为了向用户和应用程序提供连接,Microsoft Entra 域服务托管域部署到 Azure 虚拟网络子网中。 此虚拟网络子网应仅用于 Azure 平台提供的托管域资源。
创建自己的 VM 和应用程序时,不应将其部署到同一虚拟网络子网中。 相反,您应创建应用程序并将其部署到一个单独的虚拟网络子网中,或者部署到与域服务虚拟网络对等互连的单独虚拟网络中。
本教程介绍如何创建和配置专用虚拟网络子网,以及如何将其他网络与域服务托管域的虚拟网络对等互连。
本教程中,您将学习如何:
- 了解与域连接的资源到域服务的虚拟网络连接选项
- 在域服务虚拟网络中创建 IP 地址范围和其他子网
- 配置与与域服务分开的网络的虚拟网络对等互连
如果还没有 Azure 订阅,可以在开始前创建一个帐户。
先决条件
需有以下资源和特权才能完成本教程:
- 有效的 Azure 订阅。
- 如果你没有 Azure 订阅,请创建一个帐户。
- 与订阅关联的 Microsoft Entra 租户,可以与本地目录或仅限云的目录同步。
- 需要租户中的应用程序管理员和组管理员 Microsoft Entra 角色才能启用域服务。
- 需要域服务参与者 Azure 角色才能创建所需的域服务资源。
- 已在您的 Microsoft Entra 租户中启用并配置的 Microsoft Entra 域服务管理域。
- 如果需要,第一个教程 将创建并配置 Microsoft Entra 域服务托管域。
登录 Microsoft Entra 管理中心
在本教程中,将使用 Microsoft Entra 管理中心创建和配置托管域。 若要开始操作,请先登录到 Microsoft Entra 管理中心。
应用程序工作负荷连接选项
在上一教程中,创建了一个托管域,该域使用了虚拟网络的一些默认配置选项。 这些默认选项创建了 Azure 虚拟网络和虚拟网络子网。 提供托管域服务的域服务域控制器连接到此虚拟网络子网。
创建并运行需要使用托管域的 VM 时,需要提供网络连接。 可通过以下方式之一提供此网络连接:
- 在托管域的虚拟网络中创建其他虚拟网络子网。 此附加子网是创建和连接 VM 的位置。
- 由于 VM 是同一虚拟网络的一部分,因此它们可以自动执行名称解析并与域服务域控制器通信。
- 配置 Azure 虚拟网络对等连接,以便从托管域的虚拟网络连接到一个或多个单独的虚拟网络。 这些单独的虚拟网络是创建和连接 VM 的位置。
- 在配置虚拟网络对等互连时,还必须配置 DNS 设置,以将名称解析指向域服务的域控制器。
通常,你只使用这些网络连接选项之一。 选择通常取决于你希望如何管理单独的 Azure 资源。
- 如果要将域服务和连接的 VM 作为一组资源进行管理,可以为 VM 创建额外的虚拟网络子网。
- 如果您希望将域服务的管理与任何连接的 VM 分离,可以使用虚拟网络对等连接。
- 您还可以选择使用虚拟网络对等互连,以连接 Azure 环境中已连入现有虚拟网络的现有虚拟机。
在本教程中,只需配置一个这些虚拟网络连接选项。
有关如何规划和配置虚拟网络的详细信息,请参阅 Microsoft Entra 域服务的网络注意事项。
创建虚拟网络子网
默认情况下,使用托管域创建的 Azure 虚拟网络包含单个虚拟网络子网。 此虚拟网络子网只能由 Azure 平台用来提供托管域服务。 若要在此 Azure 虚拟网络中创建和使用自己的 VM,请创建一个额外的子网。
若要为 VM 和应用程序工作负荷创建虚拟网络子网,请完成以下步骤:
在 Microsoft Entra 管理中心,选择托管域的资源组,例如 myResourceGroup。 从资源列表中选择默认虚拟网络,例如 aadds-vnet。
在虚拟网络窗口的左侧菜单中,选择 “地址空间”。 使用默认子网使用的单个地址空间 10.0.2.0/24 创建虚拟网络。
向虚拟网络添加其他 IP 地址范围。 此地址范围和要使用的实际 IP 地址范围的大小取决于已部署的其他网络资源。 IP 地址范围不应与 Azure 或本地环境中的任何现有地址范围重叠。 请确保将 IP 地址范围调整得足够大,以容纳您预计部署到子网中的虚拟机数量。
在以下示例中,添加了 10.0.3.0/24 的其他 IP 地址范围。 准备就绪后,选择“保存”。
接下来,在虚拟网络窗口的左侧菜单中,选择 “子网”,然后选择“ + 子网 ”以添加子网。
输入子网的名称,例如 工作负荷。 如果需要,若要使用前面步骤中为虚拟网络配置的 IP 地址范围的子集,请更新 地址 范围。 目前,请保留网络安全组、路由表、服务终结点等选项的默认值。
在以下示例中,创建了一个名为 工作负荷的 子网,该子网使用 10.0.3.0/24 IP 地址范围:
准备就绪后,选择“ 确定”。 创建虚拟网络子网需要一些时间。
创建需要使用托管域的 VM 时,请确保选择此虚拟网络子网。 不要在默认 aadds-subnet 中创建 VM。 如果选择其他虚拟网络,除非配置虚拟网络对等互连,否则将无法进行网络连接以及DNS解析,无法访问托管域。
配置虚拟网络对等
可能已有用于 VM 的 Azure 虚拟网络,或者希望将托管域虚拟网络分开。 若要使用托管域,其他虚拟网络中的 VM 需要一种方法来与域服务域控制器通信。 可以通过使用 Azure 虚拟网络对等互连来提供此连接。
使用 Azure 虚拟网络对等互连,两个虚拟网络将连接在一起,而无需使用虚拟专用网络(VPN)设备。 通过网络对等互连,可以快速连接虚拟网络并定义 Azure 环境中的流量流。
有关对等互连的详细信息,请参阅 Azure 虚拟网络对等互连概述。
若要将虚拟网络与托管域的虚拟网络建立对等互连,请完成以下步骤:
选择为名为 aadds-vnet 的托管域创建的默认虚拟网络。
在虚拟网络窗口的左侧菜单中,选择 “对等互连”。
若要创建对等互连,请选择“ + 添加”。 在以下示例中,默认的 aadds-vnet 与名为 myVnet 的虚拟网络建立了对等连接。 使用自己的值配置以下设置:
- aadds-vnet与远程虚拟网络间对等连接的名称:两个网络的描述性标识符,例如 aadds-vnet-to-myvnet
- 虚拟网络部署类型: 资源管理器
- 订阅:要对等互连的虚拟网络的订阅,例如 Azure
- 虚拟网络:要对等互连的虚拟网络,例如 myVnet
- 从 myVnet 到 aadds-vnet 的对等互连的名称:两个网络的描述性标识符,例如 myvnet-to-aadds-vnet
保持其他默认设置为不变用于虚拟网络访问或转发流量,除非您对您的环境有特定要求,然后选择确定。
在域服务虚拟网络和所选虚拟网络上创建对等连接需要一些时间。 准备就绪后, 对等互连状态 报告 “已连接”,如以下示例所示:
在对等互连虚拟网络中的 VM 可以使用托管域之前,请将 DNS 服务器配置为允许正确的名称解析。
在对等互连虚拟网络中配置 DNS 服务器
要使对等互连虚拟网络中的 VM 和应用程序能够成功与托管域通信,必须更新 DNS 设置。 域服务域控制器的 IP 地址必须配置为对等虚拟网络中的 DNS 服务器。 有两种方法可将域控制器配置为对等互连虚拟网络的 DNS 服务器:
- 将 Azure 虚拟网络 DNS 服务器配置为使用域服务域控制器。
- 配置在对等虚拟网络上使用的现有 DNS 服务器,以使用条件 DNS 转发将查询定向到托管域。 这些步骤因使用中的现有 DNS 服务器而异。
在本教程中,我们将 Azure 虚拟网络 DNS 服务器配置为将所有查询定向到域服务域控制器。
在 Microsoft Entra 管理中心中,选择对等互连虚拟网络的资源组,例如 myResourceGroup。 从资源列表中选择对等互连的虚拟网络,例如 myVnet。
在虚拟网络窗口的左侧菜单中,选择 DNS 服务器。
默认情况下,虚拟网络使用内置的 Azure 提供的 DNS 服务器。 选择使用 自定义 DNS 服务器。 输入域服务域控制器的 IP 地址,通常为 10.0.2.4 和 10.0.2.5。 在门户中托管域的 “概述 ”窗口中确认这些 IP 地址。
准备就绪后,选择“保存”。 更新虚拟网络的 DNS 服务器需要一些时间。
若要将更新的 DNS 设置应用到 VM,请重启连接到对等互连虚拟网络的 VM。
创建需要使用托管域的 VM 时,请确保选择此对等互连的虚拟网络。 如果选择其他虚拟网络,将无法通过网络连接和 DNS 解析访问托管域。
后续步骤
在本教程中,你将学习到如何:
- 了解与域连接的资源到域服务的虚拟网络连接选项
- 在域服务虚拟网络中创建 IP 地址范围和其他子网
- 配置与与域服务分开的网络的虚拟网络对等互连
若要查看托管域的作用,请创建一台虚拟机并将其加入到域中。