in the Microsoft Entra admin center

Eliminare un set di repliche

Un dominio gestito è attualmente limitato a cinque repliche, ovvero il set di repliche iniziale e quattro set di repliche aggiuntivi. Se un set di repliche non è più necessario o se ne vuole creare uno in un'altra area, si possono eliminare i set di repliche superflui.

Importante

Non è possibile eliminare l'ultimo set di repliche o il set di repliche iniziale in un dominio gestito.

Per eliminare un set di repliche, seguire questa procedura:

  1. Nell'interfaccia di amministrazione di Microsoft Entra cercare e selezionare Microsoft Entra Domain Services.
  2. Scegliere il dominio gestito, ad esempio aaddscontoso.com.
  3. Sul lato sinistro selezionare Set di repliche. Nell'elenco dei set di repliche selezionare il menu di scelta rapida ... accanto al set di repliche da eliminare.
  4. Scegliere Elimina dal menu di scelta rapida e quindi confermare che si vuole eliminare il set di repliche.
  5. Nella macchina virtuale di gestione di Servizi di dominio accedere alla console DNS ed eliminare manualmente i record DNS per i controller di dominio dal set di repliche eliminato.

Nota

L'eliminazione del set di repliche può richiedere molto tempo.

Se la rete virtuale o il peering usato dal set di repliche non è più necessario, è anche possibile eliminare tali risorse. Prima di eliminare le connessioni di rete, verificare che non siano necessarie per altre risorse delle applicazioni nell'altra area.

Passaggi successivi

Questa esercitazione ha descritto come:

  • Configurare il peering della rete virtuale
  • Creare un set di repliche in un'altra area geografica
  • Eliminare un set di repliche

Per altre informazioni concettuali, vedere Come funzionano i set di repliche in Servizi di dominio.

Concetti e funzionalità dei set di repliche