教程:为 Microsoft Entra 域服务托管域配置虚拟网络

为了给用户和应用程序提供连接,已在 Azure 虚拟网络子网中部署了一个 Microsoft Entra 域服务托管域。 此虚拟网络子网应该仅供 Azure 平台提供的托管域资源使用。

当你创建自己的 VM 和应用程序时,不应将它们部署到同一个虚拟网络子网中。 应创建应用程序并将其部署到不同的虚拟网络子网,或部署到与域服务虚拟网络对等互连的其他虚拟网络中。

本教程介绍如何创建和配置专用的虚拟网络子网,或者如何将不同的网络对等互连到域服务托管域的虚拟网络。

本教程介绍如何执行下列操作:

  • 了解已加入域的资源与域服务之间的虚拟网络连接选项
  • 在域服务虚拟网络中创建 IP 地址范围和额外的子网
  • 配置与独立于域服务的网络之间的虚拟网络对等互连

如果还没有 Azure 订阅,可以在开始前创建一个帐户

先决条件

需有以下资源和特权才能完成本教程:

登录 Microsoft Entra 管理中心

在本教程中,你将使用 Microsoft Entra 管理中心创建和配置托管域。 若要开始操作,请先登录到 Microsoft Entra 管理中心

应用程序工作负荷连接选项

在上一篇教程中,我们已创建一个托管域,该托管域对虚拟网络使用了一些默认的配置选项。 这些默认选项创建了一个 Azure 虚拟网络和虚拟网络子网。 提供托管域服务的域服务域控制器已连接到此虚拟网络子网。

创建并运行需要使用托管域的 VM 时,需要提供网络连接。 可通过以下方式之一提供此网络连接:

  • 在托管域的虚拟网络中创建额外的虚拟网络子网。 将在此额外子网中创建和连接 VM。
    • 由于这些 VM 位于同一虚拟网络中,它们可以自动执行名称解析并与域服务域控制器通信。
  • 配置从托管域的虚拟网络到一个或多个独立虚拟网络的 Azure 虚拟网络对等互连。 将在这些独立的虚拟网络中创建和连接 VM。
    • 配置虚拟网络对等互连时,还必须配置 DNS 设置,以使用名称解析回到域服务域控制器。

通常我们只使用其中的一个网络连接选项。 做出的选择往往取决于如何单独管理 Azure 资源。

  • 若要将域服务和连接的 VM 作为一组资源进行管理,可为 VM 额外创建一个虚拟网络子网。
  • 若要将域服务和任何连接的 VM 分开管理,可以使用虚拟网络对等互连。
    • 还可以选择使用虚拟网络对等互连来与 Azure 环境中已连接到现有虚拟网络的现有 VM 建立连接。

在本教程中,你只需配置其中的一个虚拟网络连接选项。

有关如何规划和配置虚拟网络的详细信息,请参阅 Microsoft Entra 域服务的网络注意事项

创建虚拟网络子网

默认情况下,使用托管域创建的 Azure 虚拟网络包含单个虚拟网络子网。 此虚拟网络子网应该仅供 Azure 平台用来提供托管域服务。 若要在此 Azure 虚拟网络中创建并使用自己的 VM,请创建额外的子网。

若要为 VM 和应用程序工作负荷创建虚拟网络子网,请完成以下步骤:

  1. 在 Microsoft Entra 管理中心,选择托管域的资源组,例如 myResourceGroup。 在资源列表中选择默认的虚拟网络,例如 aadds-vnet

  2. 在虚拟网络窗口的左侧菜单中,选择“地址空间”。 随即会创建带有单个地址空间 10.0.2.0/24(由默认子网使用)的虚拟网络。

    将额外的 IP 地址范围添加到该虚拟网络。 此地址范围的大小以及要使用的实际 IP 地址范围取决于已部署的其他网络资源。 该 IP 地址范围不应与 Azure 或本地环境中的任何现有地址范围重叠。 请确保该 IP 地址范围足够大,能够与要部署到子网中的 VM 数量相适应。

    在以下示例中,添加了额外的 IP 地址范围 10.0.3.0/24。 准备就绪后,选择“保存”。

    在 Microsoft Entra 管理中心中添加额外的虚拟网络 IP 地址范围

  3. 接下来,在虚拟网络窗口的左侧菜单中选择“子网”,然后选择“+ 子网”以添加子网。

  4. 输入子网的名称,例如 workloads。 如果需要使用在前面步骤中为虚拟网络配置的 IP 地址范围子集,请更新“地址范围”。 暂时对网络安全组、路由表、服务终结点等选项保留默认值。

    在以下示例中,创建了名为 workloads、使用 10.0.3.0/24 IP 地址范围的子网:

    在 Microsoft Entra 管理中心中添加额外的虚拟网络子网

  5. 准备就绪后,选择“确定”。 需要花费片刻时间来创建虚拟网络子网。

创建需要使用托管域的 VM 时,请务必选择此虚拟网络子网。 请不要在默认的 aadds-subnet 中创建 VM。 如果选择其他虚拟网络,则除非配置虚拟网络对等互连,否则将不提供网络连接和 DNS 解析,因此无法连接到托管域。

配置虚拟网络对等互连

你可能已经为 VM 创建了 Azure 虚拟网络,或者希望保持托管域虚拟网络的独立性。 若要使用托管域,其他虚拟网络中的 VM 需要通过某种方式来与域服务域控制器通信。 可以使用 Azure 虚拟网络对等互连来提供此连接。

使用 Azure 虚拟网络对等互连时,两个虚拟网络将连接到一起,而无需使用虚拟专用网络 (VPN) 设备。 使用网络对等互连可以快速连接虚拟网络并定义整个 Azure 环境中的流量流。

有关对等互连的详细信息,请参阅 Azure 虚拟网络对等互连概述

若要将某个虚拟网络对等互连到托管域虚拟网络,请完成以下步骤:

  1. 选择为托管域创建的名为“aadds-vnet”的默认虚拟网络。

  2. 在虚拟网络窗口的左侧菜单中,选择“对等互连”。

  3. 若要创建对等互连,请选择“+ 添加”。 在以下示例中,默认的 aadds-vnet 已对等互连到名为 myVnet 的虚拟网络。 使用自己的值配置以下设置:

    • 从 aadds-vnet 到远程虚拟网络的对等互连的名称:两个网络的描述性标识符,例如 aadds-vnet-myvnet
    • 虚拟网络部署类型资源管理器
    • 订阅:要对等互连到的虚拟网络的订阅,例如 Azure
    • 虚拟网络:要对等互连到的虚拟网络,例如 myVnet
    • 从 myVnet 到 aadds-vnet 的对等互连的名称:两个网络的描述性标识符,例如 myvnet-to-aadds-vnet

    在 Microsoft Entra 管理中心中配置虚拟网络对等互连

    除非对环境有特定的要求,否则请对虚拟网络访问或转发流量等任何其他设置保留默认值;然后选择“确定”。

  4. 对域服务虚拟网络和所选虚拟网络创建对等互连需要花费片刻时间。 准备就绪后,“对等互连状态”中会报告“已连接”,如以下示例所示:

    已成功在 Microsoft Entra 管理中心中连接对等互连的网络

在对等互连的虚拟网络中的 VM 可以使用托管域之前,请配置 DNS 服务器,以便能够正确进行名称解析。

在对等互连的虚拟网络中配置 DNS 服务器

要使对等互连虚拟网络中的 VM 和应用程序能够成功地与托管域通信,必须更新 DNS 设置。 必须将域服务域控制器的 IP 地址配置为对等互联虚拟网络上的 DNS 服务器。 可通过两种方式将域控制器配置为对等互连虚拟网络的 DNS 服务器:

  • 将 Azure 虚拟网络 DNS 服务器配置为使用域服务域控制器。
  • 将对等互连虚拟网络中使用的现有 DNS 服务器配置为使用条件 DNS 转发向托管域定向查询。 这些步骤根据所用的现有 DNS 服务器而异。

在本教程中,让我们将 Azure 虚拟网络 DNS 服务器配置为向域服务域控制器定向所有查询。

  1. 在 Microsoft Entra 管理中心中,选择对等互连虚拟网络的资源组,例如 myResourceGroup。 在资源列表中选择对等互连的虚拟网络,例如 myVnet

  2. 在虚拟网络窗口的左侧菜单中,选择“DNS 服务器”。

  3. 默认情况下,虚拟网络使用 Azure 提供的内置 DNS 服务器。 选择使用“自定义”DNS 服务器。 输入域服务域控制器的 IP 地址,通常是 10.0.2.410.0.2.5。 在门户上托管域的“概述”窗口中确认这些 IP 地址。

    将虚拟网络 DNS 服务器配置为使用域服务域控制器

  4. 准备就绪后,选择“保存”。 需要花费片刻时间来更新虚拟网络的 DNS 服务器。

  5. 若要将更新的 DNS 设置应用到 VM,请重启已连接到对等互连虚拟网络的 VM。

创建需要使用托管域的 VM 时,请务必选择此对等互连的虚拟网络。 如果选择其他虚拟网络,将不提供网络连接和 DNS 解析,因此无法连接到托管域。

后续步骤

在本教程中,你了解了如何执行以下操作:

  • 了解已加入域的资源与域服务之间的虚拟网络连接选项
  • 在域服务虚拟网络中创建 IP 地址范围和额外的子网
  • 配置与独立于域服务的网络之间的虚拟网络对等互连

若要了解此托管域的运作情况,请创建一个虚拟机并将其加入域。