本文為機器翻譯文章。如需檢視英文版,請選取 [原文] 核取方塊。您也可以將滑鼠指標移到文字上,即可在快顯視窗顯示英文原文。
譯文
原文

高可用性同盟驗證階段 1:設定 Azure

 

適用版本:Microsoft Azure, Office 365 Enterprise

上次修改主題的時間:2017-10-03

摘要:設定 Microsoft Azure 基礎結構以裝載 Office 365 的高可用性同盟驗證。

在此階段中,您會在 Azure 中建立資源群組、儲存體帳戶、虛擬網路 (VNet),以及可用性設定組,以裝載階段 2、3 和 4 中的虛擬機器。您必須先完成此階段,才可繼續 高可用性同盟驗證階段 2:設定網域控制站。請參閱<Azure 中的 Office 365 高可用性同盟驗證>以了解所有階段。

Azure 必須佈建使用這些基本元件:

  • 資源群組

  • 跨單位 Azure 虛擬網路 (VNet),包含裝載 Azure 虛擬機器的子網路

  • 用於執行子網路隔離的網路安全性群組

  • 可用性設定組

在開始設定 Azure 元件之前,填寫下列表格。為了可在設定 Azure 的程序中協助您,請列印此節並記下所需資訊,或將此節複製到一份文件並加以填寫。 針對 VNet 的設定,請填寫表格 V。

 

項目 組態設定 描述

1.

VNet 名稱

要指派給 VNet 的名稱 (例如 FedAuthNet)。

_______________________________

2.

VNet 位置

將包含虛擬網路的區域性 Azure 資料中心

_______________________________

3.

VPN 裝置 IP 位址

網際網路上 VPN 裝置介面的公用 IPv4 位址。

_______________________________

4.

VNet 位址空間

虛擬網路的位址空間。請與您的 IT 部門合作以決定此位址空間。

_______________________________

5.

IPsec 共用金鑰

32 個字元的隨機英數字元字串,用以驗證站台對站台 VPN 連線的兩端站台。請與您的 IT 或安全性部門合作,以決定此金鑰值。或者,請參閱建立隨機字串以作為 IPsec 的預先共用金鑰

_______________________________

表格 V:跨單位虛擬網路設定

下一步,針對此解決方案的子網路填寫表格 S。所有位址空間應是無類別網域間路由選擇 (CIDR) 格式 (也稱為網路前置詞格式)。例如 10.24.64.0/20。

針對前三個子網路,請根據虛擬網路位址空間指定名稱和單一 IP 位址空間。針對閘道子網路,請根據以下項目決定 Azure 閘道子網路的 27 位元位址空間 (使用 /27 前置長度)。

  1. 將 VNet 位址空間中的變數位元數設為 1 (閘道子網路正在使用的位元數),其餘位元數設為 0。

  2. 將結果位元數轉換為小數,使用設定為閘道子網路大小的前置長度將其表示為位址空間。

請參閱 Azure 閘道子網路的位址空間計算機,以取得 PowerShell 區塊和 C# 主控台應用程式,為您執行此計算。

請與您的 IT 部門合作,以從虛擬網路位址空間判斷這些位址空間。

 

項目 子網路名稱 子網路位址空間 用途

1.

_______________________________

_______________________________

Windows Server Active Directory (AD) 網域控制站和 DirSync 伺服器虛擬機器 (VM) 使用的子網路。

2.

_______________________________

_______________________________

AD FS VM 使用的子網路。

3.

_______________________________

_______________________________

Web 應用程式 Proxy VM 使用的子網路。

4.

GatewaySubnet

_______________________________

Azure 閘道 VM 使用的子網路。

表格 S:虛擬網路中的子網路

下一步,針對指派至虛擬機器和負載平衡器執行個體的靜態 IP 位址填寫表格 I。

 

項目 用途 子網路上的 IP 位址

1.

第一個網域控制站的靜態 IP 位址

定義於表格 S 的項目 1 中,子網路位址空間的第四個可能 IP 位址。

_______________________________

2.

第二個網域控制站的靜態 IP 位址

定義於表格 S 的項目 1 中,子網路位址空間的第五個可能 IP 位址。

_______________________________

3.

DirSync 伺服器的靜態 IP 位址

定義於表格 S 的項目 1 中,子網路位址空間的第六個可能 IP 位址。

_______________________________

4.

AD FS 伺服器內部負載平衡器的靜態 IP 位址

定義於表格 S 的項目 2 中,子網路位址空間的第四個可能 IP 位址。

_______________________________

5.

第一個 AD FS 伺服器的靜態 IP 位址

定義於表格 S 的項目 2 中,子網路位址空間的第五個可能 IP 位址。

_______________________________

6.

第二個 AD FS 伺服器的靜態 IP 位址

定義於表格 S 的項目 2 中,子網路位址空間的第六個可能 IP 位址。

_______________________________

7.

第一個 Web 應用程式 Proxy 伺服器的靜態 IP 位址

定義於表格 S 的項目 3 中,子網路位址空間的第四個可能 IP 位址。

_______________________________

8.

第二個 Web 應用程式 Proxy 伺服器的靜態 IP 位址

定義於表格 S 的項目 3 中,子網路位址空間的第五個可能 IP 位址。

_______________________________

表格 I:虛擬網路中的靜態 IP 位址

針對初次在虛擬網路中設定網域控制站時,您要在內部部署網路中使用的網域名稱系統 (DNS) 伺服器,填寫表格 D。請與您的 IT 部門合作以決定此清單。

 

項目 DNS 伺服器的易記名稱 DNS 伺服器 IP 位址

1.

_______________________________

_______________________________

2.

_______________________________

_______________________________

表格 D:內部部署 DNS 伺服器

若要透過站台對站台的 VPN 連線,將封包從跨單位網路路由傳送至組織網路,您必須透過區域網路來設定虛擬網路,該區域網路會包含組織內部部署網路上所有可觸及位置的位址空間 (以 CIDR 標記法) 清單。定義區域網路的位址空間清單必須是唯一的,且不可與其他虛擬網路或其他區域網路使用的位址空間重疊。

針對區域網路位址空間集,請填寫表格 L。請注意,雖已列出三個空白項,但一般來說您會需要更多。請與您的 IT 部門合作以決定此位址空間清單。

 

項目 區域網路位址空間

1.

_______________________________

2.

_______________________________

3.

_______________________________

表格 L:區域網路的網址前置詞

現在讓我們開始建置 Azure 基礎結構以裝載您的 Office 365 同盟驗證。

注意事項 附註:
下列的命令會使用 Azure PowerShell 的最新版本。請參閱開始使用 Azure PowerShell cmdlet

首先,啟動 Azure PowerShell 提示並登入您的帳戶。

Login-AzureRMAccount
提示 提示:
如需包含本文中所有 PowerShell 命令的文字檔,和根據您自訂設定產生可執行 PowerShell 命令區塊的 Microsoft Excel 組態活頁簿,請參閱<Azure 部署中的 Office 365 同盟驗證套件

使用下列命令取得訂用帳戶名稱。

Get-AzureRMSubscription | Sort Name | Select Name

Azure PowerShell 較舊版本,請改用以下命令。

Get-AzureRMSubscription | Sort Name | Select SubscriptionName

設定 Azure 訂用帳戶。以正確的名稱取代括號中的所有項目 (包括 < 和 > 字元)。

$subscr="<subscription name>"
Get-AzureRmSubscription -SubscriptionName $subscr | Select-AzureRmSubscription

下一步,建立新的資源群組。若要判斷資源群組名稱是否是唯一一組,可使用此命令來列出現有的資源群組。

Get-AzureRMResourceGroup | Sort ResourceGroupName | Select ResourceGroupName

針對這唯一的一組資源群組名稱,填寫下列表格。

 

項目 資源群組名稱 用途

1.

_______________________________

網域控制站

2.

_______________________________

AD FS 伺服器

3.

_______________________________

Web 應用程式 Proxy 伺服器

4.

_______________________________

基礎結構元素

表格 R:資源群組

使用這些命令建立新的資源群組。

$locName="<an Azure location, such as West US>"
$rgName="<Table R - Item 1 - Name column>"
New-AzureRMResourceGroup -Name $rgName -Location $locName
$rgName="<Table R - Item 2 - Name column>"
New-AzureRMResourceGroup -Name $rgName -Location $locName
$rgName="<Table R - Item 3 - Name column>"
New-AzureRMResourceGroup -Name $rgName -Location $locName
$rgName="<Table R - Item 4 - Name column>"
New-AzureRMResourceGroup -Name $rgName -Location $locName

下一步,建立 Azure 虛擬網路和其子網路。

$rgName="<Table R - Item 4 - Resource group name column>"
$locName="<your Azure location>"
$vnetName="<Table V - Item 1 - Value column>"
$vnetAddrPrefix="<Table V - Item 4 - Value column>"
$dnsServers=@( "<Table D - Item 1 - DNS server IP address column>", "<Table D - Item 2 - DNS server IP address column>" )
# Get the shortened version of the location
$locShortName=(Get-AzureRmResourceGroup -Name $rgName).Location

# Create the subnets
$subnet1Name="<Table S - Item 1 - Subnet name column>"
$subnet1Prefix="<Table S - Item 1 - Subnet address space column>"
$subnet1=New-AzureRMVirtualNetworkSubnetConfig -Name $subnet1Name -AddressPrefix $subnet1Prefix
$subnet2Name="<Table S - Item 2 - Subnet name column>"
$subnet2Prefix="<Table S - Item 2 - Subnet address space column>"
$subnet2=New-AzureRMVirtualNetworkSubnetConfig -Name $subnet2Name -AddressPrefix $subnet2Prefix
$subnet3Name="<Table S - Item 3 - Subnet name column>"
$subnet3Prefix="<Table S - Item 3 - Subnet address space column>"
$subnet3=New-AzureRMVirtualNetworkSubnetConfig -Name $subnet3Name -AddressPrefix $subnet3Prefix
$gwSubnet4Prefix="<Table S - Item 4 - Subnet address space column>"
$gwSubnet=New-AzureRMVirtualNetworkSubnetConfig -Name "GatewaySubnet" -AddressPrefix $gwSubnet4Prefix

# Create the virtual network
New-AzureRMVirtualNetwork -Name $vnetName -ResourceGroupName $rgName -Location $locName -AddressPrefix $vnetAddrPrefix -Subnet $gwSubnet,$subnet1,$subnet2,$subnet3 -DNSServer $dnsServers

接著,為每個包含虛擬機器的子網路建立網路安全性群組。若要執行子網路隔離,您可以針對允許或拒絕子網路安全小組流量的特定類型新增規則。

# Create network security groups
$vnet=Get-AzureRMVirtualNetwork -ResourceGroupName $rgName -Name $vnetName

New-AzureRMNetworkSecurityGroup -Name $subnet1Name -ResourceGroupName $rgName -Location $locShortName
$nsg=Get-AzureRMNetworkSecurityGroup -Name $subnet1Name -ResourceGroupName $rgName
Set-AzureRMVirtualNetworkSubnetConfig -VirtualNetwork $vnet -Name $subnet1Name -AddressPrefix $subnet1Prefix -NetworkSecurityGroup $nsg

New-AzureRMNetworkSecurityGroup -Name $subnet2Name -ResourceGroupName $rgName -Location $locShortName
$nsg=Get-AzureRMNetworkSecurityGroup -Name $subnet2Name -ResourceGroupName $rgName
Set-AzureRMVirtualNetworkSubnetConfig -VirtualNetwork $vnet -Name $subnet2Name -AddressPrefix $subnet2Prefix -NetworkSecurityGroup $nsg

New-AzureRMNetworkSecurityGroup -Name $subnet3Name -ResourceGroupName $rgName -Location $locShortName
$nsg=Get-AzureRMNetworkSecurityGroup -Name $subnet3Name -ResourceGroupName $rgName
Set-AzureRMVirtualNetworkSubnetConfig -VirtualNetwork $vnet -Name $subnet3Name -AddressPrefix $subnet3Prefix -NetworkSecurityGroup $nsg

接著,使用以下命令來建立站台對站台 VPN 連線的閘道。

$rgName="<Table R - Item 4 - Resource group name column>"
$locName="<Azure location>"
$vnetName="<Table V - Item 1 - Value column>"
$vnet=Get-AzureRMVirtualNetwork -Name $vnetName -ResourceGroupName $rgName
$subnet=Get-AzureRmVirtualNetworkSubnetConfig -VirtualNetwork $vnet -Name "GatewaySubnet"

# Attach a virtual network gateway to a public IP address and the gateway subnet
$publicGatewayVipName="PublicIPAddress"
$vnetGatewayIpConfigName="PublicIPConfig"
New-AzureRMPublicIpAddress -Name $vnetGatewayIpConfigName -ResourceGroupName $rgName -Location $locName -AllocationMethod Dynamic
$publicGatewayVip=Get-AzureRMPublicIpAddress -Name $vnetGatewayIpConfigName -ResourceGroupName $rgName
$vnetGatewayIpConfig=New-AzureRMVirtualNetworkGatewayIpConfig -Name $vnetGatewayIpConfigName -PublicIpAddressId $publicGatewayVip.Id -Subnet $subnet

# Create the Azure gateway
$vnetGatewayName="AzureGateway"
$vnetGateway=New-AzureRMVirtualNetworkGateway -Name $vnetGatewayName -ResourceGroupName $rgName -Location $locName -GatewayType Vpn -VpnType RouteBased -IpConfigurations $vnetGatewayIpConfig

# Create the gateway for the local network
$localGatewayName="LocalNetGateway"
$localGatewayIP="<Table V - Item 3 - Value column>"
$localNetworkPrefix=@( <comma-separated, double-quote enclosed list of the local network address prefixes from Table L, example: "10.1.0.0/24", "10.2.0.0/24"> )
$localGateway=New-AzureRMLocalNetworkGateway -Name $localGatewayName -ResourceGroupName $rgName -Location $locName -GatewayIpAddress $localGatewayIP -AddressPrefix $localNetworkPrefix

# Define the Azure virtual network VPN connection
$vnetConnectionName="S2SConnection"
$vnetConnectionKey="<Table V - Item 5 - Value column>"
$vnetConnection=New-AzureRMVirtualNetworkGatewayConnection -Name $vnetConnectionName -ResourceGroupName $rgName -Location $locName -ConnectionType IPsec -SharedKey $vnetConnectionKey -VirtualNetworkGateway1 $vnetGateway -LocalNetworkGateway2 $localGateway

注意事項 附註:
個別使用者的同盟的驗證不依賴任何內部部署的資源。不過,如果無法使用此網站 VPN 連線,VNet 在網域控制站也不會收到的使用者帳戶和群組中的內部 Windows Server AD 所做的更新。若要確保這不會發生,您可以設定高可用性的網站 VPN 連線。如需詳細資訊,請參閱高度可用的跨單位] 和 [VNet-VNet 連線

接著,從顯示的以下命令中,記錄虛擬網路 Azure VPN 閘道的公用 IPv4 位址。

Get-AzureRMPublicIpAddress -Name $publicGatewayVipName -ResourceGroupName $rgName

接著,設定內部部署 VPN 裝置與 Azure VPN 閘道連線。如需詳細資訊,請參閱設定您的 VPN 裝置

若要設定您的內部部署 VPN 裝置,您需要下列項目︰

  • Azure VPN 閘道的公用 IPv4 位址。

  • 站台對站台 VPN 連線的 IPsec 預先共用金鑰 (表格 V – 項目 5 – 值欄)。

下一步,確認從內部部署網路可觸及虛擬網路的位址空間。一般來說,完成方式是新增路由以將虛擬網路位址空間對應至 VPN 裝置,然後將此路由傳達給其餘組織網路的路由基礎結構。請與您的 IT 部門合作以決定如何執行此動作。

下一步,定義三個可用性設定組的名稱。填寫表格 A。

 

項目 用途 可用性設定組名稱

1.

網域控制站

_______________________________

2.

AD FS 伺服器

_______________________________

3.

Web 應用程式 Proxy 伺服器

_______________________________

表格 A:可用性設定組

當您在階段 2、3 和 4 中建立虛擬機器時,將會需要這些名稱。

請使用這些 Azure PowerShell 命令來建立新的可用性設定組。

$locName="<the Azure location for your new resource group>"
$rgName="<Table R - Item 1 - Resource group name column>"
$avName="<Table A - Item 1 - Availability set name column>"
New-AzureRMAvailabilitySet -Name $avName -ResourceGroupName $rgName -Location $locName
$rgName="<Table R - Item 2 - Resource group name column>"
$avName="<Table A - Item 2 - Availability set name column>"
New-AzureRMAvailabilitySet -Name $avName -ResourceGroupName $rgName -Location $locName
$rgName="<Table R - Item 3 - Resource group name column>"
$avName="<Table A - Item 3 - Availability set name column>"
New-AzureRMAvailabilitySet -Name $avName -ResourceGroupName $rgName -Location $locName

以下是成功完成此階段的設定結果。

階段 1:適用於 Office 365 高可用性同盟驗證的 Azure 基礎結構

具有 Azure 基礎結構的 Azure 中之高可用性 Office 365 同盟驗證的階段 1

https://technet.microsoft.com/zh-tw/library/dn262744.aspx
顯示: