部署案例:用於災害復原之 Azure 中的目錄整合元件
適用版本: Office 365
上次修改主題的時間: 2015-04-27
摘要:說明為了災害復原,將目錄整合元件部署在內部部署環境及 Azure 虛擬機器上的 Office 365 部署案例。
我們聽到了您的意見,目前正在整合我們所有的 Office 365 部署內容。在 2015 年 7 月 1 日,本手冊中的所有資訊都會移動到 https://support.office.com/,並且將從 TechNet 移除這些頁面。當您檢閱仍在 TechNet 的內容時,您會發現許多內容有連結指向已在 https://support.office.com/ 的新內容。
若要瀏覽 https://support.office.com/ 上的可用內容,請從商務用 Office 365 - 管理員說明頁面開始。
在內部部署環境及 Microsoft Azure 部署 Office 365 目錄整合元件是第三種部署案例。AD FS 與目錄同步處理軟體會新增到現有的內部部署基礎結構,也會延伸到 Azure。
這個案例會使用您的內部部署環境做為作用中使用環境,而使用 Azure 來提供業務持續性。兩者結合可為 Office 365 目錄整合服務提供備援基礎結構。
當客戶想要將目錄與其內部部署環境整合,並想要災害復原功能以因應其內部部署環境無法使用的情況時,我們會建議使用這個案例。
下圖說明這個案例的高階架構。
部署在內部部署環境及用於災害復原之 Azure 中的目錄元件高階架構
在這個拓撲中,客戶會在內部部署環境及 Azure 虛擬機器上部署並操作 Office 365 目錄整合元件,以作為備援。此拓撲包含 Office 365 目錄整合元件,如下表所示。
| 位置 | 元件 | 數量 |
|---|---|---|
| 客戶公司網路 | 目錄同步處理伺服器 | 一個 |
| 客戶公司網路 | AD FS 伺服器 | 兩個以上 |
| 客戶周邊網路 | AD FS Proxy | 兩個以上 |
| 客戶公司網路 | VPN 路由器 | 一或兩個 |
| Azure | AD DS 網域控制站 | 每個 Active Directory 網域各兩個 |
| Azure | 待命目錄同步處理伺服器 | 一個 |
| Azure | AD FS 伺服器 | 兩個以上 |
| Azure | AD FS Proxy | 兩個以上 |
建議您至少有兩部伺服器來主控所有支援備援的元件,如上表所示。可能需要額外的虛擬伺服器,才能滿足您的特定伺服器容量需求。如需詳細資料,請參閱 AD FS 容量規劃。
當您的現有 VPN 連線和資料中心都在線上,而目錄整合元件也處於運作狀態時,目錄同步處理的管理會在內部部署環境進行,並且驗證流量只會透過內部部署元件發生。
當發生災害時,內部部署基礎結構與主控基礎結構之間的容錯移轉是以手動方式操作。Federation Services 與目錄同步處理的容錯移轉程序不同。就高層級來說,這些程序包括:
-
Federation Services 容錯移轉。需要 DNS 變更。在變更生效且傳播 DNS 記錄之前,用戶端都會受影響而無法存取 Office 365 服務。在容錯移轉期間,使用者仍然會經歷停機時間。
-
目錄同步處理容錯移轉。需要在待命 Azure 虛擬機器上重新安裝 Azure Active Directory 同步處理工具。由於只有目錄物件變更才需要目錄複寫,因此現有的使用者可以繼續使用服務,在還原之前幾乎不會有中斷發生。
用戶可能會考慮設定一個「跨單位部署、高可用性」 (使用中/使用中) 設定,但是基於下列理由,我們並不建議使用這個拓撲:
-
Active Directory 樹系與 Office 365 租用戶之間有一對一關係。只能部署單一目錄同步處理工具執行個體來管理該關係。不支援安裝一個以上的目錄同步處理工具來管理該關係。
-
支援站台恢復 AD FS 設定;不過,為了能夠有效,這些設定會要求在所有使用中位置都部署全域負載平衡器。這麼做並不切實際,因為有下列問題:
-
全域負載平衡解決方案支援多資料中心拓撲。在跨單位部署案例中,負載平衡器元件必須部署在內部部署環境及 Azure中。這可確保在內部部署網路已經無法使用時能夠讓業務持續。雖然虛擬負載平衡器可以部署在 Azure 中,但這類解決方案尚未針對本文的範圍進行過測試。
-
雖然 DNS 循環配置資源可以輕易地用於跨單位部署,但是我們不建議使用這種方法。它並無法保證親和性,並且可能導致驗證提示增加。
-
