Tutorial: Configurar a rede virtual para um domínio gerenciado do Microsoft Entra Domain Services

Para fornecer conectividade a usuários e aplicativos, um domínio gerenciado do Microsoft Entra Domain Services é implantado em uma sub-rede de rede virtual do Azure. Essa sub-rede de rede virtual só deve ser usada para os recursos de domínio gerenciado fornecidos pela plataforma do Azure.

Quando você cria suas próprias VMs e aplicativos, elas não devem ser implantadas na mesma sub-rede de rede virtual. Em vez disso, você deve criar e implantar seus aplicativos em uma sub-rede de rede virtual separada ou em uma rede virtual separada emparelhada à rede virtual dos Serviços de Domínio.

Este tutorial mostra como criar e configurar uma sub-rede de rede virtual dedicada ou como emparelhar uma rede diferente à rede virtual do domínio gerenciado dos Serviços de Domínio.

Neste tutorial, você aprenderá como:

Se você não tiver uma assinatura do Azure, crie uma conta antes de começar.

Pré-requisitos

Para concluir este tutorial, você precisa dos seguintes recursos e privilégios:

• Uma assinatura ativa do Azure.
  • Se você não tiver uma assinatura do Azure, crie uma conta.
• Um tenant do Microsoft Entra associado à sua assinatura, sincronizado com um diretório local ou um diretório somente na nuvem.
  • Se necessário, crie um tenant do Microsoft Entra ou associe uma assinatura do Azure à sua conta.
• Você precisa das funções de administrador de aplicativos e administrador de grupos do Microsoft Entra em seu tenant para habilitar os Serviços de Domínio.
• Você precisa da função de Colaborador dos Serviços de Domínio do Azure para criar os recursos necessários dos Serviços de Domínio.
• Em seu locatário do Microsoft Entra, um domínio gerenciado do Microsoft Entra Domain Services está habilitado e configurado.
  • Se necessário, o primeiro tutorial cria e configura um domínio gerenciado do Microsoft Entra Domain Services.

Entrar no Centro de administração do Microsoft Entra

Neste tutorial, você criará e configurará o domínio gerenciado usando o Centro de administração do Microsoft Entra. Para começar, primeiro entre no Centro de administração do Microsoft Entra.

Opções de conectividade de carga de trabalho do aplicativo

No tutorial anterior, foi criado um domínio gerenciado que usou algumas opções de configuração padrão para a rede virtual. Essas opções padrão criaram uma rede virtual do Azure e uma sub-rede de rede virtual. Os controladores de domínio dos Serviços de Domínio que fornecem os serviços de domínio gerenciado estão conectados a essa sub-rede de rede virtual.

Quando você cria e executa VMs que precisam usar o domínio gerenciado, a conectividade de rede precisa ser fornecida. Essa conectividade de rede pode ser fornecida de uma das seguintes maneiras:

• Crie uma sub-rede de rede virtual adicional na rede virtual do domínio gerenciado. Essa sub-rede adicional é onde você cria e conecta suas VMs.
  • Como as VMs fazem parte da mesma rede virtual, elas podem executar automaticamente a resolução de nomes e se comunicar com os controladores de domínio dos Serviços de Domínio.
• Configure o emparelhamento de rede virtual do Azure da rede virtual do domínio gerenciado para uma ou mais redes virtuais separadas. Essas redes virtuais separadas são onde você cria e conecta suas VMs.
  • Ao configurar o emparelhamento de rede virtual, você também deve definir as configurações de DNS para usar a resolução de nomes de volta para os controladores de domínio dos Serviços de Domínio.

Normalmente, você usa apenas uma dessas opções de conectividade de rede. A opção geralmente se resume à maneira como você deseja gerenciar os recursos separados do Azure.

• Se você quiser gerenciar os Serviços de Domínio e as VMs conectadas como um grupo de recursos, poderá criar uma sub-rede de rede virtual adicional para VMs.
• Se você quiser separar o gerenciamento dos Serviços de Domínio e, em seguida, quaisquer VMs conectadas, poderá usar o emparelhamento de rede virtual.
  • Você também pode optar por usar o emparelhamento de rede virtual para fornecer conectividade às VMs existentes em seu ambiente do Azure que estão conectadas a uma rede virtual existente.

Neste tutorial, você só precisa configurar uma dessas opções de conectividade de rede virtual.

Para obter mais informações sobre como planejar e configurar a rede virtual, consulte as considerações de rede para o Microsoft Entra Domain Services.

Criar uma sub-rede de rede virtual

Por padrão, a rede virtual do Azure criada com o domínio gerenciado contém uma única sub-rede de rede virtual. Essa sub-rede de rede virtual só deve ser usada pela plataforma do Azure para fornecer serviços de domínio gerenciado. Para criar e usar suas próprias VMs nesta rede virtual do Azure, crie uma sub-rede adicional.

Para criar uma sub-rede de rede virtual para VMs e cargas de trabalho de aplicativo, conclua as seguintes etapas:

1. No centro de administração do Microsoft Entra, selecione o grupo de recursos do seu domínio gerenciado, como myResourceGroup. Na lista de recursos, escolha a rede virtual padrão, como aadds-vnet.

2. No menu à esquerda da janela de rede virtual, selecione Espaço de endereço. A rede virtual é criada com um único espaço de endereço de 10.0.2.0/24, que é usado pela sub-rede padrão.

   Adicione um intervalo de endereços IP adicional à rede virtual. O tamanho desse intervalo de endereços e o intervalo real de endereços IP a serem usados dependem de outros recursos de rede já implantados. O intervalo de endereços IP não deve se sobrepor a intervalos de endereços existentes em seu ambiente do Azure ou local. Certifique-se de dimensionar o intervalo de endereços IP grande o suficiente para o número de VMs que você espera implantar na sub-rede.

   No exemplo a seguir, um intervalo de endereços IP adicional de 10.0.3.0/24 é adicionado. Quando estiver pronto, selecione Salvar.

   

3. Em seguida, no menu à esquerda da janela da rede virtual, selecione Sub-redes e escolha + Sub-rede para adicionar uma sub-rede.

4. Insira um nome para a sub-rede, como cargas de trabalho. Se necessário, atualize o intervalo de endereços se desejar usar um subconjunto do intervalo de endereços IP configurado para a rede virtual nas etapas anteriores. Por enquanto, deixe as configurações padrão para opções como grupo de segurança de rede, tabela de rotas, pontos de extremidade de serviço.

   No exemplo a seguir, é criada uma sub-rede denominada cargas de trabalho que usa o intervalo de endereços IP 10.0.3.0/24 :

   

5. Quando estiver pronto, selecione OK. Leva alguns instantes para criar a sub-rede de rede virtual.

Ao criar uma VM que precisa usar o domínio gerenciado, selecione essa sub-rede de rede virtual. Não crie VMs na aadds-subnet padrão. Se você selecionar uma rede virtual diferente, não haverá conectividade de rede e resolução DNS para acessar o domínio gerenciado, a menos que você configure o emparelhamento de rede virtual.

Configurar o emparelhamento de rede virtual

Você pode ter uma rede virtual do Azure existente para VMs ou desejar manter sua rede virtual de domínio gerenciado separada. Para usar o domínio gerenciado, as VMs em outras redes virtuais precisam de uma maneira de se comunicar com os controladores de domínio dos Serviços de Domínio. Essa conectividade pode ser fornecida usando o emparelhamento de rede virtual do Azure.

Com o emparelhamento de rede virtual do Azure, duas redes virtuais são conectadas juntas, sem a necessidade de um dispositivo VPN (rede virtual privada). O emparelhamento de rede permite que você conecte rapidamente redes virtuais e defina fluxos de tráfego em seu ambiente do Azure.

Para obter mais informações sobre emparelhamento, consulte a visão geral do emparelhamento de rede virtual do Azure.

Para emparelhar uma rede virtual à rede virtual de domínio gerenciado, conclua as seguintes etapas:

1. Escolha a rede virtual padrão criada para seu domínio gerenciado chamado aadds-vnet.

2. No menu à esquerda da janela da rede virtual, selecione Peering.

3. Para criar um emparelhamento, selecione + Adicionar. No exemplo a seguir, o aadds-vnet padrão é emparelhado com uma rede virtual chamada myVnet. Defina as seguintes configurações com seus próprios valores:

   • Nome do emparelhamento de aadds-vnet para rede virtual remota: um identificador descritivo das duas redes, como aadds-vnet-to-myvnet
   • Tipo de implantação de rede virtual: Resource Manager
   • Assinatura: a assinatura da rede virtual para a qual você deseja emparelhar, como o Azure
   • Rede virtual: a rede virtual com a qual você deseja fazer peering, como myVnet
   • Nome do emparelhamento entre myVnet e aadds-vnet: um identificador descritivo das duas redes, como myvnet-to-aadds-vnet

   

   Deixe qualquer outro padrão para acesso à rede virtual ou tráfego encaminhado, a menos que você tenha requisitos específicos para seu ambiente, então selecione OK.

4. Demora alguns instantes para criar o emparelhamento tanto na rede virtual dos Serviços de Domínio quanto na rede virtual selecionada. Quando estiver pronto, o status de emparelhamentorelatará Conectado, conforme mostrado no exemplo a seguir:

   

Antes que as VMs na rede virtual emparelhada possam usar o domínio gerenciado, configure os servidores DNS para permitir a resolução de nomes correta.

Configurar servidores DNS na rede virtual emparelhada

Para que VMs e aplicativos na rede virtual emparelhada conversem com êxito com o domínio gerenciado, as configurações de DNS devem ser atualizadas. Os endereços IP dos controladores de domínio dos Serviços de Domínio devem ser configurados como os servidores DNS na rede virtual emparelhada. Há duas maneiras de configurar os controladores de domínio como servidores DNS para a rede virtual emparelhada:

• Configure os servidores DNS de rede virtual do Azure para usar os controladores de domínio dos Serviços de Domínio.
• Configure o servidor DNS existente em uso na rede virtual emparelhada para usar o encaminhamento de DNS condicional para direcionar consultas para o domínio gerenciado. Essas etapas variam dependendo do servidor DNS existente em uso.

Neste tutorial, vamos configurar os servidores DNS de rede virtual do Azure para direcionar todas as consultas para os controladores de domínio dos Serviços de Domínio.

1. No centro de administração do Microsoft Entra, selecione o grupo de recursos da rede virtual emparelhada, como myResourceGroup. Na lista de recursos, escolha a rede virtual emparelhada, como myVnet.

2. No menu à esquerda da janela de rede virtual, selecione servidores DNS.

3. Por padrão, uma rede virtual usa os servidores DNS fornecidos pelo Azure internos. Escolha usar servidores DNS personalizados . Insira os endereços IP para os controladores de domínio dos Serviços de Domínio, que geralmente são 10.0.2.4 e 10.0.2.5. Confirme esses endereços IP na janela Visão geral do seu domínio gerenciado no portal.

   

4. Quando estiver pronto, selecione Salvar. Leva alguns instantes para atualizar os servidores DNS para a rede virtual.

5. Para aplicar as configurações de DNS atualizadas às VMs, reinicie as VMs conectadas à rede virtual emparelhada.

Ao criar uma VM que precisa usar o domínio gerenciado, selecione essa rede virtual emparelhada. Se você selecionar uma rede virtual diferente, não haverá conectividade de rede e resolução DNS para alcançar o domínio gerenciado.

Próximas etapas

Neste tutorial, você aprendeu a:

Para ver esse domínio gerenciado em ação, crie e ingresse uma máquina virtual no domínio.