Exchange Server: Uso di una macchina virtuale di Microsoft Azure come server di controllo del dag

L'uso di una macchina virtuale (VM) di Microsoft Azure come server di controllo del gruppo di disponibilità del database (DAG) richiede tre posizioni fisiche distinte:

• Due data center per i server cassette postali.
• Terza posizione per il server di controllo del dag.

Le organizzazioni con solo due posizioni fisiche ora possono anche sfruttare il failover automatico del data center usando una macchina virtuale di Microsoft Azure per fungere da server di controllo del dag. Questo articolo è incentrato sul posizionamento del server di controllo del dag in Microsoft Azure e presuppone che entrambe le istruzioni seguenti siano vere:

• Si ha familiarità con i concetti relativi alla resilienza del sito.
• Si dispone di un'infrastruttura dag completamente funzionale che si estende su due data center.

Se l'infrastruttura del gruppo di disponibilità del database non è già configurata, è consigliabile esaminare prima di tutto gli articoli seguenti:

• Disponibilità elevata e resilienza del sito
• Gruppi di disponibilità del database
• Pianificare la disponibilità elevata e la resilienza del sito

Modifiche a Microsoft Azure

Questa configurazione richiede una VPN multisito. È sempre stato possibile connettere la rete dell'organizzazione a Microsoft Azure usando una connessione VPN da sito a sito. In passato, tuttavia, Azure supportava solo una singola VPN da sito a sito. Poiché la configurazione di un dag e del relativo server di controllo dei dati in tre data center richiedeva più VPN da sito a sito, inizialmente non era possibile posizionare il server di controllo del dag in una macchina virtuale di Azure.

Nel giugno 2014, Microsoft Azure ha introdotto il supporto VPN multisito, che ha consentito alle organizzazioni di connettere più data center alla stessa rete virtuale di Azure. Questa modifica ha anche consentito alle organizzazioni con due data center di usare Microsoft Azure come terza posizione per posizionare i server di controllo del dag. Per altre informazioni sulla funzionalità VPN multisito in Azure, vedere Configurare una VPN multisito.

Nota

Questa configurazione usa macchine virtuali di Azure e una VPN multisito per la distribuzione del server di controllo e non usa il server di controllo cloud di Azure.

Server di controllo del file server di Microsoft Azure

Il diagramma seguente offre una panoramica dell'uso di una macchina virtuale del file server di Microsoft Azure come server di controllo del dag. È necessaria una rete virtuale di Azure, una VPN multisito che connette i data center alla rete virtuale di Azure e un controller di dominio e un file server distribuiti nelle macchine virtuali di Azure.

Nota

È tecnicamente possibile usare una singola macchina virtuale di Azure a questo scopo e inserire la condivisione di controllo file nel controller di dominio. Tuttavia, ciò comporterà un'elevazione dei privilegi non necessaria. Pertanto, non si tratta di una configurazione consigliata.

Server di controllo del dag in Microsoft Azure

La prima cosa da fare per usare una macchina virtuale di Microsoft Azure per il server di controllo del dag è ottenere una sottoscrizione. Per informazioni sul modo migliore per acquisire una sottoscrizione di Azure, vedere Come acquistare Azure .

Dopo aver creato la sottoscrizione di Azure, è necessario seguire questa procedura per:

1. Preparare la rete virtuale di Microsoft Azure
2. Configurare una VPN multisito
3. Configurare le macchine virtuali
4. Configurare il server di controllo del gruppo di disponibilità del database

Nota

Una parte significativa delle linee guida in questo articolo include la configurazione di Microsoft Azure. Pertanto, quando possibile, viene fornito un collegamento alla documentazione di Azure.

Prerequisiti

• Due data center in grado di supportare una distribuzione con disponibilità elevata e resilienza del sito di Exchange. Per altre informazioni, vedere Pianificare la disponibilità elevata e la resilienza del sito .

• Un indirizzo IP pubblico che non è dietro NAT per i gateway VPN in ogni sito.

• Un dispositivo VPN in ogni sito compatibile con Microsoft Azure. Per altre informazioni, vedere Informazioni sui dispositivi VPN per Rete virtuale.

• Familiarità con i concetti e la gestione del dag.

• Familiarità con Windows PowerShell.

Fase 1: Preparare la rete virtuale di Microsoft Azure

La configurazione della rete di Microsoft Azure è la parte più cruciale del processo di distribuzione. Al termine di questa fase, si ottiene una rete virtuale di Azure completamente funzionante connessa ai due data center tramite una VPN multisito.

Registrare i server DNS

Poiché questa configurazione richiede la risoluzione dei nomi tra i server locali e le macchine virtuali di Azure, è necessario configurare Azure per usare i propri server DNS. L'articolo Risoluzione dei nomi per le risorse nelle reti virtuali di Azure offre una panoramica della risoluzione dei nomi in Azure.

Per registrare i server DNS, eseguire le operazioni seguenti:

1. Nella portale di Azure passare alle reti e quindi selezionare NUOVO.

2. Selezionare NETWORK SERVICESVIRTUAL NETWORKREGISTER DNS SERVER (SERVER DNS DI REGISTRAZIONE RETE VIRTUALE SERVIZI > DI RETE > VIRTUALE).

3. Digitare il nome e l'indirizzo IP per il server DNS. Il nome specificato qui è un nome logico usato nel portale di gestione e non deve corrispondere al nome effettivo del server DNS.

4. Ripetere i passaggi da 1 a 3 per qualsiasi altro server DNS da aggiungere.

   Nota

   I server DNS registrati non vengono usati in modo round robin. Le macchine virtuali di Azure useranno il primo server DNS elencato e useranno eventuali server aggiuntivi solo se il primo non è disponibile.

5. Ripetere i passaggi da 1 a 3 per aggiungere l'indirizzo IP da usare per il controller di dominio distribuito in Microsoft Azure.

Creare oggetti di rete locali (locali) in Azure

Eseguire quindi le operazioni seguenti per creare oggetti di rete logici che rappresentano i data center in Microsoft Azure:

1. Nel portale di Azure, quindi passare alle reti e quindi selezionare NUOVO.

2. Selezionare RETE VIRTUALE SERVIZI>DI RETE>AGGIUNGI RETE LOCALE.

3. Digitare il nome del primo sito del data center e l'indirizzo IP del dispositivo VPN in tale sito. Questo indirizzo IP deve essere un indirizzo IP pubblico statico che non si trovi dietro NAT.

4. Nella schermata successiva specificare le subnet IP per il primo sito.

5. Ripetere i passaggi da 1 a 4 per il secondo sito.

Creare la rete virtuale di Azure

A questo scopo, seguire questa procedura per creare una rete virtuale di Azure usata dalle macchine virtuali:

1. Nella portale di Azure passare alle reti e quindi selezionare NUOVO.

2. Selezionare NETWORK SERVICESVIRTUAL NETWORKCUSTOM CREATE (CREA PERSONALIZZATARETE VIRTUALE SERVIZI> DI RETE>).

3. Nella pagina Dettagli Rete virtuale specificare un nome per la rete virtuale e selezionare una posizione geografica per la rete.

4. Nella pagina Server DNS e connettività VPN verificare che i server DNS registrati in precedenza siano elencati come server DNS.

5. Selezionare la casella di controllo Configura una VPN da sito a sito in CONNETTIVITÀ DA SITO A SITO.

   Importante

   Non selezionare Usa ExpressRoute perché ciò impedirà le modifiche di configurazione necessarie per configurare una VPN multisito.

6. In RETE LOCALE selezionare una delle due reti locali configurate.

7. Nella pagina spazi degli indirizzi Rete virtuale specificare l'intervallo di indirizzi IP da usare per la rete virtuale di Azure.

Checkpoint: esaminare la configurazione di rete

A questo punto, quando si passa alle reti, verrà visualizzata la rete virtuale configurata in RETI VIRTUALI, i siti locali in RETI LOCALI e i server DNS registrati in SERVER DNS.

Fase 2: Configurare una VPN multisito

Usare la procedura seguente per stabilire i gateway VPN per i siti locali:

1. Stabilire un gateway VPN per uno dei siti usando il portale di Azure.
2. Esportare le impostazioni di configurazione della rete virtuale.
3. Modificare il file di configurazione per la VPN multisito.
4. Importare la configurazione di rete di Azure aggiornata.
5. Registrare l'indirizzo IP del gateway di Azure e le chiavi precondivise.
6. Configurare i dispositivi VPN locali.

Per altre informazioni sulla configurazione di una VPN multisito, vedere Configurare una VPN multisito.

Stabilire un gateway VPN per il primo sito

Quando si crea il gateway virtuale, è già stato specificato che è connesso al primo sito locale. Quando si passa al dashboard della rete virtuale, si nota che il gateway non è stato creato.

Per stabilire il gateway VPN sul lato Azure, vedere Gateway VPN.

Importante

Eseguire solo i passaggi descritti nella sezione "Avviare il gateway di rete virtuale" dell'articolo e non continuare con le sezioni successive.

Esportare le impostazioni di configurazione della rete virtuale

Il portale di gestione di Azure attualmente non consente di configurare una VPN multisito. Per questa configurazione, è necessario esportare le impostazioni di configurazione della rete virtuale in un file XML e quindi modificare tale file. Per esportare le impostazioni, seguire le istruzioni riportate in Esporta impostazioni Rete virtuale in un file di configurazione di rete.

Modificare le impostazioni di configurazione di rete per la VPN multisito

Aprire il file esportato in qualsiasi editor XML. Le connessioni gateway ai siti locali sono elencate nella sezione "ConnectionsToLocalNetwork". Cercare il termine nel file XML per individuare la sezione . Questa sezione del file di configurazione è simile all'esempio seguente (il nome del sito di esempio creato per il sito locale è "Sito A").

<ConnectionsToLocalNetwork>
    <LocalNetworkSiteRef name="Site A">
        <Connection type="IPsec" />
</LocalNetworkSiteRef>

Per configurare il secondo sito, aggiungere un'altra sezione "LocalNetworkSiteRef" nella sezione "ConnectionsToLocalNetwork". La sezione nel file di configurazione aggiornato è simile all'esempio seguente (il nome del sito di esempio per il secondo sito locale è "Site B").

<ConnectionsToLocalNetwork>
    <LocalNetworkSiteRef name="Site A">
        <Connection type="IPsec" />
    <LocalNetworkSiteRef name="Site B">
        <Connection type="IPsec" />
</LocalNetworkSiteRef>

Salvare il file delle impostazioni di configurazione aggiornato.

Importare le impostazioni di configurazione della rete virtuale

Il secondo riferimento al sito aggiunto al file di configurazione attiva Microsoft Azure per creare un nuovo tunnel. Importare il file aggiornato usando le istruzioni in Creare una rete virtuale (classica) usando il portale di Azure. Dopo aver completato l'importazione, il dashboard della rete virtuale mostrerà le connessioni del gateway a entrambi i siti locali.

Registrare l'indirizzo IP del gateway di Azure e le chiavi precondivise

Dopo l'importazione delle nuove impostazioni di configurazione di rete, nel dashboard della rete virtuale verrà visualizzato l'indirizzo IP per il gateway di Azure. I dispositivi VPN in entrambi i siti si connettono a questo indirizzo IP. Registrare questo indirizzo IP come riferimento.

È anche necessario ottenere le chiavi IPsec/IKE precondivise per ogni tunnel creato. Queste chiavi e l'indirizzo IP del gateway di Azure vengono usati per configurare i dispositivi VPN locali.

È necessario usare PowerShell per ottenere le chiavi precondivise. Se non si ha familiarità con l'uso di PowerShell per gestire Azure, vedere Azure PowerShell.

Usare il cmdlet Get-AzureVNetGatewayKey per estrarre le chiavi precondivise. Eseguire questo cmdlet una volta per ogni tunnel. L'esempio seguente illustra i comandi da eseguire per estrarre le chiavi per i tunnel tra la rete virtuale "Sito di Azure" e i siti "Sito A" e "Sito B". In questo esempio gli output vengono salvati in file separati. In alternativa, è possibile eseguire la pipeline di queste chiavi ad altri cmdlet di PowerShell o usarle in uno script.

Get-AzureVNETGatewayKey -VNetName "Azure Site" -LocalNetworkSiteName "Site A" | Set-Content -Path C:\Keys\KeysForTunnelToSiteA.txt
Get-AzureVNETGatewayKey -VNetName "Azure Site" -LocalNetworkSiteName "Site B" | Set-Content -Path C:\Keys\KeysForTunnelToSiteB.txt

Configurare i dispositivi VPN locali

Microsoft Azure fornisce script di configurazione del dispositivo VPN per i dispositivi VPN supportati. Selezionare il collegamento Scarica script dispositivo VPN nel dashboard della rete virtuale per lo script appropriato per i dispositivi VPN.

Lo script scaricato ha l'impostazione di configurazione per il primo sito configurato durante la configurazione della rete virtuale e può essere usato così come è per configurare il dispositivo VPN per tale sito. Ad esempio, se è stato specificato il sito A come RETE LOCALE al momento della creazione della rete virtuale, lo script del dispositivo VPN può essere usato per il sito A. Tuttavia, è necessario modificarlo per configurare il dispositivo VPN per il sito B. In particolare, è necessario aggiornare la chiave precondivisa in modo che corrisponda alla chiave per il secondo sito.

Ad esempio, se si usa un dispositivo VPN RRAS (Routing and Remote Access Service) per i siti, è necessario:

1. Aprire lo script di configurazione in qualsiasi editor di testo.

2. Trovare la #Add S2S VPN interface sezione .

3. Trovare il comando Add-VpnS2SInterface in questa sezione. Verificare che il valore per il parametro SharedSecret corrisponda alla chiave precondivisa per il sito per cui si sta configurando il dispositivo VPN.

Altri dispositivi potrebbero richiedere più verifiche. Ad esempio, gli script di configurazione per i dispositivi Cisco impostano regole ACL usando gli intervalli di indirizzi IP locali. Prima di usarlo, è necessario esaminare e verificare tutti i riferimenti al sito locale nello script di configurazione.

Checkpoint: esaminare lo stato della VPN

A questo punto, entrambi i siti sono connessi alla rete virtuale di Azure tramite i gateway VPN. È possibile convalidare lo stato della VPN multisito eseguendo il comando seguente in PowerShell.

Get-AzureVnetConnection -VNetName "Azure Site" | Format-Table LocalNetworkSiteName, ConnectivityState

Se entrambi i tunnel sono attivi e in esecuzione, l'output di questo comando sarà simile all'esempio seguente.

LocalNetworkSiteName    ConnectivityState
--------------------    -----------------
Site A                  Connected
Site B                  Connected

È anche possibile verificare la connettività visualizzando il dashboard della rete virtuale nel portale di gestione di Azure. Il valore STATUS per entrambi i siti viene visualizzato come Connesso.

Nota

La visualizzazione della modifica dello stato nel portale di gestione di Azure può richiedere alcuni minuti dopo che la connessione è stata stabilita correttamente.

Fase 3: Configurare le macchine virtuali

È necessario creare almeno due macchine virtuali in Microsoft Azure per questa distribuzione: un controller di dominio e un file server da usare come server di controllo del dag.

1. Creare macchine virtuali per il controller di dominio e il file server usando le istruzioni in Creare una macchina virtuale che esegue Windows. Assicurarsi di selezionare la rete virtuale creata per REGION/AFFINITY GROUP/VIRTUAL NETWORK quando si specificano le impostazioni delle macchine virtuali.

2. Specificare gli indirizzi IP preferiti sia per il controller di dominio che per il file server usando Azure PowerShell. Quando si specifica un indirizzo IP preferito per una macchina virtuale, è necessario aggiornarlo, che richiede il riavvio della macchina virtuale. L'esempio seguente imposta gli indirizzi IP per Azure-DC e Azure-FSW rispettivamente su 10.0.0.10 e 10.0.0.11.

   Get-AzureVM Azure-DC | Set-AzureStaticVNetIP -IPAddress 10.0.0.10 | Update-AzureVM
   

   Get-AzureVM Azure-FSW | Set-AzureStaticVNetIP -IPAddress 10.0.0.11 | Update-AzureVM
   

   Nota

   Una macchina virtuale con un indirizzo IP preferito tenterà di usare tale indirizzo. Tuttavia, se tale indirizzo è stato assegnato a una macchina virtuale diversa, la macchina virtuale con la configurazione dell'indirizzo IP preferita non verrà avviata. Per evitare questa situazione, assicurarsi che l'indirizzo IP usato non sia assegnato a un'altra macchina virtuale.

3. Effettuare il provisioning della macchina virtuale del controller di dominio in Azure usando gli standard usati dall'organizzazione.

4. Preparare il file server con i prerequisiti per un server di controllo del dag di Exchange:

   1. Aggiungere il ruolo File Server usando l'Aggiunta guidata ruoli e funzionalità o il cmdlet Install-WindowsFeature .

   2. Aggiungere il gruppo di sicurezza universale Sottosistemi attendibili di Exchange al gruppo Amministratori locali.

Checkpoint: esaminare lo stato della macchina virtuale

A questo punto, le macchine virtuali devono essere in esecuzione e devono essere in grado di comunicare con i server in entrambi i data center locali:

• Verificare che il controller di dominio in Azure si stia replicando con i controller di dominio locali.

• Verificare che sia possibile raggiungere il file server in Azure per nome e stabilire una connessione SMB dai server Exchange.

• Verificare che sia possibile raggiungere i server Exchange per nome dal file server in Azure.

Fase 4: Configurare il server di controllo del dag

Infine, è necessario configurare il dag per usare il nuovo server di controllo del mirroring. Per impostazione predefinita, Exchange usa C:\DAGFileShareWitnesses come percorso di controllo della condivisione file nel server di controllo del mirroring. Se si usa un percorso di file personalizzato, è necessario aggiornare anche la directory di controllo per la condivisione specifica.

1. Connettersi a Exchange Management Shell.

2. Eseguire il comando seguente per configurare il server di controllo del mirroring per i dag.

   Set-DatabaseAvailabilityGroup -Identity DAG1 -WitnessServer Azure-FSW
   

Per altre informazioni, vedere gli articoli seguenti:

Configurare le proprietà del gruppo di disponibilità del database.

Set-DatabaseAvailabilityGroup.

Checkpoint: convalidare il controllo della condivisione file dag

A questo punto, il dag è configurato per usare il file server in Azure come server di controllo del dag. Eseguire la procedura seguente per convalidare la configurazione:

1. Convalidare la configurazione del gruppo di disponibilità del database eseguendo il comando seguente.

   Get-DatabaseAvailabilityGroup -Identity DAG1 -Status | Format-List Name, WitnessServer, WitnessDirectory, WitnessShareInUse
   

   Verificare che il parametro WitnessServer sia impostato sul file server in Azure, che il parametro WitnessDirectory sia impostato sul percorso corretto e che il parametro WitnessShareInUse mostri Primary.

2. Se il dag ha un numero pari di nodi, viene configurato il server di controllo della condivisione file. Convalidare l'impostazione di controllo della condivisione file nelle proprietà del cluster eseguendo il comando seguente. Il valore per il parametro SharePath deve puntare al file server e visualizzare il percorso corretto.

   Get-ClusterResource -Cluster MBX1 | Get-ClusterParameter | Format-List
   

3. Verificare quindi lo stato della risorsa cluster "File Share Witness" eseguendo il comando seguente. Lo stato della risorsa cluster deve essere visualizzato Online.

   Get-ClusterResource -Cluster MBX1
   

4. Verificare infine che la condivisione sia stata creata correttamente nel file server esaminando la cartella in Esplora file e le condivisioni in Server Manager.