Penyebaran AD FS lintas geografis ketersediaan tinggi di Azure dengan Azure Traffic Manager

Penyebaran Layanan Federasi Direktori Aktif di Azure menyediakan pedoman langkah demi langkah tentang bagaimana Anda dapat menyebarkan infrastruktur LAYANAN Federasi Direktori Aktif sederhana untuk organisasi Anda di Azure. Artikel ini menyediakan langkah-langkah berikutnya untuk membuat penyebaran layanan federasi direktori aktif lintas geografis di Azure menggunakan Azure Traffic Manager. Azure Traffic Manager membantu menciptakan ketersediaan tinggi yang tersebar secara geografis dan infrastruktur LAYANAN Federasi Direktori Aktif berkinerja tinggi untuk organisasi Anda dengan memanfaatkan berbagai metode perutean yang tersedia agar sesuai dengan kebutuhan yang berbeda dari infrastruktur.

Infrastruktur AD FS lintas geografis yang sangat tersedia memungkinkan:

• Penghapusan titik kegagalan tunggal: Dengan kemampuan failover Azure Traffic Manager, Anda dapat mencapai infrastruktur LAYANAN Federasi Direktori Aktif yang sangat tersedia bahkan ketika salah satu pusat data di bagian dunia tidak berfungsi
• Peningkatan performa: Anda dapat menggunakan penyebaran yang disarankan dalam artikel ini untuk menyediakan infrastruktur AD FS berkinerja tinggi yang dapat membantu pengguna mengautentikasi lebih cepat.

Prinsip desain

Prinsip desain dasar akan sama seperti yang tercantum dalam prinsip Desain dalam artikel penyebaran Layanan Federasi Direktori Aktif di Azure. Diagram di atas menunjukkan ekstensi sederhana penyebaran dasar ke wilayah geografis lain. Di bawah ini adalah beberapa poin yang perlu dipertimbangkan saat memperluas penyebaran Anda ke wilayah geografis baru

• Jaringan virtual: Anda harus membuat jaringan virtual baru di wilayah geografis yang ingin Anda sebarkan infrastruktur AD FS tambahan. Dalam diagram di atas Anda melihat VNET Geo1 dan Geo2 VNET sebagai dua jaringan virtual di setiap wilayah geografis.
• Pengontrol domain dan server LAYANAN Federasi Direktori Aktif di VNET geografis baru: Disarankan untuk menyebarkan pengendali domain di wilayah geografis baru sehingga server Layanan Federasi Direktori Aktif di wilayah baru tidak perlu menghubungi pengendali domain di jaringan lain yang jauh untuk menyelesaikan autentikasi dan dengan demikian meningkatkan performa.
• Storage akun: akun Storage dikaitkan dengan suatu wilayah. Karena Anda akan menyebarkan komputer di wilayah geografis baru, Anda harus membuat akun penyimpanan baru untuk digunakan di wilayah tersebut.
• Kelompok Keamanan Jaringan: Sebagai akun penyimpanan, Kelompok Keamanan Jaringan yang dibuat di suatu wilayah tidak dapat digunakan di wilayah geografis lain. Oleh karena itu, Anda harus membuat kelompok keamanan jaringan baru yang mirip dengan yang ada di wilayah geografis pertama untuk subnet INT dan DMZ di wilayah geografis baru.
• Label DNS untuk alamat IP publik: Azure Traffic Manager hanya dapat merujuk ke titik akhir melalui label DNS. Oleh karena itu, Anda diharuskan membuat label DNS untuk alamat IP publik External Load Balancer.
• Azure Traffic Manager: Microsoft Azure Traffic Manager memungkinkan Anda mengontrol distribusi lalu lintas pengguna ke titik akhir layanan Anda yang berjalan di pusat data yang berbeda di seluruh dunia. Azure Traffic Manager berfungsi di tingkat DNS. Ini menggunakan respons DNS untuk mengarahkan lalu lintas pengguna akhir ke titik akhir yang didistribusikan secara global. Klien kemudian terhubung ke titik akhir tersebut secara langsung. Dengan berbagai opsi perutean Performa, Tertimbang, dan Prioritas, Anda dapat dengan mudah memilih opsi perutean yang paling cocok untuk kebutuhan organisasi Anda.
• Konektivitas V-net ke V-net antara dua wilayah: Anda tidak perlu memiliki konektivitas antara jaringan virtual itu sendiri. Karena setiap jaringan virtual memiliki akses ke pengontrol domain dan memiliki layanan federasi direktori aktif dan server WAP dengan sendirinya, mereka dapat bekerja tanpa konektivitas antara jaringan virtual di berbagai wilayah.

Langkah-langkah untuk mengintegrasikan Azure Traffic Manager

Menyebarkan Layanan Federasi Direktori Aktif di wilayah geografis baru

Ikuti langkah-langkah dan panduan dalam penyebaran Layanan Federasi Direktori Aktif di Azure untuk menyebarkan topologi yang sama di wilayah geografis baru.

Label DNS untuk alamat IP publik Load Balancer Yang Menghadap Internet (publik)

Seperti disebutkan di atas, Azure Traffic Manager hanya dapat merujuk ke label DNS sebagai titik akhir dan oleh karena itu penting untuk membuat label DNS untuk alamat IP publik External Load Balancers. Cuplikan layar di bawah ini memperlihatkan bagaimana Anda dapat mengonfigurasi label DNS Anda untuk alamat IP publik.

Menyebarkan Azure Traffic Manager

Ikuti langkah-langkah di bawah ini untuk membuat profil traffic manager. Untuk informasi selengkapnya, Anda juga dapat merujuk ke Mengelola profil Azure Traffic Manager.

1. Membuat profil Traffic Manager: Beri nama unik pada profil traffic manager Anda. Nama profil ini adalah bagian dari nama DNS dan bertindak sebagai awalan untuk label nama domain Traffic Manager. Nama / awalan ditambahkan ke .trafficmanager.net untuk membuat label DNS untuk manajer lalu lintas Anda. Cuplikan layar di bawah ini menunjukkan awalan DNS traffic manager yang ditetapkan sebagai myst dan label DNS yang dihasilkan akan mysts.trafficmanager.net.

   

2. Metode perutean lalu lintas: Ada tiga opsi perutean yang tersedia di pengelola lalu lintas:

   • Prioritas

   • Performa

   • Tertimbang

     Performa adalah opsi yang direkomendasikan untuk mencapai infrastruktur LAYANAN Federasi Direktori Aktif yang sangat responsif. Namun, Anda dapat memilih metode perutean apa pun yang paling cocok untuk kebutuhan penyebaran Anda. Fungsionalitas Layanan Federasi Direktori Aktif tidak terpengaruh oleh opsi perutean yang dipilih. Lihat Traffic Manager metode perutean lalu lintas untuk informasi selengkapnya. Dalam cuplikan layar sampel di atas Anda dapat melihat metode Performa dipilih.

3. Mengonfigurasi titik akhir: Di halaman traffic manager, klik titik akhir dan pilih Tambahkan. Ini akan membuka halaman Tambahkan titik akhir yang mirip dengan cuplikan layar di bawah ini

   

   Untuk input yang berbeda, ikuti panduan di bawah ini:

   Jenis: Pilih titik akhir Azure karena kami akan menunjuk ke alamat IP publik Azure.

   Nama: Buat nama yang ingin Anda kaitkan dengan titik akhir. Ini bukan nama DNS dan tidak memiliki bantalan pada catatan DNS.

   Jenis sumber daya target: Pilih Alamat IP publik sebagai nilai untuk properti ini.

   Sumber daya target: Ini akan memberi Anda opsi untuk memilih dari berbagai label DNS yang telah Anda sediakan di bawah langganan Anda. Pilih label DNS yang sesuai dengan titik akhir yang Sedang Anda konfigurasi.

   Tambahkan titik akhir untuk setiap wilayah geografis tempat Anda ingin Azure Traffic Manager merutekan lalu lintas. Untuk informasi selengkapnya dan langkah-langkah terperinci tentang cara menambahkan/mengonfigurasi titik akhir di pengelola lalu lintas, lihat Menambahkan, menonaktifkan, mengaktifkan, atau menghapus titik akhir

4. Mengonfigurasi pemeriksaan: Di halaman traffic manager, klik Konfigurasi. Di halaman konfigurasi, Anda perlu mengubah pengaturan monitor untuk pemeriksaan di port HTTP 80 dan jalur relatif /adfs/probe

   

   Catatan

   Pastikan bahwa status titik akhir ONLINE setelah konfigurasi selesai. Jika semua titik akhir dalam status 'terdegradasi', Azure Traffic Manager akan melakukan upaya terbaik untuk merutekan lalu lintas dengan asumsi bahwa diagnostik salah dan semua titik akhir dapat dijangkau.

5. Mengubah catatan DNS untuk Azure Traffic Manager: Layanan federasi Anda harus menjadi CNAME ke nama DNS Azure Traffic Manager. Buat CNAME di catatan DNS publik sehingga siapa pun yang mencoba menjangkau layanan federasi benar-benar mencapai Azure Traffic Manager.

   Misalnya, untuk mengarahkan layanan federasi fs.fabidentity.com ke Traffic Manager, Anda harus memperbarui catatan sumber daya DNS Anda menjadi berikut:

   fs.fabidentity.com IN CNAME mysts.trafficmanager.net

Menguji perutean dan masuk LAYANAN Federasi Direktori Aktif

Uji perutean

Pengujian yang sangat mendasar untuk perutean adalah mencoba ping nama DNS layanan federasi dari komputer di setiap wilayah geografis. Tergantung pada metode perutean yang dipilih, titik akhir yang sebenarnya ping akan tercermin dalam tampilan ping. Misalnya, jika Anda memilih perutean performa, maka titik akhir terdekat dengan wilayah klien akan tercapai. Di bawah ini adalah rekam jepret dua ping dari dua mesin klien wilayah yang berbeda, satu di wilayah EastAsia dan satu di AS Barat.

Uji masuk Layanan Federasi Direktori Aktif

Cara termampu untuk menguji Layanan Federasi Direktori Aktif adalah dengan menggunakan halaman IdpInitiatedSignon.aspx. Untuk dapat melakukannya, diperlukan untuk mengaktifkan IdpInitiatedSignOn pada properti Layanan Federasi Direktori Aktif. Ikuti langkah-langkah di bawah ini untuk memverifikasi penyiapan LAYANAN Federasi Direktori Aktif Anda

1. Jalankan cmdlet di bawah ini di server LAYANAN Federasi Direktori Aktif, menggunakan PowerShell, untuk mengaturnya ke diaktifkan. Set-AdfsProperties -EnableIdPInitiatedSignonPage $true

2. Dari akses komputer eksternal apa pun https://<yourfederationservicedns>/adfs/ls/IdpInitiatedSignon.aspx

3. Anda akan melihat halaman Layanan Federasi Direktori Aktif seperti di bawah ini:

   

   dan saat berhasil masuk, ini akan memberi Anda pesan sukses seperti yang ditunjukkan di bawah ini:

   

Tautan terkait

• Penyebaran Layanan Federasi Direktori Aktif dasar di Azure
• Microsoft Azure Traffic Manager
• Traffic Manager metode perutean lalu lintas

Langkah berikutnya

• Mengelola profil Azure Traffic Manager
• Menambahkan, menonaktifkan, mengaktifkan, atau menghapus titik akhir