Этап 4. Федеративная проверка подлинности для обеспечения высокой доступности: настройка прокси веб-приложений
На этом этапе развертывания высокого уровня доступности для федеративной проверки подлинности Microsoft 365 в службах инфраструктуры Azure создается внутренняя подсистема балансировки нагрузки и два сервера AD FS.
Этот этап необходимо выполнить, прежде чем перейти к этапу 5. Настройка федеративной проверки подлинности для Microsoft 365. Все этапы см. в статье Развертывание федеративной проверки подлинности с высоким уровнем доступности для Microsoft 365 в Azure .
Создание подсистемы балансировки нагрузки в Интернете в Azure
Необходимо создать подсистему балансировки нагрузки для интернета, чтобы Azure равномерно распределяла входящий трафик проверки подлинности клиента из Интернета между двумя прокси-серверами веб-приложения.
Примечание.
Для указанных ниже последовательностей команд используется последняя версия Azure PowerShell. См. статью Начало работы с Azure PowerShell.
После указания значений расположения и группы ресурсов запустите результирующий блок в командной строке Azure PowerShell или в интегрированной среде сценариев PowerShell.
Совет
Чтобы создать готовые к выполнению командные блоки PowerShell на основе пользовательских параметров, используйте эту книгу конфигурации Microsoft Excel.
# Set up key variables
$locName="<your Azure location>"
$rgName="<Table R - Item 4 - Resource group name column>"
$publicIP=New-AzPublicIpAddress -ResourceGroupName $rgName -Name "WebProxyPublicIP" -Location $LocName -AllocationMethod "Static"
$frontendIP=New-AzLoadBalancerFrontendIpConfig -Name "WebAppProxyServers-LBFE" -PublicIpAddress $publicIP
$beAddressPool=New-AzLoadBalancerBackendAddressPoolConfig -Name "WebAppProxyServers-LBBE"
$healthProbe=New-AzLoadBalancerProbeConfig -Name "WebServersProbe" -Protocol "TCP" -Port 443 -IntervalInSeconds 15 -ProbeCount 2
$lbrule=New-AzLoadBalancerRuleConfig -Name "WebTraffic" -FrontendIpConfiguration $frontendIP -BackendAddressPool $beAddressPool -Probe $healthProbe -Protocol "TCP" -FrontendPort 443 -BackendPort 443
New-AzLoadBalancer -ResourceGroupName $rgName -Name "WebAppProxyServers" -Location $locName -LoadBalancingRule $lbrule -BackendAddressPool $beAddressPool -Probe $healthProbe -FrontendIpConfiguration $frontendIP
Чтобы отобразить общедоступный IP-адрес, назначенный подсистеме балансировки нагрузки с выходом в Интернет, выполните следующие команды в командной строке Azure PowerShell на локальном компьютере:
Write-Host (Get-AzPublicIpaddress -Name "WebProxyPublicIP" -ResourceGroup $rgName).IPAddress
Определение полного доменного имени службы федерации и создание записей DNS
Чтобы определить имя службы федерации в Интернете, необходимо определить DNS-имя. Microsoft Entra Connect настроит в Microsoft 365 это имя на этапе 5, который станет частью URL-адреса, который Microsoft 365 отправляет подключающимся клиентам для получения маркера безопасности. Примером является fs.contoso.com (fs — служба федерации).
Получив полное доменное имя службы федерации, создайте запись A общедоступного домена DNS для полного доменного имени службы федерации, которая разрешается в общедоступный IP-адрес подсистемы балансировки нагрузки Azure с выходом в Интернет.
Имя | Type (Тип) | TTL | Значение |
---|---|---|---|
полное доменное имя службы федерации |
A |
3600 |
общедоступный IP-адрес подсистемы балансировки нагрузки Azure с выходом в Интернет (отображается командой Write-Host в предыдущем разделе). |
Пример:
Имя | Type (Тип) | TTL | Значение |
---|---|---|---|
fs.contoso.com |
A |
3600 |
131.107.249.117 |
Затем добавьте запись DNS-адреса в частное пространство имен DNS организации, которое разрешает полное доменное имя службы федерации в частный IP-адрес, назначенный внутренней подсистеме балансировки нагрузки для серверов AD FS (таблица I, элемент 4, столбец Значение).
Создание виртуальных машин прокси-сервера веб-приложения в Azure
Используйте следующий блок команд Azure PowerShell, чтобы создать виртуальные машины для двух прокси-серверов веб-приложений.
Обратите внимание, что следующие Azure PowerShell наборы команд используют значения из следующих таблиц:
таблица M (для виртуальных машин);
таблица R (для групп ресурсов);
таблица V (для параметров виртуальной сети);
таблица S (для подсетей);
таблица I (для статических IP-адресов);
таблица A (для групп доступности).
Напомним, что вы определили таблицу M на этапе 2. Настройка контроллеров домена и таблиц R, V, S, I и A в разделе Этап 1. Настройка Azure.
Задав правильные значения, выполните полученный блок в командной строке Azure PowerShell или в интегрированной среде сценариев PowerShell.
# Set up variables common to both virtual machines
$locName="<your Azure location>"
$vnetName="<Table V - Item 1 - Value column>"
$subnetName="<Table R - Item 3 - Subnet name column>"
$avName="<Table A - Item 3 - Availability set name column>"
$rgNameTier="<Table R - Item 3 - Resource group name column>"
$rgNameInfra="<Table R - Item 4 - Resource group name column>"
$rgName=$rgNameInfra
$vnet=Get-AzVirtualNetwork -Name $vnetName -ResourceGroupName $rgName
$subnet=Get-AzVirtualNetworkSubnetConfig -VirtualNetwork $vnet -Name $subnetName
$backendSubnet=Get-AzVirtualNetworkSubnetConfig -Name $subnetName -VirtualNetwork $vnet
$webLB=Get-AzLoadBalancer -ResourceGroupName $rgName -Name "WebAppProxyServers"
$rgName=$rgNameTier
$avSet=Get-AzAvailabilitySet -Name $avName -ResourceGroupName $rgName
# Create the first web application proxy server virtual machine
$vmName="<Table M - Item 6 - Virtual machine name column>"
$vmSize="<Table M - Item 6 - Minimum size column>"
$staticIP="<Table I - Item 7 - Value column>"
$diskStorageType="<Table M - Item 6 - Storage type column>"
$nic=New-AzNetworkInterface -Name ($vmName +"-NIC") -ResourceGroupName $rgName -Location $locName -Subnet $backendSubnet -LoadBalancerBackendAddressPool $webLB.BackendAddressPools[0] -PrivateIpAddress $staticIP
$vm=New-AzVMConfig -VMName $vmName -VMSize $vmSize -AvailabilitySetId $avset.Id
$cred=Get-Credential -Message "Type the name and password of the local administrator account for the first web application proxy server."
$vm=Set-AzVMOperatingSystem -VM $vm -Windows -ComputerName $vmName -Credential $cred -ProvisionVMAgent -EnableAutoUpdate
$vm=Set-AzVMSourceImage -VM $vm -PublisherName MicrosoftWindowsServer -Offer WindowsServer -Skus 2016-Datacenter -Version "latest"
$vm=Add-AzVMNetworkInterface -VM $vm -Id $nic.Id
$vm=Set-AzVMOSDisk -VM $vm -Name ($vmName +"-OS") -DiskSizeInGB 128 -CreateOption FromImage -StorageAccountType $diskStorageType
New-AzVM -ResourceGroupName $rgName -Location $locName -VM $vm
# Create the second web application proxy virtual machine
$vmName="<Table M - Item 7 - Virtual machine name column>"
$vmSize="<Table M - Item 7 - Minimum size column>"
$staticIP="<Table I - Item 8 - Value column>"
$diskStorageType="<Table M - Item 7 - Storage type column>"
$nic=New-AzNetworkInterface -Name ($vmName +"-NIC") -ResourceGroupName $rgName -Location $locName -Subnet $backendSubnet -LoadBalancerBackendAddressPool $webLB.BackendAddressPools[0] -PrivateIpAddress $staticIP
$vm=New-AzVMConfig -VMName $vmName -VMSize $vmSize -AvailabilitySetId $avset.Id
$cred=Get-Credential -Message "Type the name and password of the local administrator account for the second web application proxy server."
$vm=Set-AzVMOperatingSystem -VM $vm -Windows -ComputerName $vmName -Credential $cred -ProvisionVMAgent -EnableAutoUpdate
$vm=Set-AzVMSourceImage -VM $vm -PublisherName MicrosoftWindowsServer -Offer WindowsServer -Skus 2016-Datacenter -Version "latest"
$vm=Add-AzVMNetworkInterface -VM $vm -Id $nic.Id
$vm=Set-AzVMOSDisk -VM $vm -Name ($vmName +"-OS") -DiskSizeInGB 128 -CreateOption FromImage -StorageAccountType $diskStorageType
New-AzVM -ResourceGroupName $rgName -Location $locName -VM $vm
Примечание.
Эти виртуальные машины предназначены для работы в интрасети, поэтому им не назначается общедоступный IP-адрес или DNS-имя домена и они не подключаются к Интернету. Однако это также означает, что к ним невозможно подключиться с помощью портала Azure. Команда Подключиться недоступна при просмотре свойств виртуальной машины. Используйте аксессуар подключения к удаленному рабочему столу или другое средство удаленного рабочего стола, чтобы подключиться к виртуальной машине, используя ее частный IP-адрес или DNS-имя интрасети и учетные данные учетной записи локального администратора.
Здесь показана конфигурация, полученная в результате успешного выполнения этого этапа (с заполнителями вместо имен компьютеров).
Этап 4. Подсистема балансировки нагрузки в Интернете и прокси-серверы веб-приложений для инфраструктуры федеративной проверки подлинности высокого уровня доступности в Azure
Следующее действие
Используйте этап 5. Настройка федеративной проверки подлинности для Microsoft 365, чтобы продолжить настройку этой рабочей нагрузки.
См. также
Федеративное удостоверение для среды разработки и тестирования Microsoft 365
Обратная связь
https://aka.ms/ContentUserFeedback.
Ожидается в ближайшее время: в течение 2024 года мы постепенно откажемся от GitHub Issues как механизма обратной связи для контента и заменим его новой системой обратной связи. Дополнительные сведения см. в разделеОтправить и просмотреть отзыв по