Этап 1. Федеративная проверка подлинности для обеспечения высокой доступности: настройка AzureHigh availability federated authentication Phase 1: Configure Azure

Сводка: Настройка инфраструктуры Microsoft Azure для использования проверки подлинности федеративные высокой доступности узла для Office 365.Summary: Configure the Microsoft Azure infrastructure to host high availability federated authentication for Office 365.

На этом этапе создается группы ресурсов, виртуальные сети (VNet) и доступность наборы в Azure, в котором будет размещаться виртуальных машин в этапы 2, 3 и 4. Необходимо выполнить данный этап перед перемещением на высокой доступности федеративных проверки подлинности этап 2: Настройка контроллеров домена. В разделе Развертывание высокой доступности федеративной проверки подлинности для Office 365 в Azure все этапы.In this phase, you create the resource groups, virtual network (VNet), and availability sets in Azure that will host the virtual machines in phases 2, 3, and 4. You must complete this phase before moving on to High availability federated authentication Phase 2: Configure domain controllers. See Deploy high availability federated authentication for Office 365 in Azure for all of the phases.

Необходимо быть, подготовленные в Azure с помощью следующих основных компонентов:Azure must be provisioned with these basic components:

  • Группы ресурсовResource groups

  • Нелокальная виртуальная сеть Azure с подсетями для размещения виртуальных машин AzureA cross-premises Azure virtual network (VNet) with subnets for hosting the Azure virtual machines

  • Группы безопасности сети для изоляции подсетиNetwork security groups for performing subnet isolation

  • Группы доступностиAvailability sets

Настройка компонентов AzureConfigure Azure components

Перед началом настройки Azure компонентов, заполните поля в следующих таблицах. Для помощи в процедуры для настройки Azure, печать в этом разделе запишите требуемые данные или скопируйте в этом разделе документа и его можно заполнить. Для параметров VNet заполните поля в таблице V.Before you begin configuring Azure components, fill in the following tables. To assist you in the procedures for configuring Azure, print this section and write down the needed information or copy this section to a document and fill it in. For the settings of the VNet, fill in Table V.

ЭлементItem Параметр конфигурацииConfiguration setting ОписаниеDescription ЗначениеValue
1.1.
Имя виртуальной сетиVNet name
Имя виртуальной сети (например, FedAuthNet).A name to assign to the VNet (example FedAuthNet).

2.2.
Расположение VNetVNet location
Региональный центр обработки данных Azure, в котором будет расположена виртуальная сеть.The regional Azure datacenter that will contain the virtual network.

3.3.
IP-адрес VPN-устройстваVPN device IP address
Общедоступный IPv4-адрес интерфейса VPN-устройства в Интернете.The public IPv4 address of your VPN device's interface on the Internet.

4.4.
Адресное пространство виртуальной сетиVNet address space
Адресное пространство виртуальной сети. Чтобы определить это адресное пространство, обратитесь в ИТ-отдел.The address space for the virtual network. Work with your IT department to determine this address space.

5.5.
Общий ключ IPsecIPsec shared key
32 символов в случайном порядке, буквенно-цифровой строка, которая будет использоваться для проверки подлинности обеих сторон VPN-подключения веб сайта. Работа с ИТ или отдела безопасности для определения это значение ключа. Кроме того в разделе Создать строку в случайном порядке для предварительного ключа IPsec.A 32-character random, alphanumeric string that will be used to authenticate both sides of the site-to-site VPN connection. Work with your IT or security department to determine this key value. Alternately, see Create a random string for an IPsec preshared key.

Таблица V. Настройка распределенной виртуальной сетиTable V: Cross-premises virtual network configuration

После этого укажите подсети этого решения в таблице S. Все адресные пространства должны быть указаны в формате CIDR (формате префиксов сети). Пример: 10.24.64.0/20.Next, fill in Table S for the subnets of this solution. All address spaces should be in Classless Interdomain Routing (CIDR) format, also known as network prefix format. An example is 10.24.64.0/20.

Для первых трех подсетей укажите имя и одно пространство IP-адресов на основе адресного пространства виртуальной сети. Для подсети шлюза определите 27-битовое адресное пространство (с длиной префикса /27) для подсети шлюза Azure шлюза. Для этого выполните следующие действия:For the first three subnets, specify a name and a single IP address space based on the virtual network address space. For the gateway subnet, determine the 27-bit address space (with a /27 prefix length) for the Azure gateway subnet with the following:

  1. Для переменных битов в адресном пространстве виртуальной сети задайте значение 1 (не больше бит, используемых подсетью шлюза), а для остальных битов задайте значение 0.Set the variable bits in the address space of the VNet to 1, up to the bits being used by the gateway subnet, then set the remaining bits to 0.

  2. Преобразуйте результат в десятичное число и выразите его как адресное пространство, длина префикса которого соответствует размеру подсети шлюза.Convert the resulting bits to decimal and express it as an address space with the prefix length set to the size of the gateway subnet.

В разделе Калькулятор пространства адресов для подсетей Azure шлюза блок команд PowerShell и C# или Python консольное приложение, используемая для выполнения этого вычисления для вас.See Address space calculator for Azure gateway subnets for a PowerShell command block and C# or Python console application that performs this calculation for you.

Чтобы определить эти адресные пространства из адресного пространства виртуальной сети, обратитесь в ИТ-отдел.Work with your IT department to determine these address spaces from the virtual network address space.

ЭлементItem Имя подсетиSubnet name Адресное пространство подсетиSubnet address space НазначениеPurpose
1.1.


Подсеть, используемая контроллером домена Active Directory (AD) Windows Server и виртуальными машинами сервера DirSync.The subnet used by the Windows Server Active Directory (AD) domain controller and DirSync server virtual machines (VMs).
2.2.


Подсеть, используемая виртуальными машинами AD FS.The subnet used by the AD FS VMs.
3.3.


Подсеть, используемая виртуальными машинами прокси-серверов веб-приложений.The subnet used by the web application proxy VMs.
4.4.
GatewaySubnetGatewaySubnet

Подсеть, используемая виртуальными машинами шлюза Azure.The subnet used by the Azure gateway VMs.

Таблица S. Подсети виртуальной сетиTable S: Subnets in the virtual network

После этого укажите статические IP-адреса, назначенные виртуальным машинам и экземплярам балансировщика нагрузки, в таблице I.Next, fill in Table I for the static IP addresses assigned to virtual machines and load balancer instances.

ЭлементItem НазначениеPurpose IP-адрес в подсетиIP address on the subnet ЗначениеValue
1.1.
Статический IP-адрес первого контроллера доменаStatic IP address of the first domain controller
Четвертый возможный IP-адрес для адресного пространства подсети, определенной в элементе 1 таблицы S.The fourth possible IP address for the address space of the subnet defined in Item 1 of Table S.

2.2.
Статический IP-адрес второго контроллера доменаStatic IP address of the second domain controller
Пятый возможный IP-адрес адресного пространства подсети, определенной в элементе 1 таблицы S.The fifth possible IP address for the address space of the subnet defined in Item 1 of Table S.

3.3.
Статический IP-адрес сервера DirSyncStatic IP address of the DirSync server
Шестой возможный IP-адрес адресного пространства подсети, определенной в элементе 1 таблицы S.The sixth possible IP address for the address space of the subnet defined in Item 1 of Table S.

4.4.
Статический IP-адрес внутреннего балансировщика нагрузки для серверов AD FSStatic IP address of the internal load balancer for the AD FS servers
Четвертый возможный IP-адрес для адресного пространства подсети, определенный в элементе 2 таблицы S.The fourth possible IP address for the address space of the subnet defined in Item 2 of Table S.

5.5.
Статический IP-адрес первого сервера AD FSStatic IP address of the first AD FS server
Пятый возможный IP-адрес адресного пространства подсети, определенной в элементе 2 таблицы S.The fifth possible IP address for the address space of the subnet defined in Item 2 of Table S.

6.6.
Статический IP-адрес второго сервера AD FSStatic IP address of the second AD FS server
Шестой возможный IP-адрес адресного пространства подсети, определенной в элементе 2 таблицы S.The sixth possible IP address for the address space of the subnet defined in Item 2 of Table S.

7.7.
Статический IP-адрес первого прокси-сервера веб-приложенийStatic IP address of the first web application proxy server
Четвертый возможный IP-адрес для адресного пространства подсети, определенный в элементе 3 таблицы S.The fourth possible IP address for the address space of the subnet defined in Item 3 of Table S.

8.8.
Статический IP-адрес второго прокси-сервера веб-приложенийStatic IP address of the second web application proxy server
Пятый возможный IP-адрес адресного пространства подсети, определенной в элементе 3 таблицы S.The fifth possible IP address for the address space of the subnet defined in Item 3 of Table S.

В таблице по созданию статических IP-адресов в виртуальной сетиTable I: Static IP addresses in the virtual network

В таблице D укажите два DNS-сервера в локальной сети, которые необходимо использовать при начальной настройке контроллеров домена в виртуальной сети. Чтобы определить этот список, обратитесь в ИТ-отдел.For two Domain Name System (DNS) servers in your on-premises network that you want to use when initially setting up the domain controllers in your virtual network, fill in Table D. Work with your IT department to determine this list.

ЭлементItem Понятное имя DNS-сервераDNS server friendly name IP-адрес DNS-сервераDNS server IP address
1.1.


2.2.


Таблица D. Локальные DNS-сервераTable D: On-premises DNS servers

Чтобы отправлять пакеты из нелокальной сети в сеть организации с помощью VPN-подключения типа "сеть-сеть", необходимо настроить виртуальную сеть с локальной сетью, которая содержит список адресных пространств (в формате CIDR) для всех доступных расположений в локальной сети организации. Список адресных пространств, которые определяют локальную сеть, должен быть уникален и не должен пересекаться с адресным пространством, используемым для других виртуальных или локальных сетей.To route packets from the cross-premises network to your organization network across the site-to-site VPN connection, you must configure the virtual network with a local network that contains a list of the address spaces (in CIDR notation) for all of the reachable locations on your organization's on-premises network. The list of address spaces that define your local network must be unique and must not overlap with the address space used for other virtual networks or other local networks.

Укажите список адресных пространств локальной сети в таблице L. Обратите внимание, что представлено три пустых поля, но обычно требуется больше. Определите этот список адресных пространств при поддержке ИТ-отдела.For the set of local network address spaces, fill in Table L. Note that three blank entries are listed but you will typically need more. Work with your IT department to determine this list of address spaces.

ЭлементItem Адресное пространство локальной сетиLocal network address space
1.1.

2.2.

3.3.

Таблица L. Префиксы адресов для локальной сетиTable L: Address prefixes for the local network

Теперь приступим к созданию инфраструктуры Azure для размещения федеративной проверки подлинности для Office 365.Now let's begin building the Azure infrastructure to host your federated authentication for Office 365.

Примечание

Следующие наборы команд использовать последнюю версию Windows Azure PowerShell. В разделе Начало работы с Windows Azure PowerShell командлетов.The following command sets use the latest version of Azure PowerShell. See Get started with Azure PowerShell cmdlets.

Запустите командную строку Azure PowerShell и войдите в свою учетную запись.First, start an Azure PowerShell prompt and login to your account.

Login-AzureRMAccount

Совет

Текстовый файл, содержащий все команды PowerShell в данной статье и конфигурации книги Microsoft Excel, которое создает все готово к запуску PowerShell команду блоки на основе настраиваемых параметров содержатся в федеративном проверки подлинности для Office 365 Azure Deployment Kit.For a text file that contains all of the PowerShell commands in this article and a Microsoft Excel configuration workbook that generates ready-to-run PowerShell command blocks based on your custom settings, see the Federated Authentication for Office 365 in Azure Deployment Kit.

Получите имя подписки с помощью следующей команды.Get your subscription name using the following command.

Get-AzureRMSubscription | Sort Name | Select Name

Для предыдущих версий Windows Azure PowerShell используйте следующую команду.For older versions of Azure PowerShell, use this command instead.

Get-AzureRMSubscription | Sort Name | Select SubscriptionName

Задайте подпиской Azure. Замените все содержимое в кавычки, включая < и > символов с правильным именем.Set your Azure subscription. Replace everything within the quotes, including the < and > characters, with the correct name.

$subscr="<subscription name>"
Get-AzureRmSubscription -SubscriptionName $subscr | Select-AzureRmSubscription

После этого создайте новые группы ресурсов. Чтобы задать уникальные имена, отобразите уже существующие группы ресурсов с помощью указанной команды.Next, create the new resource groups. To determine a unique set of resource group names, use this command to list your existing resource groups.

Get-AzureRMResourceGroup | Sort ResourceGroupName | Select ResourceGroupName

Укажите уникальные имена групп ресурсов в следующей таблице.Fill in the following table for the set of unique resource group names.

ЭлементItem Имя группы ресурсовResource group name НазначениеPurpose
1.1.

Контроллеры доменовDomain controllers
2.2.

Серверы AD FSAD FS servers
3.3.

Прокси-серверы веб-приложенийWeb application proxy servers
4.4.

Элементы инфраструктурыInfrastructure elements

В таблице центральный группы ресурсовTable R: Resource groups

Создайте новые группы ресурсов с помощью этих команд.Create your new resource groups with these commands.

$locName="<an Azure location, such as West US>"
$rgName="<Table R - Item 1 - Name column>"
New-AzureRMResourceGroup -Name $rgName -Location $locName
$rgName="<Table R - Item 2 - Name column>"
New-AzureRMResourceGroup -Name $rgName -Location $locName
$rgName="<Table R - Item 3 - Name column>"
New-AzureRMResourceGroup -Name $rgName -Location $locName
$rgName="<Table R - Item 4 - Name column>"
New-AzureRMResourceGroup -Name $rgName -Location $locName

Затем создайте виртуальную сеть Azure и подсети.Next, you create the Azure virtual network and its subnets.

$rgName="<Table R - Item 4 - Resource group name column>"
$locName="<your Azure location>"
$vnetName="<Table V - Item 1 - Value column>"
$vnetAddrPrefix="<Table V - Item 4 - Value column>"
$dnsServers=@( "<Table D - Item 1 - DNS server IP address column>", "<Table D - Item 2 - DNS server IP address column>" )
# Get the shortened version of the location
$locShortName=(Get-AzureRmResourceGroup -Name $rgName).Location

# Create the subnets
$subnet1Name="<Table S - Item 1 - Subnet name column>"
$subnet1Prefix="<Table S - Item 1 - Subnet address space column>"
$subnet1=New-AzureRMVirtualNetworkSubnetConfig -Name $subnet1Name -AddressPrefix $subnet1Prefix
$subnet2Name="<Table S - Item 2 - Subnet name column>"
$subnet2Prefix="<Table S - Item 2 - Subnet address space column>"
$subnet2=New-AzureRMVirtualNetworkSubnetConfig -Name $subnet2Name -AddressPrefix $subnet2Prefix
$subnet3Name="<Table S - Item 3 - Subnet name column>"
$subnet3Prefix="<Table S - Item 3 - Subnet address space column>"
$subnet3=New-AzureRMVirtualNetworkSubnetConfig -Name $subnet3Name -AddressPrefix $subnet3Prefix
$gwSubnet4Prefix="<Table S - Item 4 - Subnet address space column>"
$gwSubnet=New-AzureRMVirtualNetworkSubnetConfig -Name "GatewaySubnet" -AddressPrefix $gwSubnet4Prefix

# Create the virtual network
New-AzureRMVirtualNetwork -Name $vnetName -ResourceGroupName $rgName -Location $locName -AddressPrefix $vnetAddrPrefix -Subnet $gwSubnet,$subnet1,$subnet2,$subnet3 -DNSServer $dnsServers

Создайте сеть группы безопасности для каждой подсети, которая содержит виртуальных машин. Для выполнения изоляции подсети, можно добавить правила для определенных типов трафика запрещен в группу безопасности сети подсети, или.Next, you create network security groups for each subnet that contains virtual machines. To perform subnet isolation, you can add rules for the specific types of traffic allowed or denied to the network security group of a subnet.

# Create network security groups
$vnet=Get-AzureRMVirtualNetwork -ResourceGroupName $rgName -Name $vnetName

New-AzureRMNetworkSecurityGroup -Name $subnet1Name -ResourceGroupName $rgName -Location $locShortName
$nsg=Get-AzureRMNetworkSecurityGroup -Name $subnet1Name -ResourceGroupName $rgName
Set-AzureRMVirtualNetworkSubnetConfig -VirtualNetwork $vnet -Name $subnet1Name -AddressPrefix $subnet1Prefix -NetworkSecurityGroup $nsg

New-AzureRMNetworkSecurityGroup -Name $subnet2Name -ResourceGroupName $rgName -Location $locShortName
$nsg=Get-AzureRMNetworkSecurityGroup -Name $subnet2Name -ResourceGroupName $rgName
Set-AzureRMVirtualNetworkSubnetConfig -VirtualNetwork $vnet -Name $subnet2Name -AddressPrefix $subnet2Prefix -NetworkSecurityGroup $nsg

New-AzureRMNetworkSecurityGroup -Name $subnet3Name -ResourceGroupName $rgName -Location $locShortName
$nsg=Get-AzureRMNetworkSecurityGroup -Name $subnet3Name -ResourceGroupName $rgName
Set-AzureRMVirtualNetworkSubnetConfig -VirtualNetwork $vnet -Name $subnet3Name -AddressPrefix $subnet3Prefix -NetworkSecurityGroup $nsg

Затем используйте следующие команды, чтобы создать шлюзы для VPN-подключения типа "сеть-сеть".Next, use these commands to create the gateways for the site-to-site VPN connection.

$rgName="<Table R - Item 4 - Resource group name column>"
$locName="<Azure location>"
$vnetName="<Table V - Item 1 - Value column>"
$vnet=Get-AzureRMVirtualNetwork -Name $vnetName -ResourceGroupName $rgName
$subnet=Get-AzureRmVirtualNetworkSubnetConfig -VirtualNetwork $vnet -Name "GatewaySubnet"

# Attach a virtual network gateway to a public IP address and the gateway subnet
$publicGatewayVipName="PublicIPAddress"
$vnetGatewayIpConfigName="PublicIPConfig"
New-AzureRMPublicIpAddress -Name $vnetGatewayIpConfigName -ResourceGroupName $rgName -Location $locName -AllocationMethod Dynamic
$publicGatewayVip=Get-AzureRMPublicIpAddress -Name $vnetGatewayIpConfigName -ResourceGroupName $rgName
$vnetGatewayIpConfig=New-AzureRMVirtualNetworkGatewayIpConfig -Name $vnetGatewayIpConfigName -PublicIpAddressId $publicGatewayVip.Id -Subnet $subnet

# Create the Azure gateway
$vnetGatewayName="AzureGateway"
$vnetGateway=New-AzureRMVirtualNetworkGateway -Name $vnetGatewayName -ResourceGroupName $rgName -Location $locName -GatewayType Vpn -VpnType RouteBased -IpConfigurations $vnetGatewayIpConfig

# Create the gateway for the local network
$localGatewayName="LocalNetGateway"
$localGatewayIP="<Table V - Item 3 - Value column>"
$localNetworkPrefix=@( <comma-separated, double-quote enclosed list of the local network address prefixes from Table L, example: "10.1.0.0/24", "10.2.0.0/24"> )
$localGateway=New-AzureRMLocalNetworkGateway -Name $localGatewayName -ResourceGroupName $rgName -Location $locName -GatewayIpAddress $localGatewayIP -AddressPrefix $localNetworkPrefix

# Define the Azure virtual network VPN connection
$vnetConnectionName="S2SConnection"
$vnetConnectionKey="<Table V - Item 5 - Value column>"
$vnetConnection=New-AzureRMVirtualNetworkGatewayConnection -Name $vnetConnectionName -ResourceGroupName $rgName -Location $locName -ConnectionType IPsec -SharedKey $vnetConnectionKey -VirtualNetworkGateway1 $vnetGateway -LocalNetworkGateway2 $localGateway

Примечание

Федеративная проверка подлинности пользователей, не зависит от любого локальным ресурсам. Тем не менее недоступность VPN-подключения веб сайта контроллеры доменов в VNet не будут получать обновления для учетных записей пользователей и групп, выполненных в Windows на локальный сервер AD. Чтобы убедиться, что это не происходит, можно настроить высокой доступности для VPN-подключение к веб сайта. Для получения дополнительных сведений см сильно доступные между организациями и связи с VNet-VNetFederated authentication of individual users does not rely on any on-premises resources. However, if this site-to-site VPN connection becomes unavailable, the domain controllers in the VNet will not receive updates to user accounts and groups made in the on-premises Windows Server AD. To ensure this does not happen, you can configure high availability for your site-to-site VPN connection. For more information, see Highly Available Cross-Premises and VNet-to-VNet Connectivity

После этого запишите общедоступный IPv4-адрес VPN-шлюза Azure для виртуальной сети из результата этой команды:Next, record the public IPv4 address of the Azure VPN gateway for your virtual network from the display of this command:

Get-AzureRMPublicIpAddress -Name $publicGatewayVipName -ResourceGroupName $rgName

Настройте устройство VPN локальной для подключения к виртуальной частной сети Azure шлюза. Дополнительные сведения в статье Configure VPN-устройства.Next, configure your on-premises VPN device to connect to the Azure VPN gateway. For more information, see Configure your VPN device.

Чтобы настроить локальное VPN-устройство, вам потребуется следующее:To configure your on-premises VPN device, you will need the following:

  • Общедоступный IPv4-адрес VPN-шлюза Azure.The public IPv4 address of the Azure VPN gateway.

  • Предварительный ключ IPsec для VPN-подключения веб сайта (столбец таблицы V - элемента 5 - значение).The IPsec pre-shared key for the site-to-site VPN connection (Table V - Item 5 - Value column).

Убедитесь, что адресное пространство виртуальной сети доступно из локальной сети. Для этого добавьте маршрут, соответствующий адресному пространству виртуальной сети на вашем VPN-устройстве и сообщите этот маршрут остальной инфраструктуре маршрутизации в сети организации. Чтобы определить, как это сделать, обратитесь в ИТ-отдел.Next, ensure that the address space of the virtual network is reachable from your on-premises network. This is usually done by adding a route corresponding to the virtual network address space to your VPN device and then advertising that route to the rest of the routing infrastructure of your organization network. Work with your IT department to determine how to do this.

После этого определите имена четырех групп доступности. Заполните таблицу A.Next, define the names of three availability sets. Fill out Table A.

ЭлементItem НазначениеPurpose Имя набора доступностиAvailability set name
1.1.
Контроллеры доменовDomain controllers

2.2.
Серверы AD FSAD FS servers

3.3.
Прокси-серверы веб-приложенийWeb application proxy servers

Задает доступность ответ: таблицыTable A: Availability sets

Вам потребуются эти имена при создании виртуальных машин на этапах 2, 3 и 4.You will need these names when you create the virtual machines in phases 2, 3, and 4.

Создайте новые группы доступности с помощью этих команд Azure PowerShell.Create the new availability sets with these Azure PowerShell commands.

$locName="<the Azure location for your new resource group>"
$rgName="<Table R - Item 1 - Resource group name column>"
$avName="<Table A - Item 1 - Availability set name column>"
New-AzureRMAvailabilitySet -Name $avName -ResourceGroupName $rgName -Location $locName
$rgName="<Table R - Item 2 - Resource group name column>"
$avName="<Table A - Item 2 - Availability set name column>"
New-AzureRMAvailabilitySet -Name $avName -ResourceGroupName $rgName -Location $locName
$rgName="<Table R - Item 3 - Resource group name column>"
$avName="<Table A - Item 3 - Availability set name column>"
New-AzureRMAvailabilitySet -Name $avName -ResourceGroupName $rgName -Location $locName

Ниже показана конфигурация, полученная в результате успешного выполнения этого этапа.This is the configuration resulting from the successful completion of this phase.

Этап 1: Azure инфраструктуры для обеспечения высокой доступности федеративной проверки подлинности для Office 365Phase 1: The Azure infrastructure for high availability federated authentication for Office 365

Этап 1. Федеративная проверка подлинности для Office 365 с высокой доступностью, развертывание которой выполняется в Azure с использованием инфраструктуры Azure

Следующее действиеNext step

Использование высокой доступности федеративных проверки подлинности этап 2: Настройка контроллеров домена чтобы продолжить работу конфигурации этой рабочей нагрузкой.Use High availability federated authentication Phase 2: Configure domain controllers to continue with the configuration of this workload.

См. такжеSee Also

Развертывание в Azure федеративной проверки подлинности для обеспечения высокой доступности в случае использования Office 365Deploy high availability federated authentication for Office 365 in Azure

Федеративное удостоверение для среды разработки и тестирования Office 365Federated identity for your Office 365 dev/test environment

Освоение облака и гибридные решенияCloud adoption and hybrid solutions

Федеративные удостоверения для Office 365Federated identity for Office 365