Verbinden eines lokalen Netzwerks mit einem virtuellen Microsoft Azure-NetzwerkConnect an on-premises network to a Microsoft Azure virtual network

Ein standortübergreifendes virtuelles Azure-Netzwerk ist mit Ihrem lokalen Netzwerk verbunden, sodass Ihr Netzwerk durch Subnetze und virtuelle Computer, die in Azure-Infrastrukturdiensten gehostet werden, erweitert wird. Mit dieser Verbindung können Computer in Ihrem lokalen Netzwerk direkt auf virtuelle Computer zugreifen, und umgekehrt.A cross-premises Azure virtual network is connected to your on-premises network, extending your network to include subnets and virtual machines hosted in Azure infrastructure services. This connection lets computers on your on-premises network to directly access virtual machines in Azure and vice versa.

Beispiel: Ein Verzeichnissynchronisierungsserver auf einem virtuellen Azure-Computer muss Ihre lokalen Domänencontroller auf Änderungen an Konten abfragen und diese Änderungen mit Ihrem Office 365-Abonnement synchronisieren. In diesem Artikel wird gezeigt, wie Sie ein standortübergreifendes virtuelles Azure-Netzwerk mit einer Standort-zu-Standort-VPN-Verbindung einrichten, in dem virtuelle Azure-Computer gehostet werden können.For example, a directory synchronization server running on an Azure virtual machine needs to query your on-premises domain controllers for changes to accounts and synchronize those changes with your Office 365 subscription. This article shows you how to set up a cross-premises Azure virtual network using a site-to-site virtual private network (VPN) connection that is ready to host Azure virtual machines.

ÜbersichtOverview

Die virtuellen Computer in Azure müssen nicht von Ihrer lokalen Umgebung isoliert sein. Um virtuelle Azure-Computer mit Ihren lokalen Netzwerkressourcen zu verbinden, müssen Sie ein standortübergreifendes virtuelles Azure-Netzwerk konfigurieren. Das folgende Diagramm zeigt die erforderlichen Komponenten zum Bereitstellen eines standortübergreifenden virtuellen Azure-Netzwerks mit einem virtuellen Computer in Azure.Your virtual machines in Azure don't have to be isolated from your on-premises environment. To connect Azure virtual machines to your on-premises network resources, you must configure a cross-premises Azure virtual network. The following diagram shows the required components to deploy a cross-premises Azure virtual network with a virtual machine in Azure.

Lokales Netzwerk, das über eine Standort-zu-Standort-VPN-Verbindung mit Microsoft Azure verbunden ist

In diesem Diagramm sind zwei Netzwerke über eine Standort-zu-Standort-VPN-Verbindung verbunden: das lokale Netzwerk und das virtuelle Azure-Netzwerk. Für die Standort-zu-Standort-VPN-Verbindung gilt Folgendes:In the diagram, there are two networks connected by a site-to-site VPN connection: the on-premises network and the Azure virtual network. The site-to-site VPN connection is:

  • Sie besteht zwischen zwei Endpunkten, die adressierbar sind und sich im öffentlichen Internet befinden.Between two endpoints that are addressable and located on the public Internet.
  • Die Standort-zu-Standort-VPN-Verbindung wird von einem VPN-Gerät im lokalen Netzwerk und einem Azure-VPN-Gateway im virtuellen Azure-Netzwerk beendet.Terminated by a VPN device on the on-premises network and an Azure VPN gateway on the Azure virtual network.

In dem virtuellen Azure-Netzwerk werden virtuelle Computer gehostet. Von den virtuellen Computern im virtuellen Azure-Netzwerk stammender Netzwerkdatenverkehr wird an das VPN-Gateway weitergeleitet, das den Datenverkehr anschließend über die Standort-zu-Standort-Verbindung an das VPN-Gerät im lokalen Netzwerk weiterleitet. Die Routinginfrastruktur des lokalen Netzwerks leitet dann den Datenverkehr an sein Ziel weiter.The Azure virtual network hosts virtual machines. Network traffic originating from virtual machines on the Azure virtual network gets forwarded to the VPN gateway, which then forwards the traffic across the site-to-site VPN connection to the VPN device on the on-premises network. The routing infrastructure of the on-premises network then forwards the traffic to its destination.

Hinweis

Sie können Sie auch ExpressRoute verwenden, bei dem es sich um eine direkte Verbindung zwischen Ihrer Organisation und dem Microsoft-Netzwerk handelt. Datenverkehr über ExpressRoute wird nicht über das öffentliche Internet übertragen. In diesem Artikel wird die Verwendung von ExpressRoute nicht beschrieben.You can also use ExpressRoute, which is a direct connection between your organization and Microsoft's network. Traffic over ExpressRoute does not travel over the public Internet. This article does not describe the use of ExpressRoute.

Um die VPN-Verbindung zwischen dem virtuellen Azure-Netzwerk und Ihrem lokalen Netzwerk einzurichten, führen Sie die folgenden Schritte aus:To set up the VPN connection between your Azure virtual network and your on-premises network, follow these steps:

  1. Lokal: Definieren und erstellen Sie eine lokale Netzwerkroute für den Adressraum des virtuellen Azure-Netzwerks, die auf das lokale VPN-Gerät verweist.On-premises: Define and create an on-premises network route for the address space of the Azure virtual network that points to your on-premises VPN device.

  2. Microsoft Azure Richten Sie ein virtuelles Azure-Netzwerk mit einer Standort-zu-Standort-VPN-Verbindung ein.Microsoft Azure: Create an Azure virtual network with a site-to-site VPN connection.

  3. Lokal: Konfigurieren Sie Ihr lokales VPN-Gerät auf Hardware- oder Softwarebasis zum Beenden der VPN-Verbindung, die IPsec (Internet Protocol Security) verwendet.On premises: Configure your on-premises hardware or software VPN device to terminate the VPN connection, which uses Internet Protocol security (IPsec).

Nachdem Sie die Standort-zu-Standort VPN-Verbindung hergestellt haben, fügen Sie den Subnetzen des virtuellen Netzwerks virtuelle Azure-Computer hinzu.After you establish the site-to-site VPN connection, you add Azure virtual machines to the subnets of the virtual network.

Planen des virtuellen Azure-NetzwerksPlan your Azure virtual network

VoraussetzungenPrerequisites

  • Ein Azure-Abonnement. Informationen zu Azure-Abonnements finden Sie auf der Seite zum Erwerben von Azure.An Azure subscription. For information about Azure subscriptions, go to the How To Buy Azure page.

  • Ein verfügbarer privater IPv4-Adressraum, der dem virtuellen Netzwerk und den Subnetzen zugewiesen wird, der über ausreichende Wachstumskapazität zur Unterstützung der jetzt und künftig benötigten virtuellen Computer verfügt.An available private IPv4 address space to assign to the virtual network and its subnets, with sufficient room for growth to accommodate the number of virtual machines needed now and in the future.

  • Ein verfügbares VPN-Gerät in Ihrem lokalen Netzwerk zum Beenden der Standort-zu-Standort-VPN-Verbindung, das die Anforderungen von IPsec erfüllt. Weitere Informationen finden Sie unter Informationen zu VPN-Geräten für VPN-Gatewayverbindungen zwischen Standorten.An available VPN device in your on-premises network to terminate the site-to-site VPN connection that supports the requirements for IPsec. For more information, see About VPN devices for site-to-site virtual network connections.

  • Änderungen an Ihrer Routinginfrastruktur, damit der an den Adressraum des virtuellen Azure-Netzwerks geleitete Datenverkehr an das VPN-Gerät weitergeleitet wird, das die Standort-zu-Standort-VPN-Verbindung hostet.Changes to your routing infrastructure so that traffic routed to the address space of the Azure virtual network gets forwarded to the VPN device that hosts the site-to-site VPN connection.

  • Ein Webproxy, der Computern, die mit dem lokalen Netzwerk verbunden sind, und dem virtuellen Azure-Netzwerk Zugriff auf das Internet bietet.A web proxy that gives computers that are connected to the on-premises network and the Azure virtual network access to the Internet.

Entwurfsannahmen für die LösungsarchitekturSolution architecture design assumptions

Die folgende Liste enthält die Entwurfsentscheidungen, die für diese Lösungsarchitektur getroffen wurden.The following list represents the design choices that have been made for this solution architecture.

  • Diese Lösung verwendet ein einzelnes virtuelles Azure-Netzwerk mit einer einzelnen Standort-zu-Standort-VPN-Verbindung. Das virtuelle Azure-Netzwerk hostet ein einzelnes Subnetz, das mehrere virtuelle Computer enthalten kann.This solution uses a single Azure virtual network with a site-to-site VPN connection. The Azure virtual network hosts a single subnet that can contain multiple virtual machines.

  • Sie können RRAS (Routing- und RAS-Dienst) in Windows Server 2016 oder Windows Server 2012 verwenden, um eine IPsec-Standort-zu-Standort-VPN-Verbindung zwischen dem lokalen Netzwerk und dem virtuellen Azure-Netzwerk herzustellen. Sie können auch andere Optionen wie Cisco- und Juniper Networks-VPN-Geräte wählen.You can use the Routing and Remote Access Service (RRAS) in Windows Server 2016 or Windows Server 2012 to establish an IPsec site-to-site VPN connection between the on-premises network and the Azure virtual network. You can also use other options, such as Cisco or Juniper Networks VPN devices.

  • Das lokale Netzwerk kann weiterhin Netzwerkdienste wie Active Directory Domain Services (AD DS), Domain Name System (DNS) und Proxy-Server enthalten. Je nach Ihren Anforderungen kann es von Vorteil sein, einige der Netzwerkressourcen in dem virtuellen Azure-Netzwerk zu betreiben.The on-premises network might still have network services like Active Directory Domain Services (AD DS), Domain Name System (DNS), and proxy servers. Depending on your requirements, it might be beneficial to place some of these network resources in the Azure virtual network.

Bestimmen Sie bei einem vorhandenen virtuellen Azure-Netzwerk mit einem oder mehreren Subnetzen, ob es genügend Adressraum für ein weiteres Subnetz zum Hosten Ihrer erforderlichen virtuellen Computer den Anforderungen entsprechend gibt. Wenn Sie keinen verbleibenden Adressraum für ein weiteres Subnetz haben, erstellen Sie ein zusätzliches virtuelles Netzwerk, das über eine eigene Standort-zu-Standort-zu-Standort-VPN-Verbindung verfügt.For an existing Azure virtual network with one or more subnets, determine whether there is remaining address space for an additional subnet to host your needed virtual machines, based on your requirements. If you don't have remaining address space for an additional subnet, create an additional virtual network that has its own site-to-site VPN connection.

Planen der Änderungen der Routinginfrastruktur für das virtuelle Azure-NetzwerkPlan the routing infrastructure changes for the Azure virtual network

Sie müssen Ihre lokale Routinginfrastruktur für das Weiterleiten von Datenverkehr, der für den Adressraum des virtuellen Azure-Netzwerk bestimmt ist, an das lokale VPN-Gerät konfigurieren, auf dem die Standort-zu-Standort-zu-Standort-VPN-Verbindung gehostet wird.You must configure your on-premises routing infrastructure to forward traffic destined for the address space of the Azure virtual network to the on-premises VPN device that is hosting the site-to-site VPN connection.

Die genaue Methode zum Aktualisieren Ihrer Routinginfrastruktur hängt von der Verwaltung der Routinginformationen ab. Die sind die Möglichkeiten:The exact method of updating your routing infrastructure depends on how you manage routing information, which can be:

  • Die Routingtabelle wird abhängig von manueller Konfiguration aktualisiert.Routing table updates based on manual configuration.

  • Aktualisierungen der Routingtabelle basieren auf Routingprotokollen, wie z. B. Routing Information Protocol (RIP) oder Open Shortest Path First (OSPF).Routing table updates based on routing protocols, such as Routing Information Protocol (RIP) or Open Shortest Path First (OSPF).

Wenden Sie sich an Ihre Routingspezialisten, um sicherzustellen, dass der Datenverkehr an das virtuelle Azure-Netzwerk an das lokale VPN-Gerät weitergeleitet wird.Consult with your routing specialist to make sure that traffic destined for the Azure virtual network is forwarded to the on-premises VPN device.

Planen von Firewallregeln für ein- und ausgehenden Datenverkehr des lokalen VPN-GerätsPlan for firewall rules for traffic to and from the on-premises VPN device

Wenn sich Ihr VPN-Gerät in einem Umkreisnetzwerk mit einer Firewall zwischen dem Umkreisnetzwerk und dem Internet befindet, müssen Sie möglicherweise die Firewall mit den folgenden Regeln konfigurieren, um die Standort-zu-Standort-VPN-Verbindung zuzulassen.If your VPN device is on a perimeter network that has a firewall between the perimeter network and the Internet, you might have to configure the firewall for the following rules to allow the site-to-site VPN connection.

  • Datenverkehr an das VPN-Gerät (eingehend aus dem Internet):Traffic to the VPN device (incoming from the Internet):

    • Ziel-IP-Adresse des VPN-Geräts und IP-Protokoll 50Destination IP address of the VPN device and IP protocol 50

    • Ziel-IP-Adresse des VPN-Geräts und UDP-Zielport 500Destination IP address of the VPN device and UDP destination port 500

    • Ziel-IP-Adresse des VPN-Geräts und UDP-Zielport 4500Destination IP address of the VPN device and UDP destination port 4500

  • Datenverkehr von dem VPN-Gerät (ausgehend an das Internet):Traffic from the VPN device (outgoing to the Internet):

    • Quell-IP-Adresse des VPN-Geräts und IP-Protokoll 50Source IP address of the VPN device and IP protocol 50

    • Quell-IP-Adresse des VPN-Geräts und UDP-Quellport 500Source IP address of the VPN device and UDP source port 500

    • Quell-IP-Adresse des VPN-Geräts und UDP-Quellport 4500Source IP address of the VPN device and UDP source port 4500

Planen des privaten IP-Adressbereichs des virtuellen Azure-NetzwerksPlan for the private IP address space of the Azure virtual network

Der private IP-Adressbereich des virtuellen Azure-Netzwerks muss in der Lage sein, von Azure verwendete Adressen aufzunehmen, um das virtuelle Netzwerk mit mindestens einem Subnetz zu hosten, das genügend Adressen für Ihre virtuellen Azure-Computer bietet.The private IP address space of the Azure virtual network must be able to accommodate addresses used by Azure to host the virtual network and with at least one subnet that has enough addresses for your Azure virtual machines.

Um die Anzahl der Adressen zu bestimmen, die für das Subnetz erforderlich sind, zählen Sie die Anzahl der virtuellen Computer, die Sie aktuell benötigen, schätzen Sie künftiges Wachstum ab, und verwenden Sie dann die folgende Tabelle, um die Größe des Subnetzes zu ermitteln.To determine the number of addresses needed for the subnet, count the number of virtual machines that you need now, estimate for future growth, and then use the following table to determine the size of the subnet.

Anzahl der benötigten virtuellen ComputerNumber of virtual machines needed Anzahl der erforderlichen HostbitsNumber of host bits needed Größe des SubnetzesSize of the subnet
1-31-3
33
/29/29
4-114-11
44
/28/28
12-2712-27
55
/27/27
28-5928-59
66
/26/26
60-12360-123
77
/25/25

Arbeitsblatt für die Planung der Konfiguration des virtuellen Azure-NetzwerksPlanning worksheet for configuring your Azure virtual network

Vor dem Erstellen eines virtuellen Azure-Netzwerks zum Hosten von virtuellen Computern müssen Sie die erforderlichen Einstellungen in den folgenden Tabellen festlegen.Before you create an Azure virtual network to host virtual machines, you must determine the settings needed in the following tables.

Füllen Sie für die Einstellungen des virtuellen Netzwerks Tabelle V aus.For the settings of the virtual network, fill in Table V.

Tabelle V: Konfiguration eines standortübergreifenden virtuellen NetzwerksTable V: Cross-premises virtual network configuration

ElementItem Configuration-ElementConfiguration element BeschreibungDescription WertValue
1.1.
Name des virtuellen NetzwerksVirtual network name
Ein Name, der dem virtuellen Azure-Netzwerk zugewiesen wird (z. B. DirSyncNet)A name to assign to the Azure virtual network (example DirSyncNet).
Zeile
2.2.
Adresse des virtuellen NetzwerksVirtual network location
Das Azure-Rechenzentrum, das das virtuelle Netzwerk enthalten soll (z. B. USA (Westen)).The Azure datacenter that will contain the virtual network (such as West US).
Zeile
3.3.
IP-Adresse des VPN-GerätsVPN device IP address
Die öffentliche IPv4-Adresse der Schnittstelle des VPN-Geräts im Internet. Fragen Sie Ihre IT-Abteilung nach dieser Adresse.The public IPv4 address of your VPN device's interface on the Internet. Work with your IT department to determine this address.
Zeile
4.4.
Adressraum des virtuellen NetzwerksVirtual network address space
Der Adressraum (in einem einzigen privaten Adresspräfix definiert) für das virtuelle Netzwerk. Fragen Sie Ihre IT-Abteilung nach diesem Adressraum. Der Adressraum sollte im CIDR-Format (Classless Interdomain Routing, klassenloses domänenübergreifendes Routing) angegeben werden, auch Netzwerkpräfixformat genannt. Beispiel: 10.24.64.0/20.The address space (defined in a single private address prefix) for the virtual network. Work with your IT department to determine this address space. The address space should be in Classless Interdomain Routing (CIDR) format, also known as network prefix format. An example is 10.24.64.0/20.
Zeile
5.5.
Gemeinsam verwendeter IPsec-SchlüsselIPsec shared key
Eine aus 32 zufällig ausgewählten alphanumerischen Zeichen bestehende Zeichenfolge, die zur Authentifizierung beider Seiten der Standort-zu-Standort-VPN-Verbindung verwendet wird. Fragen Sie Ihre IT- oder Sicherheitsabteilung nach diesem Schlüsselwert, und bewahren Sie diesen an einem sicheren Ort auf. Alternativ finden Sie weitere Informationen dazu unter Create a random string for an IPsec preshared key.A 32-character random, alphanumeric string that will be used to authenticate both sides of the site-to-site VPN connection. Work with your IT or security department to determine this key value and then store it in a secure location. Alternately, see Create a random string for an IPsec preshared key.
Zeile

Füllen Sie für die Subnetze dieser Lösung Tabelle S aus.Fill in Table S for the subnets of this solution.

  • Legen Sie für das erste Subnetz einen 28-Bit-Adressraum (mit einer /28-Präfixlänge) für das Azure-Gatewaysubnetz fest. Informationen zum Bestimmen dieses Adressraums finden Sie unter Calculating the gateway subnet address space for Azure virtual networks.For the first subnet, determine a 28-bit address space (with a /28 prefix length) for the Azure gateway subnet. See Calculating the gateway subnet address space for Azure virtual networks for information about how to determine this address space.

  • Geben Sie für das zweite Subnetz einen Anzeigenamen, einen auf dem Adressraum des virtuellen Netzwerks basierenden einzelnen IP-Adressraum und einen beschreibenden Zweck an.For the second subnet, specify a friendly name, a single IP address space based on the virtual network address space, and a descriptive purpose.

Fragen Sie Ihre IT-Abteilung nach diesen Adressräumen, die aus dem Adressraum des virtuellen Netzwerks bestimmt werden. Beide Adressräume muss im CIDR-Format eingegeben werden.Work with your IT department to determine these address spaces from the virtual network address space. Both address spaces should be in CIDR format.

Tabelle S: Subnetze im virtuellen NetzwerkTable S: Subnets in the virtual network

ElementItem SubnetznameSubnet name SubnetzadressraumSubnet address space ZweckPurpose
1.1.
GatewaySubnetGatewaySubnet
Zeile
Das von dem Azure-Gateway verwendete Subnetz.The subnet used by the Azure gateway.
2.2.
Zeile
Zeile
Zeile

Füllen Sie für die lokalen DNS-Server, die von den virtuellen Computern im virtuellen Netzwerk verwendet werden sollen, Tabelle D aus. Geben Sie jedem DNS-Server einen Anzeigenamen und eine einzelne IP-Adresse. Der Anzeigename muss nicht mit dem Hostnamen oder dem Computernamen des DNS-Servers übereinstimmen. Auch wenn hierfür nur zwei Einträge vorgesehen sind, können Sie noch weitere hinzufügen. Erarbeiten Sie diese Liste gemeinsam mit Ihrer IT-Abteilung.For the on-premises DNS servers that you want the virtual machines in the virtual network to use, fill in Table D. Give each DNS server a friendly name and a single IP address. This friendly name does not need to match the host name or computer name of the DNS server. Note that two blank entries are listed, but you can add more. Work with your IT department to determine this list.

Tabelle D: Lokale DNS-ServerTable D: On-premises DNS servers

ElementItem Anzeigename des DNS-ServersDNS server friendly name IP-Adresse des DNS-ServersDNS server IP address
1.1.
Zeile
Zeile
2.2.
Zeile
Zeile

Um Pakete aus dem virtuellen Azure-Netzwerk an das Organisationsnetzwerk über die Standort-zu-Standort-VPN-Verbindung weiterzuleiten, müssen Sie das virtuelle Netzwerk mit einem lokalen Netzwerk konfigurieren. Dieses lokale Netzwerk enthält eine Liste der Adressräume (im CIDR-Format) für alle Standorte in Ihrem lokalen Organisationsnetzwerk, die die virtuellen Computer im virtuellen Netzwerk erreichen müssen. Dies können alle Standorte im lokalen Netzwerk oder nur eine Teilmenge sein. Die Liste der Adressräume, die Ihr lokales Netzwerk definiert, muss eindeutig sein und darf nicht mit den für andere virtuelle Netzwerke verwendeten Adressräumen überlappen.To route packets from the Azure virtual network to your organization network across the site-to-site VPN connection, you must configure the virtual network with a local network. This local network has a list of the address spaces (in CIDR format) for all of the locations on your organization's on-premises network that the virtual machines in the virtual network must reach. This can be all of the locations on the on-premises network or a subset. The list of address spaces that define your local network must be unique and must not overlap with the address spaces used for this virtual network or your other cross-premises virtual networks.

Für die Teilmenge der Adressräume für das lokale Netzwerk füllen Sie Tabelle L aus. Auch wenn hierfür nur drei Einträge vorgesehen sind, können Sie noch weitere hinzufügen. Erarbeiten Sie diese Liste gemeinsam mit Ihrer IT-Abteilung.For the set of local network address spaces, fill in Table L. Note that three blank entries are listed but you will typically need more. Work with your IT department to determine this list.

Tabelle L: Adresspräfixe für das lokale NetzwerkTable L: Address prefixes for the local network

ElementItem Adressraum des lokalen NetzwerksLocal network address space
1.1.
Zeile
2.2.
Zeile
3.3.
Zeile

Roadmap für die BereitstellungDeployment roadmap

Das Erstellen des standortübergreifenden virtuellen Netzwerks und das Hinzufügen virtueller Computer in Azure umfasst drei Phasen:Creating the cross-premises virtual network and adding virtual machines in Azure consists of three phases:

  • Phase 1: Vorbereiten Ihres lokalen Netzwerks.Phase 1: Prepare your on-premises network.

  • Phase 2: Erstellen des standortübergreifenden virtuellen Netzwerks in Azure.Phase 2: Create the cross-premises virtual network in Azure.

  • Phase 3 (optional): Hinzufügen virtueller Computer.Phase 3 (Optional): Add virtual machines.

Phase 1: Vorbereiten Ihres lokalen NetzwerksPhase 1: Prepare your on-premises network

Sie müssen Ihr lokales Netzwerk mit einer Route konfigurieren, die auf den Router am Rand des lokalen Netzwerks verweist und letztendlich für den Adressraum des virtuellen Netzwerks bestimmten Datenverkehr an diesen Router leitet. Wenden Sie sich an Ihren Netzwerkadministrator, um zu erfahren, wie die Route der Routing-Infrastruktur Ihres lokalen Netzwerks hinzugefügt wird.You must configure your on-premises network with a route that points to and ultimately delivers traffic destined for the address space of the virtual network to the router on the edge of the on-premises network. Consult with your network administrator to determine how to add the route to the routing infrastructure of your on-premises network.

Nachfolgend sehen Sie die daraus resultierende Konfiguration.Here is your resulting configuration.

Das lokale Netzwerk muss über eine Route für den Adressraum des virtuellen Netzwerks verfügen, der auf das VPN-Gerät zeigt.

Phase 2: Erstellen des standortübergreifenden virtuellen Netzwerks in AzurePhase 2: Create the cross-premises virtual network in Azure

Öffnen Sie zunächst eine Azure PowerShell-Eingabeaufforderung. Informationen zum Vorgehen, wenn Sie Azure PowerShell nicht installiert haben, finden Sie unter Erste Schritte mit Azure PowerShell.First, open an Azure PowerShell prompt. If you have not installed Azure PowerShell, see Get started with Azure PowerShell.

Melden Sie sich dann bei Ihrem Azure-Konto mit diesem Befehl an.Next, login to your Azure account with this command.

Connect-AzAccount

Rufen Sie den Namen Ihres Abonnements mithilfe des folgenden Befehls ab.Get your subscription name using the following command.

Get-AzSubscription | Sort SubscriptionName | Select SubscriptionName

Legen Sie Ihr Azure-Abonnement mit diesen Befehlen fest. Ersetzen Sie alles innerhalb der Anführungszeichen, einschließlich der Zeichen „<“ und „>“, durch den entsprechenden Abonnementnamen.Set your Azure subscription with these commands. Replace everything within the quotes, including the < and > characters, with the correct subscription name.

$subscrName="<subscription name>"
Select-AzSubscription -SubscriptionName $subscrName

Im nächsten Schritt wird eine neue Ressourcengruppe für das virtuelle Netzwerk erstellt. Verwenden Sie zum Ermitteln eines eindeutigen Ressourcengruppennamens diesen Befehl, mit dem die vorhandenen Ressourcengruppen aufgeführt werden.Next, create a new resource group for your virtual network. To determine a unique resource group name, use this command to list your existing resource groups.

Get-AzResourceGroup | Sort ResourceGroupName | Select ResourceGroupName

Erstellen Sie die neue Ressourcengruppe mit diesen Befehlen.Create your new resource group with these commands.

$rgName="<resource group name>"
$locName="<Table V - Item 2 - Value column>"
New-AzResourceGroup -Name $rgName -Location $locName

Erstellen Sie als Nächstes das virtuelle Azure-Netzwerk.Next, you create the Azure virtual network.

# Fill in the variables from previous values and from Tables V, S, and D
$rgName="<name of your new resource group>"
$locName="<Azure location of your new resource group>"
$vnetName="<Table V - Item 1 - Value column>"
$vnetAddrPrefix="<Table V - Item 4 - Value column>"
$gwSubnetPrefix="<Table S - Item 1 - Subnet address space column>"
$SubnetName="<Table S - Item 2 - Subnet name column>"
$SubnetPrefix="<Table S - Item 2 - Subnet address space column>"
$dnsServers=@( "<Table D - Item 1 - DNS server IP address column>", "<Table D - Item 2 - DNS server IP address column>" )
$locShortName=(Get-AzResourceGroup -Name $rgName).Location

# Create the Azure virtual network and a network security group that allows incoming remote desktop connections to the subnet that is hosting virtual machines
$gatewaySubnet=New-AzVirtualNetworkSubnetConfig -Name "GatewaySubnet" -AddressPrefix $gwSubnetPrefix
$vmSubnet=New-AzVirtualNetworkSubnetConfig -Name $SubnetName -AddressPrefix $SubnetPrefix
New-AzVirtualNetwork -Name $vnetName -ResourceGroupName $rgName -Location $locName -AddressPrefix $vnetAddrPrefix -Subnet $gatewaySubnet,$vmSubnet -DNSServer $dnsServers
$rule1=New-AzNetworkSecurityRuleConfig -Name "RDPTraffic" -Description "Allow RDP to all VMs on the subnet" -Access Allow -Protocol Tcp -Direction Inbound -Priority 100 -SourceAddressPrefix Internet -SourcePortRange * -DestinationAddressPrefix * -DestinationPortRange 3389
New-AzNetworkSecurityGroup -Name $SubnetName -ResourceGroupName $rgName -Location $locShortName -SecurityRules $rule1
$vnet=Get-AzVirtualNetwork -ResourceGroupName $rgName -Name $vnetName
$nsg=Get-AzNetworkSecurityGroup -Name $SubnetName -ResourceGroupName $rgName
Set-AzVirtualNetworkSubnetConfig -VirtualNetwork $vnet -Name $SubnetName -AddressPrefix $SubnetPrefix -NetworkSecurityGroup $nsg
$vnet | Set-AzVirtualNetwork

Nachfolgend sehen Sie die daraus resultierende Konfiguration.Here is your resulting configuration.

Das virtuelle Netzwerk ist noch nicht mit dem lokalen Netzwerk verbunden.

Verwenden Sie anschließend diese Befehle zum Erstellen der Gateways für die Standort-zu-Standort-VPN-Verbindung.Next, use these commands to create the gateways for the site-to-site VPN connection.

# Fill in the variables from previous values and from Tables V and L
$vnetName="<Table V - Item 1 - Value column>"
$localGatewayIP="<Table V - Item 3 - Value column>"
$localNetworkPrefix=@( <comma-separated, double-quote enclosed list of the local network address prefixes from Table L, example: "10.1.0.0/24", "10.2.0.0/24"> )
$vnetConnectionKey="<Table V - Item 5 - Value column>"
$vnet=Get-AzVirtualNetwork -Name $vnetName -ResourceGroupName $rgName
# Attach a virtual network gateway to a public IP address and the gateway subnet
$publicGatewayVipName="PublicIPAddress"
$vnetGatewayIpConfigName="PublicIPConfig"
New-AzPublicIpAddress -Name $vnetGatewayIpConfigName -ResourceGroupName $rgName -Location $locName -AllocationMethod Dynamic
$publicGatewayVip=Get-AzPublicIpAddress -Name $vnetGatewayIpConfigName -ResourceGroupName $rgName
$vnetGatewayIpConfig=New-AzVirtualNetworkGatewayIpConfig -Name $vnetGatewayIpConfigName -PublicIpAddressId $publicGatewayVip.Id -SubnetId $vnet.Subnets[0].Id
# Create the Azure gateway
$vnetGatewayName="AzureGateway"
$vnetGateway=New-AzVirtualNetworkGateway -Name $vnetGatewayName -ResourceGroupName $rgName -Location $locName -GatewayType Vpn -VpnType RouteBased -IpConfigurations $vnetGatewayIpConfig
# Create the gateway for the local network
$localGatewayName="LocalNetGateway"
$localGateway=New-AzLocalNetworkGateway -Name $localGatewayName -ResourceGroupName $rgName -Location $locName -GatewayIpAddress $localGatewayIP -AddressPrefix $localNetworkPrefix
# Create the Azure virtual network VPN connection
$vnetConnectionName="S2SConnection"
$vnetConnection=New-AzVirtualNetworkGatewayConnection -Name $vnetConnectionName -ResourceGroupName $rgName -Location $locName -ConnectionType IPsec -SharedKey $vnetConnectionKey -VirtualNetworkGateway1 $vnetGateway -LocalNetworkGateway2 $localGateway

Nachfolgend sehen Sie die daraus resultierende Konfiguration.Here is your resulting configuration.

Das virtuelle Netzwerk verfügt jetzt über ein Gateway.

Konfigurieren Sie im nächsten Schritt das lokale VPN-Gerät zum Herstellen einer Verbindung mit dem Azure-VPN-Gateway. Weitere Informationen finden Sie unter Informationen zu VPN-Geräten für Standort-zu-Standort-Verbindungen im virtuellen Azure-Netzwerk.Next, configure your on-premises VPN device to connect to the Azure VPN gateway. For more information, see About VPN Devices for site-to-site Azure Virtual Network connections.

Zum Konfigurieren Ihres VPN-Geräts benötigen Sie Folgendes:To configure your VPN device, you will need the following:

  • Die öffentliche IPv4-Adresse des Azure-VPN-Gateways für das virtuelle Netzwerk.The public IPv4 address of the Azure VPN gateway for your virtual network. Verwenden Sie den Befehl Get-AzPublicIpAddress -Name $vnetGatewayIpConfigName -ResourceGroupName $rgName zum Anzeigen dieser Adresse.Use the Get-AzPublicIpAddress -Name $vnetGatewayIpConfigName -ResourceGroupName $rgName command to display this address.

  • Der vorinstallierte IPsec-Schlüssel für die Standort-zu-Standort-VPN-Verbindung (Tabelle V - Element 5 - Spalte „Wert").The IPsec pre-shared key for the site-to-site VPN connection (Table V- Item 5 - Value column).

Nachfolgend sehen Sie die daraus resultierende Konfiguration.Here is your resulting configuration.

Das virtuelle Netzwerk ist nun mit dem lokalen Netzwerk verbunden.

Phase 3 (optional): Hinzufügen virtueller ComputerPhase 3 (Optional): Add virtual machines

Erstellen Sie die virtuellen Computer, die Sie in Azure benötigen. Weitere Informationen finden Sie unter Erstellen eines virtuellen Windows-Computers im Azure-Portal.Create the virtual machines you need in Azure. For more information, see Create a Windows virtual machine with the Azure portal.

Verwenden Sie die folgenden Einstellungen:Use the following settings:

  • Wählen Sie auf der Registerkarte Grundlagen das gleiche Abonnement und die Ressourcengruppe als virtuelles Netzwerk aus. Sie benötigen diese Informationen später für die Anmeldung auf dem virtuellen Computer. Wählen Sie im Abschnitt Instanzdetails die entsprechende Größe des virtuellen Computers aus. Bewahren Sie den Benutzernamen des Administratorkontos und das Kennwort an einem sicheren Ort auf.On the Basics tab, select the same subscription and resource group as your virtual network. You will need these later to sign in to the virtual machine. In the Instance details section, choose the appropriate virtual machine size. Record the administrator account user name and password in a secure location.

  • Wählen Sie auf der Registerkarte Netzwerk den Namen des virtuellen Netzwerks und das Subnetz zum Hosten virtueller Computer (nicht das Gateway-Subnetz) aus. Alle anderen Einstellungen bleiben bei ihren Standardwerten.On the Networking tab, select the name of your virtual network and the subnet for hosting virtual machines (not the GatewaySubnet). Leave all other settings at their default values.

Überprüfen Sie, ob der virtuelle Computer das DNS korrekt verwendet, indem Sie Ihr internes DNS prüfen, um sicherzustellen, dass die Adresse (A)-Einträge für Ihren neuen virtuellen Computer hinzugefügt wurden. Für den Zugriff auf das Internet müssen Ihre virtuellen Azure-Computer für die Verwendung des Proxyservers Ihres lokalen Netzwerks konfiguriert werden. Fragen Sie den Netzwerkadministrator nach zusätzlichen Konfigurationsschritten, die auf dem Server erfolgen müssen.Verify that your virtual machine is using DNS correctly by checking your internal DNS to ensure that Address (A) records were added for you new virtual machine. To access the Internet, your Azure virtual machines must be configured to use your on-premises network's proxy server. Contact your network administrator for additional configuration steps to perform on the server.

Nachfolgend sehen Sie die daraus resultierende Konfiguration.Here is your resulting configuration.

Das virtuelle Netzwerk hostet jetzt virtuelle Computer, auf die vom lokalen Netzwerk zugegriffen werden kann.

Nächster SchrittNext step

Bereitstellen der Office 365-Verzeichnissynchronisierung in Microsoft AzureDeploy Office 365 Directory Synchronization in Microsoft Azure