Использование виртуальной машины Microsoft Azure в качестве следящего сервера DAG

Область применения: Exchange Server 2013 г.

Exchange Server 2013 позволяет настраивать базы данных почтовых ящиков в группе обеспечения доступности базы данных (DAG) для автоматической отработки отказа центра обработки данных. Для реализации этой конфигурации требуются три отдельных физических местоположения: два для размещения центров обработки данных для серверов почтовых ящиков и одно для размещения следящего сервера для группы DAG. Организации, у которых имеется только два физических местоположения, также могут воспользоваться преимуществами автоматической отработки отказа центра обработки данных благодаря использованию виртуальной машины с файловым сервером Microsoft Azure в качестве следящего сервера группы DAG.

В этой статье рассматривается размещение свидетеля DAG в Microsoft Azure и предполагается, что вы знакомы с концепциями устойчивости сайта и уже имеете полностью функциональную инфраструктуру DAG, охватывающую два центра обработки данных. Если вы еще настроили инфраструктуру группы обеспечения доступности баз данных, рекомендуем сначала ознакомиться с указанными ниже статьями.

Высокая доступность и устойчивость сайтов

Группы обеспечения доступности баз данных

Планирование высокой доступности и устойчивости сайтов

Изменения в Microsoft Azure

Для этой конфигурации требуется VPN с несколькими сайтами. Всегда можно было подключить сеть вашей организации к Microsoft Azure с помощью VPN-подключения типа "сеть — сеть". Однако в прошлом Azure поддерживала только один VPN-подключение типа "сеть — сеть". Так как для настройки DAG и его следящего сервера в трех центрах обработки данных требовалось несколько VPN-подключений типа "сеть — сеть", размещение свидетеля DAG на виртуальной машине Azure изначально было невозможно.

В июне 2014 г. в Microsoft Azure была реализована поддержка многосайтовой сети VPN, благодаря чему организации получили возможность подключить несколько центров обработки данных к одной и той же виртуальной сети Azure. Это изменение также позволило организациям с двумя центрами обработки данных использовать Microsoft Azure в качестве третьего расположения для размещения серверов-свидетелей DAG. Дополнительные сведения о функции VPN с несколькими сайтами в Azure см. в статье Настройка многосайтового VPN.

Следящий файловый сервер Microsoft Azure

Ниже приведен обзор использования виртуальной машины с файловым сервером Microsoft Azure в качестве следящего сервера DAG. Потребуются виртуальная сеть Azure, многосайтовая сеть VPN, объединяющая центры обработки данных с виртуальной сетью Azure, а также контроллер домена и файловый сервер, развернутые на виртуальных машинах Azure.

Следящий сервер DAG в Microsoft Azure

Первое, что нужно сделать для использования виртуальной машины Microsoft Azure для размещения следящего сервера DAG, это оформить подписку. Сведения о том, как приобрести подписку Azure, см. в статье Как приобрести Azure .

После получения подписки Azure необходимо выполнить следующие действия по порядку:

1. Подготовьте виртуальную сеть Microsoft Azure
2. Настройте многосайтовую сеть VPN
3. Настройте виртуальные машины
4. Настройте следящий сервер DAG

Предварительные требования

• Два центра обработки данных, которые поддерживают развертывание с высоким уровнем доступности Exchange и устойчивостью сайта. Дополнительные сведения см. в статье Планирование высокого уровня доступности и устойчивости сайта.

• Общедоступный IP-адрес, который не стоит за NAT для VPN-шлюзов на каждом сайте.

• VPN-устройство на каждом сайте, совместимое с Microsoft Azure. Дополнительные сведения о совместимых устройствах см. в статье Сведения о VPN-устройствах и параметрах IPsec/IKE для подключений типа "сеть — сеть" VPN-шлюз.

• Знакомство с основными понятиями DAG и управлением ею

• Знакомство с Windows PowerShell

Этап 1. Подготовка виртуальной сети Microsoft Azure

Настройка сети Microsoft Azure является самой важной частью процесса развертывания. В конце этого этапа у вас есть полностью функциональная виртуальная сеть Azure, которая подключена к двум центрам обработки данных через VPN с несколькими сайтами.

Регистрация DNS-серверов

Так как для этой конфигурации требуется разрешение имен между локальными серверами и виртуальными машинами Azure, необходимо настроить Azure для использования собственных DNS-серверов. В статье о разрешении имен для ресурсов в виртуальных сетях Azure представлен обзор разрешения имен в Azure.

Выполните указанные ниже действия для регистрации DNS-серверов.

1. В портал Azure перейдите к разделу сети и нажмите кнопку СОЗДАТЬ.

2. Выберите СЕТЕВЫЕ СЛУЖБЫ>ВИРТУАЛЬНАЯ СЕТЬ>ЗАРЕГИСТРИРОВАТЬ DNS-СЕРВЕР.

3. Введите имя и IP-адрес DNS-сервера. Это логическое имя, используемое на портале управления и не обязательно совпадает с фактическим именем DNS-сервера.

4. Повторите шаги 1-3 для других DNS-серверов, которые хотите добавить.

   Примечание.

   Зарегистрированные DNS-серверы не используются в режиме циклического перебора. Виртуальные машины Azure используют первый DNS-сервер, указанный в списке, и используют дополнительные серверы только в том случае, если первый сервер недоступен.

5. Повторите шаги 1–3, чтобы добавить IP-адрес для контроллера домена в Microsoft Azure.

Создание объектов локальной сети в Azure

Затем следует выполнить указанные ниже действия, чтобы создать логические объекты сети, представляющие ваши центры обработки данных в Microsoft Azure.

1. В портал Azure перейдите к разделу сети, а затем выберите Создать.

2. Выберите СЕТЕВЫЕ СЛУЖБЫ>ВИРТУАЛЬНАЯ СЕТЬ>ДОБАВИТЬ ЛОКАЛЬНУЮ СЕТЬ.

3. Введите имя первого сайта центра обработки данных и IP-адрес VPN-устройства на этом сайте. Этот IP-адрес должен быть статическим общедоступным IP-адресом, который не стоит за NAT.

4. На следующем экране укажите IP-подсети для первого сайта.

5. Повторное исправление шагов 1–4 для второго сайта.

Создание виртуальной сети Azure

Теперь выполните следующие действия, чтобы создать виртуальную сеть Azure, используемую виртуальными машинами.

1. В портал Azure перейдите к разделу сети и нажмите кнопку СОЗДАТЬ.

2. Выберите СЕТЕВЫЕ СЛУЖБЫ>ВИРТУАЛЬНАЯ СЕТЬ>НАСТРАИВАЕМОЕ СОЗДАНИЕ.

3. На странице Сведения о виртуальной сети укажите имя виртуальной сети и выберите географическое расположение сети.

4. На странице DNS-серверы и подключение VPN убедитесь, что зарегистрированные ранее DNS-серверы перечислены как DNS-серверы.

5. В разделе ПОДКЛЮЧЕНИЕ ТИПА "СЕТЬ-СЕТЬ" установите флажок Настроить подключение VPN типа "сеть-сеть".

   Важно!

   Не выбирайте использовать ExpressRoute, так как этот параметр предотвращает необходимые изменения конфигурации, необходимые для настройки VPN с несколькими сайтами.

6. В разделе ЛОКАЛЬНАЯ СЕТЬ выберите одну из двух настроенных локальных сетей.

7. На странице виртуальная сеть адресных пространств укажите диапазон IP-адресов, используемый для виртуальной сети Azure.

Контрольная точка: проверка конфигурации сети

На этом этапе в разделе сети должны отобразиться виртуальная сеть, настроенная в разделе ВИРТУАЛЬНЫЕ СЕТИ, локальные сайты в разделе ЛОКАЛЬНЫЕ СЕТИ и зарегистрированные DNS-серверы в разделе DNS-СЕРВЕРЫ.

Этап 2. Настройка многосайтовой сети VPN

Следующим шагом является установка VPN-шлюзов для локальных сайтов. Чтобы выполнить этот шаг, необходимо:

1. Установите VPN-шлюз для одного из сайтов с помощью портала Azure.
2. Экспортируйте параметры конфигурации виртуальной сети.
3. Измените файл конфигурации для многосайтовой сети VPN.
4. Импортируйте обновленную конфигурацию сети Azure.
5. Запишите IP-адрес шлюза Azure и предварительные ключи.
6. Настройте локальные VPN-устройства.

Дополнительные сведения о настройке многосайтовой сети VPN в Azure см. в статье Настройка многосайтовой сети VPN.

Установка VPN-шлюза для своего первого сайта

При создании виртуального шлюза вы уже указали, как подключить его к первому локальному сайту. При переходе на панель мониторинга виртуальной сети вы увидите, что шлюз не был создан.

Сведения о том, как установить VPN-шлюз на стороне Azure, см. в разделе VPN-шлюз.

Экспорт параметров конфигурации виртуальной сети

В настоящее время на портале управления Azure отсутствует возможность настроить многосайтовую сеть VPN. Для этой конфигурации необходимо экспортировать параметры конфигурации виртуальной сети в XML-файл, а затем изменить этот файл. Следуйте инструкциям в разделе Создание виртуальной сети (классической) с помощью порта Azure для экспорта параметров.

Изменение параметров конфигурации сети для многосайтовой сети VPN

Откройте экспортированный файл в любом редакторе XML. Подключения шлюза к локальным сайтам перечислены в разделе "ConnectionsToLocalNetwork". Найдите этот раздел в XML-файле. Этот раздел в файле конфигурации выглядит так, как показано в следующем примере (пример имени сайта, созданного для локального сайта, — "Сайт A").

<ConnectionsToLocalNetwork>

    <LocalNetworkSiteRef name="Site A">

        <Connection type="IPsec" />

</LocalNetworkSiteRef>

Чтобы настроить второй сайт, добавьте в раздел "ConnectionsToLocalNetwork" другой раздел "LocalNetworkSiteRef". Раздел в обновленном файле конфигурации выглядит так, как показано в следующем примере (пример имени сайта для второго локального сайта — "Сайт B").

<ConnectionsToLocalNetwork>

        <LocalNetworkSiteRef name="Site A">

            <Connection type="IPsec" />

        <LocalNetworkSiteRef name="Site B">

            <Connection type="IPsec" />

    </LocalNetworkSiteRef>

Сохраните обновленный файл параметров конфигурации.

Импорт параметров конфигурации виртуальной сети

Вторая ссылка на сайт, добавленная в файл конфигурации, активирует Microsoft Azure для создания нового туннеля. Импортируйте обновленный файл с помощью инструкций из раздела Создание виртуальной сети (классической) с помощью портал Azure. После завершения импорта на панели мониторинга виртуальной сети отображаются подключения шлюза к обоим локальным сайтам.

Запись IP-адреса шлюза Azure и предварительных ключей

После импорта новых параметров конфигурации сети на панели мониторинга виртуальной сети отображается IP-адрес шлюза Azure. VPN-устройства на обоих сайтах подключаются к этому IP-адресу. Запишите этот IP-адрес для использования в будущем.

Кроме того, необходимо получить общие ключи IPsec/IKE для каждого созданного туннеля. Эти ключи и IP-адрес шлюза Azure используются для настройки локальных VPN-устройств.

Для получения общих ключей необходимо использовать PowerShell. Если вы не знакомы с порядком использования PowerShell для управления Azure, обратитесь к статье Справка по Azure PowerShell.

Используйте командлет Get-AzureVNetGatewayKey для извлечения общих ключей. Запустите этот командлет один раз для каждого туннеля. В следующем примере показаны команды, необходимые для извлечения ключей для туннелей между виртуальной сетью "Сайт Azure" и сайтами "Сайт A" и "Сайт B". В этом примере выходные данные сохраняются в отдельных файлах. Кроме того, можно направить эти ключи в другие командлеты PowerShell или использовать их в сценарии.

Get-AzureVNETGatewayKey -VNetName "Azure Site" -LocalNetworkSiteName "Site A" > C:\Keys\KeysForTunnelToSiteA.txt

Get-AzureVNETGatewayKey -VNetName "Azure Site" -LocalNetworkSiteName "Site B" > C:\Keys\KeysForTunnelToSiteB.txt

Настройка локальных VPN-устройств

Microsoft Azure предоставляет сценарии настройки для поддерживаемых VPN-устройств. Выберите ссылку Скачать скрипт VPN-устройства на панели мониторинга виртуальной сети, чтобы выбрать соответствующий сценарий для VPN-устройств.

Скрипт, который вы загружаете, имеет параметр конфигурации для первого сайта, настроенный при настройке виртуальной сети, и может использоваться как есть для настройки VPN-устройства для этого сайта. Например, если вы указали сайт A в качестве локальной сети при создании виртуальной сети, скрипт VPN-устройства можно использовать для сайта A. Однако необходимо изменить его, чтобы настроить VPN-устройство для сайта B. В частности, необходимо обновить ключ, который предоставляет общий доступ, чтобы он соответствовал ключу для второго сайта.

Например, если вы используете VPN-устройство службы маршрутизации и удаленного доступа (RRAS) для своих сайтов, необходимо выполнить следующие действия.

1. Откройте сценарий настройки в любом текстовом редакторе.
2. #Add S2S VPN interface Найдите раздел .
3. В этом разделе найдите команду Add-VpnS2SInterface. Убедитесь, что значение параметра SharedSecret соответствует предварительному ключу для сайта, для которого настраивается VPN-устройство.

Для других устройств может потребоваться дополнительная проверка. Например, сценарии настройки для устройств Cisco устанавливают правила списка управления доступом с помощью диапазонов локальных IP-адресов. Прежде чем использовать сценарий настройки, необходимо просмотреть и проверить в нем все ссылки на локальный сайт.

Контрольная точка: проверка состояния VPN

На этом этапе оба сайта подключены к виртуальной сети Azure через VPN-шлюзы. Вы можете проверить состояние многосайтовой сети VPN, выполнив следующую команду в PowerShell.

Get-AzureVnetConnection -VNetName "Azure Site" | Format-Table LocalNetworkSiteName, ConnectivityState

Если оба туннеля запущены и запущены, выходные данные этой команды выглядят следующим образом:

LocalNetworkSiteName    ConnectivityState

--------------------    -----------------

Site A                  Connected

Site B                  Connected

Можно также проверить подключение, обратившись к панели мониторинга виртуальной сети на портале управления Azure. Значение STATUS для обоих сайтов отображается как Подключено.

Этап 3. Настройка виртуальных машин

Для этого развертывания необходимо создать как минимум две виртуальные машины в Microsoft Azure: контроллер домена и файловый сервер, который служит в качестве свидетеля DAG.

1. Создайте виртуальные машины для контроллера домена и файлового сервера, следуя инструкциям в разделе Краткое руководство. Создание виртуальной машины Windows в портал Azure. При указании параметров виртуальных машин убедитесь, что выбрана виртуальная сеть, которую вы создали для параметра РЕГИОН, ТЕРРИТОРИАЛЬНАЯ ГРУППА, ВИРТУАЛЬНАЯ СЕТЬ.

2. С помощью Azure PowerShell укажите предпочтительные IP-адреса для контроллера домена и файлового сервера. При указании предпочтительного IP-адреса для виртуальной машины ее необходимо обновить, что требует перезапуска виртуальной машины. В примере ниже задаются IP-адреса для контроллера домена Azure-DC и файлового сервера Azure FSW, 10.0.0.10 и 10.0.0.11 соответственно.

   Get-AzureVM Azure-DC | Set-AzureStaticVNetIP -IPAddress 10.0.0.10 | Update-AzureVM
   
   Get-AzureVM Azure-FSW | Set-AzureStaticVNetIP -IPAddress 10.0.0.11 | Update-AzureVM
   

   Примечание.

   Виртуальная машина с предпочитаемым IP-адресом пытается использовать этот адрес. Однако если этот адрес был назначен другой виртуальной машине, виртуальная машина с предпочтительной конфигурацией IP-адреса не запускается. Чтобы избежать этой проблемы, убедитесь, что используемый IP-адрес не назначен другой виртуальной машине. Дополнительные сведения см. в статье Настройка частных IP-адресов для виртуальной машины с помощью портал Azure.

3. Подготовьте контроллер домена виртуальной машины в Azure в соответствии с используемыми в вашей организации стандартами.

4. Подготовьте необходимые компоненты для следящего сервера DAG Exchange.

   1. Добавьте роль файлового сервера с помощью мастера добавления ролей и компонентов или командлета Install-WindowsFeature .

   2. Добавьте универсальную группу безопасности доверенной подсистемы Exchange в группу локальных администраторов.

Контрольная точка: просмотр состояния виртуальной машины

На этом этапе виртуальные машины должны быть настроены и работать, а также должны иметь возможность обращаться к серверам в обоих локальных центрах обработки данных.

• Убедитесь, что контроллер домена в Azure выполняет репликацию с локальных контроллеров домена.
• Убедитесь, что к файловому серверу Azure можно обратиться по имени и установить с ним подключение по протоколу SMB с серверов Exchange.
• Убедитесь, что к вашим серверам Exchange можно обратиться по имени с файлового сервера в Azure.

Этап 4. Настройка следящего сервера DAG

Наконец, необходимо настроить вашу DAG для использования нового следящего сервера. По умолчанию Exchange использует C:\DAGFileShareWitnesses как путь файловому ресурсу-свидетелю на следящем сервере. Если вы используете пользовательский путь к файлу, следует также обновить следящий каталог для конкретной общей папки.

1. Подключитесь к Командная консоль Exchange.

2. Выполните следующую команду для настройки следящего сервера для своих групп обеспечения доступности базы данных.

   Set-DatabaseAvailabilityGroup -Identity DAG1 -WitnessServer Azure-FSW
   

Дополнительные сведения см. в следующих статьях:

Настройте свойства группы доступности базы данных.

Set-DatabaseAvailabilityGroup

Контрольная точка: проверка файлового ресурса свидетеля DAG

На этом этапе вы настроили daG для использования файлового сервера в Azure в качестве свидетеля DAG. Выполните указанные ниже действия, чтобы проверить конфигурацию.

1. Проверьте конфигурацию DAG, выполнив следующую команду:

   Get-DatabaseAvailabilityGroup -Identity DAG1 -Status | Format-List Name, WitnessServer, WitnessDirectory, WitnessShareInUse
   

   Убедитесь, что параметрУ WitnessServer задан файловый сервер в Azure, параметру WitnessDirectory задан правильный путь, а параметру WitnessShareInUse — значение Primary.

2. Если daG содержит четное число узлов, то настраивается файловый ресурс-свидетель. Проверьте параметр следящего ресурса в свойствах кластера, выполнив следующую команду. Значение параметра SharePath должно указывать на файловый сервер и отображать правильный путь.

   Get-ClusterResource -Cluster MBX1 | Get-ClusterParameter | Format-List
   

3. Затем проверьте состояние ресурса кластера "Файловый ресурс-свидетель", выполнив следующую команду. Состояние ресурса кластера должно отображаться в сети.

   Get-ClusterResource -Cluster MBX1
   

4. Затем убедитесь, что общий ресурс успешно создан на файловом сервере. Для этого перейдите к папке в проводнике и к общим папкам в диспетчере серверов.

См. также

Планирование высокого уровня доступности и устойчивости сайта: переключения и отработки отказаУправление группами доступности баз данных