Esercitazione: Configurare la rete virtuale per un dominio gestito di Microsoft Entra Domain Services

Per fornire connettività a utenti e applicazioni, un dominio gestito di Microsoft Entra Domain Services viene distribuito in una subnet di rete virtuale di Azure. Questa subnet di rete virtuale dovrà essere usata solo per le risorse del dominio gestito fornite dalla piattaforma Azure.

Le VM e le applicazioni personalizzate create non devono essere distribuite nella stessa subnet di rete virtuale. È invece necessario creare e distribuire le applicazioni in una subnet di rete virtuale distinta oppure in una rete virtuale distinta collegata in peering alla rete virtuale di Domain Services.

Questa esercitazione illustra come creare e configurare una subnet di rete virtuale dedicata oppure come collegare in peering una rete diversa alla rete virtuale di un dominio gestito di Domain Services.

In questa esercitazione apprenderai a:

• Identificare le opzioni di connettività di reti virtuali per le risorse aggiunte a dominio in Domain Services
• Creare un intervallo di indirizzi IP e una subnet aggiuntiva nella rete virtuale di Domain Services
• Configurare il peering di reti virtuali a una rete separata da Domain Services

Se non si ha una sottoscrizione di Azure, creare un account prima di iniziare.

Prerequisiti

Per completare l'esercitazione, sono necessari i privilegi e le risorse seguenti:

• Una sottoscrizione di Azure attiva.
  • Se non si ha una sottoscrizione di Azure, creare un account.
• Un tenant di Microsoft Entra associato alla sottoscrizione, sincronizzato con una directory locale o con una directory solo cloud.
  • Se necessario, creare un tenant di Microsoft Entra o associare una sottoscrizione di Azure al proprio account.
• Sono necessari i ruoli Amministratore applicazioni e Amministratore di gruppi di Microsoft Entra nel tenant per abilitare Domain Services.
• È necessario il ruolo di Azure Collaboratore per Domain Services per creare le risorse Domain Services necessarie.
• Un dominio gestito di Microsoft Entra Domain Services abilitato e configurato nel tenant di Microsoft Entra.
  • Se necessario, seguire la prima esercitazione per creare e configurare un dominio gestito di Microsoft Entra Domain Services.

Accedere all'interfaccia di amministrazione di Microsoft Entra

In questa esercitazione viene creato e configurato un dominio gestito tramite l'interfaccia di amministrazione di Microsoft Entra. Per iniziare, accedere all'interfaccia di amministrazione di Microsoft Entra.

Opzioni di connettività dei carichi di lavoro delle applicazioni

Nell'esercitazione precedente è stato creato un dominio gestito che usa alcune opzioni di configurazione predefinite per la rete virtuale. Con queste opzioni predefinite sono state create una rete virtuale e una subnet di rete virtuale di Azure. A questa subnet di rete virtuale sono connessi i controller di dominio di Domain Services che forniscono i servizi di dominio gestito.

Quando si creano ed eseguono le VM che devono usare il dominio gestito, è necessario fornire connettività di rete. Questa connettività di rete può essere fornita in uno dei modi seguenti:

• Creare una subnet di rete virtuale aggiuntiva nella rete virtuale del dominio gestito. Questa subnet aggiuntiva è quella in cui si creano e si connettono le VM.
  • Poiché le macchine virtuali fanno parte della stessa rete virtuale, possono eseguire automaticamente la risoluzione dei nomi e comunicare con i controller di dominio di Domain Services.
• Configurare il peering di reti virtuali di Azure dalla rete virtuale del dominio gestito a una o più reti virtuali separate. Queste reti virtuali separate sono quelle in cui si creano e si connettono le VM.
  • Quando si configura il peering di reti virtuali, è necessario configurare anche le impostazioni DNS per usare la risoluzione dei nomi per i controller di dominio di Domain Services.

In genere si usa solo una di queste opzioni di connettività di rete. La scelta dipende solitamente da come si vogliono gestire separatamente le risorse di Azure.

• Per gestire Domain Services e le macchine virtuali connesse come un unico gruppo di risorse, è possibile creare una subnet di rete virtuale aggiuntiva per le macchine virtuali.
• Se si vuole separare la gestione di Domain Services e delle macchine virtuali connesse, è possibile usare il peering di reti virtuali.
  • È anche possibile scegliere di usare il peering di reti virtuali per fornire connettività alle VM esistenti nell'ambiente di Azure che sono connesse a una rete virtuale esistente.

In questa esercitazione è sufficiente configurare una di queste opzioni di connettività di reti virtuali.

Per altre informazioni su come pianificare e configurare la rete virtuale, vedere le Considerazioni sulla rete per Microsoft Entra Domain Services.

Creare una subnet di rete virtuale

Per impostazione predefinita, la rete virtuale di Azure creata con il dominio gestito contiene una singola subnet di rete virtuale. Questa subnet di rete virtuale dovrà essere usata solo dalla piattaforma Azure per fornire servizi di dominio gestito. Per creare e usare le proprie VM in questa rete virtuale di Azure, creare una subnet aggiuntiva.

Per creare una subnet di rete virtuale per le VM e i carichi di lavoro delle applicazioni, completare i passaggi seguenti:

1. Nell'interfaccia di amministrazione di Microsoft Entra selezionare il gruppo di risorse del dominio gestito, ad esempio myResourceGroup. Nell'elenco di risorse scegliere la rete virtuale predefinita, ad esempio aadds-vnet.

2. Nel menu sinistro della finestra della rete virtuale selezionare Spazio degli indirizzi. La rete virtuale viene creata con un unico spazio indirizzi, 10.0.2.0/24, usato dalla subnet predefinita.

   Aggiungere un intervallo di indirizzi IP aggiuntivo alla rete virtuale. Le dimensioni di questo intervallo di indirizzi e l'intervallo di indirizzi IP effettivo da usare dipendono dalle altre risorse di rete già distribuite. L'intervallo di indirizzi IP non deve sovrapporsi agli intervalli di indirizzi esistenti nell'ambiente di Azure o in locale. Assicurarsi di scegliere dimensioni dell'intervallo di indirizzi IP sufficienti per il numero di VM che si prevede di distribuire nella subnet.

   Nell'esempio seguente viene aggiunto l'intervallo di indirizzi IP 10.0.3.0/24. Al termine, selezionare Salva.

   

3. Successivamente, nel menu sinistro della finestra della rete virtuale selezionare Subnet, quindi scegliere + Subnet per aggiungere una subnet.

4. Immettere un nome per la subnet, ad esempio workloads. Se necessario, aggiornare l'opzione Intervallo di indirizzi se si vuole usare un sottoinsieme dell'intervallo di indirizzi IP configurato per la rete virtuale nei passaggi precedenti. Per il momento, lasciare le impostazioni predefinite per opzioni come gruppo di sicurezza di rete, tabella di route ed endpoint di servizio.

   Nell'esempio seguente viene creata una subnet denominata workloads che usa l'intervallo di indirizzi IP 10.0.3.0/24:

   

5. Al termine, selezionare OK. La creazione della subnet di rete virtuale richiede alcuni secondi.

Quando si crea una VM che deve usare il dominio gestito, assicurarsi di selezionare questa subnet di rete virtuale. Non creare VM nella subnet aadds-subnet predefinita. Se si seleziona una rete virtuale diversa, la connettività di rete e la risoluzione DNS non sono disponibili per raggiungere il dominio gestito, a meno che non si configuri il peering di reti virtuali.

Configurare il peering della rete virtuale

È possibile che sia già presente una rete virtuale di Azure per le macchine virtuali o che si voglia lasciare separata la rete virtuale del dominio gestito. Per usare il dominio gestito, le macchine virtuali di altre reti virtuali devono poter comunicare con i controller di dominio di Domain Services. Questa connettività può essere fornita tramite il peering di reti virtuali di Azure.

Con il peering di reti virtuali di Azure, vengono connesse due reti virtuali tra loro, senza la necessità di un dispositivo VPN (Virtual Private Network). Il peering di reti consente di connettere rapidamente le reti virtuali e di definire i flussi del traffico nell'ambiente di Azure.

Per altre informazioni sul peering, vedere la panoramica sul peering di reti virtuali di Azure.

Per collegare in peering una rete virtuale alla rete virtuale del dominio gestito, completare i passaggi seguenti:

1. Scegliere la rete virtuale predefinita creata per il dominio gestito denominata aadds-vnet.

2. Nel menu sinistro della finestra della rete virtuale selezionare Peering.

3. Per creare un peering, selezionare + Aggiungi. Nell'esempio seguente, la rete virtuale predefinita aadds-vnet viene collegata in peering a una rete virtuale denominata myVnet. Configurare le impostazioni seguenti con i propri valori:

   • Nome del peering da aadds-vnet alla rete virtuale remota: identificatore descrittivo delle due reti, ad esempio aadds-vnet-to-myvnet
   • Tipo di distribuzione della rete virtuale: Resource Manager
   • Sottoscrizione: la sottoscrizione della rete virtuale per cui creare il peering, ad esempio Azure
   • Rete virtuale: la rete virtuale per cui creare il peering, ad esempio myVnet
   • Nome del peering da myVnet a aadds-vnet: identificatore descrittivo delle due reti, ad esempio myvnet-to-aadds-vnet

   

   Lasciare le altre impostazioni predefinite per l'accesso alla rete virtuale o il traffico inoltrato a meno che non si abbiano requisiti specifici per l'ambiente, quindi selezionare OK.

4. La creazione del peering nella rete virtuale di Domain Services e in quella selezionata richiede alcuni secondi. Al termine, per Stato peering è indicato Connesso, come illustrato nell'esempio seguente:

   

Prima che le VM nella rete virtuale con peering possano usare il dominio gestito, è necessario configurare i server DNS in modo da consentire la risoluzione dei nomi corretta.

Configurare i server DNS nella rete virtuale con peering

Per consentire alle VM e alle applicazioni nella rete virtuale con peering di comunicare correttamente con il dominio gestito, è necessario aggiornare le impostazioni DNS. Gli indirizzi IP dei controller di dominio di Domain Services devono essere configurati come server DNS nella rete virtuale con peering. È possibile configurarli in due modi:

• Configurare i server DNS della rete virtuale di Azure per l'uso dei controller di dominio di Domain Services.
• Configurare il server DNS esistente in uso nella rete virtuale con peering per l'uso dell'inoltro DNS condizionale in modo da indirizzare le query al dominio gestito. Questa procedura varia a seconda del server DNS esistente in uso.

Per questa esercitazione, configurare i server DNS della rete virtuale di Azure in modo da indirizzare tutte le query ai controller di dominio di Domain Services.

1. Nell'interfaccia di amministrazione di Microsoft Entra selezionare il gruppo di risorse della rete virtuale con peering, ad esempio myResourceGroup. Nell'elenco di risorse scegliere la rete virtuale con peering, ad esempio myVnet.

2. Nel menu sinistro della finestra della rete virtuale selezionare Server DNS.

3. Per impostazione predefinita, una rete virtuale usa i server DNS predefiniti forniti da Azure. Scegliere di usare server DNS personalizzati. Immettere gli indirizzi IP per i controller di dominio di Domain Services, che in genere sono 10.0.2.4 e 10.0.2.5. Confermare questi indirizzi IP nella finestra Panoramica del dominio gestito nel portale.

   

4. Al termine, selezionare Salva. L'aggiornamento dei server DNS per la rete virtuale richiede alcuni secondi.

5. Per applicare le impostazioni DNS aggiornate alle macchine virtuali, riavviare le VM connesse alla rete virtuale con peering.

Quando si crea una VM che deve usare il dominio gestito, assicurarsi di selezionare questa rete virtuale con peering. Se si seleziona una rete virtuale diversa, la connettività di rete e la risoluzione DNS non sono disponibili per raggiungere il dominio gestito.

Passaggi successivi

Questa esercitazione ha descritto come:

• Identificare le opzioni di connettività di reti virtuali per le risorse aggiunte a dominio in Domain Services
• Creare un intervallo di indirizzi IP e una subnet aggiuntiva nella rete virtuale di Domain Services
• Configurare il peering di reti virtuali a una rete separata da Domain Services

Per vedere il dominio gestito in azione, creare e aggiungere una macchina virtuale al dominio.

Aggiungere una macchina virtuale Windows Server a un dominio gestito