Zelfstudie: Virtuele netwerken configureren voor een door Microsoft Entra Domain Services beheerd domein

Voor connectiviteit met gebruikers en toepassingen wordt een door Microsoft Entra Domain Services beheerd domein geïmplementeerd in een subnet van een virtueel Azure-netwerk. Dit subnet van een virtueel netwerk mag alleen worden gebruikt voor de beheerde domeinresources die via het Azure-platform beschikbaar zijn.

Wanneer u uw eigen virtuele machines en toepassingen maakt, moeten deze niet worden geïmplementeerd in hetzelfde subnet van een virtueel netwerk. In plaats daarvan moet u uw toepassingen maken en implementeren in een afzonderlijk subnet van een virtueel netwerk of in een afzonderlijk virtueel netwerk dat is gekoppeld aan het virtuele Domain Services-netwerk.

In deze zelfstudie leert u hoe u een toegewezen subnet voor een virtueel netwerk maakt en configureert of hoe u een ander netwerk koppelt aan het virtuele netwerk van het beheerde domein van Domain Services.

In deze zelfstudie leert u het volgende:

• Inzicht krijgen in de connectiviteitsopties voor virtuele netwerken voor aan een domein gekoppelde resources voor Domain Services
• Een IP-adresbereik en extra subnet maken in het virtuele Domain Services-netwerk
• Peering van virtuele netwerken configureren voor een netwerk dat losstaat van Domain Services

Als u geen Azure-abonnement hebt, maakt u een account voordat u begint.

Vereisten

Voor het voltooien van deze zelfstudie hebt u de volgende resources en machtigingen nodig:

• Een actief Azure-abonnement.
  • Als u nog geen Azure-abonnement hebt, maakt u een account.
• Een Microsoft Entra-tenant die is gekoppeld aan uw abonnement, gesynchroniseerd met een on-premises directory of een cloudmap.
  • Maak indien nodig een Microsoft Entra-tenant of koppel een Azure-abonnement aan uw account.
• U hebt toepassings-Beheer istrator en groepen nodig Beheer istrator Microsoft Entra-rollen in uw tenant om Domain Services in te schakelen.
• U hebt de Azure-rol Domain Services-inzender nodig om de vereiste Domain Services-resources te maken.
• Een door Microsoft Entra Domain Services beheerd domein ingeschakeld en geconfigureerd in uw Microsoft Entra-tenant.
  • Indien nodig maakt en configureert de eerste zelfstudie een door Microsoft Entra Domain Services beheerd domein.

Meld u aan bij het Microsoft Entra-beheercentrum

In deze zelfstudie maakt en configureert u het beheerde domein met behulp van het Microsoft Entra-beheercentrum. Meld u eerst aan bij het Microsoft Entra-beheercentrum om aan de slag te gaan.

Connectiviteitsopties voor de workload van toepassingen

In de vorige zelfstudie hebt u een beheerd domein gemaakt waarvoor een aantal standaardconfiguratieopties voor het virtuele netwerk is gebruikt. Met behulp van deze standaardopties zijn een virtueel Azure-netwerk en subnet van een virtueel netwerk gemaakt. De Domain Services-domeincontrollers die de beheerde domeinservices bieden, zijn verbonden met dit subnet van het virtuele netwerk.

Wanneer u VM's maakt en uitvoert die het beheerde domein moeten gebruiken, moet er netwerkconnectiviteit beschikbaar zijn. Deze netwerkconnectiviteit kan op een van de volgende manieren worden geboden:

• Maak een aanvullend subnet van een virtueel netwerk in het virtuele netwerk van het beheerde domein. Dit aanvullende subnet is de locatie voor het maken en verbinden van uw virtuele machines.
  • Omdat de VM's deel uitmaken van hetzelfde virtuele netwerk, kunnen ze automatisch naamomzetting uitvoeren en communiceren met de Domain Services-domeincontrollers.
• Configureer virtuele Azure-netwerkpeering via de virtuele netwerk van het beheerde domein naar een of meer afzonderlijke virtuele netwerken. Deze afzonderlijke virtuele netwerken zijn de locatie voor het maken en verbinden van uw virtuele machines.
  • Wanneer u peering van virtuele netwerken configureert, moet u ook DNS-instellingen configureren om naamomzetting terug te gebruiken naar de Domain Services-domeincontrollers.

Doorgaans gebruikt u slechts een van deze netwerkverbindingsopties. De keuze hangt vaak af van de manier waarop u uw afzonderlijke Azure-resources wilt beheren.

• Als u Domain Services en verbonden VM's wilt beheren als één groep resources, kunt u een extra subnet voor virtuele netwerken voor VM's maken.
• Als u het beheer van Domain Services en vervolgens verbonden VM's wilt scheiden, kunt u peering van virtuele netwerken gebruiken.
  • U kunt ook peering van virtuele netwerken gebruiken om een verbinding tot stand te brengen met bestaande virtuele machines in uw Azure-omgeving die met een bestaand virtueel netwerk zijn verbonden.

In deze zelfstudie hoeft u maar een van deze virtuele netwerkverbindingsopties te configureren.

Zie netwerkoverwegingen voor Microsoft Entra Domain Services voor meer informatie over het plannen en configureren van het virtuele netwerk.

Een subnet voor een virtueel netwerk maken

Standaard bevat het virtuele Azure-netwerk dat met het beheerde domein is gemaakt één subnet van een virtueel netwerk. Dit subnet van een virtueel netwerk moet alleen door het Azure-platform worden gebruikt om beheerde Domain Services te leveren. Voor het maken en gebruiken van uw eigen virtuele machines in dit virtuele Azure-netwerk maakt u een aanvullend subnet.

Als u een subnet van een virtueel netwerk voor virtuele machines en toepassingsworkloads wilt maken, voert u de volgende stappen uit:

1. Selecteer in het Microsoft Entra-beheercentrum de resourcegroep van uw beheerde domein, zoals myResourceGroup. Kies in de lijst met resources het virtuele standaardnetwerk, zoals aadds-vnet.

2. Selecteer in het menu aan de linkerkant van het venster Virtueel netwerk Adresruimte. Het virtuele netwerk is gemaakt met één adresruimte van 10.0.2.0/24, dat wordt gebruikt door het standaardsubnet.

   Voeg een extra IP-adresbereik toe aan het virtuele netwerk. De grootte van dit adresbereik en het daadwerkelijke te gebruiken IP-adresbereik is afhankelijk van andere netwerkresources die al zijn geïmplementeerd. Het IP-adresbereik mag geen overlap vertonen met de bestaande adresbereiken in uw Azure-omgeving of on-premises omgeving. Zorg ervoor dat u het IP-adresbereik voldoende groot hebt gemaakt voor het aantal VM's dat u in het subnet verwacht te implementeren.

   In het volgende voorbeeld wordt een extra IP-adresbereik van 10.0.3.0/24 toegevoegd. Selecteer Opslaan wanneer u klaar bent.

   

3. Selecteer vervolgens in het menu aan de linkerkant van het venster Virtueel netwerk Subnetten en kies vervolgens + Subnet om een subnet toe te voegen.

4. Voer een naam voor het subnet in, zoals workloads. Werk indien nodig het Adresbereik bij als u een subset wilt gebruiken van het IP-adresbereik dat in de vorige stappen voor het virtuele netwerk is geconfigureerd. Voor dit moment laten we de standaardinstellingen staan voor opties zoals netwerkbeveiligingsgroep, routeringstabel en service-eindpunten.

   In het volgende voorbeeld wordt een subnet met de naam workloads gemaakt waarvoor het IP-adresbereik 10.0.3.0/24 wordt gebruikt:

   

5. Selecteer OK wanneer u klaar bent. Het duurt even voordat het subnet van het virtuele netwerk is gemaakt.

Wanneer u een virtuele machine maakt waarvoor het beheerde domein moet worden gebruikt, moet u goed controleren of u dit subnet van een virtueel netwerk selecteert. Maak geen virtuele machines in het standaardsubnet aadds-subnet. Als u een ander virtueel netwerk selecteert, zijn er geen netwerkverbinding en DNS-omzetting beschikbaar om het beheerde domein te bereiken, tenzij u virtuele netwerkpeering configureert.

Peering van virtuele netwerken configureren

U beschikt mogelijk al over een bestaand virtueel Azure-netwerk voor virtuele machines, of u wilt uw beheerde domein en virtuele netwerk van elkaar gescheiden houden. Voor het gebruik van het beheerde domein hebben VM's in andere virtuele netwerken een manier nodig om te communiceren met de Domain Services-domeincontrollers. Deze connectiviteit kan worden geleverd met peering van virtuele Azure-netwerken.

Met peering van virtuele Azure-netwerken worden twee virtuele netwerken met elkaar verbonden, zonder dat hiervoor een VPN-apparaat (Virtual Private Network) hoeft te worden gebruikt. Met behulp van netwerkpeering kunt u snel verbinding maken met virtuele netwerken en verkeersstromen in uw Azure-omgeving definiëren.

Zie Overzicht van peering van virtuele Azure-netwerken voor meer informatie over peering.

Als u een virtueel netwerk door middel van peering wilt koppelen aan het virtuele netwerk van het beheerde domein, voert u de volgende stappen uit:

1. Kies het virtuele standaardnetwerk dat u hebt gemaakt voor het beheerde domein aadds-vnet.

2. Selecteer in het menu aan de linkerkant van het venster Virtueel netwerk Peerings.

3. Selecteer + Toevoegen om een peeringverbinding te maken. In het volgende voorbeeld is het standaardnetwerk aadds-vnet gekoppeld met het virtuele netwerk myVnet. Configureer de volgende instellingen met uw eigen waarden:

   • Naam van de peering van aadds-vnet naar extern virtueel netwerk: een beschrijvende id van de twee netwerken, zoals aadds-vnet-to-myvnet
   • Implementatietype virtueel netwerk: Resource Manager
   • Abonnement: het abonnement van het virtuele netwerk waaraan u wilt koppelen, zoals Azure
   • Virtueel netwerk: het virtuele netwerk waarnaar u wilt peeren, zoals myVnet
   • Naam van de peering van myVnet naar aadds-vnet: een beschrijvende id van de twee netwerken, zoals myvnet-to-aadds-vnet

   

   Laat andere standaardinstellingen voor virtuele netwerktoegang of doorgestuurd verkeer staan, tenzij u specifieke vereisten voor uw omgeving hebt, en selecteer vervolgens OK.

4. Het duurt even voordat de peering wordt gemaakt in zowel het virtuele Domain Services-netwerk als het virtuele netwerk dat u hebt geselecteerd. Wanneer u klaar bent, wordt de Peeringstatus veranderd in Verbonden, zoals in het volgende voorbeeld:

   

Voordat u het beheerde domein kunt gebruiken op virtuele machines in het gekoppelde virtuele netwerk, moet u de DNS-servers configureren voor de juiste naamomzetting.

DNS-servers in het gekoppelde virtuele netwerk configureren

Virtuele machines en toepassingen in het gekoppelde virtuele netwerk kunnen pas met het beheerde domein communiceren zodra de DNS-instellingen zijn bijgewerkt. De IP-adressen van de Domain Services-domeincontrollers moeten worden geconfigureerd als de DNS-servers in het gekoppelde virtuele netwerk. Er zijn twee manieren om de domeincontrollers als DNS-servers te configureren voor het gekoppelde virtuele netwerk:

• Configureer de DNS-servers van het virtuele Azure-netwerk voor het gebruik van de Domain Services-domeincontrollers.
• De bestaande DNS-server die in het gekoppelde virtuele netwerk wordt gebruikt, configureren voor het gebruik van voorwaardelijke DNS-forwarding om query's naar het beheerde domein door te sturen. Deze stappen zijn afhankelijk van de bestaande DNS-server die wordt gebruikt.

In deze zelfstudie gaan we de DNS-servers van het virtuele Azure-netwerk configureren om alle query's naar de Domain Services-domeincontrollers te leiden.

1. Selecteer in het Microsoft Entra-beheercentrum de resourcegroep van het gekoppelde virtuele netwerk, zoals myResourceGroup. Kies in de lijst met resources het gekoppelde virtuele netwerk, zoals myVnet.

2. Selecteer in het menu aan de linkerkant van het venster Virtueel netwerk DNS-servers.

3. Standaard worden voor een virtueel netwerk de ingebouwde, door Azure meegeleverde DNS-servers gebruikt. Kies ervoor Aangepaste DNS-servers te gebruiken. Voer de IP-adressen in voor de Domain Services-domeincontrollers, meestal 10.0.2.4 en 10.0.2.5. Bevestig deze IP-adressen in het venster Overzicht van uw beheerde domein in de portal.

   

4. Selecteer Opslaan wanneer u klaar bent. Het bijwerken van de DNS-servers voor het virtuele netwerk duurt enkele minuten.

5. Als u de bijgewerkte DNS-instellingen wilt toepassen op de virtuele machines, start u de virtuele machines die met het gekoppelde virtuele netwerk zijn verbonden, opnieuw op.

Wanneer u een virtuele machine maakt waarvoor het beheerde domein moet worden gebruikt, moet u goed controleren of u dit gekoppelde virtuele netwerk selecteert. Als u een ander virtueel netwerk selecteert, zijn er geen netwerkverbinding en DNS-omzetting beschikbaar om het beheerde domein te bereiken.

Volgende stappen

In deze zelfstudie heeft u het volgende geleerd:

• Inzicht krijgen in de connectiviteitsopties voor virtuele netwerken voor aan een domein gekoppelde resources voor Domain Services
• Een IP-adresbereik en extra subnet maken in het virtuele Domain Services-netwerk
• Peering van virtuele netwerken configureren voor een netwerk dat losstaat van Domain Services

Als u dit beheerde domein in actie wilt zien, maakt en koppelt u een virtuele machine aan het domein.

Een virtuele Windows Server-machine toevoegen aan uw beheerde domein