Esercitazione: Configurare il networking virtuale per un dominio gestito di Microsoft Entra Domain Services

Per fornire connettività a utenti e applicazioni, un dominio gestito di Microsoft Entra Domain Services viene distribuito in una subnet di rete virtuale di Azure. Questa subnet di rete virtuale deve essere usata solo per le risorse del dominio gestito fornite dalla piattaforma Azure.

Quando si creano macchine virtuali e applicazioni personalizzate, non devono essere distribuite nella stessa subnet di rete virtuale. È invece necessario creare e distribuire le applicazioni in una subnet di rete virtuale separata o in una rete virtuale separata con peering alla rete virtuale dei Servizi di dominio.

Questo tutorial mostra come creare e configurare una subnet dedicata di rete virtuale o come collegare una rete diversa alla rete virtuale del dominio gestito dai Servizi di dominio.

In questa esercitazione si apprenderà come:

• Informazioni sulle opzioni di connettività della rete virtuale per le risorse aggiunte a un dominio a Servizi di dominio
• Creare un intervallo di indirizzi IP e una subnet aggiuntiva nella rete virtuale di Servizi di dominio
• Configurare il peering di rete virtuale verso una rete separata dai servizi di dominio

Se non hai un abbonamento Azure, crea un account prima di iniziare.

Prerequisiti

Per completare questa esercitazione, sono necessari i privilegi e le risorse seguenti:

• Una sottoscrizione di Azure attiva.
  • Se non si ha una sottoscrizione di Azure, creare un account.
• Un tenant di Microsoft Entra associato alla tua sottoscrizione, sincronizzato con una directory locale o con una directory solo sul cloud.
  • Se necessario, crea un tenant di Microsoft Entra o associa un abbonamento Azure al tuo account.
• È necessario avere i ruoli di Microsoft Entra, gli amministratori delle applicazioni e gli amministratori dei gruppi , nel tenant per abilitare i Servizi di dominio.
• Per creare le risorse necessarie di Servizi di dominio, è necessario il ruolo di Collaboratore Servizi di dominio di Azure.
• Un dominio gestito di Microsoft Entra Domain Services abilitato e configurato nel tenant di Microsoft Entra.
  • Se necessario, la prima esercitazione crea e configura un dominio gestito di Microsoft Entra Domain Services.

Accedere all'interfaccia di amministrazione di Microsoft Entra

In questa esercitazione si crea e si configura il dominio gestito usando l'interfaccia di amministrazione di Microsoft Entra. Per iniziare, accedere prima all'interfaccia di amministrazione di Microsoft Entra .

Opzioni di connettività del carico di lavoro dell'applicazione

Nell'esercitazione precedente è stato creato un dominio gestito che usa alcune opzioni di configurazione predefinite per la rete virtuale. Queste opzioni predefinite hanno creato una rete virtuale di Azure e una subnet di rete virtuale. I controller di dominio dei servizi di dominio gestiti sono connessi a questa subnet di rete virtuale.

Quando si creano ed eseguono macchine virtuali che devono usare il dominio gestito, è necessario fornire la connettività di rete. Questa connettività di rete può essere fornita in uno dei modi seguenti:

• Creare una subnet di rete virtuale aggiuntiva nella rete virtuale del dominio gestito. Questa subnet aggiuntiva è la posizione in cui si creano e si connettono le macchine virtuali.
  • Poiché le macchine virtuali fanno parte della stessa rete virtuale, possono eseguire automaticamente la risoluzione dei nomi e comunicare con i controller di dominio dei Servizi di dominio Active Directory.
• Configurare il peering di rete virtuale di Azure dalla rete virtuale del dominio gestito a una o più reti virtuali separate. Queste reti virtuali separate sono in cui si creano e si connettono le macchine virtuali.
  • Quando si configura il peering di rete virtuale, è necessario configurare anche le impostazioni DNS per utilizzare la risoluzione dei nomi indirizzata ai controller di dominio dei Servizi di dominio.

In genere, si usa solo una di queste opzioni di connettività di rete. La scelta dipende spesso da come desideri gestire separatamente le tue risorse di Azure.

• Se si vogliono gestire Servizi di dominio e macchine virtuali connesse come un gruppo di risorse, è possibile creare una subnet di rete virtuale aggiuntiva per le macchine virtuali.
• Se si vuole separare la gestione di Servizi di dominio e quindi qualsiasi macchina virtuale connessa, è possibile usare il peering di rete virtuale.
  • È anche possibile scegliere di usare il peering di rete virtuale per fornire la connettività alle macchine virtuali esistenti nell'ambiente Di Azure connesse a una rete virtuale esistente.

In questa esercitazione è sufficiente configurare una di queste opzioni di connettività di rete virtuale.

Per altre informazioni su come pianificare e configurare la rete virtuale, vedere considerazioni sulla rete per Microsoft Entra Domain Services.

Creare una subnet di rete virtuale

Per impostazione predefinita, la rete virtuale di Azure creata con il dominio gestito contiene una singola subnet di rete virtuale. Questa subnet di rete virtuale deve essere usata solo dalla piattaforma Azure per fornire servizi di dominio gestiti. Per creare e usare macchine virtuali personalizzate in questa rete virtuale di Azure, creare una subnet aggiuntiva.

Per creare una subnet di rete virtuale per le macchine virtuali e i carichi di lavoro dell'applicazione, completare la procedura seguente:

1. Nell'interfaccia di amministrazione di Microsoft Entra selezionare il gruppo di risorse del dominio gestito, ad esempio myResourceGroup. Nell'elenco delle risorse scegliere la rete virtuale predefinita, ad esempio aadds-vnet.

2. Nel menu a sinistra della finestra della rete virtuale selezionare Spazio indirizzi. La rete virtuale viene creata con un singolo spazio indirizzi di 10.0.2.0/24, usato dalla subnet predefinita.

   Aggiungere un intervallo di indirizzi IP aggiuntivo alla rete virtuale. Le dimensioni di questo intervallo di indirizzi e l'intervallo di indirizzi IP effettivo da usare dipendono da altre risorse di rete già distribuite. L'intervallo di indirizzi IP non deve sovrapporsi ad alcun intervallo di indirizzi esistente nell'ambiente Azure o locale. Assicurarsi di ridimensionare l'intervallo di indirizzi IP sufficientemente grande per il numero di macchine virtuali che si prevede di distribuire nella subnet.

   Nell'esempio seguente viene aggiunto un intervallo di indirizzi IP aggiuntivo di 10.0.3.0/24. Quando si è pronti, selezionare Salva.

   

3. Nel menu a sinistra della finestra della rete virtuale selezionare quindi Subnet, quindi scegliere + Subnet per aggiungere una subnet.

4. Immettere un nome per la subnet, ad esempio carichi di lavoro. Se necessario, aggiornare l'intervallo di indirizzi se si vuole usare un subset dell'intervallo di indirizzi IP configurato per la rete virtuale nei passaggi precedenti. Per il momento, lasciare le impostazioni predefinite per le opzioni, ad esempio gruppo di sicurezza di rete, tabella di route, endpoint di servizio.

   Nell'esempio seguente viene creata una subnet denominata Workloads che utilizza l'intervallo di indirizzi IP 10.0.3.0/24.

   

5. Quando si è pronti, selezionare OK. La creazione della subnet della rete virtuale richiede alcuni istanti.

Quando si crea una macchina virtuale che deve usare il dominio gestito, assicurarsi di selezionare questa subnet di rete virtuale. Non creare macchine virtuali nella subnet aadds predefinita . Se si seleziona una rete virtuale diversa, non esiste connettività di rete e risoluzione DNS per raggiungere il dominio gestito, a meno che non si configuri il peering di rete virtuale.

Configurare il peering di rete virtuale

Potrebbe essere presente una rete virtuale di Azure esistente per le macchine virtuali o mantenere separata la rete virtuale del dominio gestito. Per utilizzare il dominio gestito, le macchine virtuali in altre reti virtuali devono avere un modo per comunicare con i controller di dominio dei servizi di dominio. Questa connettività può essere fornita tramite il peering di rete virtuale di Azure.

Con il peering di rete virtuale di Azure, due reti virtuali vengono connesse insieme, senza la necessità di un dispositivo di rete privata virtuale (VPN). Il peering di rete consente di connettere rapidamente le reti virtuali e definire i flussi di traffico nell'ambiente Azure.

Per ulteriori informazioni sul peering, consultare panoramica sul peering delle reti virtuali di Azure.

Per eseguire il peering di una rete virtuale alla rete virtuale di dominio gestito, seguire questa procedura:

1. Scegliere la rete virtuale predefinita creata per il dominio gestito denominato aadds-vnet.

2. Nel menu a sinistra della finestra della rete virtuale, selezionare Peerings.

3. Per creare un peering, selezionare + Aggiungi. Nell'esempio seguente viene eseguito il peering della predefinita aadds-vnet a una rete virtuale denominata myVnet. Configurare le impostazioni seguenti con i propri valori:

   • Nome del peering da aadds-vnet alla rete virtuale remota: un identificatore descrittivo delle due reti, ad esempio aadds-vnet-to-myvnet
   • tipo di distribuzione rete virtuale: gestore delle risorse
   • Sottoscrizione: la sottoscrizione del servizio della rete virtuale a cui si vuole eseguire un peering, ad esempio Azure
   • rete virtuale: rete virtuale a cui si vuole eseguire il peering, ad esempio myVnet
   • Nome del peering da myVnet a aadds-vnet: un identificatore descrittivo delle due reti, ad esempio myvnet-to-aadds-vnet

   

   Lasciare qualsiasi altra impostazione predefinita per l'accesso alla rete virtuale o il traffico inoltrato a meno che non siano presenti requisiti specifici per l'ambiente, quindi selezionare OK.

4. La creazione del peering nella rete virtuale di Servizi di dominio e nella rete virtuale selezionata richiede alcuni istanti. Quando si è pronti, lo stato peering segnala Connected, come illustrato nell'esempio seguente:

   

Prima che le macchine virtuali nella rete virtuale con peering possano usare il dominio gestito, configurare i server DNS per consentire una corretta risoluzione dei nomi.

Configurare i server DNS nella rete virtuale con peering

Per consentire alle macchine virtuali e alle applicazioni nella rete virtuale con peering di comunicare correttamente con il dominio gestito, è necessario aggiornare le impostazioni DNS. Gli indirizzi IP dei controller del dominio dei servizi di dominio devono essere configurati come server DNS sulla rete virtuale peer. Esistono due modi per configurare i controller di dominio come server DNS per la rete virtuale con peering:

• Configurare i server DNS di rete virtuale di Azure per l'uso dei controller di dominio di Servizi di dominio.
• Configurare il server DNS esistente in uso nella rete virtuale con peering per usare l'inoltro DNS condizionale per indirizzare le query al dominio gestito. Questi passaggi variano a seconda del server DNS esistente in uso.

In questa esercitazione verranno configurati i server DNS della rete virtuale di Azure per indirizzare tutte le query ai controller di dominio di Servizi di dominio.

1. Nell'interfaccia di amministrazione di Microsoft Entra selezionare il gruppo di risorse della rete virtuale con peering, ad esempio myResourceGroup. Dall'elenco delle risorse, scegli la rete virtuale con il peering, ad esempio myVnet.

2. Nel menu a sinistra della finestra della rete virtuale, selezionare i server DNS.

3. Per impostazione predefinita, una rete virtuale usa i server DNS predefiniti forniti da Azure. Scegliere di usare server DNS personalizzati . Immettere gli indirizzi IP per i controller di dominio di Servizi di dominio, che in genere sono 10.0.2.4 e 10.0.2.5. Verificare questi indirizzi IP nella finestra Panoramica del dominio gestito, nel portale.

   

4. Quando si è pronti, selezionare Salva. L'aggiornamento dei server DNS per la rete virtuale richiede alcuni istanti.

5. Per applicare le impostazioni DNS aggiornate alle macchine virtuali, riavviare le macchine virtuali connesse alla rete virtuale con peering.

** Quando crei una macchina virtuale che deve usare il dominio gestito, assicurati di selezionare questa rete virtuale connessa in peering. Se si seleziona una rete virtuale diversa, non esiste connettività di rete e risoluzione DNS per raggiungere il dominio gestito.

Passaggi successivi

In questa esercitazione si è appreso come:

• Informazioni sulle opzioni di connettività della rete virtuale per le risorse aggiunte a un dominio a Servizi di dominio
• Creare un intervallo di indirizzi IP e una subnet aggiuntiva nella rete virtuale di Servizi di dominio
• Configurare il peering di rete virtuale verso una rete separata dai servizi di dominio

Per visualizzare questo dominio gestito in azione, creare e aggiungere una macchina virtuale al dominio.

Aggiungere una macchina virtuale Windows Server al dominio gestito