Utilisation d'une machine virtuelle Microsoft Azure comme serveur témoin du groupe de disponibilité de base de données (DAG)Using a Microsoft Azure VM as a DAG witness server

Résumé: Découvrez comment configurer un ordinateur virtuel (VM) comme serveur témoin Exchange 2016 DAG dans Azure.Summary: Learn how to configure a virtual machine (VM) as an Exchange 2016 DAG witness server in Azure.

Cette configuration nécessite trois emplacements physiques distincts : deux centres de données pour les serveurs de boîtes aux lettres et un emplacement pour le serveur témoin pour le DAG tiers. Organisations avec seulement deux emplacements physiques maintenant peuvent également tirer parti du basculement automatique de centre de données à l’aide d’un fichier Microsoft Azure serveur la machine virtuelle pour agir en tant que serveur témoin de DAG. Cet article se concentre sur l’emplacement du témoin de DAG sur Microsoft Azure et suppose que vous êtes familiarisé avec les concepts de résilience de site et que vous avez déjà une infrastructure DAG entièrement fonctionnelle répartis sur deux centres de données. Si vous ne disposez pas de votre infrastructure DAG configuré, nous vous recommandons de consulter les articles suivants :This configuration requires three separate physical locations: two datacenters for mailbox servers and a third location to place the witness server for the DAG. Organizations with only two physical locations now can also take advantage of automatic datacenter failover by using a Microsoft Azure file server virtual machine to act as the DAG's witness server. This article focuses on the placement of the DAG witness on Microsoft Azure and assumes that you're familiar with site resilience concepts and already have a fully functional DAG infrastructure spanning two datacenters. If you don't already have your DAG infrastructure configured, we recommend that you first review the following articles:

Haute disponibilité et résilience de siteHigh availability and site resilience

Groupes de disponibilité de base de donnéesDatabase availability groups

Planifier la haute disponibilité et résilience de sitePlan for high availability and site resilience

Modifications apportées à Microsoft AzureChanges to Microsoft Azure

Cette configuration nécessite un VPN multisite. Il a toujours été possible de connecter le réseau de votre organisation à Microsoft Azure à l'aide d'une connexion VPN site à site. Toutefois, dans le passé, Azure prenait en charge un seul VPN site à site. Comme la configuration d'un DAG et de son témoin dans trois centres de données nécessitait plusieurs connexions VPN site à site, l'emplacement du témoin DAG sur une machine virtuelle Azure n'était pas possible initialement.This configuration requires a multi-site VPN. It has always been possible to connect your organization's network to Microsoft Azure using a site-to-site VPN connection. However, in the past, Azure supported only a single site-to-site VPN. Since configuring a DAG and its witness across three datacenters required multiple site-to-site VPNs, placement of the DAG witness on an Azure VM wasn't initially possible.

En juin 2014, Microsoft Azure a introduit la prise en charge du VPN multisite, qui a permis aux organisations de connecter plusieurs centres de données au même réseau virtuel Azure. Cette modification a également permis aux organisations dotées de deux centres de données de tirer parti de Microsoft Azure comme troisième emplacement pour leurs serveurs témoins DAG. Pour plus d'informations sur la fonction VPN multisite dans Azure, consultez la rubrique Configuration d'un VPN multisite.In June 2014, Microsoft Azure introduced multi-site VPN support, which enabled organizations to connect multiple datacenters to the same Azure virtual network. This change also made it possible for organizations with two datacenters to leverage Microsoft Azure as a third location to place their DAG witness servers. To learn more about the multi-site VPN feature in Azure, see Configure a Multi-Site VPN.

Note

Cette configuration tire parti des machines virtuelles Azure et d'une connexion VPN multisite pour déployer le serveur témoin et n'utilise pas le témoin du Cloud Azure.This configuration leverages Azure virtual machines and a multi-site VPN for deploying the witness server and does not use the Azure Cloud Witness.

Témoin de serveur de fichiers Microsoft AzureMicrosoft Azure file server witness

Le diagramme suivant est une vue d'ensemble de l'utilisation d'une machine virtuelle de serveur de fichiers Microsoft Azure comme témoin DAG. Vous avez besoin d'un réseau virtuel Azure, d'une connexion VPN multisite qui connecte vos centres de données à votre réseau virtuel Azure, ainsi que d'un contrôleur de domaine et d'un serveur de fichiers déployés sur des machines virtuelles Azure.The following diagram is an overview of using a Microsoft Azure file server VM as a DAG witness. You need an Azure virtual network, a multi-site VPN that connects your datacenters to your Azure virtual network, and a domain controller and a file server deployed on Azure virtual machines.

Note

Il est techniquement possible d'utiliser une seule machine virtuelle Azure à cet effet et de placer le partage témoin de fichiers sur le contrôleur de domaine. Toutefois, cela entraîne une élévation inutile des privilèges. Par conséquent, cette configuration n'est pas recommandée.It is technically possible to use a single Azure VM for this purpose and place the file witness share on the domain controller. However, this will result in an unnecessary elevation of privileges. Therefore, it is not a recommended configuration.

Serveur témoin de groupe de disponibilité de base de données (DAG) sur Microsoft AzureDAG witness server on Microsoft Azure

Vue d'ensemble du témoin de groupe de disponibilité de base de données (DAG) Exchange sur Azure

La première chose que vous devez faire pour utiliser une machine virtuelle Microsoft Azure pour votre témoin DAG est d'obtenir un abonnement. Consultez Modes d'achat d'Azure pour connaître la meilleure façon d'acquérir un abonnement Azure.The first thing you need to do in order to use a Microsoft Azure VM for your DAG witness is to get a subscription. See How to buy Azure for the best way to acquire an Azure subscription.

Une fois que vous avez votre abonnement Azure, vous devez effectuer les opérations suivantes dans l'ordre :After you have your Azure subscription, you need to do the following in order:

  1. Préparer le réseau virtuel Microsoft AzurePrepare the Microsoft Azure virtual network

  2. Configurer un VPN multisiteConfigure a multi-site VPN

  3. Configurer des machines virtuellesConfigure virtual machines

  4. Configurer le témoin DAGConfigure the DAG witness

Note

Une part importante des instructions de cet article implique la configuration de Microsoft Azure. Par conséquent, nous lien vers la documentation Azure cas échéant.A significant portion of the guidance in this article involves Microsoft Azure configuration. Therefore, we link to Azure documentation whenever applicable.

Conditions préalablesPrerequisites

  • Deux centres de données qui sont en mesure de prendre en charge le déploiement d’Exchange haute disponibilité et de site resilience. Pour plus d’informations, voir planifier la haute disponibilité et résilience de site .Two datacenters that are capable of supporting an Exchange high availability and site resilience deployment. See Plan for high availability and site resilience for more information.

  • Une adresse IP publique qui n’est pas derrière un NAT pour les passerelles VPN dans chaque site.A public IP address that is not behind NAT for the VPN gateways in each site.

  • Un périphérique VPN dans chaque site qui est compatible avec Microsoft Azure. Pour plus d’informations sur les appareils compatibles, consultez la rubrique à propos des périphériques VPN de réseau virtuel .A VPN device in each site that is compatible with Microsoft Azure. See About VPN Devices for Virtual Network for more information about compatible devices.

  • Maîtriser les concepts de DAG et la gestion.Familiarity with DAG concepts and management.

  • Connaissance de Windows PowerShell.Familiarity with Windows PowerShell.

Phase 1 : Préparer le réseau virtuel Microsoft AzurePhase 1: Prepare the Microsoft Azure virtual network

La configuration du réseau Microsoft Azure est la partie du processus de déploiement la plus importante. À la fin de cette phase, vous aurez un réseau virtuel Azure entièrement fonctionnel qui est connecté à vos deux centres de données via une connexion VPN multisite.Configuring the Microsoft Azure network is the most crucial part of the deployment process. At the end of this phase, you will have a fully functional Azure virtual network that is connected to your two datacenters via a multi-site VPN.

Enregistrer des serveurs DNSRegister DNS servers

Étant donné que cette configuration nécessite la résolution de noms entre les serveurs locaux et les machines virtuelles Azure, vous devrez configurer Azure pour utiliser vos propres serveurs DNS. La rubrique Résolution de noms (DNS) fournit une vue d'ensemble de la résolution de noms dans Azure.Because this configuration requires name resolution between the on-premises servers and Azure VMs, you will need to configure Azure to use your own DNS servers. Name resolution (DNS) topic provides an overview of name resolution in Azure.

Procédez comme suit pour enregistrer vos serveurs DNS :Do the following to register your DNS servers:

  1. Dans le portail Azure, accédez à réseaux, puis cliquez sur NOUVEAU.In the Azure portal, go to networks, and then click NEW.

  2. Cliquez sur SERVICES RÉSEAU > RÉSEAU VIRTUEL > INSCRIRE LE SERVEUR DNS.Click NETWORK SERVICES > VIRTUAL NETWORK > REGISTER DNS SERVER.

  3. Entrez le nom et l'adresse IP de votre serveur DNS. Le nom spécifié ici est le nom logique utilisé dans le portail de gestion et ne doit pas correspondre au nom réel de votre serveur DNS.Type the name and IP address for your DNS server. The name specified here is a logical name used in the management portal and doesn't have to match the actual name of your DNS server.

  4. Répétez les étapes 1 à 3 pour les autres serveurs DNS à ajouter.Repeat steps 1 through 3 for any other DNS servers you want to add.

    Note

    Les serveurs DNS que vous enregistrez ne sont pas utilisés avec le mécanisme du tourniquet. Les machines virtuelles Azure utiliseront le premier serveur DNS répertorié, ainsi que des serveurs supplémentaires uniquement si le premier d'entre eux n'est pas disponible.The DNS servers you register are not used in a round robin fashion. Azure VMs will use the first DNS server listed and will only use any additional servers if the first one is not available.

  5. Répétez les étapes 1 à 3 pour ajouter l'adresse IP que vous utiliserez pour le contrôleur de domaine que vous déploierez sur Microsoft Azure.Repeat steps 1 through 3 to add the IP address you will use for the domain controller you will deploy on Microsoft Azure.

Créer des objets de réseau locaux dans AzureCreate local (on-premises) network objects in Azure

Ensuite, procédez comme suit pour créer des objets de réseau logiques qui représentent vos centres de données dans Microsoft Azure :Next, do the following to create logical network objects that represent your datacenters in Microsoft Azure:

  1. Dans le portail Azure, accédez à réseaux, puis cliquez sur NOUVEAU.In the Azure portal, and then go to networks, and then click NEW.

  2. Cliquez sur SERVICES RÉSEAU > RÉSEAU VIRTUEL > AJOUTER UN RÉSEAU LOCAL.Click NETWORK SERVICES > VIRTUAL NETWORK > ADD LOCAL NETWORK.

  3. Entrez le nom de votre premier site de centre de données et l'adresse IP du périphérique VPN de ce site. Cette adresse IP doit être une adresse IP publique statique qui n'est pas derrière un NAT.Type the name for your first datacenter site and the IP address of the VPN device on that site. This IP address must be a static public IP address that is not behind NAT.

  4. Dans l'écran suivant, spécifiez les sous-réseaux IP pour votre premier site.On the next screen, specify the IP subnets for your first site.

  5. Répétez les étapes 1 à 4 pour votre deuxième site.Repeat steps 1through 4 for your second site.

Créer le réseau virtuel AzureCreate the Azure virtual network

Maintenant, procédez comme suit pour créer un réseau virtuel Azure qui sera utilisé par les machines virtuelles :Now, do the following to create an Azure virtual network that will be used by the VMs:

  1. Dans le portail Azure, accédez à réseaux, puis cliquez sur NOUVEAU.In the Azure portal, go to networks, and then click NEW.

  2. Cliquez sur SERVICES RÉSEAU > RÉSEAU VIRTUEL > CRÉATION PERSONNALISÉE.Click NETWORK SERVICES > VIRTUAL NETWORK > CUSTOM CREATE.

  3. Sur la page Détails du réseau virtuel, spécifiez un nom pour le réseau virtuel et sélectionnez un emplacement géographique pour le réseau.On the Virtual Network Details page, specify a name for the virtual network, and select a geographic location for the network.

  4. Sur la page Serveurs DNS et connectivité VPN, vérifiez que les serveurs DNS que vous avez enregistrés précédemment sont répertoriés en tant que serveurs DNS.In the DNS Servers and VPN Connectivity page, verify that the DNS servers you previously registered are listed as the DNS servers.

  5. Cochez la case Configurer un réseau VPN de site à site sous CONNECTIVITÉ DE SITE À SITE.Select the Configure a site-to-site VPN check box under SITE-TO-SITE CONNECTIVITY.

    Important

    Ne sélectionnez pas Utiliser Itinéraire express, car cela empêche les modifications de configuration requises de configurer un VPN multisite.Do not select Use ExpressRoute because this will prevent the necessary configuration changes required to set up a multi-site VPN.

  6. Sous RÉSEAU LOCAL, sélectionnez l'un des deux réseaux locaux que vous avez configurés.Under LOCAL NETWORK, select one of the two on-premises networks you configured.

  7. Sur la page Espace d'adresses du réseau virtuel, spécifiez la plage d'adresses IP à utiliser pour votre réseau virtuel Azure.In the Virtual Network Address Spaces page, specify the IP address range you will use for your Azure virtual network.

Point de contrôle : Passer en revue la configuration du réseauCheckpoint: Review the network configuration

À ce stade, lorsque vous accédez à réseaux, vous devriez voir le serveur virtuel que vous avez configuré sous RÉSEAUX VIRTUELS, vos sites locaux sous RÉSEAUX LOCAUX, et vos serveurs DNS enregistrés sous SERVEURS DNS.At this point, when you go to networks, you should see the virtual network you configured under VIRTUAL NETWORKS, your local sites under LOCAL NETWORKS, and your registered DNS servers under DNS SERVERS.

Phase 2 : Configurer un VPN multisitePhase 2: Configure a multi-site VPN

L'étape suivante consiste à établir les passerelles VPN vers vos sites locaux. Pour ce faire, vous devez :The next step is to establish the VPN gateways to your on-premises sites. To do this, you need to:

  1. Établir une passerelle VPN vers l'un de vos sites à l'aide du portail Azure.Establish a VPN gateway to one of your sites by using the Azure portal.

  2. Exporter les paramètres de configuration de réseau virtuel.Export the virtual network configuration settings.

  3. Modifier le fichier de configuration pour le VPN multisite.Modify the configuration file for multi-site VPN.

  4. Importer la configuration réseau d'Azure mise à jour.Import the updated Azure network configuration.

  5. Enregistrer l'adresse IP de la passerelle Azure et les clés pré-partagées.Record the Azure gateway IP address and preshared keys.

  6. Configurer des périphériques VPN locaux.Configure on-premises VPN devices.

Pour plus d'informations sur la configuration d'un VPN multisite, consultez la rubrique Configuration d'un VPN multisite.For more information about configuring a multi-site VPN, see Configure a Multi-Site VPN.

Établir une passerelle VPN vers votre premier siteEstablish a VPN gateway to your first site

Lorsque vous créez votre passerelle virtuelle, notez que vous avez déjà spécifié qu'elle sera connectée à votre premier site local. Lorsque vous accédez au tableau de bord de réseau virtuel, vous pouvez voir que la passerelle n'a pas été créée.When creating your virtual gateway, note that you already specified that it will be connected to your first on-premises site. When you go into the virtual network dashboard, you will see that the gateway has not been created.

Pour établir la passerelle VPN du côté d'Azure, suivez les instructions de la section Démarrer la passerelle de réseau privé de la rubrique Configurer une passerelle de réseau virtuel dans le Portail de gestion.To establish the VPN gateway on the Azure side, follow the instructions in the Start the virtual network gateway section of Configure a Virtual Network Gateway in the Management Portal.

Important

Effectuez uniquement les étapes de la section « Démarrer la passerelle de réseau privé » de cet article, et ne passez pas aux sections suivantes.Only perform the steps in the "Start the virtual network gateway" section of the article, and do not continue to the subsequent sections.

Exporter des paramètres de configuration de réseau virtuelExport virtual network configuration settings

Le portail de gestion Azure ne vous permet pas actuellement de configurer un VPN multisite. Pour cette configuration, vous devez exporter les paramètres de configuration de réseau virtuel vers un fichier XML, puis modifiez ce fichier. Suivez les instructions de la section Exporter les paramètres de réseau virtuel dans un fichier de configuration réseau pour exporter vos paramètres.The Azure management portal doesn't currently allow you to configure a multi-site VPN. For this configuration, you need to export the virtual network configuration settings to an XML file and then modify that file. Follow the instructions atExport Virtual Network Settings to a Network Configuration File to export your settings.

Modifier les paramètres de configuration réseau pour le VPN multisiteModify the network configuration settings for the multi-site VPN

Ouvrez le fichier que vous avez exporté dans un éditeur XML. Les connexions de passerelle à vos sites locaux sont répertoriées dans la section « ConnectionsToLocalNetwork ». Recherchez ce terme dans le fichier XML pour localiser la section. Cette section du fichier de configuration ressemblera à ceci (en supposant que le nom de site que vous avez créé pour votre site local est « Site A »).Open the file you exported in any XML editor. The gateway connections to your on-premises sites are listed in the "ConnectionsToLocalNetwork" section. Search for that term in the XML file to locate the section. This section in the configuration file will look like the following (assuming the site name you created for your local site is "Site A").

<ConnectionsToLocalNetwork>
    <LocalNetworkSiteRef name="Site A">
        <Connection type="IPsec" />
</LocalNetworkSiteRef>

Pour configurer votre deuxième site, ajoutez une autre section « LocalNetworkSiteRef » sous la section « ConnectionsToLocalNetwork ». La section dans le fichier de configuration mis à jour se présentera comme suit (en supposant que le nom du site de votre deuxième site local est « Site B »).To configure your second site, add another "LocalNetworkSiteRef" section under the "ConnectionsToLocalNetwork" section. The section in the updated configuration file will look like the following (assuming the site name for your second local site is "Site B").

<ConnectionsToLocalNetwork>
    <LocalNetworkSiteRef name="Site A">
        <Connection type="IPsec" />
    <LocalNetworkSiteRef name="Site B">
        <Connection type="IPsec" />
</LocalNetworkSiteRef>

Enregistrez le fichier de paramètres de configuration mis à jour.Save the updated configuration settings file.

Importer les paramètres de configuration de réseau virtuelImport virtual network configuration settings

La deuxième référence de site que vous avez ajoutée au fichier de configuration déclenche la création d'un tunnel par Microsoft Azure. Importez le fichier mis à jour en suivant les instructions de la section Importer un fichier de configuration de réseau. Une fois l'importation terminée, le tableau de bord de réseau virtuel affiche les connexions de passerelle à vos deux sites locaux.The second site reference you've added to the configuration file will trigger Microsoft Azure to create a new tunnel. Import the updated file using the instructions in Import a Network Configuration File. After you complete the import, the virtual network dashboard will show the gateway connections to both of your local sites.

Enregistrez l'adresse IP de la passerelle Azure et les clés pré-partagées.Record the Azure gateway IP address and pre-shared keys

Une fois que les nouveaux paramètres de configuration réseau sont importés, le tableau de bord de réseau virtuel affichera l'adresse IP de la passerelle Azure. Il s'agit de l'adresse IP à laquelle se connecteront les périphériques VPN sur vos deux sites. Enregistrez cette adresse IP pour référence.After the new network configuration settings are imported, the virtual network dashboard will display the IP address for the Azure gateway. This is the IP address that the VPN devices on both of your sites will connect to. Record this IP address for reference.

Vous devrez également obtenir les clés IPsec/IKE pré-partagées pour chaque tunnel créé. Ces clés, ainsi que l'adresse IP de passerelle Azure, vous permettent de configurer vos périphériques VPN locaux.You also will need to get the pre-shared IPsec/IKE keys for each tunnel that was created. You will use these keys along with the Azure gateway IP address to configure your on-premises VPN devices.

Vous devez utiliser PowerShell pour obtenir les clés pré-partagées. Si vous ne savez pas comment utiliser PowerShell pour gérer Azure, consultez Azure PowerShell.You need to use PowerShell to get the pre-shared keys. If you aren't familiar with using PowerShell to manage Azure, see Azure PowerShell.

Utilisez la cmdlet Get-AzureVNetGatewayKey pour extraire les clés pré-partagées. Exécutez cette cmdlet une fois pour chaque tunnel. L'exemple suivant illustre les commandes que vous devez exécuter pour extraire les clés pour des tunnels entre le réseau virtuel « Site Azure » et les sites « Site A » et « Site B ». Dans cet exemple, les résultats sont enregistrés dans des fichiers distincts. Vous pouvez également mettre ces clés en pipeline avec d'autres cmdlets PowerShell ou les utiliser dans un script.Use the Get-AzureVNetGatewayKey cmdlet to extract the pre-shared keys. Run this cmdlet once for each tunnel. The following example shows the commands you need to run to extract the keys for tunnels between the virtual network "Azure Site" and sites "Site A" and "Site B." In this example, the outputs are saved into separate files. Alternatively, you can pipeline these keys to other PowerShell cmdlets or use them in a script.

Get-AzureVNETGatewayKey -VNetName "Azure Site" -LocalNetworkSiteName "Site A" > C:\Keys\KeysForTunnelToSiteA.txt 
Get-AzureVNETGatewayKey -VNetName "Azure Site" -LocalNetworkSiteName "Site B" > C:\Keys\KeysForTunnelToSiteB.txt

Configurer des périphériques VPN locauxConfigure on-premises VPN devices

Microsoft Azure fournit des scripts de configuration de périphérique VPN pour les périphériques VPN pris en charge. Cliquez sur le lien Télécharger le script du périphérique VPN dans le tableau de bord de réseau virtuel pour le script approprié pour vos périphériques VPN.Microsoft Azure provides VPN device configuration scripts for supported VPN devices. Click the Download VPN Device Script link on the virtual network dashboard for the appropriate script for your VPN devices.

Le script que vous téléchargez aura le paramètre de configuration pour le site que vous avez configuré lorsque vous avez configuré votre réseau virtuel et peut être utilisé tel quel pour configurer le périphérique VPN pour ce site. Par exemple, si vous avez spécifié Site A comme RÉSEAU LOCAL lorsque vous avez créé votre réseau virtuel, le script de périphérique VPN peut être utilisé pour Site A. Toutefois, vous devrez le modifier pour configurer le périphérique VPN pour Site B. Plus précisément, vous devez mettre à jour la clé pré-partagée pour qu'elle corresponde à la clé du second site.The script you download will have the configuration setting for the first site that you configured when you set up your virtual network, and can be used as is to configure the VPN device for that site. For example, if you specified Site A as the LOCAL NETWORK when you created your virtual network, the VPN device script can be used for Site A. However, you will need to modify it to configure the VPN device for Site B. Specifically, you need to update the pre-shared key to match the key for the second site.

Par exemple, si vous utilisez un périphérique VPN Routage et accès distant (RRAS) pour vos sites, vous devez :For example, if you're using a Routing and Remote Access Service (RRAS) VPN device for your sites, you will need to:

  1. Ouvrir le script de configuration dans un éditeur de texte.Open the configuration script in any text editor.

  2. Trouver la #Add S2S VPN interface section.Find the #Add S2S VPN interface section.

  3. Recherchez la commande Add-VpnS2SInterface dans cette section. Vérifiez que la valeur du paramètre Secret_partagé correspond à la clé pour le site pour lequel vous configurez le périphérique VPN.Find the Add-VpnS2SInterface command in this section. Verify that the value for the SharedSecret parameter matches the pre-shared key for the site for which you're configuring the VPN device.

D'autres périphériques peuvent nécessiter des vérifications supplémentaires. Par exemple, les scripts de configuration pour les périphériques Cisco définissent des règles ACL à l'aide de plages d'adresses IP locales. Vous devez examiner et vérifier toutes les références vers le site local dans le script de configuration avant de l'utiliser. Pour plus d'informations, consultez les sections suivantes :Other devices might require additional verifications. For example, the configuration scripts for Cisco devices set ACL rules by using the local IP address ranges. You need to review and verify all references to the local site in the configuration script before you use it. See the following topics for more information:

Modèles de service de routage et d'accès à distance (RRAS)Routing and Remote Access Service (RRAS) templates

Modèles Cisco ASRCisco ASR templates

Modèles Cisco ISRCisco ISR templates

Modèles Juniper SRXJuniper SRX templates

Modèles Juniper J-SeriesJuniper J-series templates

Modèles Juniper ISGJuniper ISG templates

Modèles Juniper SSGJuniper SSG templates

Point de contrôle : Examiner l'état VPNCheckpoint: Review the VPN status

À ce stade, vos deux sites sont connectés à votre réseau virtuel Azure via les passerelles VPN. Vous pouvez valider l'état du VPN multisite en exécutant la commande suivante dans PowerShell.At this point, both of your sites are connected to your Azure virtual network through the VPN gateways. You can validate the status of the multi-site VPN by running the following command in PowerShell.

Get-AzureVnetConnection -VNetName "Azure Site" | Format-Table LocalNetworkSiteName, ConnectivityState

Si les deux tunnels sont en cours d'exécution, la sortie de cette commande ressemble à la suivante.If both tunnels are up and running, the output of this command will look like the following.

LocalNetworkSiteName    ConnectivityState
--------------------    -----------------
Site A                  Connected
Site B                  Connected

Vous pouvez également vérifier la connectivité en consultant le tableau de bord de réseau virtuel dans le portail de gestion Azure. La colonne État pour les deux sites affiche Connecté.You can also verify connectivity by viewing the virtual network dashboard in the Azure management portal. The STATUS column for both sites will show as Connected.

Note

Après que la connexion a été établie, l'affichage de la modification de l'état dans le portail de gestion Azure peut prendre quelques minutes.It can take several minutes after the connection is successfully established for the status change to appear in the Azure management portal.

Phase 3 : Configurer des machines virtuellesPhase 3: Configure virtual machines

Vous devez créer au moins deux machines virtuelles dans Microsoft Azure pour ce déploiement : un contrôleur de domaine et un serveur de fichiers qui servira de témoin DAG.You need to create a minimum of two virtual machines in Microsoft Azure for this deployment: a domain controller and a file server that will serve as the DAG witness.

  1. Créez des machines virtuelles pour votre contrôleur de domaine et votre serveur de fichiers en suivant les instructions fournies dans Création d'une machine virtuelle exécutant Windows. Veillez à sélectionner le réseau virtuel que vous avez créé pour Région/Groupe d'affinités/Réseau virtuel lorsque vous spécifiez les paramètres de vos machines virtuelles.Create virtual machines for your domain controller and your file server using the instructions in Create a Virtual Machine Running Windows. Make sure that you select the virtual network you created for REGION/AFFINITY GROUP/VIRTUAL NETWORK when specifying the settings of your virtual machines.

  2. Spécifiez les adresses IP préférées pour le contrôleur de domaine et le serveur de fichiers à l'aide d'Azure PowerShell. Lorsque vous spécifiez une adresse IP préférée pour une machine virtuelle, elle doit être mise à jour, ce qui nécessite le redémarrage de la machine virtuelle. L'exemple suivant définit les adresses IP pour Azure-DC et Azure-FSW sur 10.0.0.10 et 10.0.0.11, respectivement.Specify preferred IP addresses for both the domain controller and the file server using Azure PowerShell. When you specify a preferred IP address for a VM, it needs to be updated, which will require restarting the VM. The following example sets the IP addresses for Azure-DC and Azure-FSW to 10.0.0.10 and 10.0.0.11 respectively.

    Get-AzureVM Azure-DC | Set-AzureStaticVNetIP -IPAddress 10.0.0.10 | Update-AzureVM
    
    Get-AzureVM Azure-FSW | Set-AzureStaticVNetIP -IPAddress 10.0.0.11 | Update-AzureVM
    

    Note

    Une machine virtuelle avec une adresse IP préférée tentera d'utiliser cette adresse. Toutefois, si cette adresse a été attribuée à une machine virtuelle différente, la machine virtuelle avec la configuration d'adresse IP préférée ne démarrera pas. Pour éviter cette situation, assurez-vous que l'adresse IP que vous utilisez n'est pas affectée à une autre machine virtuelle. Consultez Configuration d'une adresse IP interne statique pour une machine virtuelle pour plus d'informations.A VM with a preferred IP address will attempt to use that address. However, if that address has been assigned to a different VM, the VM with the preferred IP address configuration will not start. To avoid this situation, make sure that the IP address you use isn't assigned to another VM. See Configure a Static Internal IP Address for a VM for more information.

  3. Configurez la machine virtuelle du contrôleur de domaine sur Azure à l'aide des normes utilisées par votre organisation.Provision the domain controller VM on Azure using the standards used by your organization.

  4. Préparez le serveur de fichiers avec les conditions prérequises pour un témoin DAG d'Exchange :Prepare the file server with the prerequisites for an Exchange DAG witness:

  5. Ajoutez le rôle de serveur de fichiers à l'aide de l'Assistant d'ajout de rôles et de fonctionnalités ou de la cmdlet Add-WindowsFeature.Add the File Server role using the Add Roles and Features Wizard or the Add-WindowsFeature cmdlet.

  6. Ajoutez le groupe de sécurité universel du sous-système approuvé Exchange (Exchange Trusted Subsystem) au groupe Administrateurs local.Add the Exchange Trusted Subsystems universal security group to the Local Administrators group.

Point de contrôle : Consulter l'état de la machine virtuelleCheckpoint: Review virtual machine status

À ce stade, vos machines virtuelles doivent être en cours d'exécution et en mesure de communiquer avec les serveurs dans vos deux centres de données locaux :At this point, your virtual machines should be up and running and should be able to communicate with servers in both of your on-premises datacenters:

  • Vérifiez que votre contrôleur de domaine dans Azure réplique avec vos contrôleurs de domaine locaux.Verify that your domain controller in Azure is replicating with your on-premises domain controllers.

  • Vérifiez que vous pouvez atteindre le serveur de fichiers sur Azure par nom et établir une connexion SMB de vos serveurs Exchange.Verify that you can reach the file server on Azure by name and establish an SMB connection from your Exchange servers.

  • Vérifiez que vous pouvez atteindre vos serveurs Exchange par nom du serveur de fichiers sur Azure.Verify that you can reach your Exchange servers by name from the file server on Azure.

Phase 4 : Configurer le témoin DAGPhase 4: Configure the DAG witness

Enfin, vous devez configurer votre DAG pour utiliser le nouveau serveur témoin. Par défaut, Exchange utilise la C:\DAGFileShareWitnesses comme le chemin d’accès de fichier partage témoin sur votre serveur témoin. Si vous utilisez un chemin d’accès de fichier personnalisé, vous devez également mettre à jour le répertoire témoin pour le partage spécifique.Finally, you need to configure your DAG to use the new witness server. By default, Exchange uses the C:\DAGFileShareWitnesses as the file share witness path on your witness server. If you're using a custom file path, you should also update the witness directory for the specific share.

  1. Connectez-vous à Environnement de ligne de commande Exchange Management Shell.Connect to Exchange Management Shell.

  2. Exécutez la commande suivante pour configurer le serveur témoin pour vos DAG.Run the following command to configure the witness server for your DAGs.

    Set-DatabaseAvailabilityGroup -Identity DAG1 -WitnessServer Azure-FSW
    

Pour plus d'informations, consultez les sections suivantes :See the following topics for more information:

Configuration des propriétés du groupe de disponibilité de base de donnéesConfigure database availability group properties

Set-DatabaseAvailabilityGroupSet-DatabaseAvailabilityGroup

Point de contrôle : Valider le témoin de partage de fichiers DAGCheckpoint: Validate the DAG file share witness

À ce stade, vous avez configuré votre DAG pour utiliser le serveur de fichiers sur Azure comme témoin DAG. Procédez comme suit pour valider votre configuration :At this point, you have configured your DAG to use the file server on Azure as your DAG witness. Do the following to validate your configuration:

  1. Validez la configuration DAG en exécutant la commande suivante.Validate the DAG configuration by running the following command.

    Get-DatabaseAvailabilityGroup -Identity DAG1 -Status | Format-List Name, WitnessServer, WitnessDirectory, WitnessShareInUse
    

    Vérifiez que le paramètre WitnessServer est défini sur le serveur de fichiers sur Azure, le paramètre WitnessDirectory est défini sur le chemin d’accès correct, et le paramètre WitnessShareInUse indique principal.Verify that the WitnessServer parameter is set to the file server on Azure, the WitnessDirectory parameter is set to the correct path, and the WitnessShareInUse parameter shows Primary.

  2. Si le DAG a un nombre pair de nœuds, le témoin de partage de fichiers est configuré. Valider le témoin de partage de fichier définissant dans les propriétés du cluster en exécutant la commande suivante. La valeur du paramètre SharePath doit pointer vers le serveur de fichiers et afficher le chemin d’accès correct.If the DAG has an even number of nodes, the file share witness will be configured. Validate the file share witness setting in cluster properties by running the following command. The value for the SharePath parameter should point to the file server and display the correct path.

    Get-ClusterResource -Cluster MBX1 | Get-ClusterParameter | Format-List
    
  3. Ensuite, vérifiez l'état de la ressource de cluster « Témoin de partage de fichiers » en exécutant la commande suivante. L'State de la ressource de cluster doit afficher Online.Next, verify the status of the "File Share Witness" cluster resource by running the following command. The State of the cluster resource should display Online.

    Get-ClusterResource -Cluster MBX1
    
  4. Enfin, vérifiez que le partage est créé sur le serveur de fichiers en analysant le dossier dans l'Explorateur de fichiers et les partages dans le Gestionnaire de serveur.Lastly, verify that the share is successfully created on the file server by reviewing the folder in File Explorer and the shares in Server Manager.