チュートリアル: Microsoft Entra Domain Services マネージド ドメイン用の仮想ネットワークを構成する
ユーザーとアプリケーションへの接続を提供するために、Microsoft Entra Domain Services マネージド ドメインは Azure 仮想ネットワーク サブネットにデプロイされています。 この仮想ネットワーク サブネットは、Azure プラットフォームによって提供されるマネージド ドメイン リソースのみに使用する必要があります。
独自の VM とアプリケーションを作成した場合、それらを同じ仮想ネットワーク サブネットにデプロイしないでください。 代わりに、アプリケーションを作成したら、個別の仮想ネットワーク サブネットにデプロイするか、Domain Services 仮想ネットワークにピアリングされている個別の仮想ネットワークにデプロイする必要があります。
このチュートリアルでは、専用の仮想ネットワーク サブネットを作成して構成する方法、または別のネットワークを Domain Services マネージド ドメインの仮想ネットワークにピアリングする方法について説明します。
このチュートリアルでは、次の作業を行う方法について説明します。
- Domain Services へのドメイン参加リソースの仮想ネットワーク接続オプションを理解する
- Domain Services 仮想ネットワークに IP アドレス範囲と追加のサブネットを作成する
- Domain Services とは別のネットワークへの仮想ネットワーク ピアリングを構成する
Azure サブスクリプションをお持ちでない場合は、始める前にアカウントを作成してください。
前提条件
このチュートリアルを完了するには、以下のリソースと特権が必要です。
- 有効な Azure サブスクリプション
- Azure サブスクリプションをお持ちでない場合は、アカウントを作成してください。
- ご利用のサブスクリプションに関連付けられた Microsoft Entra テナント (オンプレミス ディレクトリまたはクラウド専用ディレクトリと同期されていること)。
- 必要に応じて、Microsoft Entra テナントを作成するか、ご利用のアカウントに Azure サブスクリプションを関連付けます。
- Domain Services を有効にするには、テナントでアプリケーション管理者とグループ管理者 の Microsoft Entra ロールが必要です。
- 必須の Domain Services リソースを作成するには、ドメインサービス共同作成者の Azure ロールが必要です。
- Microsoft Entra テナントで有効にされていて、構成されている Microsoft Entra Domain Services マネージド ドメイン。
- 必要であれば、1 つ目のチュートリアルで Microsoft Entra Domain Services のマネージド ドメインを作成して構成します。
Microsoft Entra 管理センターにサインインする
このチュートリアルでは、Microsoft Entra 管理センターを使用してマネージド ドメインを作成して構成します。 作業開始するには、まず Microsoft Entra 管理センターにサインインします。
アプリケーション ワークロードの接続オプション
前のチュートリアルでは、仮想ネットワークにいくつかの既定の構成オプションを使用するマネージド ドメインが作成されました。 これらの既定オプションにより、Azure 仮想ネットワークと仮想ネットワーク サブネットが作成されました。 マネージド ドメイン サービスを提供する Domain Services ドメイン コントローラーは、この仮想ネットワーク サブネットに接続されています。
このマネージド ドメインを使用する必要がある VM を作成して実行する際は、ネットワーク接続を提供する必要があります。 このネットワーク接続は、次のいずれかの方法で提供できます。
- マネージド ドメインの仮想ネットワーク内に追加の仮想ネットワーク サブネットを作成します。 この追加のサブネットは、VM を作成して接続する場所です。
- VM は同じ仮想ネットワークに属しているため、自動的に名前解決を実行し、Domain Services ドメイン コントローラーと通信することができます。
- マネージド ドメインの仮想ネットワークから 1 つ以上の個別の仮想ネットワークへの Azure 仮想ネットワーク ピアリングを構成します。 これらの個別の仮想ネットワークでは、VM を作成して接続します。
- 仮想ネットワーク ピアリングを構成するときに、Domain Services ドメイン コントローラーへの名前解決も使用するよう DNS 設定を構成する必要があります。
通常、これらのネットワーク接続オプションのいずれかのみを使用します。 多くの場合、個別の Azure リソースをどのように管理するかに応じて選択します。
- Domain Services と接続済みの VM を 1 つのリソース グループとして管理する場合は、VM 用に追加の仮想ネットワーク サブネットを作成できます。
- Domain Services と接続済みの VM の管理を切り離す場合は、仮想ネットワーク ピアリングを使用できます。
- また、既存の仮想ネットワークに接続されている、Azure 環境内の既存の VM への接続を提供するには、仮想ネットワーク ピアリングの使用を選ぶこともできます。
このチュートリアルで必要なのは、これらの仮想ネットワーク接続オプションのいずれかを構成することだけです。
仮想ネットワークを計画および構成する方法の詳細については、Microsoft Entra Domain Services のネットワークに関する考慮事項の記事を参照してください。
仮想ネットワーク サブネットを作成する
既定では、マネージド ドメインで作成された Azure 仮想ネットワークには、1 つの仮想ネットワーク サブネットが含まれています。 この仮想ネットワーク サブネットは、マネージド ドメイン サービスを提供するために Azure プラットフォームのみで使用する必要があります。 この Azure 仮想ネットワーク内に独自の VM を作成して使用するには、追加のサブネットを作成します。
VM およびアプリケーション ワークロード用に仮想ネットワーク サブネットを作成するには、次の手順を実行します。
Microsoft Entra 管理センターでマネージド ドメインのリソース グループ (myResourceGroup など) を選びます。 リソースの一覧から、既定の仮想ネットワークを選択します (aadds-vnet など)。
仮想ネットワーク ウィンドウの左側のメニューで、 [アドレス空間] を選択します。 この仮想ネットワークは、既定のサブネットで使用される単一のアドレス空間 10.0.2.0/24 で作成されています。
この仮想ネットワークにさらに IP アドレス範囲を追加します。 このアドレス範囲のサイズと実際に使用する IP アドレス範囲は、既にデプロイされている他のネットワーク リソースによって異なります。 この IP アドレス範囲は、Azure またはオンプレミスの環境における既存のアドレス範囲と重複することはできません。 サブネットにデプロイする予定の VM の数に対して十分な大きさの IP アドレス範囲を設定するようにしてください。
次の例では、追加の IP アドレス範囲 10.0.3.0/24 が追加されています。 準備ができたら、 [保存] を選択します。
次に、仮想ネットワーク ウィンドウの左側のメニューで、 [サブネット] を選択し、 [+ サブネット] を選択してサブネットを追加します。
サブネットの名前を入力します (workloads など)。 前の手順で仮想ネットワーク用に構成された IP アドレス範囲のサブセットを使用する場合は、必要に応じてアドレス範囲を更新します。 ここでは、ネットワーク セキュリティ グループ、ルート テーブル、サービス エンドポイントなどのオプションの既定値をそのまま使用します。
次の例では、IP アドレス範囲 10.0.3.0/24 を使用する workloads という名前のサブネットが作成されます。
準備ができたら [OK] を選択します。 仮想ネットワーク サブネットが作成されるまでしばらく時間がかかります。
マネージド ドメインを使用する必要がある VM を作成する場合は、必ずこの仮想ネットワーク サブネットを選択します。 既定の aadds-subnet に VM を作成しないでください。 別の仮想ネットワークを選択した場合、仮想ネットワーク ピアリングを構成しなければ、マネージド ドメインに到達するためのネットワーク接続と DNS 解決は存在しません。
仮想ネットワーク ピアリングを構成する
VM 用の既存の Azure 仮想ネットワークがある場合や、マネージド ドメインの仮想ネットワークを分離しておきたい場合があります。 マネージド ドメインを使用するには、他の仮想ネットワーク内の VM では Domain Services ドメイン コントローラーと通信する手段が必要になります。 この接続は、Azure 仮想ネットワーク ピアリングを使用して提供できます。
Azure 仮想ネットワーク ピアリングを使用すると、仮想プライベート ネットワーク (VPN) デバイスを必要とすることなく、2 つの仮想ネットワークが相互に接続されます。 ネットワーク ピアリングにより、すばやく仮想ネットワークを接続し、Azure 環境全体のトラフィック フローを定義できます。
ピアリングの詳細については、Azure 仮想ネットワーク ピアリングの概要に関するページを参照してください。
仮想ネットワークをマネージド ドメインの仮想ネットワークにピアリングするには、次の手順を実行します。
お使いのマネージド ドメイン用に作成された、aadds-vnet という名前の既定の仮想ネットワークを選択します。
仮想ネットワーク ウィンドウの左側のメニューで、 [ピアリング] を選択します。
ピアリングを作成するには、 [+ 追加] を選択します。 次の例では、既定の aadds-vnet が myVnet という名前の仮想ネットワークにピアリングされます。 独自の値を使用して次の設定を構成します。
- aadds-vnet からリモート仮想ネットワークへのピアリングの名前: 2 つのネットワークのわかりやすい識別子 (aadds-vnet-to-myvnet など)
- 仮想ネットワークのデプロイ タイプ: Resource Manager
- サブスクリプション:ピアリングする仮想ネットワークのサブスクリプション (Azure など)
- 仮想ネットワーク:ピアリングする仮想ネットワーク (myVnet など)
- myVnet から aadds-vnet へのピアリングの名前: 2 つのネットワークのわかりやすい識別子 (myvnet-to-aadds-vnet など)
お使いの環境に特定の要件がない限り、仮想ネットワーク アクセスまたは転送トラフィックに関する他の既定値をそのまま使用して、 [OK] を選択します。
Domain Services 仮想ネットワークと選択した仮想ネットワークの両方にピアリングを作成するにはしばらく時間がかかります。 準備ができたら、次の例に示すように、 [ピアリング状態] で [Connected](接続済み) とレポートされます。
ピアリングされた仮想ネットワーク内の VM がマネージド ドメインを使用できるようにするには、正しい名前解決が行われるように DNS サーバーを構成します。
ピアリングされた仮想ネットワーク内で DNS サーバーを構成する
ピアリングされた仮想ネットワーク内の VM とアプリケーションがマネージド ドメインと正常に通信できるようにするには、DNS 設定を更新する必要があります。 Domain Services ドメイン コントローラーの IP アドレスは、ピアリングされた仮想ネットワーク上の DNS サーバーとして構成する必要があります。 ピアリングされた仮想ネットワークの DNS サーバーとしてドメイン コントローラーを構成する方法は 2 つあります。
- Domain Services ドメイン コントローラーを使用するように Azure 仮想ネットワークの DNS サーバーを構成します。
- 条件付き DNS 転送を使用してクエリをマネージド ドメインに送信するように、ピアリングされた仮想ネットワークで使用中の既存の DNS サーバーを構成します。 これらの手順は、使用中の既存の DNS サーバーによって異なります。
このチュートリアルでは、すべてのクエリを Domain Services ドメイン コントローラーに送信するように Azure 仮想ネットワークの DNS サーバーを構成します。
Microsoft Entra 管理センターでピアリングされた仮想ネットワークのリソース グループ (myResourceGroup など) を選びます。 リソースの一覧から、ピアリングされた仮想ネットワークを選択します (myVnet など)。
仮想ネットワーク ウィンドウの左側のメニューで、 [DNS サーバー] を選択します。
既定では、仮想ネットワークは、Azure で提供される組み込みの DNS サーバーを使用します。 カスタム DNS サーバーの使用を選択します。 Domain Services ドメイン コントローラーの IP アドレスを入力します。通常は 10.0.2.4 と 10.0.2.5 です。 ポータルのマネージド ドメインの [概要] ウィンドウで、これらの IP アドレスを確認してください。
準備ができたら、 [保存] を選択します。 仮想ネットワークの DNS サーバーを更新するにはしばらく時間がかかります。
更新した DNS 設定を VM に適用するには、ピアリングされた仮想ネットワークに接続されている VM を再起動します。
マネージド ドメインを使用する必要がある VM を作成する場合は、必ずこのピアリングされた仮想ネットワークを選択します。 別の仮想ネットワークを選択した場合、マネージド ドメインに到達するためのネットワーク接続と DNS 解決はありません。
次のステップ
このチュートリアルでは、以下の内容を学習しました。
- Domain Services へのドメイン参加リソースの仮想ネットワーク接続オプションを理解する
- Domain Services 仮想ネットワークに IP アドレス範囲と追加のサブネットを作成する
- Domain Services とは別のネットワークへの仮想ネットワーク ピアリングを構成する
このマネージド ドメインの動作を確認するために、仮想マシンを作成してドメインに参加させます。