為了提供使用者和應用程式的連線能力,Microsoft Entra Domain Services 受控網域會部署到 Azure 虛擬網路子網中。 此虛擬網路子網只應該用於 Azure 平臺所提供的受控網域資源。
當您建立自己的 VM 和應用程式時,不應該部署到相同的虛擬網路子網。 相反地,您應該建立應用程式並將其部署至不同的虛擬網路子網,或在與 Domain Services 虛擬網路對等互連的個別虛擬網路中。
本教學課程說明如何建立和設定專用的虛擬網路子網,或如何將不同的網路對等連線至網域服務受管理的網域的虛擬網路。
在本教學課程中,您將瞭解如何:
- 瞭解隸屬於網域的資源與網域服務之間的虛擬網路連線選項
- 在 Domain Services 虛擬網路中建立 IP 位址範圍和其他子網
- 設定虛擬網路對不同於網域服務的網路進行對等連線
如果您沒有 Azure 訂用帳戶,請在開始之前 建立帳戶。
先決條件
若要完成本教學課程,您需要下列資源和許可權:
- 作用中的 Azure 訂用帳戶。
- 如果您沒有 Azure 訂用帳戶,建立帳戶。
- 與您的訂閱關聯的 Microsoft Entra 租戶,可以與內部部署目錄或純雲端目錄進行同步。
- 您需要 應用程式管理員 和 群組管理員 兩個在您的租用戶中分配的 Microsoft Entra 角色,才能啟用網域服務。
- 您需要 Domain Services 參與者 Azure 角色,才能建立必要的 Domain Services 資源。
- 在您的 Microsoft Entra 租用戶中啟用並設定Microsoft Entra Domain Services 受控網域。
- 如有需要,第一個教學課程 會建立及設定 Microsoft Entra Domain Services 受控網域。
登入 Microsoft Entra 系統管理中心
在本教學課程中,您會使用 Microsoft Entra 系統管理中心來建立及設定受控網域。 若要開始使用,請先登入 Microsoft Entra 系統管理中心。
應用程式工作負載連線選項
在上一個教學課程中,已建立受控網域,以使用虛擬網路的一些預設組態選項。 這些預設選項會建立 Azure 虛擬網路和虛擬網路子網。 提供受控網域服務的 Domain Services 域控制器會連線到此虛擬網路子網。
當您建立並執行需要使用受控網域的 VM 時,必須提供網路連線能力。 您可以使用下列其中一種方式來提供此網路連線:
- 在受控網域的虛擬網路中建立額外的虛擬網路子網。 這個額外的子網是您建立和連線 VM 的位置。
- 由於 VM 是相同虛擬網路的一部分,因此可以自動執行名稱解析,並與 Domain Services 域控制器通訊。
- 設定 Azure 虛擬網路對等互連,從受控網域所屬的虛擬網路到一或多個個別的虛擬網路。 這些個別的虛擬網路是您建立和連線 VM 的位置。
- 當您設定虛擬網路對等互連時,還必須設定 DNS 設定,以便名稱解析可以返回至網域服務的域控制器。
通常,您只會使用其中一個網路連線選項。 通常的選擇取決於您希望如何管理及分隔 Azure 資源。
- 如果您想要將網域服務和連線的 VM 作為一組資源來管理,您可以為 VM 建立額外的虛擬網路子網。
- 如果您想要將網域服務的管理與任何連線的 VM 分開,您可以使用虛擬網路對等互連。
- 您也可以選擇使用虛擬網路對等互連,為 Azure 環境中連線至現有虛擬網路的現有虛擬機器 (VMs) 提供連線。
在本教學課程中,您只需要設定其中一個虛擬網路連線選項。
如需如何規劃和設定虛擬網路的詳細資訊,請參閱 Microsoft Entra Domain Services 的網路考慮。
建立虛擬網路子網
根據預設,使用受控網域建立的 Azure 虛擬網路包含單一虛擬網路子網。 此虛擬網路子網只能由 Azure 平臺用來提供受控網域服務。 若要在此 Azure 虛擬網路中建立和使用您自己的 VM,請建立額外的子網。
若要建立 VM 和應用程式工作負載的虛擬網路子網,請完成下列步驟:
在 Microsoft Entra 系統管理中心,選取受控網域的資源群組,例如 myResourceGroup。 從資源清單中,選擇預設虛擬網路,例如 aadds-vnet。
在虛擬網路視窗的左側選單中,選取 [[位址空間]。 虛擬網路的建立方式是使用預設子網所使用的單一位址空間 10.0.2.0/24。
將額外的IP位址範圍新增至虛擬網路。 此位址範圍和實際要使用的IP位址範圍大小取決於已部署的其他網路資源。 IP 位址範圍不應與 Azure 或內部部署環境中任何現有的位址範圍重疊。 請確定您大小 IP 位址範圍夠大,足以容納您預期要部署到子網中的 VM 數目。
在下列範例中,會新增 10.0.3.0/24 的額外IP位址範圍。 當準備好時,請選擇 儲存。
接下來,在虛擬網路視窗的左側功能表中,選取 [[子網],然後選擇 [+ 子網] 來新增子網。
輸入子網的名稱,例如 工作負載。 如有需要,如果您想要使用先前步驟中為虛擬網路設定的IP位址範圍子集,請更新 位址範圍。 目前,請保留網路安全組、路由表、服務端點等選項的預設值。
在下列範例中,會建立名為 工作負載 的子網,其會使用 10.0.3.0/24 IP 位址範圍:
準備好時,請選取 [確定]。 建立虛擬網路子網需要幾分鐘的時間。
當您建立需要使用受控網域的 VM 時,請確定您選取此虛擬網路子網。 請勿在預設 aadds-subnet中建立 VM。 如果您選取不同的虛擬網路,除非您設定虛擬網路對等互連,否則不會有任何的網路連線和 DNS 解析以連線至受控網域。
設定虛擬網路對等連接
您可能有適用於 VM 的現有 Azure 虛擬網路,或想要將受控網域虛擬網路分開。 若要使用受控網域,其他虛擬網路中的 VM 需要與 Domain Services 域控制器通訊的方式。 您可以使用 Azure 虛擬網路對等互連來提供此連線。
透過 Azure 虛擬網路對等互連,兩個虛擬網路會連線在一起,而不需要虛擬專用網 (VPN) 裝置。 網路對等互連可讓您快速連線虛擬網路,並定義 Azure 環境中的流量流程。
如需對等互連的詳細資訊,請參閱 Azure 虛擬網路對等互連概觀。
若要將虛擬網路互連至受管理的網域虛擬網路,請完成下列步驟:
選擇為受控網域建立的預設虛擬網路,aadds-vnet。
在虛擬網路視窗的左側選單中,選取 [對等互連。
若要建立對等互連,請選擇 並新增。 在下列範例中,預設的 aadds-vnet 與名為 myVnet的虛擬網路進行對等互連。 使用您自己的值設定下列設定:
- aadds-vnet 到遠端虛擬網路的對等互連名稱:兩個網路的描述性標識符,例如 aadds-vnet-to-myvnet
- 虛擬網路部署類型:Resource Manager
- 訂用帳戶:您想要互連的虛擬網路所屬的訂用帳戶,例如 Azure
- 虛擬網路:您想要對等互連的虛擬網路,例如 myVnet
- myVnet 與 aadds-vnet 的對等連線名稱:這兩個網路的描述性標識符,例如 myvnet-to-aadds-vnet
設定虛擬網路對等互連除非您有環境的特定需求,否則請保留虛擬網路存取或轉送流量的任何其他預設值,然後選取 [確定] [確定]。
在網域服務虛擬網路和您選取的虛擬網路上建立對等互連需要一些時間。 當準備好時,對等互連狀態 顯示為 已連接,如下列範例所示:
在對等互連虛擬網路中的 VM 可以使用受控網域之前,請設定 DNS 伺服器以允許正確的名稱解析。
在對等互連虛擬網路中設定 DNS 伺服器
若要讓對等互連虛擬網路中的 VM 和應用程式成功與受控網域通訊,則必須更新 DNS 設定。 Domain Services 域控制器的 IP 位址必須設定為對等互連虛擬網路上的 DNS 伺服器。 有兩種方式可將域控制器設定為對等互連虛擬網路的 DNS 伺服器:
- 設定 Azure 虛擬網路 DNS 伺服器以使用 Domain Services 域控制器。
- 設定在對等互連虛擬網路上使用的現有 DNS 伺服器,以使用條件式 DNS 轉送將查詢導向受控網域。 這些步驟會根據使用中的現有 DNS 伺服器而有所不同。
在本教學課程中,讓我們設定 Azure 虛擬網路 DNS 伺服器,將所有查詢導向 Domain Services 域控制器。
在 Microsoft Entra 系統管理中心,選取對等互連虛擬網路的資源群組,例如 myResourceGroup。 從資源清單中,選擇對等互連的虛擬網路,例如 myVnet。
在虛擬網路視窗的左側選單中,選取 [DNS 伺服器。
根據預設,虛擬網路會使用內建的 Azure 提供的 DNS 伺服器。 選擇使用自定義 DNS 伺服器。 輸入網域服務域控制器的IP位址,通常 10.0.2.4,10.0.2.5。 在管理平台中受控網域的 [概觀] 視窗中確認這些 IP 位址。
當準備好時,請選擇 儲存。 更新虛擬網路的 DNS 伺服器需要一些時間。
若要將更新的 DNS 設定套用至 VM,請重新啟動連線至對等互連虛擬網路的 VM。
當您建立需要使用受控網域的 VM 時,請確定您選取此對等互連虛擬網路。 如果您選取不同的虛擬網路,則沒有任何網路連線和 DNS 解析可連線到受控網域。
後續步驟
在本教學課程中,您已瞭解如何:
- 瞭解隸屬於網域的資源與網域服務之間的虛擬網路連線選項
- 在 Domain Services 虛擬網路中建立 IP 位址範圍和其他子網
- 設定虛擬網路對不同於網域服務的網路進行對等連線
若要查看此受控網域的運作情形,請建立虛擬機並加入網域。