本文為機器翻譯文章。如需檢視英文版,請選取 [原文] 核取方塊。您也可以將滑鼠指標移到文字上,即可在快顯視窗顯示英文原文。
譯文
原文

高可用性同盟驗證階段 2:設定網域控制站

 

適用版本:Microsoft Azure, Office 365 Enterprise

上次修改主題的時間:2017-10-03

摘要:在 Microsoft Azure 中設定 Office 365 高可用性同盟驗證的網域控制站和 DirSync 伺服器。

在 Azure 基礎結構服務中部署 Office 365 同盟驗證高可用性的此階段,您會在 Azure 虛擬網路中設定兩個網域控制站和 DirSync 伺服器。然後用戶端 Web 驗證要求即可在 Azure 虛擬網路中驗證,而非透過站台對站台的 VPN 連線來傳送驗證流量至內部部署網路。

注意事項 附註:
Active Directory 同盟服務 (AD FS) 無法使用 Azure Active Directory 網域服務替代 Windows Server AD 網域控制站。

您必須先完成此階段,才可繼續 高可用性同盟驗證階段 3:設定 AD FS 伺服器。請參閱<Azure 中的 Office 365 高可用性同盟驗證>以了解所有階段。

首先,您必須填寫表格 M 的虛擬機器名稱欄,然後依需求在大小下限欄中修改虛擬機器大小。

 

項目 虛擬機器名稱 圖庫影像 儲存類型 大小下限

1.

______________ (第一個網域控制站,範例 DC1)

Windows Server 2016 Datacenter

StandardLRS

Standard_D2

2.

______________ (第二個網域控制站,範例 DC2)

Windows Server 2016 Datacenter

StandardLRS

Standard_D2

3.

______________ (DirSync 伺服器,範例 DS1)

Windows Server 2016 Datacenter

StandardLRS

Standard_D2

4.

______________ (第一個 AD FS 伺服器,範例 ADFS1)

Windows Server 2016 Datacenter

StandardLRS

Standard_D2

5.

______________ (第二個 AD FS 伺服器,範例 ADFS2)

Windows Server 2016 Datacenter

StandardLRS

Standard_D2

6.

______________ (第一個 Web 應用程式 Proxy 伺服器,範例 WEB1)

Windows Server 2016 Datacenter

StandardLRS

Standard_D2

7.

______________ (第二個 Web 應用程式 Proxy 伺服器,範例 WEB2)

Windows Server 2016 Datacenter

StandardLRS

Standard_D2

表格 M – Azure 中的 Office 365 高可用性同盟驗證虛擬機器

如需虛擬機器大小的完整清單,請參閱<虛擬機器大小>。

下列 Azure PowerShell 命令區塊可建立兩個網域控制站的虛擬機器。指定變數的值,移除 < 和 > 字元。請注意,此 Azure PowerShell 命令區塊會使用下表中的值︰

  • 表格 M,適用於虛擬機器

  • 表格 R,適用於資源群組

  • 表格 V,適用於虛擬網路設定

  • 表格 S,適用於子網路

  • 表格 I,適用於靜態 IP 位址

  • 表格 A,適用於可用性設定組

高可用性同盟驗證階段 1:設定 Azure中定義資料表 R、 V、 S、 I、 及的重新叫用。

注意事項 附註:
下列的命令會使用 Azure PowerShell 的最新版本。請參閱開始使用 Azure PowerShell cmdlet

當您已經提供所有正確的值時,在 Azure PowerShell 提示中或本機電腦的 PowerShell 整合式指令碼環境 (ISE) 中執行結果區塊。

提示 提示:
如需包含本文中所有 PowerShell 命令的文字檔,和根據您自訂設定產生可執行 PowerShell 命令區塊的 Microsoft Excel 組態活頁簿,請參閱<Azure 部署中的 Office 365 同盟驗證套件
# Set up variables common to both virtual machines
$locName="<your Azure location>"
$vnetName="<Table V - Item 1 - Value column>"
$subnetName="<Table S - Item 1 - Value column>"
$avName="<Table A - Item 1 - Availability set name column>"
$rgNameTier="<Table R - Item 1 - Resource group name column>"
$rgNameInfra="<Table R - Item 4 - Resource group name column>"

$rgName=$rgNameInfra
$vnet=Get-AzureRMVirtualNetwork -Name $vnetName -ResourceGroupName $rgName
$subnet=Get-AzureRmVirtualNetworkSubnetConfig -VirtualNetwork $vnet -Name $subnetName

$rgName=$rgNameTier
$avSet=Get-AzureRMAvailabilitySet -Name $avName -ResourceGroupName $rgName 

# Create the first domain controller
$vmName="<Table M - Item 1 - Virtual machine name column>"
$vmSize="<Table M - Item 1 - Minimum size column>"
$staticIP="<Table I - Item 1 - Value column>"
$diskStorageType="<Table M - Item 1 - Storage type column>"
$diskSize=<size of the extra disk for Windows Server AD data in GB>

$nic=New-AzureRMNetworkInterface -Name ($vmName +"-NIC") -ResourceGroupName $rgName -Location $locName -Subnet $subnet -PrivateIpAddress $staticIP
$vm=New-AzureRMVMConfig -VMName $vmName -VMSize $vmSize -AvailabilitySetId $avset.Id
$vm=Set-AzureRmVMOSDisk -VM $vm -Name ($vmName +"-OS") -DiskSizeInGB 128 -CreateOption FromImage -StorageAccountType $diskStorageType
$diskConfig=New-AzureRmDiskConfig -AccountType $diskStorageType -Location $locName -CreateOption Empty -DiskSizeGB $diskSize
$dataDisk1=New-AzureRmDisk -DiskName ($vmName + "-DataDisk1") -Disk $diskConfig -ResourceGroupName $rgName
$vm=Add-AzureRmVMDataDisk -VM $vm -Name ($vmName + "-DataDisk1") -CreateOption Attach -ManagedDiskId $dataDisk1.Id -Lun 1
$cred=Get-Credential -Message "Type the name and password of the local administrator account for the first domain controller." 
$vm=Set-AzureRMVMOperatingSystem -VM $vm -Windows -ComputerName $vmName -Credential $cred -ProvisionVMAgent -EnableAutoUpdate
$vm=Set-AzureRMVMSourceImage -VM $vm -PublisherName MicrosoftWindowsServer -Offer WindowsServer -Skus 2016-Datacenter -Version "latest"
$vm=Add-AzureRMVMNetworkInterface -VM $vm -Id $nic.Id
New-AzureRMVM -ResourceGroupName $rgName -Location $locName -VM $vm

# Create the second domain controller
$vmName="<Table M - Item 2 - Virtual machine name column>"
$vmSize="<Table M - Item 2 - Minimum size column>"
$staticIP="<Table I - Item 2 - Value column>"
$diskStorageType="<Table M - Item 2 - Storage type column>"
$diskSize=<size of the extra disk for Windows Server AD data in GB>

$nic=New-AzureRMNetworkInterface -Name ($vmName +"-NIC") -ResourceGroupName $rgName -Location $locName -Subnet $subnet -PrivateIpAddress $staticIP
$vm=New-AzureRMVMConfig -VMName $vmName -VMSize $vmSize -AvailabilitySetId $avset.Id
$vm=Set-AzureRmVMOSDisk -VM $vm -Name ($vmName +"-OS") -DiskSizeInGB 128 -CreateOption FromImage -StorageAccountType $diskStorageType
$diskConfig=New-AzureRmDiskConfig -AccountType $diskStorageType -Location $locName -CreateOption Empty -DiskSizeGB $diskSize
$dataDisk1=New-AzureRmDisk -DiskName ($vmName + "-DataDisk1") -Disk $diskConfig -ResourceGroupName $rgName
$vm=Add-AzureRmVMDataDisk -VM $vm -Name ($vmName + "-DataDisk1") -CreateOption Attach -ManagedDiskId $dataDisk1.Id -Lun 1
$cred=Get-Credential -Message "Type the name and password of the local administrator account for the second domain controller." 
$vm=Set-AzureRMVMOperatingSystem -VM $vm -Windows -ComputerName $vmName -Credential $cred -ProvisionVMAgent -EnableAutoUpdate
$vm=Set-AzureRMVMSourceImage -VM $vm -PublisherName MicrosoftWindowsServer -Offer WindowsServer -Skus 2016-Datacenter -Version "latest"
$vm=Add-AzureRMVMNetworkInterface -VM $vm -Id $nic.Id
New-AzureRMVM -ResourceGroupName $rgName -Location $locName -VM $vm

# Create the DirSync server
$vmName="<Table M - Item 3 - Virtual machine name column>"
$vmSize="<Table M - Item 3 - Minimum size column>"
$staticIP="<Table I - Item 3 - Value column>"
$diskStorageType="<Table M - Item 3 - Storage type column>"

$nic=New-AzureRMNetworkInterface -Name ($vmName +"-NIC") -ResourceGroupName $rgName -Location $locName -Subnet $subnet -PrivateIpAddress $staticIP
$vm=New-AzureRMVMConfig -VMName $vmName -VMSize $vmSize

$cred=Get-Credential -Message "Type the name and password of the local administrator account for the DirSync server." 
$vm=Set-AzureRMVMOperatingSystem -VM $vm -Windows -ComputerName $vmName -Credential $cred -ProvisionVMAgent -EnableAutoUpdate
$vm=Set-AzureRMVMSourceImage -VM $vm -PublisherName MicrosoftWindowsServer -Offer WindowsServer -Skus 2016-Datacenter -Version "latest"
$vm=Add-AzureRMVMNetworkInterface -VM $vm -Id $nic.Id
$vm=Set-AzureRmVMOSDisk -VM $vm -Name ($vmName +"-OS") -DiskSizeInGB 128 -CreateOption FromImage -StorageAccountType $diskStorageType
New-AzureRMVM -ResourceGroupName $rgName -Location $locName -VM $vm
注意事項 附註:
由於這些虛擬機器是用於內部網路應用程式,並不會指派公用 IP 位址或 DNS 網域名稱標籤,也不會曝露在網際網路上。不過,這也表示您無法透過 Azure 入口網站與虛擬機器連線。當您檢視虛擬機器的屬性時,無法使用連線選項。請使用遠端桌面連線附屬應用程式或另一個遠端桌面工具,透過使用其私人 IP 位址或內部網路 DNS 名稱來與虛擬機器連線。

使用您所選的遠端桌面用戶端,建立第一個網域控制站虛擬機器的遠端桌面連線。請使用其內部網路 DNS 或本機管理員帳戶的電腦名稱和認證。

下一步] 新增至與此命令的第一個網域控制站的額外資料磁碟從 Windows PowerShell 命令提示字元中第一個網域控制站虛擬機器上

Get-Disk | Where PartitionStyle -eq "RAW" | Initialize-Disk -PartitionStyle MBR -PassThru | New-Partition -AssignDriveLetter -UseMaximumSize | Format-Volume -FileSystem NTFS -NewFileSystemLabel "WSAD Data"

下一步,使用 ping 命令來對組織網路上的資源名稱和 IP 位址執行 Ping,以測試第一個網域控制站對組織網路上位置的連線狀況。

此程序可確保 DNS 名稱解析運作正常 (虛擬機器已透過內部部署 DNS 伺服器正確設定),而且封包可在跨單位虛擬網路間傳送。如果此基本測試失敗,請連絡您的 IT 部門,以針對 DNS 名稱解析和封包傳遞問題進行移難排解。

下一步,從第一個網域控制站上的 Windows PowerShell 命令提示字元,執行下列命令:

$domname="<DNS domain name of the domain for which this computer will be a domain controller, such as corp.contoso.com>"
$cred = Get-Credential -Message "Enter credentials of an account with permission to join a new domain controller to the domain"
Install-WindowsFeature AD-Domain-Services -IncludeManagementTools
Install-ADDSDomainController -InstallDns -DomainName $domname  -DatabasePath "F:\NTDS" -SysvolPath "F:\SYSVOL" -LogPath "F:\Logs" -Credential $cred

系統會提示您提供網域管理員帳戶的認證。電腦將會重新啟動。

使用您所選的遠端桌面用戶端,建立第二個網域控制站虛擬機器的遠端桌面連線。請使用其內部網路 DNS 或本機管理員帳戶的電腦名稱和認證。

接下來,您需要從 Windows PowerShell 命令提示字元中第二個網域控制站虛擬機器上使用此命令的第二個網域控制站新增額外的資料磁碟:

Get-Disk | Where PartitionStyle -eq "RAW" | Initialize-Disk -PartitionStyle MBR -PassThru | New-Partition -AssignDriveLetter -UseMaximumSize | Format-Volume -FileSystem NTFS -NewFileSystemLabel "WSAD Data"

接著,執行下列命令:

$domname="<DNS domain name of the domain for which this computer will be a domain controller, such as corp.contoso.com>"
$cred = Get-Credential -Message "Enter credentials of an account with permission to join a new domain controller to the domain"
Install-WindowsFeature AD-Domain-Services -IncludeManagementTools
Install-ADDSDomainController -InstallDns -DomainName $domname  -DatabasePath "F:\NTDS" -SysvolPath "F:\SYSVOL" -LogPath "F:\Logs" -Credential $cred

系統會提示您提供網域管理員帳戶的認證。電腦將會重新啟動。

接下來,您需要讓該 Azure 指派虛擬機器的兩個新網域控制站作為其 DNS 伺服器的 IP 位址更新為您的虛擬網路的 DNS 伺服器。變數中填滿,然後在本機電腦上的 Windows PowerShell 命令提示字元執行下列命令:

$rgName="<Table R - Item 4 - Resource group name column>"
$adrgName="<Table R - Item 1 - Resource group name column>"
$locName="<your Azure location>"
$vnetName="<Table V - Item 1 - Value column>"
$onpremDNSIP1="<Table D - Item 1 - DNS server IP address column>"
$onpremDNSIP2="<Table D - Item 2 - DNS server IP address column>"
$staticIP1="<Table I - Item 1 - Value column>"
$staticIP2="<Table I - Item 2 - Value column>"
$firstDCName="<Table M - Item 1 - Virtual machine name column>"
$secondDCName="<Table M - Item 2 - Virtual machine name column>"

$vnet=Get-AzureRMVirtualNetwork -ResourceGroupName $rgName -Name $vnetName
$vnet.DhcpOptions.DnsServers.Add($staticIP1)
$vnet.DhcpOptions.DnsServers.Add($staticIP2) 
$vnet.DhcpOptions.DnsServers.Remove($onpremDNSIP1)
$vnet.DhcpOptions.DnsServers.Remove($onpremDNSIP2) 
Set-AzureRMVirtualNetwork -VirtualNetwork $vnet
Restart-AzureRMVM -ResourceGroupName $adrgName -Name $firstDCName
Restart-AzureRMVM -ResourceGroupName $adrgName -Name $secondDCName

請注意,我們會重新啟動兩個網域控制站,所以這兩個控制站不會像 DNS 伺服器一樣,透過內部部署 DNS 伺服器來設定。因為這兩個控制站本身就是 DNS 伺服器,當系統提示其作為網域控制站時,這些控制站會自動透過內部部署 DNS 伺服器設定為 DNS 轉寄站。

下一步,我們需要建立一個 Active Directory 複寫站台,以確保 Azure 的虛擬網路中的伺服器會使用本機網域控制站。請使用網域管理員帳戶與其中一個網域控制站連線,並從管理員層級的 Windows PowerShell 提示執行下列命令:

$vnet="<Table V - Item 1 - Value column>"
$vnetSpace="<Table V - Item 4 - Value column>"
New-ADReplicationSite -Name $vnet 
New-ADReplicationSubnet -Name $vnetSpace -Site $vnet

使用您所選的遠端桌面用戶端,建立 DirSync 伺服器虛擬機器的遠端桌面連線。請使用其內部網路 DNS 或本機管理員帳戶的電腦名稱和認證。

下一步,在 Windows PowerShell 提示上使用以下命令將其加入適當的 Windows Server AD 網域。

$domName="<Windows Server AD domain name to join, such as corp.contoso.com>"
$cred=Get-Credential -Message "Type the name and password of a domain acccount."
Add-Computer -DomainName $domName -Credential $cred
Restart-Computer

以下是成功完成此階段的設定結果 (包含電腦名稱的預留位置)。

階段 2:Azure 中的高可用性同盟驗證基礎結構的網域控制站和 DirSync 伺服器。

具有網域控制站的 Azure 中之高可用性 Office 365 同盟驗證基礎結構的階段 2

https://technet.microsoft.com/zh-tw/library/dn262744.aspx
顯示: