チュートリアル: Microsoft Entra Domain Services マネージド ドメインの仮想ネットワークを構成する

ユーザーとアプリケーションへの接続を提供するために、Microsoft Entra Domain Services マネージド ドメインが Azure 仮想ネットワーク サブネットにデプロイされます。 この仮想ネットワーク サブネットは、Azure プラットフォームによって提供されるマネージド ドメイン リソースにのみ使用する必要があります。

独自の VM とアプリケーションを作成するときは、同じ仮想ネットワーク サブネットにデプロイしないでください。 代わりに、アプリケーションを作成して、別の仮想ネットワーク サブネット、または Domain Services 仮想ネットワークにピアリングされた別の仮想ネットワークにデプロイする必要があります。

このチュートリアルでは、専用の仮想ネットワーク サブネットを作成して構成する方法、または別のネットワークを Domain Services マネージド ドメインの仮想ネットワークとピアリングする方法について説明します。

このチュートリアルでは、以下の内容を学習します。

• Domain Services へのドメイン参加済みリソースの仮想ネットワーク接続オプションについて
• Domain Services 仮想ネットワークに IP アドレス範囲と追加のサブネットを作成する
• Domain Services とは別のネットワークへの仮想ネットワーク ピアリングを構成する

Azure サブスクリプションをお持ちでない場合は、開始 する前にアカウントを作成 してください。

[前提条件]

このチュートリアルを完了するには、以下のリソースと特権が必要です。

• 有効な Azure サブスクリプション。
  • Azure サブスクリプションをお持ちでない場合は、アカウントを作成してください。
• ご利用のサブスクリプションに関連付けられた Microsoft Entra テナント (オンプレミス ディレクトリまたはクラウド専用ディレクトリと同期されていること)。
  • 必要に応じて、Microsoft Entra テナントを作成するか、ご利用のアカウントに Azure サブスクリプションを関連付けます。
• Domain Services を有効にするには、テナントに アプリケーション管理者 と グループ管理者 の Microsoft Entra ロールが必要です。
• 必要な Domain Services リソースを作成するには、Domain Services 共同作成者の Azure ロールが必要です。
• Microsoft Entra テナント内の Microsoft Entra Domain Services マネージド ドメインが有効化および構成されています。
  • 必要であれば、1 つ目のチュートリアルで Microsoft Entra Domain Services のマネージド ドメインを作成して構成します。

Microsoft Entra 管理センターにサインインする

このチュートリアルでは、Microsoft Entra 管理センターを使用してマネージド ドメインを作成して構成します。 まず、Microsoft Entra 管理センター にサインインします。

アプリケーション ワークロードの接続オプション

前のチュートリアルでは、仮想ネットワークの既定の構成オプションを使用するマネージド ドメインが作成されました。 これらの既定のオプションでは、Azure 仮想ネットワークと仮想ネットワーク サブネットが作成されました。 マネージド ドメイン サービスを提供する Domain Services ドメイン コントローラーは、この仮想ネットワーク サブネットに接続されます。

マネージド ドメインを使用する必要がある VM を作成して実行するときは、ネットワーク接続を提供する必要があります。 このネットワーク接続は、次のいずれかの方法で提供できます。

• マネージド ドメインの仮想ネットワークに追加の仮想ネットワーク サブネットを作成します。 この追加のサブネットは、VM を作成して接続する場所です。
  • VM は同じ仮想ネットワークの一部であるため、名前解決を自動的に実行し、Domain Services ドメイン コントローラーと通信できます。
• マネージド ドメインの仮想ネットワークから 1 つ以上の個別の仮想ネットワークへの Azure 仮想ネットワーク ピアリングを構成します。 これらの個別の仮想ネットワークは、VM を作成して接続する場所です。
  • 仮想ネットワーク ピアリングを構成する場合は、名前解決を使用して Domain Services ドメイン コントローラーに戻す DNS 設定も構成する必要があります。

通常、これらのネットワーク接続オプションの 1 つだけを使用します。 多くの場合、選択は、個別の Azure リソースを管理する方法にかかっています。

• Domain Services と接続された VM を 1 つのリソース グループとして管理する場合は、VM 用の追加の仮想ネットワーク サブネットを作成できます。
• Domain Services と接続されている VM の管理を分離する場合は、仮想ネットワーク ピアリングを使用できます。
  • また、仮想ネットワーク ピアリングを使用して、既存の仮想ネットワークに接続されている Azure 環境内の既存の VM に接続を提供することもできます。

このチュートリアルでは、これらの仮想ネットワーク接続オプションを 1 つだけ構成する必要があります。

仮想ネットワークを計画および構成する方法の詳細については、 Microsoft Entra Domain Services のネットワークに関する考慮事項を参照してください。

仮想ネットワーク サブネットを作成する

既定では、マネージド ドメインで作成された Azure 仮想ネットワークには、1 つの仮想ネットワーク サブネットが含まれます。 この仮想ネットワーク サブネットは、マネージド ドメイン サービスを提供するために Azure プラットフォームでのみ使用する必要があります。 この Azure 仮想ネットワークで独自の VM を作成して使用するには、追加のサブネットを作成します。

VM とアプリケーション ワークロード用の仮想ネットワーク サブネットを作成するには、次の手順を実行します。

1. Microsoft Entra 管理センターで、 myResourceGroup などのマネージド ドメインのリソース グループを選択します。 リソースの一覧から、 aadds-vnet などの既定の仮想ネットワークを選択します。

2. 仮想ネットワーク ウィンドウの左側のメニューで、 [アドレス空間] を選択します。 この仮想ネットワークは、既定のサブネットで使用される単一のアドレス空間 10.0.2.0/24 で作成されています。

   この仮想ネットワークにさらに IP アドレス範囲を追加します。 このアドレス範囲のサイズと実際に使用する IP アドレス範囲は、既にデプロイされている他のネットワーク リソースによって異なります。 この IP アドレス範囲は、Azure またはオンプレミスの環境における既存のアドレス範囲と重複することはできません。 サブネットにデプロイする予定の VM の数に対して十分な大きさの IP アドレス範囲を設定するようにしてください。

   次の例では、 10.0.3.0/24 の IP アドレス範囲が追加されています。 準備ができたら、[保存] を選択します。

   

3. 次に、仮想ネットワーク ウィンドウの左側のメニューで、 [サブネット] を選択し、 [+ サブネット] を選択してサブネットを追加します。

4. サブネットの名前を入力してください。例えば、workloads のように。 前の手順で仮想ネットワーク用に構成された IP アドレス範囲 のサブセットを使用する場合は、必要に応じてアドレス範囲を更新します。 ここでは、ネットワーク セキュリティ グループ、ルート テーブル、サービス エンドポイントなどのオプションは既定値のままにします。

   次の例では、10.0.3.0/24 IP アドレス範囲を使用するワークロードという名前のサブネットが作成されます。

   

5. 準備ができたら [OK] を選択します。 仮想ネットワーク サブネットの作成には少し時間がかかります。

マネージド ドメインを使用する必要がある VM を作成するときは、必ずこの仮想ネットワーク サブネットを選択してください。 既定の aadds-subnet に VM を作成しないでください。 別の仮想ネットワークを選択した場合、仮想ネットワーク ピアリングを構成しない限り、マネージド ドメインに到達するためのネットワーク接続と DNS 解決はありません。

仮想ネットワーク ピアリングを構成する

VM 用の既存の Azure 仮想ネットワークがある場合や、マネージド ドメイン仮想ネットワークを分離しておく必要がある場合があります。 マネージド ドメインを使用するには、他の仮想ネットワーク内の VM が Domain Services ドメイン コントローラーと通信する方法が必要です。 この接続は、Azure 仮想ネットワーク ピアリングを使用して提供できます。

Azure 仮想ネットワーク ピアリングでは、仮想プライベート ネットワーク (VPN) デバイスを必要とせずに、2 つの仮想ネットワークが一緒に接続されます。 ネットワーク ピアリングを使用すると、仮想ネットワークをすばやく接続し、Azure 環境全体のトラフィック フローを定義できます。

ピアリングの詳細については、 Azure 仮想ネットワーク ピアリングの概要に関するページを参照してください。

仮想ネットワークをマネージド ドメイン仮想ネットワークとピアリングするには、次の手順を実行します。

1. aadds-vnet という名前のマネージド ドメイン用に作成された既定の仮想ネットワークを選択します。

2. 仮想ネットワーク ウィンドウの左側のメニューで、[ ピアリング] を選択します。

3. ピアリングを作成するには、[ + 追加] を選択します。 次の例では、既定の aadds-vnet は myVnet という名前の仮想ネットワークにピアリングされます。 独自の値を使用して、次の設定を構成します。

   • aadds-vnet からリモート仮想ネットワークへのピアリングの名前: aadds-vnet-to-myvnet などの 2 つのネットワークのわかりやすい識別子
   • 仮想ネットワークのデプロイの種類: Resource Manager
   • サブスクリプション: ピアリングする仮想ネットワークのサブスクリプション (Azure など)
   • 仮想ネットワーク: ピアリングする仮想ネットワーク (myVnet など)
   • myVnet から aadds-vnet へのピアリングの名前: 2 つのネットワークのわかりやすい識別子 (myvnet から aadds-vnet など)

   

   環境に固有の要件がない限り、仮想ネットワーク アクセスまたは転送トラフィックの他の既定値のままにして、[ OK] を選択します。

4. Domain Services 仮想ネットワークと選択した仮想ネットワークの両方でピアリングを作成するには、少し時間がかかります。 準備ができたら、次の例に示すように、 ピアリングの状態 は 接続済みと報告します。

   

ピアリングされた仮想ネットワーク内の VM がマネージド ドメインを使用できるようにするには、正しい名前解決を許可するように DNS サーバーを構成します。

ピアリングされた仮想ネットワークで DNS サーバーを構成する

ピアリングされた仮想ネットワーク内の VM とアプリケーションがマネージド ドメインと正常に通信するには、DNS 設定を更新する必要があります。 Domain Services ドメイン コントローラーの IP アドレスは、ピアリングされた仮想ネットワーク上の DNS サーバーとして構成する必要があります。 ピアリングされた仮想ネットワークの DNS サーバーとしてドメイン コントローラーを構成するには、次の 2 つの方法があります。

• Domain Services ドメイン コントローラーを使用するように Azure 仮想ネットワーク DNS サーバーを構成します。
• 条件付き DNS 転送を使用してマネージド ドメインにクエリを送信するように、ピアリングされた仮想ネットワークで使用されている既存の DNS サーバーを構成します。 これらの手順は、使用中の既存の DNS サーバーによって異なります。

このチュートリアルでは、すべてのクエリを Domain Services ドメイン コントローラーに送信するように Azure 仮想ネットワーク DNS サーバーを構成します。

1. Microsoft Entra 管理センターで、ピアリングされた仮想ネットワークのリソース グループ ( myResourceGroup など) を選択します。 リソースの一覧から、 myVnet などのピアリングされた仮想ネットワークを選択します。

2. 仮想ネットワーク ウィンドウの左側のメニューで、 DNS サーバーを選択します。

3. 既定では、仮想ネットワークでは、組み込みの Azure が提供する DNS サーバーが使用されます。 カスタム DNS サーバーの使用を選択します。 Domain Services ドメイン コントローラーの IP アドレス (通常は 10.0.2.4 と 10.0.2.5) を入力します。 ポータルのマネージド ドメインの [概要 ] ウィンドウで、これらの IP アドレスを確認します。

   

4. 準備ができたら、[保存] を選択します。 仮想ネットワークの DNS サーバーを更新するには、しばらく時間がかかります。

5. 更新された DNS 設定を VM に適用するには、ピアリングされた仮想ネットワークに接続されている VM を再起動します。

マネージド ドメインを使用する必要がある VM を作成するときは、必ずこのピアリングされた仮想ネットワークを選択してください。 別の仮想ネットワークを選択した場合、マネージド ドメインに到達するためのネットワーク接続と DNS 解決はありません。

次のステップ

このチュートリアルでは、次の方法を学習しました。

• Domain Services へのドメイン参加済みリソースの仮想ネットワーク接続オプションについて
• Domain Services 仮想ネットワークに IP アドレス範囲と追加のサブネットを作成する
• Domain Services とは別のネットワークへの仮想ネットワーク ピアリングを構成する

このマネージド ドメインの動作を確認するには、仮想マシンを作成してドメインに参加させます。

Windows Server 仮想マシンをマネージド ドメインに参加させる