教學課程：設定 Microsoft Entra Domain Services 受控網域的虛擬網路

為了提供使用者和應用程式的連線，會將 Microsoft Entra Domain Services 受控網域部署至 Azure 虛擬網路子網路。 此虛擬網路子網路只能用於 Azure 平台所提供的受控網域資源。

當您建立自己的 VM 和應用程式時，您不應將其部署至相同的虛擬網路子網路中。 相反地，您應該建立應用程式，並將其部署至個別虛擬網路子網路，或對等互連至 Domain Services 虛擬網路的個別虛擬網路。

本教學課程顯示如何建立和設定專用虛擬網路子網路，或如何將不同的網路對等互連至 Domain Services 受控網域的虛擬網路。

在本教學課程中，您會了解如何：

• 瞭解將已加入網域的資源連線至 Domain Services 的虛擬網路連線選項
• 在 Domain Services 虛擬網路中建立 IP 位址範圍和其他子網路
• 設定將虛擬網路對等互連至與 Domain Services 不同的網路

如尚未擁有 Azure 訂用帳戶，請在開始之前先建立帳戶。

必要條件

若要完成本教學課程，您需要下列資源和權限：

• 有效的 Azure 訂閱。
  • 如果您沒有 Azure 訂用帳戶，請先建立帳戶。
• 與您的訂用帳戶相關聯的 Microsoft Entra 租用戶，已與內部部署目錄或僅限雲端目錄進行同步處理。
  • 如有需要，則請建立 Microsoft Entra 租用戶或將 Azure 訂用帳戶與您的帳戶建立關聯。
• 您需要租用戶中的應用程式系統管理員和群組系統管理員 Microsoft Entra 角色，才能啟用 Domain Services。
• 您需要 Domain Services 參與者 Azure 角色，才能建立必要的 Domain Services 資源。
• 在您的 Microsoft Entra 租用戶中啟用和設定的 Microsoft Entra Domain Services 受控網域。
  • 如有需要，第一個教學課程會建立和設定 Microsoft Entra Domain Services 受控網域。

登入 Microsoft Entra 系統管理中心

在本教學課程中，您會使用 Microsoft Entra 系統管理中心來建立和設定受控網域。 若要開始使用，請先登入 Microsoft Entra 系統管理中心。

應用程式工作負載連線選項

在上一個教學課程中，我們已建立一個受控網域，並使用虛擬網路的一些預設設定選項。 這些預設選項建立了 Azure 虛擬網路和虛擬網路子網路。 提供受控網域服務的 Domain Services 網域控制站會連線至此虛擬網路子網路。

當您建立和執行需要使用受控網域的 VM 時，必須要提供網路連線。 此網路連線可透過下列其中一種方式來提供：

• 在受控網域的虛擬網路中，建立額外的虛擬網路子網路。 您會在這個額外的子網路中建立和連接 VM。
  • 因為 VM 屬於相同的虛擬網路，所以可以自動執行名稱解析，並與 Domain Services 網域控制站進行通訊。
• 設定從受控網域的虛擬網路到一或多個不同虛擬網路的 Azure 虛擬網路對等互連。 您會在這些個別的虛擬網路中建立和連接 VM。
  • 當您設定虛擬網路對等互連時，也必須設定 DNS 設定，以對 Domain Services 網域控制站反向使用名稱解析。

通常，您只會使用前述其中一個網路連線選項。 此選擇通常取決您想要以何種方式管理不同的 Azure 資源。

• 如果您想要以一個資源群組來管理 Domain Services 和已連線的 VM，則可以針對 VM 額外建立虛擬網路子網路。
• 如果您想要個別管理 Domain Services 和後續的任何已連線 VM，則可以使用虛擬網路對等互連。
  • 您也可以選擇使用虛擬網路對等互連，針對 Azure 環境中連線至現有虛擬網路的現有 VM 提供連線。

在本教學課程中，您只需要設定其中一個虛擬網路連線選項。

如需如何規劃和設定虛擬網路的詳細資訊，請參閱 Microsoft Entra Domain Services 的網路考量。

建立虛擬網路子網路

根據預設，在受控網域中建立的 Azure 虛擬網路會包含一個虛擬網路子網路。 此虛擬網路子網路應僅供 Azure 平台用來提供受控網域服務。 若要在此 Azure 虛擬網路中建立及使用您自己的 VM，請建立額外的子網路。

若要建立 VM 和應用程式工作負載的虛擬網路子網路，請完成下列步驟：

1. 在 Microsoft Entra 系統管理中心內，選取受控網域的資源群組，例如 myResourceGroup。 從資源清單中選擇預設的虛擬網路，例如 aadds-vnet。

2. 在虛擬網路視窗的左側功能表中，選取 [位址空間]。 建立虛擬網路時，會使用預設子網路所使用的單一位址空間 10.0.2.0/24。

   將額外的 IP 位址範圍新增至虛擬網路。 此位址範圍的大小以及要使用的實際 IP 位址範圍，取決於已部署的其他網路資源。 IP 位址範圍不應與您 Azure 或內部部署環境中任何現有的位址範圍重疊。 請確定您的 IP 位址範圍大小足以容納預期要部署到子網路中的 VM 數目。

   在下列範例中，會新增額外的 IP 位址範圍 10.0.3.0/24。 在準備就緒時，選取 [儲存]。

   

3. 接下來，在虛擬網路視窗的左側功能表中選取 [子網路]，然後選擇 [+ 子網路] 以新增子網路。

4. 輸入子網路的名稱，例如 workloads。 如果您想要在先前的步驟中使用為虛擬網路設定的 IP 位址範圍子集，請視需要更新位址範圍。 目前，請暫且將網路安全性群組、路由表、服務端點等選項保留為預設值。

   在下列範例中，會建立名為 workloads 的子網路，並使用 10.0.3.0/24 IP 位址範圍：

   

5. 在準備就緒時，選取 [確定]。 建立虛擬網路子網路需要一些時間。

當您建立需要使用受控網域的 VM 時，請務必選取此虛擬網路子網路。 請勿在預設的 aadds-subnet 中建立 VM。 如果您選取不同的虛擬網路，除非您設定了虛擬網路對等互連，否則將無法使用網路連線和 DNS 解析連線至受控網域。

設定虛擬網路對等互連

您可以將現有的 Azure 虛擬網路用於 VM，或是保有獨立的受控網域虛擬網路。 若要使用受控網域，其他虛擬網路中的 VM 需要有與 Domain Services 網域控制站進行通訊的途徑。 您可以使用 Azure 虛擬網路對等互連來提供此連線能力。

使用 Azure 虛擬網路對等互連時，不需要虛擬私人網路 (VPN) 裝置，即可將兩個虛擬網路連接在一起。 網路對等互連可讓您快速連接虛擬網路，並定義您整個 Azure 環境中的流量。

如需對等互連的詳細資訊，請參閱 Azure 虛擬網路對等互連概觀。

若要將虛擬網路對等互連至受控網域虛擬網路，請完成下列步驟：

1. 選擇為名為 aadds-vnet 的受控網域建立的預設虛擬網路。

2. 在虛擬網路視窗的左側功能表中，選取 [對等互連]。

3. 若要建立對等互連，請選取 [+ 新增]。 在下列範例中，預設的 aadds-vnet 會對等互連至名為 myVnet 的虛擬網路。 請使用您自己的值進行下列設定：

   • 從 aadds-vnet 到遠端虛擬網路的對等互連名稱：這兩個網路的描述性識別碼，例如 aadds-vnet-to-myvnet
   • 虛擬網路部署類型：資源管理員
   • 訂用帳戶：您想要對等互連之虛擬網路的訂用帳戶，例如 Azure
   • 虛擬網路：您想要對等互連的虛擬網路，例如 myVnet
   • 從 myVnet 到 aadds-vnet 的對等互連名稱：這兩個網路的描述性識別碼，例如 myvnet-to-aadds-vnet

   

   除非您的環境有特定需求，否則請保留虛擬網路存取或轉送流量的任何其他預設值，然後選取 [確定]。

4. 在 Domain Services 虛擬網路和您選取的虛擬網路上建立對等互連，需要幾分鐘的時間。 準備就緒時，對等互連狀態會報告為「已連線」，如下列範例所示：

   

在對等互連虛擬網路中的 VM 可以使用受控網域之前，請先將 DNS 伺服器設定為允許正確的名稱解析。

在對等互連的虛擬網路中設定 DNS 伺服器

若要讓對等互連虛擬網路中的 VM 和應用程式成功聯繫受控網域，必須要更新 DNS 設定。 Domain Services 網域控制站的 IP 位址必須設定為對等互連虛擬網路上的 DNS 伺服器。 有兩種方式可將網域控制站設定為對等互連虛擬網路的 DNS 伺服器：

• 設定 Azure 虛擬網路 DNS 伺服器，以使用 Domain Services 網域控制站。
• 設定在對等互連虛擬網路上使用的現有 DNS 伺服器，以使用條件式 DNS 轉送將查詢導向受控網域。 這些步驟會根據使用中現有的 DNS 伺服器而有所不同。

在本教學課程中，會設定 Azure 虛擬網路 DNS 伺服器，以將所有查詢導向至 Domain Services 網域控制站。

1. 在 Microsoft Entra 系統管理中心內，選取對等互連虛擬網路的資源群組，例如 myResourceGroup。 從資源清單中選擇對等互連的的虛擬網路，例如 myVnet。

2. 在虛擬網路視窗的左側功能表中，選取 [DNS 伺服器]。

3. 根據預設，虛擬網路會使用 Azure 提供的內建 DNS 伺服器。 請選擇使用自訂 DNS 伺服器。 輸入 Domain Services 網域控制站的 IP 位址，通常為 10.0.2.4 和 10.0.2.5。 請在入口網站中，從您受控網域的 [概觀] 視窗上確認這些 IP 位址。

   

4. 在準備就緒時，選取 [儲存]。 更新虛擬網路的 DNS 伺服器需要幾分鐘的時間。

5. 若要將更新的 DNS 設定套用至 VM，請重新啟動連線至對等互連虛擬網路的 VM。

當您建立需要使用受控網域的 VM 時，請務必選取此對等互連虛擬網路。 如果您選取不同的虛擬網路，則無法使用網路連線和 DNS 解析連線至受控網域。

下一步

在本教學課程中，您已了解如何：

• 瞭解將已加入網域的資源連線至 Domain Services 的虛擬網路連線選項
• 在 Domain Services 虛擬網路中建立 IP 位址範圍和其他子網路
• 設定將虛擬網路對等互連至與 Domain Services 不同的網路

若要查看此作用中的受控網域，請建立虛擬機器並將其加入網域。

將 Windows Server 虛擬機器加入受控網域