Federatief hoge beschikbaarheid fase 3: AD FS-servers configurerenHigh availability federated authentication Phase 3: Configure AD FS servers

In deze fase van het implementeren van hoge beschikbaarheid voor Microsoft 365 federatieve verificatie in Azure-infrastructuurservices, maakt u een interne load balancer en twee AD FS-servers.In this phase of deploying high availability for Microsoft 365 federated authentication in Azure infrastructure services, you create an internal load balancer and two AD FS servers.

U moet deze fase voltooien voordat u verder gaat met fase 4: Webtoepassingsproxies configureren.You must complete this phase before moving on to Phase 4: Configure web application proxies. Zie Federatieverificatie met hoge beschikbaarheid implementeren voor Microsoft 365 in Azure voor alle fasen.See Deploy high availability federated authentication for Microsoft 365 in Azure for all of the phases.

Virtuele machines voor AD FS-server maken in AzureCreate the AD FS server virtual machines in Azure

Gebruik het volgende blok met PowerShell-opdrachten om de virtuele machines voor de twee AD FS-servers te maken.Use the following block of PowerShell commands to create the virtual machines for the two AD FS servers. In deze PowerShell-opdrachtset worden waarden uit de volgende tabellen gebruikt:This PowerShell command set uses values from the following tables:

  • Tabel M, voor uw virtuele machinesTable M, for your virtual machines

  • Tabel R, voor uw resourcegroepenTable R, for your resource groups

  • Tabel V, voor uw virtuele netwerkinstellingenTable V, for your virtual network settings

  • Tabel S, voor uw subnettenTable S, for your subnets

  • Tabel I, voor uw statische IP-adressenTable I, for your static IP addresses

  • Tabel A, voor uw beschikbaarheidssetsTable A, for your availability sets

U hebt tabel M gedefinieerd in fase 2: Domeincontrollers en tabellen R, V, S, I en A configureren in fase 1: Azure configureren.Recall that you defined Table M in Phase 2: Configure domain controllers and Tables R, V, S, I, and A in Phase 1: Configure Azure.

Notitie

Met de volgende opdrachtsets wordt de meest recente versie van Azure PowerShell gebruikt.The following command sets use the latest version of Azure PowerShell. Zie Aan de slag met Azure PowerShell.See Get started with Azure PowerShell.

Eerst maakt u een Azure Internal Load Balancer voor de twee AD FS-servers.First, you create an Azure internal load balancer for the two AD FS servers. Geef de waarden op voor de variabelen en verwijder de < and > tekens.Specify the values for the variables, removing the < and > characters. Wanneer u alle juiste waarden hebt opgegeven, kunt u het resulterende blok uitvoeren bij de opdrachtprompt Azure PowerShell powershell of in de PowerShell-ise.When you have supplied all the proper values, run the resulting block at the Azure PowerShell command prompt or in the PowerShell ISE.

Tip

Als u kant-en-klaar PowerShell-opdrachtblokken wilt genereren op basis van uw aangepaste instellingen, gebruikt u deze Microsoft Excel configuratiewerkboek.To generate ready-to-run PowerShell command blocks based on your custom settings, use this Microsoft Excel configuration workbook.

# Set up key variables
$locName="<your Azure location>"
$vnetName="<Table V - Item 1 - Value column>"
$subnetName="<Table R - Item 2 - Subnet name column>"
$privIP="<Table I - Item 4 - Value column>"
$rgName=<Table R - Item 4 - Resource group name column>"

$vnet=Get-AzVirtualNetwork -Name $vnetName -ResourceGroupName $rgName
$subnet=Get-AzVirtualNetworkSubnetConfig -VirtualNetwork $vnet -Name $subnetName

$frontendIP=New-AzLoadBalancerFrontendIpConfig -Name "ADFSServers-LBFE" -PrivateIPAddress $privIP -Subnet $subnet
$beAddressPool=New-AzLoadBalancerBackendAddressPoolConfig -Name "ADFSServers-LBBE"

$healthProbe=New-AzLoadBalancerProbeConfig -Name WebServersProbe -Protocol "TCP" -Port 443 -IntervalInSeconds 15 -ProbeCount 2
$lbrule=New-AzLoadBalancerRuleConfig -Name "HTTPSTraffic" -FrontendIpConfiguration $frontendIP -BackendAddressPool $beAddressPool -Probe $healthProbe -Protocol "TCP" -FrontendPort 443 -BackendPort 443
New-AzLoadBalancer -ResourceGroupName $rgName -Name "ADFSServers" -Location $locName -LoadBalancingRule $lbrule -BackendAddressPool $beAddressPool -Probe $healthProbe -FrontendIpConfiguration $frontendIP

Maak vervolgens de virtuele machines van de AD FS-server.Next, create the AD FS server virtual machines.

Wanneer u alle juiste waarden hebt opgegeven, kunt u het resulterende blok uitvoeren bij de opdrachtprompt Azure PowerShell powershell of in de PowerShell-ise.When you have supplied all the proper values, run the resulting block at the Azure PowerShell command prompt or in the PowerShell ISE.

# Set up variables common to both virtual machines
$locName="<your Azure location>"
$vnetName="<Table V - Item 1 - Value column>"
$subnetName="<Table R - Item 2 - Subnet name column>"
$avName="<Table A - Item 2 - Availability set name column>"
$rgNameTier="<Table R - Item 2 - Resource group name column>"
$rgNameInfra="<Table R - Item 4 - Resource group name column>"

$rgName=$rgNameInfra
$vnet=Get-AzVirtualNetwork -Name $vnetName -ResourceGroupName $rgName
$subnet=Get-AzVirtualNetworkSubnetConfig -VirtualNetwork $vnet -Name $subnetName
$backendSubnet=Get-AzVirtualNetworkSubnetConfig -Name $subnetName -VirtualNetwork $vnet
$webLB=Get-AzLoadBalancer -ResourceGroupName $rgName -Name "ADFSServers"

$rgName=$rgNameTier
$avSet=Get-AzAvailabilitySet -Name $avName -ResourceGroupName $rgName

# Create the first ADFS server virtual machine
$vmName="<Table M - Item 4 - Virtual machine name column>"
$vmSize="<Table M - Item 4 - Minimum size column>"
$staticIP="<Table I - Item 5 - Value column>"
$diskStorageType="<Table M - Item 4 - Storage type column>"

$nic=New-AzNetworkInterface -Name ($vmName +"-NIC") -ResourceGroupName $rgName -Location $locName -Subnet $backendSubnet -LoadBalancerBackendAddressPool $webLB.BackendAddressPools[0] -PrivateIpAddress $staticIP
$vm=New-AzVMConfig -VMName $vmName -VMSize $vmSize -AvailabilitySetId $avset.Id

$cred=Get-Credential -Message "Type the name and password of the local administrator account for the first AD FS server." 
$vm=Set-AzVMOperatingSystem -VM $vm -Windows -ComputerName $vmName -Credential $cred -ProvisionVMAgent -EnableAutoUpdate
$vm=Set-AzVMSourceImage -VM $vm -PublisherName MicrosoftWindowsServer -Offer WindowsServer -Skus 2016-Datacenter -Version "latest"
$vm=Add-AzVMNetworkInterface -VM $vm -Id $nic.Id
$vm=Set-AzVMOSDisk -VM $vm -Name ($vmName +"-OS") -DiskSizeInGB 128 -CreateOption FromImage -StorageAccountType $diskStorageType
New-AzVM -ResourceGroupName $rgName -Location $locName -VM $vm

# Create the second AD FS virtual machine
$vmName="<Table M - Item 5 - Virtual machine name column>"
$vmSize="<Table M - Item 5 - Minimum size column>"
$staticIP="<Table I - Item 6 - Value column>"
$diskStorageType="<Table M - Item 5 - Storage type column>"

$nic=New-AzNetworkInterface -Name ($vmName +"-NIC") -ResourceGroupName $rgName -Location $locName  -Subnet $backendSubnet -LoadBalancerBackendAddressPool $webLB.BackendAddressPools[0] -PrivateIpAddress $staticIP
$vm=New-AzVMConfig -VMName $vmName -VMSize $vmSize -AvailabilitySetId $avset.Id

$cred=Get-Credential -Message "Type the name and password of the local administrator account for the second AD FS server." 
$vm=Set-AzVMOperatingSystem -VM $vm -Windows -ComputerName $vmName -Credential $cred -ProvisionVMAgent -EnableAutoUpdate
$vm=Set-AzVMSourceImage -VM $vm -PublisherName MicrosoftWindowsServer -Offer WindowsServer -Skus 2016-Datacenter -Version "latest"
$vm=Add-AzVMNetworkInterface -VM $vm -Id $nic.Id
$vm=Set-AzVMOSDisk -VM $vm -Name ($vmName +"-OS") -DiskSizeInGB 128 -CreateOption FromImage -StorageAccountType $diskStorageType
New-AzVM -ResourceGroupName $rgName -Location $locName -VM $vm

Notitie

Omdat deze virtuele machines voor een intranettoepassing zijn, krijgen ze geen openbaar IP-adres of een DNS-domeinnaamlabel toegewezen en worden ze blootgesteld aan internet.Because these virtual machines are for an intranet application, they are not assigned a public IP address or a DNS domain name label and exposed to the Internet. Dit betekent echter ook dat u geen verbinding met ze kunt maken vanuit de Azure-portal.However, this also means that you cannot connect to them from the Azure portal. De Verbinding maken optie is niet beschikbaar wanneer u de eigenschappen van de virtuele computer bekijkt.The Connect option is unavailable when you view the properties of the virtual machine. Gebruik het accessoire Extern bureaublad-verbinding of een ander hulpprogramma voor extern bureaublad om verbinding te maken met de virtuele computer met de dns-naam van het privé-IP-adres of intranet.Use the Remote Desktop Connection accessory or another Remote Desktop tool to connect to the virtual machine using its private IP address or intranet DNS name.

Gebruik voor elke virtuele computer de externe bureaubladclient van uw keuze en maak een externe bureaubladverbinding.For each virtual machine, use the remote desktop client of your choice and create a remote desktop connection. Gebruik de intranet DNS- of computernaam en de referenties van het lokale beheerdersaccount.Use its intranet DNS or computer name and the credentials of the local administrator account.

Sluit u voor elke virtuele computer aan bij het juiste AD DS-domein (Active Directory Domain Services) met deze opdrachten op de Windows PowerShell prompt.For each virtual machine, join them to the appropriate Active Directory Domain Services (AD DS) domain with these commands at the Windows PowerShell prompt.

$domName="<AD DS domain name to join, such as corp.contoso.com>"
$cred=Get-Credential -Message "Type the name and password of a domain acccount."
Add-Computer -DomainName $domName -Credential $cred
Restart-Computer

Hier is de configuratie die het resultaat is van de succesvolle voltooiing van deze fase, met computernamen van tijdelijke aanduidingen.Here is the configuration resulting from the successful completion of this phase, with placeholder computer names.

Fase 3: De AD FS-servers en interne load balancer voor uw federatieve verificatieinfrastructuur met hoge beschikbaarheid in AzurePhase 3: The AD FS servers and internal load balancer for your high availability federated authentication infrastructure in Azure

Fase 3 van de hoge beschikbaarheid Microsoft 365 federatief verificatie-infrastructuur in Azure met de AD FS-servers

Volgende stapNext step

Fase 4: Webtoepassingsproxies configureren om deze werkbelasting te blijven configureren.Use Phase 4: Configure web application proxies to continue configuring this workload.

Zie ookSee Also

Federatieverificatie met hoge beschikbaarheid implementeren voor Microsoft 365 in AzureDeploy high availability federated authentication for Microsoft 365 in Azure

Federatief identiteit voor uw Microsoft 365 v/testomgevingFederated identity for your Microsoft 365 dev/test environment