Этап 1. Федеративная проверка подлинности для обеспечения высокой доступности: настройка AzureHigh availability federated authentication Phase 1: Configure Azure

Сводка. Настройка инфраструктуры Microsoft Azure для размещения федеративной проверки подлинности с высоким уровнем доступности для Office 365.Summary: Configure the Microsoft Azure infrastructure to host high availability federated authentication for Office 365.

На этом этапе вы создадите группы ресурсов, виртуальную сеть (VNet) и группы доступности в Azure, где будут размещаться виртуальные машины на этапах 2, 3 и 4.In this phase, you create the resource groups, virtual network (VNet), and availability sets in Azure that will host the virtual machines in phases 2, 3, and 4. Прежде чем переходить к этапу федеративного проверки подлинности с высоким уровнем доступности, необходимо выполнить этап 2: Configure Domain Controllers.You must complete this phase before moving on to High availability federated authentication Phase 2: Configure domain controllers. Описание всех этапов см. в статье Развертывание в Azure федеративной проверки подлинности для обеспечения высокой доступности в случае использования Office 365.See Deploy high availability federated authentication for Office 365 in Azure for all of the phases.

Azure необходимо подготовить к работе с этими основными компонентами:Azure must be provisioned with these basic components:

  • Группы ресурсовResource groups

  • Нелокальная виртуальная сеть Azure с подсетями для размещения виртуальных машин AzureA cross-premises Azure virtual network (VNet) with subnets for hosting the Azure virtual machines

  • Группы безопасности сети для изоляции подсетиNetwork security groups for performing subnet isolation

  • Группы доступностиAvailability sets

Настройка компонентов AzureConfigure Azure components

Перед настройкой компонентов Azure заполните указанные ниже таблицы.Before you begin configuring Azure components, fill in the following tables. Распечатайте этот раздел и запишите необходимую информацию или скопируйте его в документ и заполните там.To assist you in the procedures for configuring Azure, print this section and write down the needed information or copy this section to a document and fill it in. Укажите параметры виртуальной сети в таблице V.For the settings of the VNet, fill in Table V.

ItemItem Параметр конфигурацииConfiguration setting ОписаниеDescription ЗначениеValue
1.1.
Имя виртуальной сетиVNet name
Имя виртуальной сети (например, FedAuthNet).A name to assign to the VNet (example FedAuthNet).

2.2.
Расположение виртуальной сетиVNet location
Региональный центр обработки данных Azure, в котором будет расположена виртуальная сеть.The regional Azure datacenter that will contain the virtual network.

3.3.
IP-адрес VPN-устройстваVPN device IP address
Общедоступный IPv4-адрес интерфейса VPN-устройства в Интернете.The public IPv4 address of your VPN device's interface on the Internet.

4.4.
Адресное пространство виртуальной сетиVNet address space
Адресное пространство виртуальной сети. Чтобы определить это адресное пространство, обратитесь в ИТ-отдел.The address space for the virtual network. Work with your IT department to determine this address space.

5.5.
Общий ключ IPsecIPsec shared key
32-значный случайный буквенно-цифровой ключ для аутентификации обеих сторон VPN-подключения типа "сеть-сеть".A 32-character random, alphanumeric string that will be used to authenticate both sides of the site-to-site VPN connection. Чтобы определить значение этого ключа, обратитесь в ИТ-отдел.Work with your IT or security department to determine this key value. Вы также можете ознакомиться со статьей Создание случайной строки для предварительного ключа IPsec.Alternately, see Create a random string for an IPsec preshared key.

Таблица V. Настройка распределенной виртуальной сетиTable V: Cross-premises virtual network configuration

После этого укажите подсети этого решения в таблице S. Все адресные пространства должны быть указаны в формате CIDR (формате префиксов сети). Пример: 10.24.64.0/20.Next, fill in Table S for the subnets of this solution. All address spaces should be in Classless Interdomain Routing (CIDR) format, also known as network prefix format. An example is 10.24.64.0/20.

Для первых трех подсетей укажите имя и одно пространство IP-адресов на основе адресного пространства виртуальной сети. Для подсети шлюза определите 27-битовое адресное пространство (с длиной префикса /27) для подсети шлюза Azure шлюза. Для этого выполните следующие действия:For the first three subnets, specify a name and a single IP address space based on the virtual network address space. For the gateway subnet, determine the 27-bit address space (with a /27 prefix length) for the Azure gateway subnet with the following:

  1. Для переменных битов в адресном пространстве виртуальной сети задайте значение 1 (не больше бит, используемых подсетью шлюза), а для остальных битов задайте значение 0.Set the variable bits in the address space of the VNet to 1, up to the bits being used by the gateway subnet, then set the remaining bits to 0.

  2. Преобразуйте результат в десятичное число и выразите его как адресное пространство, длина префикса которого соответствует размеру подсети шлюза.Convert the resulting bits to decimal and express it as an address space with the prefix length set to the size of the gateway subnet.

В разделе Калькулятор адресного пространства для подсетей шлюза Azure для командного блока PowerShell и консольного приложения C# или Python, выполняющего это вычисление.See Address space calculator for Azure gateway subnets for a PowerShell command block and C# or Python console application that performs this calculation for you.

Определите эти адресные пространства из адресного пространства виртуальной сети при поддержке ИТ-отдела.Work with your IT department to determine these address spaces from the virtual network address space.

ItemItem Имя подсетиSubnet name Адресное пространство подсетиSubnet address space НазначениеPurpose
1.1.


Подсеть, используемая контроллером домена Active Directory (AD) Windows Server и виртуальными машинами сервера DirSync.The subnet used by the Windows Server Active Directory (AD) domain controller and DirSync server virtual machines (VMs).
2.2.


Подсеть, используемая виртуальными машинами AD FS.The subnet used by the AD FS VMs.
3.3.


Подсеть, используемая виртуальными машинами прокси-серверов веб-приложений.The subnet used by the web application proxy VMs.
4.4.
GatewaySubnetGatewaySubnet

Подсеть, используемая виртуальными машинами шлюза Azure.The subnet used by the Azure gateway VMs.

Таблица S. Подсети виртуальной сетиTable S: Subnets in the virtual network

После этого укажите статические IP-адреса, назначенные виртуальным машинам и экземплярам балансировщика нагрузки, в таблице I.Next, fill in Table I for the static IP addresses assigned to virtual machines and load balancer instances.

ItemItem ЦельPurpose IP-адрес в подсетиIP address on the subnet ЗначениеValue
1.1.
Статический IP-адрес первого контроллера доменаStatic IP address of the first domain controller
Четвертый возможный IP-адрес для адресного пространства подсети, определенной в элементе 1 таблицы S.The fourth possible IP address for the address space of the subnet defined in Item 1 of Table S.

2.2.
Статический IP-адрес второго контроллера доменаStatic IP address of the second domain controller
Пятый возможный IP-адрес адресного пространства подсети, определенной в элементе 1 таблицы S.The fifth possible IP address for the address space of the subnet defined in Item 1 of Table S.

3.3.
Статический IP-адрес сервера DirSyncStatic IP address of the DirSync server
Шестой возможный IP-адрес адресного пространства подсети, определенной в элементе 1 таблицы S.The sixth possible IP address for the address space of the subnet defined in Item 1 of Table S.

4.4.
Статический IP-адрес внутреннего балансировщика нагрузки для серверов AD FSStatic IP address of the internal load balancer for the AD FS servers
Четвертый возможный IP-адрес для адресного пространства подсети, определенный в элементе 2 таблицы S.The fourth possible IP address for the address space of the subnet defined in Item 2 of Table S.

5.5.
Статический IP-адрес первого сервера AD FSStatic IP address of the first AD FS server
Пятый возможный IP-адрес адресного пространства подсети, определенной в элементе 2 таблицы S.The fifth possible IP address for the address space of the subnet defined in Item 2 of Table S.

6.6.
Статический IP-адрес второго сервера AD FSStatic IP address of the second AD FS server
Шестой возможный IP-адрес адресного пространства подсети, определенной в элементе 2 таблицы S.The sixth possible IP address for the address space of the subnet defined in Item 2 of Table S.

7.7.
Статический IP-адрес первого прокси-сервера веб-приложенийStatic IP address of the first web application proxy server
Четвертый возможный IP-адрес для адресного пространства подсети, определенный в элементе 3 таблицы S.The fourth possible IP address for the address space of the subnet defined in Item 3 of Table S.

8.8.
Статический IP-адрес второго прокси-сервера веб-приложенийStatic IP address of the second web application proxy server
Пятый возможный IP-адрес адресного пространства подсети, определенной в элементе 3 таблицы S.The fifth possible IP address for the address space of the subnet defined in Item 3 of Table S.

Таблица I. Статические IP-адреса в виртуальной сетиTable I: Static IP addresses in the virtual network

В таблице D укажите два DNS-сервера в локальной сети, которые необходимо использовать при начальной настройке контроллеров домена в виртуальной сети. Чтобы определить этот список, обратитесь в ИТ-отдел.For two Domain Name System (DNS) servers in your on-premises network that you want to use when initially setting up the domain controllers in your virtual network, fill in Table D. Work with your IT department to determine this list.

ItemItem Понятное имя DNS-сервераDNS server friendly name IP-адрес DNS-сервераDNS server IP address
1.1.


2.2.


Таблица D. Локальные DNS-сервераTable D: On-premises DNS servers

Для маршрутизации пакетов из локальной сети в сеть Организации через VPN-подключение типа "сеть-сеть" необходимо настроить виртуальную сеть с помощью локальной сети, содержащей список адресных пространств (в нотации CIDR) для всех доступных расположения в локальной сети Организации.To route packets from the cross-premises network to your organization network across the site-to-site VPN connection, you must configure the virtual network with a local network that has a list of the address spaces (in CIDR notation) for all of the reachable locations on your organization's on-premises network. Список адресных пространств, которые определяют локальную сеть, должен быть уникален и не должен пересекаться с адресным пространством, используемым для других виртуальных или локальных сетей.The list of address spaces that define your local network must be unique and must not overlap with the address space used for other virtual networks or other local networks.

Укажите список адресных пространств локальной сети в таблице L. Обратите внимание, что представлено три пустых поля, но обычно требуется больше. Определите этот список адресных пространств при поддержке ИТ-отдела.For the set of local network address spaces, fill in Table L. Note that three blank entries are listed but you will typically need more. Work with your IT department to determine this list of address spaces.

ЭлементItem Адресное пространство локальной сетиLocal network address space
1.1.

2.2.

3.3.

Таблица L. Префиксы адресов для локальной сетиTable L: Address prefixes for the local network

Теперь приступим к созданию инфраструктуры Azure для размещения федеративной проверки подлинности для Office 365.Now let's begin building the Azure infrastructure to host your federated authentication for Office 365.

Примечание

Для указанных ниже последовательностей команд используется последняя версия Azure PowerShell.The following command sets use the latest version of Azure PowerShell. Обратитесь к разделу начало работы с командлетАми Azure PowerShell.See Get started with Azure PowerShell cmdlets.

Запустите командную строку Azure PowerShell и войдите в свою учетную запись.First, start an Azure PowerShell prompt and login to your account.

Connect-AzAccount

Получите имя подписки с помощью следующей команды.Get your subscription name using the following command.

Get-AzSubscription | Sort Name | Select Name

Для более ранних версий Azure PowerShell используйте эту команду.For older versions of Azure PowerShell, use this command instead.

Get-AzSubscription | Sort Name | Select SubscriptionName

Укажите свою подписку Azure.Set your Azure subscription. Замените все в кавычках, в том < числе символами и гт, правильным именем.Replace everything within the quotes, including the < and > characters, with the correct name.

$subscr="<subscription name>"
Select-AzSubscription -SubscriptionName $subscrName -Current

После этого создайте новые группы ресурсов. Чтобы задать уникальные имена, отобразите уже существующие группы ресурсов с помощью указанной команды.Next, create the new resource groups. To determine a unique set of resource group names, use this command to list your existing resource groups.

Get-AzResourceGroup | Sort ResourceGroupName | Select ResourceGroupName

Укажите уникальные имена групп ресурсов в следующей таблице.Fill in the following table for the set of unique resource group names.

ItemItem Имя группы ресурсовResource group name НазначениеPurpose
1.1.

Контроллеры доменовDomain controllers
2.2.

Серверы AD FSAD FS servers
3.3.

Прокси-серверы веб-приложенийWeb application proxy servers
4.4.

Элементы инфраструктурыInfrastructure elements

Таблица R. Группы ресурсовTable R: Resource groups

Создайте новые группы ресурсов с помощью этих команд.Create your new resource groups with these commands.

$locName="<an Azure location, such as West US>"
$rgName="<Table R - Item 1 - Name column>"
New-AzResourceGroup -Name $rgName -Location $locName
$rgName="<Table R - Item 2 - Name column>"
New-AzResourceGroup -Name $rgName -Location $locName
$rgName="<Table R - Item 3 - Name column>"
New-AzResourceGroup -Name $rgName -Location $locName
$rgName="<Table R - Item 4 - Name column>"
New-AzResourceGroup -Name $rgName -Location $locName

Затем создайте виртуальную сеть Azure и подсети.Next, you create the Azure virtual network and its subnets.

$rgName="<Table R - Item 4 - Resource group name column>"
$locName="<your Azure location>"
$vnetName="<Table V - Item 1 - Value column>"
$vnetAddrPrefix="<Table V - Item 4 - Value column>"
$dnsServers=@( "<Table D - Item 1 - DNS server IP address column>", "<Table D - Item 2 - DNS server IP address column>" )
# Get the shortened version of the location
$locShortName=(Get-AzResourceGroup -Name $rgName).Location

# Create the subnets
$subnet1Name="<Table S - Item 1 - Subnet name column>"
$subnet1Prefix="<Table S - Item 1 - Subnet address space column>"
$subnet1=New-AzVirtualNetworkSubnetConfig -Name $subnet1Name -AddressPrefix $subnet1Prefix
$subnet2Name="<Table S - Item 2 - Subnet name column>"
$subnet2Prefix="<Table S - Item 2 - Subnet address space column>"
$subnet2=New-AzVirtualNetworkSubnetConfig -Name $subnet2Name -AddressPrefix $subnet2Prefix
$subnet3Name="<Table S - Item 3 - Subnet name column>"
$subnet3Prefix="<Table S - Item 3 - Subnet address space column>"
$subnet3=New-AzVirtualNetworkSubnetConfig -Name $subnet3Name -AddressPrefix $subnet3Prefix
$gwSubnet4Prefix="<Table S - Item 4 - Subnet address space column>"
$gwSubnet=New-AzVirtualNetworkSubnetConfig -Name "GatewaySubnet" -AddressPrefix $gwSubnet4Prefix

# Create the virtual network
New-AzVirtualNetwork -Name $vnetName -ResourceGroupName $rgName -Location $locName -AddressPrefix $vnetAddrPrefix -Subnet $gwSubnet,$subnet1,$subnet2,$subnet3 -DNSServer $dnsServers

Затем создайте группы безопасности сети для каждой подсети с виртуальными машинами.Next, you create network security groups for each subnet that has virtual machines. Для выполнения изоляции подсети можно добавить правила для определенных типов трафика, разрешенного или запрещенного для группы безопасности сети в подсети.To perform subnet isolation, you can add rules for the specific types of traffic allowed or denied to the network security group of a subnet.

# Create network security groups
$vnet=Get-AzVirtualNetwork -ResourceGroupName $rgName -Name $vnetName

New-AzNetworkSecurityGroup -Name $subnet1Name -ResourceGroupName $rgName -Location $locShortName
$nsg=Get-AzNetworkSecurityGroup -Name $subnet1Name -ResourceGroupName $rgName
Set-AzVirtualNetworkSubnetConfig -VirtualNetwork $vnet -Name $subnet1Name -AddressPrefix $subnet1Prefix -NetworkSecurityGroup $nsg

New-AzNetworkSecurityGroup -Name $subnet2Name -ResourceGroupName $rgName -Location $locShortName
$nsg=Get-AzNetworkSecurityGroup -Name $subnet2Name -ResourceGroupName $rgName
Set-AzVirtualNetworkSubnetConfig -VirtualNetwork $vnet -Name $subnet2Name -AddressPrefix $subnet2Prefix -NetworkSecurityGroup $nsg

New-AzNetworkSecurityGroup -Name $subnet3Name -ResourceGroupName $rgName -Location $locShortName
$nsg=Get-AzNetworkSecurityGroup -Name $subnet3Name -ResourceGroupName $rgName
Set-AzVirtualNetworkSubnetConfig -VirtualNetwork $vnet -Name $subnet3Name -AddressPrefix $subnet3Prefix -NetworkSecurityGroup $nsg

Затем используйте следующие команды, чтобы создать шлюзы для VPN-подключения типа "сеть-сеть".Next, use these commands to create the gateways for the site-to-site VPN connection.

$rgName="<Table R - Item 4 - Resource group name column>"
$locName="<Azure location>"
$vnetName="<Table V - Item 1 - Value column>"
$vnet=Get-AzVirtualNetwork -Name $vnetName -ResourceGroupName $rgName
$subnet=Get-AzVirtualNetworkSubnetConfig -VirtualNetwork $vnet -Name "GatewaySubnet"

# Attach a virtual network gateway to a public IP address and the gateway subnet
$publicGatewayVipName="PublicIPAddress"
$vnetGatewayIpConfigName="PublicIPConfig"
New-AzPublicIpAddress -Name $vnetGatewayIpConfigName -ResourceGroupName $rgName -Location $locName -AllocationMethod Dynamic
$publicGatewayVip=Get-AzPublicIpAddress -Name $vnetGatewayIpConfigName -ResourceGroupName $rgName
$vnetGatewayIpConfig=New-AzVirtualNetworkGatewayIpConfig -Name $vnetGatewayIpConfigName -PublicIpAddressId $publicGatewayVip.Id -Subnet $subnet

# Create the Azure gateway
$vnetGatewayName="AzureGateway"
$vnetGateway=New-AzVirtualNetworkGateway -Name $vnetGatewayName -ResourceGroupName $rgName -Location $locName -GatewayType Vpn -VpnType RouteBased -IpConfigurations $vnetGatewayIpConfig

# Create the gateway for the local network
$localGatewayName="LocalNetGateway"
$localGatewayIP="<Table V - Item 3 - Value column>"
$localNetworkPrefix=@( <comma-separated, double-quote enclosed list of the local network address prefixes from Table L, example: "10.1.0.0/24", "10.2.0.0/24"> )
$localGateway=New-AzLocalNetworkGateway -Name $localGatewayName -ResourceGroupName $rgName -Location $locName -GatewayIpAddress $localGatewayIP -AddressPrefix $localNetworkPrefix

# Define the Azure virtual network VPN connection
$vnetConnectionName="S2SConnection"
$vnetConnectionKey="<Table V - Item 5 - Value column>"
$vnetConnection=New-AzVirtualNetworkGatewayConnection -Name $vnetConnectionName -ResourceGroupName $rgName -Location $locName -ConnectionType IPsec -SharedKey $vnetConnectionKey -VirtualNetworkGateway1 $vnetGateway -LocalNetworkGateway2 $localGateway

Примечание

Федеративная проверка подлинности для отдельных пользователей не зависит от локальных ресурсов.Federated authentication of individual users does not rely on any on-premises resources. Тем не менее, если VPN-подключение типа "сеть-сеть" становится недоступным, контроллеры домена в виртуальной сети не будут получать обновления учетных записей пользователей и групп, которые были сделаны в локальном Windows Server AD.However, if this site-to-site VPN connection becomes unavailable, the domain controllers in the VNet will not receive updates to user accounts and groups made in the on-premises Windows Server AD. Чтобы это не происходило, можно настроить высокий уровень доступности для VPN-подключения типа "сеть-сеть".To ensure this does not happen, you can configure high availability for your site-to-site VPN connection. Дополнительные сведения см в разделе ВысокодоступНое подключение между локальными и виртуальными виртуальными машинамиFor more information, see Highly Available Cross-Premises and VNet-to-VNet Connectivity

После этого запишите общедоступный IPv4-адрес VPN-шлюза Azure для виртуальной сети из результата этой команды:Next, record the public IPv4 address of the Azure VPN gateway for your virtual network from the display of this command:

Get-AzPublicIpAddress -Name $publicGatewayVipName -ResourceGroupName $rgName

Затем настройте локальное VPN-устройство для подключения к VPN-шлюзу Azure.Next, configure your on-premises VPN device to connect to the Azure VPN gateway. Дополнительную информацию можно узнать в статье Настройка VPN-устройства.For more information, see Configure your VPN device.

Чтобы настроить локальное VPN-устройство, вам потребуется следующее:To configure your on-premises VPN device, you will need the following:

  • Общедоступный IPv4-адрес VPN-шлюза Azure.The public IPv4 address of the Azure VPN gateway.

  • Предварительный ключ IPsec для VPN-подключения типа "сеть-сеть" (таблица V, элемент 5, столбец "значение").The IPsec pre-shared key for the site-to-site VPN connection (Table V - Item 5 - Value column).

Убедитесь, что адресное пространство виртуальной сети доступно из локальной сети. Для этого добавьте маршрут, соответствующий адресному пространству виртуальной сети на вашем VPN-устройстве и сообщите этот маршрут остальной инфраструктуре маршрутизации в сети организации. Чтобы определить, как это сделать, обратитесь в ИТ-отдел.Next, ensure that the address space of the virtual network is reachable from your on-premises network. This is usually done by adding a route corresponding to the virtual network address space to your VPN device and then advertising that route to the rest of the routing infrastructure of your organization network. Work with your IT department to determine how to do this.

После этого определите имена четырех групп доступности. Заполните таблицу A.Next, define the names of three availability sets. Fill out Table A.

ItemItem ЦельPurpose Имя группы доступностиAvailability set name
1.1.
Контроллеры доменовDomain controllers

2.2.
Серверы AD FSAD FS servers

3.3.
Прокси-серверы веб-приложенийWeb application proxy servers

Таблица A. Группы доступностиTable A: Availability sets

Вам потребуются эти имена при создании виртуальных машин на этапах 2, 3 и 4.You will need these names when you create the virtual machines in phases 2, 3, and 4.

Создайте новые группы доступности с помощью этих команд Azure PowerShell.Create the new availability sets with these Azure PowerShell commands.

$locName="<the Azure location for your new resource group>"
$rgName="<Table R - Item 1 - Resource group name column>"
$avName="<Table A - Item 1 - Availability set name column>"
New-AzAvailabilitySet -ResourceGroupName $rgName -Name $avName -Location $locName -Sku Aligned  -PlatformUpdateDomainCount 5 -PlatformFaultDomainCount 2
$rgName="<Table R - Item 2 - Resource group name column>"
$avName="<Table A - Item 2 - Availability set name column>"
New-AzAvailabilitySet -ResourceGroupName $rgName -Name $avName -Location $locName -Sku Aligned  -PlatformUpdateDomainCount 5 -PlatformFaultDomainCount 2
$rgName="<Table R - Item 3 - Resource group name column>"
$avName="<Table A - Item 3 - Availability set name column>"
New-AzAvailabilitySet -ResourceGroupName $rgName -Name $avName -Location $locName -Sku Aligned  -PlatformUpdateDomainCount 5 -PlatformFaultDomainCount 2

Ниже показана конфигурация, полученная в результате успешного выполнения этого этапа.This is the configuration resulting from the successful completion of this phase.

Этап 1. Инфраструктура Azure для федеративной проверки подлинности с высоким уровнем доступности для Office 365Phase 1: The Azure infrastructure for high availability federated authentication for Office 365

Этап 1 для федеративной проверки подлинности Office 365 в Azure с инфраструктурой Azure

Следующее действиеNext step

Используйте High availability federated authentication Phase 2: Configure domain controllers, чтобы продолжить настройку этой нагрузки.Use High availability federated authentication Phase 2: Configure domain controllers to continue with the configuration of this workload.

См. такжеSee Also

Развертывание в Azure федеративной проверки подлинности для обеспечения высокой доступности в случае использования Office 365Deploy high availability federated authentication for Office 365 in Azure

Федеративное удостоверение для среды разработки и тестирования Office 365Federated identity for your Office 365 dev/test environment

Освоение облака и гибридные решенияCloud adoption and hybrid solutions

Общие сведения об удостоверениях Office 365 и службе Azure Active DirectoryUnderstanding Office 365 identity and Azure Active Directory