Tutorial: Configurar a rede virtual para um domínio gerenciado dos Serviços de Domínio Microsoft Entra

Para fornecer conectividade a usuários e aplicativos, um domínio gerenciado dos Serviços de Domínio Microsoft Entra é implantado em uma sub-rede de rede virtual do Azure. Essa sub-rede de rede virtual só deve ser usada para os recursos de domínio gerenciado fornecidos pela plataforma Azure.

Quando você cria suas próprias VMs e aplicativos, eles não devem ser implantados na mesma sub-rede de rede virtual. Em vez disso, você deve criar e implantar seus aplicativos em uma sub-rede de rede virtual separada ou em uma rede virtual separada emparelhada à rede virtual dos Serviços de Domínio.

Este tutorial mostra como criar e configurar uma sub-rede de rede virtual dedicada ou como emparelhar uma rede diferente à rede virtual do domínio gerenciado pelos Serviços de Domínio.

Neste tutorial, irá aprender a:

  • Compreender as opções de conectividade de rede virtual para recursos associados a domínios nos Serviços de Domínio
  • Criar um intervalo de endereços IP e uma sub-rede adicional na rede virtual dos Serviços de Domínio
  • Configurar o emparelhamento de rede virtual para uma rede separada dos Serviços de Domínio

Se você não tiver uma assinatura do Azure, crie uma conta antes de começar.

Pré-requisitos

Para concluir este tutorial, você precisa dos seguintes recursos e privilégios:

  • Uma subscrição ativa do Azure.
  • Um locatário do Microsoft Entra associado à sua assinatura, sincronizado com um diretório local ou um diretório somente na nuvem.
  • Você precisa das funções de Administrador de Aplicativos e Administrador de Grupos do Microsoft Entra em seu locatário para habilitar os Serviços de Domínio.
  • Você precisa da função Azure de Colaborador de Serviços de Domínio para criar os recursos de Serviços de Domínio necessários.
  • Um domínio gerenciado dos Serviços de Domínio Microsoft Entra habilitado e configurado em seu locatário do Microsoft Entra.

Inicie sessão no Centro de administração do Microsoft Entra.

Neste tutorial, você cria e configura o domínio gerenciado usando o centro de administração do Microsoft Entra. Para começar, primeiro entre no centro de administração do Microsoft Entra.

Opções de conectividade da carga de trabalho do aplicativo

No tutorial anterior, foi criado um domínio gerenciado que usava algumas opções de configuração padrão para a rede virtual. Essas opções padrão criaram uma rede virtual do Azure e uma sub-rede de rede virtual. Os controladores de domínio dos Serviços de Domínio que fornecem os serviços de domínio gerenciados estão conectados a essa sub-rede de rede virtual.

Quando você cria e executa VMs que precisam usar o domínio gerenciado, a conectividade de rede precisa ser fornecida. Essa conectividade de rede pode ser fornecida de uma das seguintes maneiras:

  • Crie uma sub-rede de rede virtual adicional na rede virtual do domínio gerenciado. Essa sub-rede adicional é onde você cria e conecta suas VMs.
    • Como as VMs fazem parte da mesma rede virtual, elas podem executar automaticamente a resolução de nomes e se comunicar com os controladores de domínio dos Serviços de Domínio.
  • Configure o emparelhamento de rede virtual do Azure da rede virtual do domínio gerenciado para uma ou mais redes virtuais separadas. Essas redes virtuais separadas são onde você cria e conecta suas VMs.
    • Ao configurar o emparelhamento de rede virtual, você também deve definir as configurações de DNS para usar a resolução de nomes de volta para os controladores de domínio dos Serviços de Domínio.

Normalmente, você usa apenas uma dessas opções de conectividade de rede. A escolha geralmente depende de como você deseja gerenciar separar seus recursos do Azure.

  • Se quiser gerenciar Serviços de Domínio e VMs conectadas como um grupo de recursos, você pode criar uma sub-rede de rede virtual adicional para VMs.
  • Se quiser separar o gerenciamento dos Serviços de Domínio e, em seguida, quaisquer VMs conectadas, você pode usar o emparelhamento de rede virtual.
    • Você também pode optar por usar o emparelhamento de rede virtual para fornecer conectividade a VMs existentes em seu ambiente do Azure que estão conectadas a uma rede virtual existente.

Neste tutorial, você só precisa configurar uma dessas opções de conectividade de rede virtual.

Para obter mais informações sobre como planejar e configurar a rede virtual, consulte Considerações de rede para os Serviços de Domínio Microsoft Entra.

Criar uma sub-rede de rede virtual

Por padrão, a rede virtual do Azure criada com o domínio gerenciado contém uma única sub-rede de rede virtual. Essa sub-rede de rede virtual só deve ser usada pela plataforma Azure para fornecer serviços de domínio gerenciado. Para criar e usar suas próprias VMs nesta rede virtual do Azure, crie uma sub-rede adicional.

Para criar uma sub-rede de rede virtual para VMs e cargas de trabalho de aplicativos, conclua as seguintes etapas:

  1. No centro de administração do Microsoft Entra, selecione o grupo de recursos do seu domínio gerenciado, como myResourceGroup. Na lista de recursos, escolha a rede virtual padrão, como aadds-vnet.

  2. No menu esquerdo da janela da rede virtual, selecione Espaço de endereço. A rede virtual é criada com um único espaço de endereço de 10.0.2.0/24, que é usado pela sub-rede padrão.

    Adicione um intervalo de endereços IP adicional à rede virtual. O tamanho desse intervalo de endereços e o intervalo de endereços IP real a ser usado dependem de outros recursos de rede já implantados. O intervalo de endereços IP não deve se sobrepor a nenhum intervalo de endereços existente em seu ambiente do Azure ou local. Certifique-se de dimensionar o intervalo de endereços IP grande o suficiente para o número de VMs que você espera implantar na sub-rede.

    No exemplo a seguir, um intervalo de endereços IP adicional de 10.0.3.0/24 é adicionado. Quando estiver pronto, selecione Salvar.

    Add an additional virtual network IP address range in the Microsoft Entra admin center

  3. Em seguida, no menu esquerdo da janela da rede virtual, selecione Sub-redes e, em seguida, escolha + Sub-rede para adicionar uma sub-rede .

  4. Insira um nome para a sub-rede, como cargas de trabalho. Se necessário, atualize o intervalo de endereços se desejar usar um subconjunto do intervalo de endereços IP configurado para a rede virtual nas etapas anteriores. Por enquanto, deixe os padrões para opções como grupo de segurança de rede, tabela de rotas, pontos de extremidade de serviço.

    No exemplo a seguir, uma sub-rede chamada cargas de trabalho é criada que usa o intervalo de endereços IP 10.0.3.0/24 :

    Add an additional virtual network subnet in the Microsoft Entra admin center

  5. Quando estiver pronto, selecione OK. Leva alguns momentos para criar a sub-rede de rede virtual.

Ao criar uma VM que precisa usar o domínio gerenciado, certifique-se de selecionar essa sub-rede de rede virtual. Não crie VMs na sub-rede aadds-subnet padrão. Se você selecionar uma rede virtual diferente, não haverá conectividade de rede e resolução DNS para alcançar o domínio gerenciado, a menos que você configure o emparelhamento de rede virtual.

Configurar emparelhamento de rede virtual

Você pode ter uma rede virtual do Azure existente para VMs ou desejar manter sua rede virtual de domínio gerenciado separada. Para usar o domínio gerenciado, as VMs em outras redes virtuais precisam de uma maneira de se comunicar com os controladores de domínio dos Serviços de Domínio. Essa conectividade pode ser fornecida usando o emparelhamento de rede virtual do Azure.

Com o emparelhamento de rede virtual do Azure, duas redes virtuais são conectadas juntas, sem a necessidade de um dispositivo de rede virtual privada (VPN). O emparelhamento de rede permite conectar rapidamente redes virtuais e definir fluxos de tráfego em seu ambiente do Azure.

Para obter mais informações sobre emparelhamento, consulte Visão geral do emparelhamento de rede virtual do Azure.

Para emparelhar uma rede virtual à rede virtual de domínio gerenciado, conclua as seguintes etapas:

  1. Escolha a rede virtual padrão criada para seu domínio gerenciado chamado aadds-vnet.

  2. No menu à esquerda da janela da rede virtual, selecione Emparelhamentos.

  3. Para criar um emparelhamento, selecione + Adicionar. No exemplo a seguir, o padrão aadds-vnet é emparelhado a uma rede virtual chamada myVnet. Configure as seguintes configurações com seus próprios valores:

    • Nome do emparelhamento de aadds-vnet para rede virtual remota: um identificador descritivo das duas redes, como aadds-vnet-to-myvnet
    • Tipo de implantação de rede virtual: Gerenciador de Recursos
    • Assinatura: a assinatura da rede virtual à qual você deseja emparelhar, como o Azure
    • Rede virtual: a rede virtual que você deseja emparelhar, como myVnet
    • Nome do emparelhamento de myVnet para aadds-vnet: Um identificador descritivo das duas redes, como myvnet-to-aadds-vnet

    Configure virtual network peering in the Microsoft Entra admin center

    Deixe quaisquer outros padrões para acesso à rede virtual ou tráfego encaminhado, a menos que você tenha requisitos específicos para seu ambiente e, em seguida, selecione OK.

  4. Leva alguns minutos para criar o emparelhamento na rede virtual dos Serviços de Domínio e na rede virtual selecionada. Quando estiver pronto, o status de emparelhamento informará Conectado, conforme mostrado no exemplo a seguir:

    Successfully connected peered networks in the Microsoft Entra admin center

Antes que as VMs na rede virtual emparelhada possam usar o domínio gerenciado, configure os servidores DNS para permitir a resolução correta de nomes.

Configurar servidores DNS na rede virtual emparelhada

Para que VMs e aplicativos na rede virtual emparelhada conversem com êxito com o domínio gerenciado, as configurações de DNS devem ser atualizadas. Os endereços IP dos controladores de domínio dos Serviços de Domínio devem ser configurados como os servidores DNS na rede virtual emparelhada. Há duas maneiras de configurar os controladores de domínio como servidores DNS para a rede virtual emparelhada:

  • Configure os servidores DNS da rede virtual do Azure para usar os controladores de domínio dos Serviços de Domínio.
  • Configure o servidor DNS existente em uso na rede virtual emparelhada para usar o encaminhamento DNS condicional para direcionar consultas para o domínio gerenciado. Essas etapas variam dependendo do servidor DNS existente em uso.

Neste tutorial, vamos configurar os servidores DNS da rede virtual do Azure para direcionar todas as consultas aos controladores de domínio dos Serviços de Domínio.

  1. No centro de administração do Microsoft Entra, selecione o grupo de recursos da rede virtual emparelhada, como myResourceGroup. Na lista de recursos, escolha a rede virtual emparelhada, como myVnet.

  2. No menu esquerdo da janela da rede virtual, selecione Servidores DNS.

  3. Por padrão, uma rede virtual usa os servidores DNS internos fornecidos pelo Azure. Escolha usar servidores DNS personalizados . Insira os endereços IP dos controladores de domínio dos Serviços de Domínio, que geralmente são 10.0.2.4 e 10.0.2.5. Confirme esses endereços IP na janela Visão geral do seu domínio gerenciado no portal.

    Configure the virtual network DNS servers to use the Domain Services domain controllers

  4. Quando estiver pronto, selecione Salvar. Leva alguns minutos para atualizar os servidores DNS para a rede virtual.

  5. Para aplicar as configurações de DNS atualizadas às VMs, reinicie as VMs conectadas à rede virtual emparelhada.

Ao criar uma VM que precisa usar o domínio gerenciado, certifique-se de selecionar essa rede virtual emparelhada. Se você selecionar uma rede virtual diferente, não haverá conectividade de rede e resolução DNS para acessar o domínio gerenciado.

Próximos passos

Neste tutorial, ficou a saber como:

  • Compreender as opções de conectividade de rede virtual para recursos associados a domínios nos Serviços de Domínio
  • Criar um intervalo de endereços IP e uma sub-rede adicional na rede virtual dos Serviços de Domínio
  • Configurar o emparelhamento de rede virtual para uma rede separada dos Serviços de Domínio

Para ver esse domínio gerenciado em ação, crie e associe uma máquina virtual ao domínio.