Självstudie: Konfigurera virtuella nätverk för en hanterad Domän för Microsoft Entra Domain Services

För att ge anslutning till användare och program distribueras en hanterad Domän för Microsoft Entra Domain Services till ett virtuellt Azure-nätverksundernät. Det här virtuella nätverksundernätet ska endast användas för de hanterade domänresurser som tillhandahålls av Azure-plattformen.

När du skapar egna virtuella datorer och program bör de inte distribueras till samma virtuella nätverksundernät. I stället bör du skapa och distribuera dina program till ett separat virtuellt nätverksundernät, eller i ett separat virtuellt nätverk som är peer-kopplat till det virtuella nätverket Domain Services.

Den här självstudien visar hur du skapar och konfigurerar ett dedikerat virtuellt nätverksundernät eller hur du peer-ansluter ett annat nätverk till domäntjänsternas hanterade domäns virtuella nätverk.

I den här självstudien lär du dig att:

• Förstå anslutningsalternativen för virtuella nätverk för domänanslutna resurser till Domain Services
• Skapa ett IP-adressintervall och ytterligare undernät i det virtuella Nätverket Domain Services
• Konfigurera peering för virtuella nätverk till ett nätverk som är separat från Domain Services

Om du inte har någon Azure-prenumeration skapar du ett konto innan du börjar.

Förutsättningar

För att slutföra den här självstudien behöver du följande resurser och behörigheter:

• En aktiv Azure-prenumeration.
  • Om du inte har en Azure-prenumeration skapar du ett konto.
• En Microsoft Entra-klient som är associerad med din prenumeration, antingen synkroniserad med en lokal katalog eller en katalog som endast är molnbaserad.
  • Om det behövs skapar du en Microsoft Entra-klientorganisation eller associerar en Azure-prenumeration med ditt konto.
• Du behöver Microsoft Entra-roller för programadministratör och gruppadministratör i din klientorganisation för att aktivera Domain Services.
• Du behöver Rollen Domain Services-deltagare i Azure för att skapa nödvändiga Domain Services-resurser.
• En hanterad domän i Microsoft Entra Domain Services har aktiverats och konfigurerats i din Microsoft Entra-klientorganisation.
  • Vid behov skapar och konfigurerar den första självstudien en hanterad Domän för Microsoft Entra Domain Services.

Logga in på Microsoft Entra administrationscenter

I den här självstudien skapar och konfigurerar du den hanterade domänen med hjälp av administrationscentret för Microsoft Entra. Kom igång genom att först logga in på administrationscentret för Microsoft Entra.

Anslutningsalternativ för programarbetsbelastningar

I föregående självstudie skapades en hanterad domän som använde några standardkonfigurationsalternativ för det virtuella nätverket. De här standardalternativen skapade ett virtuellt Azure-nätverk och ett undernät för virtuellt nätverk. Domänkontrollanterna för Domäntjänster som tillhandahåller de hanterade domäntjänsterna är anslutna till det virtuella nätverksundernätet.

När du skapar och kör virtuella datorer som behöver använda den hanterade domänen måste nätverksanslutning tillhandahållas. Den här nätverksanslutningen kan tillhandahållas på något av följande sätt:

• Skapa ytterligare ett virtuellt nätverksundernät i den hanterade domänens virtuella nätverk. Det här ytterligare undernätet är där du skapar och ansluter dina virtuella datorer.
  • Eftersom de virtuella datorerna ingår i samma virtuella nätverk kan de automatiskt utföra namnmatchning och kommunicera med domänkontrollanterna för Domain Services.
• Konfigurera peering för virtuella Azure-nätverk från den hanterade domänens virtuella nätverk till ett eller flera separata virtuella nätverk. Dessa separata virtuella nätverk är där du skapar och ansluter dina virtuella datorer.
  • När du konfigurerar peering för virtuella nätverk måste du också konfigurera DNS-inställningar för att använda namnmatchning tillbaka till domänkontrollanterna för Domain Services.

Vanligtvis använder du bara något av dessa alternativ för nätverksanslutning. Valet beror ofta på hur du vill hantera separata Azure-resurser.

• Om du vill hantera Domäntjänster och anslutna virtuella datorer som en resursgrupp kan du skapa ytterligare ett virtuellt nätverksundernät för virtuella datorer.
• Om du vill separera hanteringen av Domain Services och sedan eventuella anslutna virtuella datorer kan du använda peering för virtuella nätverk.
  • Du kan också välja att använda peering för virtuella nätverk för att tillhandahålla anslutning till befintliga virtuella datorer i din Azure-miljö som är ansluten till ett befintligt virtuellt nätverk.

I den här självstudien behöver du bara konfigurera ett av dessa anslutningsalternativ för virtuella nätverk.

Mer information om hur du planerar och konfigurerar det virtuella nätverket finns i nätverksöverväganden för Microsoft Entra Domain Services.

Skapa ett virtuellt nätverksundernät

Som standard innehåller det virtuella Azure-nätverk som skapats med den hanterade domänen ett enda virtuellt nätverksundernät. Det här virtuella nätverksundernätet bör endast användas av Azure-plattformen för att tillhandahålla hanterade domäntjänster. Skapa ytterligare ett undernät för att skapa och använda dina egna virtuella datorer i det här virtuella Azure-nätverket.

Utför följande steg för att skapa ett virtuellt nätverksundernät för virtuella datorer och programarbetsbelastningar:

1. I administrationscentret för Microsoft Entra väljer du resursgruppen för din hanterade domän, till exempel myResourceGroup. I listan över resurser väljer du det virtuella standardnätverket, till exempel aadds-vnet.

2. Välj Adressutrymme i den vänstra menyn i fönstret för det virtuella nätverket. Det virtuella nätverket skapas med ett enda adressutrymme på 10.0.2.0/24, som används av standardundernätet.

   Lägg till ytterligare ett IP-adressintervall i det virtuella nätverket. Storleken på det här adressintervallet och det faktiska IP-adressintervallet som ska användas beror på andra nätverksresurser som redan har distribuerats. IP-adressintervallet får inte överlappa några befintliga adressintervall i din Azure- eller lokala miljö. Se till att du storleksanpassar IP-adressintervallet tillräckligt stort för det antal virtuella datorer som du förväntar dig att distribuera till undernätet.

   I följande exempel läggs ett ytterligare IP-adressintervall på 10.0.3.0/24 till. När du är klar väljer du Spara.

   

3. I den vänstra menyn i fönstret för det virtuella nätverket väljer du Sedan Undernät och sedan + Undernät för att lägga till ett undernät.

4. Ange ett namn för undernätet, till exempel arbetsbelastningar. Om det behövs uppdaterar du adressintervallet om du vill använda en delmängd av DET IP-adressintervall som konfigurerats för det virtuella nätverket i föregående steg. För tillfället lämnar du standardinställningarna för alternativ som nätverkssäkerhetsgrupp, routningstabell, tjänstslutpunkter.

   I följande exempel skapas ett undernät med namnet arbetsbelastningar som använder IP-adressintervallet 10.0.3.0/24 :

   

5. När du är klar väljer du OK. Det tar en stund att skapa det virtuella nätverkets undernät.

När du skapar en virtuell dator som behöver använda den hanterade domänen kontrollerar du att du väljer det här virtuella nätverksundernätet. Skapa inte virtuella datorer i standard-aadds-subnet. Om du väljer ett annat virtuellt nätverk finns det ingen nätverksanslutning och DNS-matchning för att nå den hanterade domänen om du inte konfigurerar peering för virtuella nätverk.

Konfigurera peering för virtuella nätverk

Du kanske har ett befintligt virtuellt Azure-nätverk för virtuella datorer eller vill hålla det virtuella nätverket för den hanterade domänen separat. För att kunna använda den hanterade domänen behöver virtuella datorer i andra virtuella nätverk ett sätt att kommunicera med domänkontrollanterna för Domain Services. Den här anslutningen kan tillhandahållas med peering för virtuella Azure-nätverk.

Med peering för virtuella Azure-nätverk är två virtuella nätverk anslutna tillsammans, utan behov av en virtuell privat nätverksenhet (VPN). Med nätverkspeering kan du snabbt ansluta virtuella nätverk och definiera trafikflöden i din Azure-miljö.

Mer information om peering finns i Översikt över peering för virtuella Azure-nätverk.

Utför följande steg för att peer-koppla ett virtuellt nätverk till det hanterade virtuella domännätverket:

1. Välj det virtuella standardnätverk som skapats för din hanterade domän med namnet aadds-vnet.

2. I den vänstra menyn i fönstret för virtuellt nätverk väljer du Peerings.

3. Om du vill skapa en peering väljer du + Lägg till. I följande exempel peerkopplas standard-aadds-vnet till ett virtuellt nätverk med namnet myVnet. Konfigurera följande inställningar med dina egna värden:

   • Namn på peering från aadds-vnet till fjärranslutet virtuellt nätverk: En beskrivande identifierare för de två nätverken, till exempel aadds-vnet-to-myvnet
   • Distributionstyp för virtuellt nätverk: Resource Manager
   • Prenumeration: Prenumerationen för det virtuella nätverk som du vill peer-koppla till, till exempel Azure
   • Virtuellt nätverk: Det virtuella nätverk som du vill peer-koppla till, till exempel myVnet
   • Namn på peering från myVnet till aadds-vnet: En beskrivande identifierare för de två nätverken, till exempel myvnet-to-aadds-vnet

   

   Lämna andra standardvärden för åtkomst till virtuella nätverk eller vidarebefordrad trafik om du inte har specifika krav för din miljö och välj sedan OK.

4. Det tar en stund att skapa peering för både det virtuella nätverket Domain Services och det virtuella nätverk som du har valt. När de är klara Anslut peeringstatusrapporterna, enligt följande exempel:

   

Innan virtuella datorer i det peerkopplade virtuella nätverket kan använda den hanterade domänen konfigurerar du DNS-servrarna så att de tillåter korrekt namnmatchning.

Konfigurera DNS-servrar i det peerkopplade virtuella nätverket

För att virtuella datorer och program i det peerkopplade virtuella nätverket ska kunna kommunicera med den hanterade domänen måste DNS-inställningarna uppdateras. IP-adresserna för domänkontrollanterna för Domain Services måste konfigureras som DNS-servrar i det peerkopplade virtuella nätverket. Det finns två sätt att konfigurera domänkontrollanterna som DNS-servrar för det peerkopplade virtuella nätverket:

• Konfigurera DNS-servrarna för det virtuella Azure-nätverket så att de använder domänkontrollanterna för Domain Services.
• Konfigurera den befintliga DNS-servern som används i det peerkopplade virtuella nätverket för att använda villkorlig DNS-vidarebefordran för att dirigera frågor till den hanterade domänen. De här stegen varierar beroende på den befintliga DNS-servern som används.

I den här självstudien ska vi konfigurera DNS-servrarna för virtuella Azure-nätverk för att dirigera alla frågor till domänkontrollanterna för Domain Services.

1. I administrationscentret för Microsoft Entra väljer du resursgruppen för det peerkopplade virtuella nätverket, till exempel myResourceGroup. I listan över resurser väljer du det peerkopplade virtuella nätverket, till exempel myVnet.

2. Välj DNS-servrar i den vänstra menyn i fönstret för det virtuella nätverket.

3. Som standard använder ett virtuellt nätverk de inbyggda DNS-servrarna som tillhandahålls av Azure. Välj att använda anpassade DNS-servrar. Ange IP-adresserna för domänkontrollanterna domain services, som vanligtvis är 10.0.2.4 och 10.0.2.5. Bekräfta dessa IP-adresser i översiktsfönstret för din hanterade domän i portalen.

   

4. När du är klar väljer du Spara. Det tar en stund att uppdatera DNS-servrarna för det virtuella nätverket.

5. Om du vill tillämpa de uppdaterade DNS-inställningarna på de virtuella datorerna startar du om virtuella datorer som är anslutna till det peerkopplade virtuella nätverket.

När du skapar en virtuell dator som behöver använda den hanterade domänen kontrollerar du att du väljer det här peer-kopplade virtuella nätverket. Om du väljer ett annat virtuellt nätverk finns det ingen nätverksanslutning och DNS-matchning för att nå den hanterade domänen.

Nästa steg

I den här självstudiekursen lärde du dig att:

• Förstå anslutningsalternativen för virtuella nätverk för domänanslutna resurser till Domain Services
• Skapa ett IP-adressintervall och ytterligare undernät i det virtuella Nätverket Domain Services
• Konfigurera peering för virtuella nätverk till ett nätverk som är separat från Domain Services

Om du vill se den hanterade domänen i praktiken skapar och ansluter du en virtuell dator till domänen.

Ansluta en virtuell Windows Server-dator till din hanterade domän