Office 365 搭配單一登入與 Azure 虛擬機器時的設計考量

 

適用版本: Office 365

上次修改主題的時間: 2015-04-27

摘要:說明 Office 365 搭配單一登入與 Azure 虛擬機器時的網路連線、元件備援及可用性考量。

我們聽到了您的意見,目前正在整合我們所有的 Office 365 部署內容。在 2015 年 7 月 1 日,本手冊中的所有資訊都會移動到 https://support.office.com/,並且將從 TechNet 移除這些頁面。當您檢閱仍在 TechNet 的內容時,您會發現許多內容有連結指向已在 https://support.office.com/ 的新內容。

若要瀏覽 https://support.office.com/ 上的可用內容,請從商務用 Office 365 - 管理員說明頁面開始。

如果您選擇在 Azure 虛擬機器上部署 Office 365 目錄整合元件,則建議您將 Active Directory 的一或多個 Active Directory 網域控制站複本部署到 Azure 中。將這些複本部署到虛擬機器,可以避免跨部署網路連線成為部署中的單一失敗點。此做法還有個優點,那就是登入速度會變快,因為登入流量不需要每嘗試登入一次就通過跨部署網路連線一次。

要將 Active Directory Federation Services (AD FS) 部署在 Azure 中的虛擬機器上,並將網域控制站保留在內部部署中,這種做法不是不行,但我們強烈您建議不要這麼做。將網域控制站與 AD FS 分頭設置,可能會使驗證鏈結的運作延遲。此做法會造成使用這兩項服務時,必須即時依賴網路連線。如果將網域控制站放置在 Azure 內的虛擬機器上,將可以減輕這些風險。

Azure 中的網域控制站應該放置在一個獨立的 Active Directory 站台中。如此會多產生一些 Active Directory 複寫延遲。Active Directory 站台之間的預設複寫延遲為 3 小時 (180 分鐘)。Active Directory 與 Office 365 之間的預設同步處理排程 (藉由使用 Azure Active Directory 同步處理工具) 也是 3 小時。

綜上所述,除非調整複寫延遲,否則要等內部部署上發生的變更複寫至 Office 365,可能需等上 6 個小時。如需詳細資訊,請參閱<Active Directory 複寫拓撲的運作方式>。

如需關於在虛擬機器上執行 Active Directory 服務的一般指引,請參閱在 Azure 虛擬機器中部署 Windows Server Active Directory 的指導方針

 
 

虛擬機器與內部部署公司網路之間需要網路連線。為安全起見,此類連線應該永遠在私人網路上進行。

安裝在 Azure 中之虛擬機器上的網域控制站應該:

  • 絕對不要使用可公開路由傳送的端點。

  • 一律使用私人網路。

Azure 可藉由使用 Microsoft Azure 虛擬網路來支援虛擬私人網路 (VPN)。

當您在虛擬機器上實作服務時,必須將內部部署中現有的管理與監視程序拓展到這些服務。管理與監視作業可以通過您設定來連線至 Azure 的 VPN。

為了改善可用性,大部分元件都使用多個虛擬機器。藉由使用多個虛擬機器,即使本機網路斷線、本機磁碟硬體故障,以及進行 Azure 所需的任何計劃停機,服務都依然可用。

當有多個虛擬機器連線至雲端服務時,應該使用一個「可用性設定組」,以確保虛擬機器位於不同的「容錯網域」中。這類似於確保兩個備援伺服器位於內部部署資料中心內不同的實體伺服器機架上。

下圖說明兩個可用性設定組,其中每個各含兩個虛擬機器。

圖 1. 兩個可用性設定組,其中每個各含兩個虛擬機器

兩個可用性設定組,其中每個各含兩個 VM

如需 Azure 故障網域和可用性設定組的詳細資訊,請參閱管理虛擬機器可用性

前述為每個元件將重複的伺服器放置在不同位置的方式,適用於所有討論的元件,但 目錄同步處理工具例外。其不支援用重複的伺服器來提供備援。在虛擬伺服器出現故障時,可能需要執行復原步驟。不論此工具是位於內部部署或雲端部署,這些步驟基本上是一樣的。

如果 目錄同步處理工具暫時停止運作,則目錄同步處理作業會在此工具恢復運作時,從中斷處繼續。如果整部伺服器故障,則要等到將 目錄同步處理工具重新安裝在新的虛擬伺服器之後,目錄同步處理作業才會繼續。

 
顯示: