Tutorial: configurar a rede virtual para um domínio gerenciado do Microsoft Entra Domain Services

Para fornecer conectividade a usuários e aplicativos, um domínio gerenciado do Microsoft Entra Domain Services é implantado em uma sub-rede da rede virtual do Azure. Essa sub-rede da rede virtual só deve ser usada para os recursos do domínio gerenciado fornecidos pela plataforma Azure.

Quando você criar VMs e aplicativos próprios, eles não deverão ser implantados na mesma sub-rede da rede virtual. Em vez disso, você deverá criar e implantar seus aplicativos em uma sub-rede da rede virtual separada ou em uma rede virtual separada que esteja emparelhada com a rede virtual dos Serviços de Domínio.

Este tutorial mostra como criar e configurar uma sub-rede da rede virtual dedicada ou como emparelhar outra rede na rede virtual do domínio gerenciado dos Serviços de Domínio.

Neste tutorial, você aprenderá a:

Caso não tenha uma assinatura do Azure, crie uma conta antes de começar.

Pré-requisitos

Para concluir este tutorial, você precisará dos seguintes recursos e privilégios:

• Uma assinatura ativa do Azure.
  • Caso não tenha uma assinatura do Azure, crie uma conta.
• Um locatário do Microsoft Entra associado com a assinatura, sincronizado com um diretório local ou somente em nuvem.
  • Se necessário, crie um locatário do Microsoft Entra ou associe uma assinatura do Azure à sua conta.
• Você precisa das funções de Administrador de Aplicativos e Administrador de Grupos do Microsoft Entra em seu locatário para habilitar o Domain Services.
• Você precisará ter a função Colaborador dos Serviços de Domínio do Azure para criar os recursos necessários dos Serviços de Domínio.
• Um domínio gerenciado do Microsoft Entra Domain Services habilitado e configurado em seu locatário do Microsoft Entra.
  • Se necessário, o primeiro tutorial cria e configura um domínio gerenciado do Microsoft Entra Domain Services.

Entre no centro de administração do Microsoft Entra

Neste tutorial, você deve criar e configurar o domínio gerenciado utilizando o centro de administração do Microsoft Entra. Para começar, primeiro entre no Centro de Administração do Microsoft Entra.

Opções de conectividade da carga de trabalho do aplicativo

No tutorial anterior, foi criado um domínio gerenciado que usava algumas opções de configuração padrão para a rede virtual. Essas opções padrão criaram uma rede virtual do Azure e uma sub-rede da rede virtual. Os controladores de domínio dos Serviços de Domínio que fornecem os serviços de domínio gerenciado estão conectados a essa sub-rede da rede virtual.

Quando você cria e executa VMs que precisam usar o domínio gerenciado, a conectividade de rede precisa ser fornecida. Essa conectividade de rede pode ser fornecida de uma das seguintes maneiras:

• Criar uma sub-rede adicional da rede virtual na rede virtual do domínio gerenciado. Essa sub-rede adicional é o local em que você cria e conecta suas VMs.
  • Como as VMs fazem parte da mesma rede virtual, elas podem executar automaticamente a resolução de nomes e se comunicar com os controladores de domínio dos Serviços de Domínio.
• Configurar o emparelhamento de rede virtual do Azure na rede virtual do domínio gerenciado para uma ou mais redes virtuais separadas. Essas redes virtuais separadas são o local em que você cria e conecta suas VMs.
  • Ao configurar o emparelhamento de rede virtual, você também precisa definir as configurações do DNS para usar a resolução de nomes novamente para os controladores de domínio dos Serviços de Domínio.

Normalmente, apenas uma dessas opções de conectividade de rede é usada. Muitas vezes, a escolha depende de como você deseja gerenciar separadamente seus recursos do Azure.

• Caso deseje gerenciar os Serviços de Domínio e as VMs conectadas como um grupo de recursos, crie uma sub-rede da rede virtual adicional para as VMs.
• Caso deseje separar o gerenciamento dos Serviços de Domínio e, em seguida, de qualquer VM conectada, use o emparelhamento de rede virtual.
  • Opte também por usar o emparelhamento de rede virtual para fornecer conectividade às VMs existentes no ambiente do Azure que estão conectadas a uma rede virtual existente.

Neste tutorial, você só precisará configurar uma dessas opções de conectividade de rede virtual.

Para obter mais informações sobre como planejar e configurar a rede virtual, confira as considerações de rede para o Microsoft Entra Domain Services.

Criar uma sub-rede da rede virtual

Por padrão, a rede virtual do Azure criada com o domínio gerenciado contém uma única sub-rede da rede virtual. Essa sub-rede da rede virtual só deve ser usada pela plataforma Azure para fornecer serviços de domínio gerenciado. Para criar e usar suas próprias VMs nessa rede virtual do Azure, crie uma sub-rede adicional.

Para criar uma sub-rede da rede virtual para VMs e cargas de trabalho de aplicativo, conclua as seguintes etapas:

1. No centro de administração do Microsoft Entra, selecione o grupo de recursos do seu domínio gerenciado, como myResourceGroup. Na lista de recursos, escolha a rede virtual padrão, como aadds-vnet.

2. No menu à esquerda da janela da rede virtual, selecione Espaço de endereço. A rede virtual é criada com um só espaço de endereço 10.0.2.0/24, que é usado pela sub-rede padrão.

   Adicione um intervalo de endereços IP adicional à rede virtual. O tamanho desse intervalo de endereços e do intervalo de endereços IP real a ser usado depende de outros recursos de rede já implantados. O intervalo de endereços IP não deve se sobrepor a nenhum intervalo de endereços existente no ambiente local ou do Azure. Dimensione o intervalo de endereços IP com um tamanho grande o suficiente para o número de VMs que espera implantar na sub-rede.

   No exemplo a seguir, um intervalo de endereços IP extra 10.0.3.0/24 é adicionado. Quando estiver pronto, selecione Salvar.

   

3. Em seguida, no menu à esquerda da janela da rede virtual, selecione Sub-redes e, em seguida, escolha + Sub-rede para adicionar uma sub-rede.

4. Insira um nome para a sub-rede, como cargas de trabalho. Se necessário, atualize o Intervalo de endereços caso deseje usar um subconjunto do intervalo de endereços IP configurado para a rede virtual nas etapas anteriores. Por enquanto, mantenha os padrões para opções como grupo de segurança de rede, tabela de rotas e pontos de extremidade de serviço.

   No seguinte exemplo, é criada uma sub-rede chamada workloads que usa o intervalo de endereços IP 10.0.3.0/24:

   

5. Quando estiver pronto, selecione OK. São necessários alguns instantes para a criação da sub-rede da rede virtual.

Ao criar uma VM que precisa usar o domínio gerenciado, selecione essa sub-rede da rede virtual. Não crie VMs na aadds-subnet padrão. Se você selecionar outra rede virtual, não haverá conectividade de rede nem resolução do DNS para acessar o domínio gerenciado, a menos que você configure o emparelhamento de rede virtual.

Configure emparelhamento de rede virtual

Talvez você já tenha uma rede virtual do Azure para VMs ou deseje manter a rede virtual de domínio gerenciado separada. Para usar o domínio gerenciado, as VMs de outras redes virtuais precisam ter uma maneira de se comunicar com os controladores de domínio dos Serviços de Domínio. Essa conectividade pode ser fornecida usando o emparelhamento de rede virtual do Azure.

Com o emparelhamento de rede virtual do Azure, duas redes virtuais são conectadas, sem a necessidade de um dispositivo VPN (rede virtual privada). O emparelhamento de rede permite que você conecte rapidamente redes virtuais e defina fluxos de tráfego no ambiente do Azure.

Para obter mais informações sobre o emparelhamento, confira a Visão geral do emparelhamento de rede virtual do Azure.

Para emparelhar uma rede virtual com a rede virtual de domínio gerenciado, conclua as seguintes etapas:

1. Escolha a rede virtual padrão criada para o domínio gerenciado chamado aadds-vnet.

2. No menu à esquerda da janela da rede virtual, selecione Emparelhamentos.

3. Para criar um emparelhamento, selecione + Adicionar. No exemplo a seguir, a aadds-vnet padrão é emparelhada com uma rede virtual chamada myVnet. Defina as seguintes configurações com seus próprios valores:

   • Nome do emparelhamento de aadds-vnet para a rede virtual remota: Um identificador descritivo das duas redes, como aadds-vnet-to-myvnet
   • Tipo de implantação da rede virtual: Resource Manager
   • Assinatura: A assinatura da rede virtual com a qual deseja emparelhar, como Azure
   • Rede virtual: A rede virtual com a qual deseja emparelhar, como myVnet
   • Nome do emparelhamento de myVnet para aadds-vnet: Um identificador descritivo das duas redes, como myvnet-to-aadds-vnet

   

   Mantenha os outros padrões para o acesso à rede virtual ou o tráfego encaminhado, a menos que você tenha requisitos específicos para seu ambiente e, em seguida, selecione OK.

4. São necessários alguns instantes para a criação do emparelhamento na rede virtual dos Serviços de Domínio e na rede virtual selecionada. Quando estiver pronto, o Status de emparelhamento relatará Conectado, conforme mostrado no seguinte exemplo:

   

Antes que as VMs da rede virtual emparelhada possam usar o domínio gerenciado, configure os servidores DNS para permitir a resolução correta de nomes.

Configurar servidores DNS na rede virtual emparelhada

Para que as VMs e os aplicativos da rede virtual emparelhada se comuniquem com êxito com o domínio gerenciado, as configurações do DNS precisam ser atualizadas. Os endereços IP dos controladores de domínio dos Serviços de Domínio precisam ser configurados como os servidores DNS na rede virtual emparelhada. Há duas maneiras de configurar os controladores de domínio como servidores DNS para a rede virtual emparelhada:

• Configure os servidores DNS da rede virtual do Azure para usarem os controladores de domínio dos Serviços de Domínio.
• Configurar o servidor DNS existente em uso na rede virtual emparelhada para usar o encaminhamento do DNS condicional para direcionar consultas para o domínio gerenciado. Essas etapas variam de acordo com o servidor DNS existente em uso.

Neste tutorial, vamos configurar os servidores DNS da rede virtual do Azure para direcionar todas as consultas para os controladores de domínio dos Serviços de Domínio.

1. No centro de administração do Microsoft Entra, selecione o grupo de recursos da rede virtual emparelhada, como myResourceGroup. Na lista de recursos, escolha a rede virtual emparelhada, como myVnet.

2. No menu à esquerda da janela da rede virtual, selecione Servidores DNS.

3. Por padrão, uma rede virtual usa os servidores DNS internos fornecidos pelo Azure. Opte por usar servidores DNS Personalizados. Insira os endereços IP para os controladores de domínio dos Serviços de Domínio, que geralmente são 10.0.2.4 e 10.0.2.5. Confirme esses endereços IP na janela Visão geral do domínio gerenciado no portal.

   

4. Quando estiver pronto, selecione Salvar. São necessários alguns instantes para atualizar os servidores DNS para a rede virtual.

5. Para aplicar as configurações do DNS atualizadas às VMs, reinicie as VMs conectadas à rede virtual emparelhada.

Ao criar uma VM que precisa usar o domínio gerenciado, selecione essa rede virtual emparelhada. Se você selecionar outra rede virtual, não haverá conectividade de rede nem resolução do DNS para acessar o domínio gerenciado.

Próximas etapas

Neste tutorial, você aprendeu a:

Para ver esse domínio gerenciado em ação, crie e una uma máquina virtual ao domínio.