Этап 1. Федеративная проверка подлинности для обеспечения высокой доступности: настройка Azure
На этом этапе вы создадите группы ресурсов, виртуальную сеть и группы доступности в Azure, в которых будут размещаться виртуальные машины на этапах 2, 3 и 4. Прежде чем переходить к разделу Phase 2: Configure domain controllers, необходимо завершить этот этап. Все этапы см. в статье Развертывание федеративной проверки подлинности с высоким уровнем доступности для Microsoft 365 в Azure .
Azure необходимо подготовить с помощью следующих основных компонентов:
Группы ресурсов
Нелокальная виртуальная сеть Azure с подсетями для размещения виртуальных машин Azure
Группы безопасности сети для изоляции подсети
Группы доступности
Настройка компонентов Azure
Перед настройкой компонентов Azure заполните указанные ниже таблицы. Распечатайте этот раздел и запишите необходимую информацию или скопируйте его в документ и заполните там. Укажите параметры виртуальной сети в таблице V.
| Элемент | Параметр конфигурации | Описание | Значение |
|---|---|---|---|
| 1. |
Имя виртуальной сети |
Имя виртуальной сети (например, FedAuthNet). |
 |
| 2. |
Расположение виртуальной сети |
Региональный центр обработки данных Azure, в котором будет расположена виртуальная сеть. |
|
| 3. |
IP-адрес VPN-устройства |
Общедоступный IPv4-адрес интерфейса VPN-устройства в Интернете. |
|
| 4. |
Адресное пространство виртуальной сети |
Адресное пространство виртуальной сети. Чтобы определить это адресное пространство, обратитесь в ИТ-отдел. |
|
| 5. |
Общий ключ IPsec |
32-значный случайный буквенно-цифровой ключ для аутентификации обеих сторон VPN-подключения типа "сеть-сеть". Чтобы определить значение этого ключа, обратитесь в ИТ-отдел. Вы также можете ознакомиться со статьей Создание случайной строки для предварительного ключа IPsec. |
|
Таблица V. Настройка распределенной виртуальной сети
Затем заполните таблицу S для подсетей этого решения. Все адресные пространства должны быть в формате CIDR( бесклассовая междоменовая маршрутизация), также известном как формат префикса сети. Пример: 10.24.64.0/20.
Для первых трех подсетей укажите имя и одно пространство IP-адресов на основе адресного пространства виртуальной сети. Для подсети шлюза определите 27-разрядное адресное пространство (с длиной префикса /27) для подсети шлюза Azure со следующими параметрами:
Для переменных битов в адресном пространстве виртуальной сети задайте значение 1 (не больше бит, используемых подсетью шлюза), а для остальных битов задайте значение 0.
Преобразуйте результат в десятичное число и выразите его как адресное пространство, длина префикса которого соответствует размеру подсети шлюза.
См. статью Калькулятор адресного пространства для подсетей шлюза Azure для командного блока PowerShell и консольного приложения C# или Python, которое выполняет это вычисление за вас.
Определите эти адресные пространства из адресного пространства виртуальной сети при поддержке ИТ-отдела.
| Элемент | Имя подсети | Адресное пространство подсети | Назначение |
|---|---|---|---|
| 1. |
|
|
Подсеть, используемая контроллером домена доменные службы Active Directory (AD DS) и виртуальными машинами сервера синхронизации каталогов. |
| 2. |
|
|
Подсеть, используемая виртуальными машинами AD FS. |
| 3. |
|
|
Подсеть, используемая виртуальными машинами прокси-серверов веб-приложений. |
| 4. |
GatewaySubnet |
|
Подсеть, используемая виртуальными машинами шлюза Azure. |
Таблица S. Подсети виртуальной сети
После этого укажите статические IP-адреса, назначенные виртуальным машинам и экземплярам балансировщика нагрузки, в таблице I.
| Элемент | Назначение | IP-адрес в подсети | Значение |
|---|---|---|---|
| 1. |
Статический IP-адрес первого контроллера домена |
Четвертый возможный IP-адрес для адресного пространства подсети, определенной в элементе 1 таблицы S. |
|
| 2. |
Статический IP-адрес второго контроллера домена |
Пятый возможный IP-адрес адресного пространства подсети, определенной в элементе 1 таблицы S. |
|
| 3. |
Статический IP-адрес сервера синхронизации каталогов |
Шестой возможный IP-адрес адресного пространства подсети, определенной в элементе 1 таблицы S. |
|
| 4. |
Статический IP-адрес внутреннего балансировщика нагрузки для серверов AD FS |
Четвертый возможный IP-адрес для адресного пространства подсети, определенный в элементе 2 таблицы S. |
|
| 5. |
Статический IP-адрес первого сервера AD FS |
Пятый возможный IP-адрес адресного пространства подсети, определенной в элементе 2 таблицы S. |
|
| 6. |
Статический IP-адрес второго сервера AD FS |
Шестой возможный IP-адрес адресного пространства подсети, определенной в элементе 2 таблицы S. |
|
| 7. |
Статический IP-адрес первого прокси-сервера веб-приложений |
Четвертый возможный IP-адрес для адресного пространства подсети, определенный в элементе 3 таблицы S. |
|
| 8. |
Статический IP-адрес второго прокси-сервера веб-приложений |
Пятый возможный IP-адрес адресного пространства подсети, определенной в элементе 3 таблицы S. |
|
Таблица I. Статические IP-адреса в виртуальной сети
В таблице D укажите два DNS-сервера в локальной сети, которые необходимо использовать при начальной настройке контроллеров домена в виртуальной сети. Чтобы определить этот список, обратитесь в ИТ-отдел.
| Элемент | Понятное имя DNS-сервера | IP-адрес DNS-сервера |
|---|---|---|
| 1. |
|
|
| 2. |
|
|
Таблица D. Локальные DNS-сервера
Чтобы маршрутизировать пакеты из локальной сети в сеть организации через VPN-подключение типа "сеть — сеть", необходимо настроить виртуальную сеть с локальной сетью со списком адресных пространств (в нотации CIDR) для всех доступных расположений в локальной сети вашей организации. Список адресных пространств, которые определяют локальную сеть, должен быть уникален и не должен пересекаться с адресным пространством, используемым для других виртуальных или локальных сетей.
Укажите список адресных пространств локальной сети в таблице L. Обратите внимание, что представлено три пустых поля, но обычно требуется больше. Определите этот список адресных пространств при поддержке ИТ-отдела.
| Элемент | Адресное пространство локальной сети |
|---|---|
| 1. |
|
| 2. |
|
| 3. |
|
Таблица L. Префиксы адресов для локальной сети
Теперь давайте начнем создавать инфраструктуру Azure для размещения федеративной проверки подлинности для Microsoft 365.
Примечание.
Для указанных ниже последовательностей команд используется последняя версия Azure PowerShell. См. статью Начало работы с Azure PowerShell.
Запустите командную строку Azure PowerShell и войдите в свою учетную запись.
Connect-AzAccount
Совет
Чтобы создать готовые к выполнению командные блоки PowerShell на основе пользовательских параметров, используйте эту книгу конфигурации Microsoft Excel.
Получите имя подписки с помощью следующей команды.
Get-AzSubscription | Sort Name | Select Name
Для более ранних версий Azure PowerShell используйте эту команду.
Get-AzSubscription | Sort Name | Select SubscriptionName
Укажите свою подписку Azure. Замените все в кавычках, включая < символы и > , правильным именем.
$subscrName="<subscription name>"
Select-AzSubscription -SubscriptionName $subscrName
После этого создайте новые группы ресурсов. Чтобы задать уникальные имена, отобразите уже существующие группы ресурсов с помощью указанной команды.
Get-AzResourceGroup | Sort ResourceGroupName | Select ResourceGroupName
Укажите уникальные имена групп ресурсов в следующей таблице.
| Элемент | Имя группы ресурсов | Назначение |
|---|---|---|
| 1. |
|
Контроллеры доменов |
| 2. |
|
Серверы AD FS |
| 3. |
|
Прокси-серверы веб-приложений |
| 4. |
|
Элементы инфраструктуры |
Таблица R. Группы ресурсов
Создайте новые группы ресурсов с помощью этих команд.
$locName="<an Azure location, such as West US>"
$rgName="<Table R - Item 1 - Name column>"
New-AzResourceGroup -Name $rgName -Location $locName
$rgName="<Table R - Item 2 - Name column>"
New-AzResourceGroup -Name $rgName -Location $locName
$rgName="<Table R - Item 3 - Name column>"
New-AzResourceGroup -Name $rgName -Location $locName
$rgName="<Table R - Item 4 - Name column>"
New-AzResourceGroup -Name $rgName -Location $locName
Затем создайте виртуальную сеть Azure и подсети.
$rgName="<Table R - Item 4 - Resource group name column>"
$locName="<your Azure location>"
$vnetName="<Table V - Item 1 - Value column>"
$vnetAddrPrefix="<Table V - Item 4 - Value column>"
$dnsServers=@( "<Table D - Item 1 - DNS server IP address column>", "<Table D - Item 2 - DNS server IP address column>" )
# Get the shortened version of the location
$locShortName=(Get-AzResourceGroup -Name $rgName).Location
# Create the subnets
$subnet1Name="<Table S - Item 1 - Subnet name column>"
$subnet1Prefix="<Table S - Item 1 - Subnet address space column>"
$subnet1=New-AzVirtualNetworkSubnetConfig -Name $subnet1Name -AddressPrefix $subnet1Prefix
$subnet2Name="<Table S - Item 2 - Subnet name column>"
$subnet2Prefix="<Table S - Item 2 - Subnet address space column>"
$subnet2=New-AzVirtualNetworkSubnetConfig -Name $subnet2Name -AddressPrefix $subnet2Prefix
$subnet3Name="<Table S - Item 3 - Subnet name column>"
$subnet3Prefix="<Table S - Item 3 - Subnet address space column>"
$subnet3=New-AzVirtualNetworkSubnetConfig -Name $subnet3Name -AddressPrefix $subnet3Prefix
$gwSubnet4Prefix="<Table S - Item 4 - Subnet address space column>"
$gwSubnet=New-AzVirtualNetworkSubnetConfig -Name "GatewaySubnet" -AddressPrefix $gwSubnet4Prefix
# Create the virtual network
New-AzVirtualNetwork -Name $vnetName -ResourceGroupName $rgName -Location $locName -AddressPrefix $vnetAddrPrefix -Subnet $gwSubnet,$subnet1,$subnet2,$subnet3 -DNSServer $dnsServers
Затем создайте группы безопасности сети для каждой подсети с виртуальными машинами. Чтобы выполнить изоляцию подсети, можно добавить правила для определенных типов трафика, разрешенного или запрещенного для группы безопасности сети подсети.
# Create network security groups
$vnet=Get-AzVirtualNetwork -ResourceGroupName $rgName -Name $vnetName
New-AzNetworkSecurityGroup -Name $subnet1Name -ResourceGroupName $rgName -Location $locShortName
$nsg=Get-AzNetworkSecurityGroup -Name $subnet1Name -ResourceGroupName $rgName
Set-AzVirtualNetworkSubnetConfig -VirtualNetwork $vnet -Name $subnet1Name -AddressPrefix $subnet1Prefix -NetworkSecurityGroup $nsg
New-AzNetworkSecurityGroup -Name $subnet2Name -ResourceGroupName $rgName -Location $locShortName
$nsg=Get-AzNetworkSecurityGroup -Name $subnet2Name -ResourceGroupName $rgName
Set-AzVirtualNetworkSubnetConfig -VirtualNetwork $vnet -Name $subnet2Name -AddressPrefix $subnet2Prefix -NetworkSecurityGroup $nsg
New-AzNetworkSecurityGroup -Name $subnet3Name -ResourceGroupName $rgName -Location $locShortName
$nsg=Get-AzNetworkSecurityGroup -Name $subnet3Name -ResourceGroupName $rgName
Set-AzVirtualNetworkSubnetConfig -VirtualNetwork $vnet -Name $subnet3Name -AddressPrefix $subnet3Prefix -NetworkSecurityGroup $nsg
$vnet | Set-AzVirtualNetwork
Затем используйте следующие команды, чтобы создать шлюзы для VPN-подключения типа "сеть-сеть".
$rgName="<Table R - Item 4 - Resource group name column>"
$locName="<Azure location>"
$vnetName="<Table V - Item 1 - Value column>"
$vnet=Get-AzVirtualNetwork -Name $vnetName -ResourceGroupName $rgName
$subnet=Get-AzVirtualNetworkSubnetConfig -VirtualNetwork $vnet -Name "GatewaySubnet"
# Attach a virtual network gateway to a public IP address and the gateway subnet
$publicGatewayVipName="PublicIPAddress"
$vnetGatewayIpConfigName="PublicIPConfig"
New-AzPublicIpAddress -Name $vnetGatewayIpConfigName -ResourceGroupName $rgName -Location $locName -AllocationMethod Dynamic
$publicGatewayVip=Get-AzPublicIpAddress -Name $vnetGatewayIpConfigName -ResourceGroupName $rgName
$vnetGatewayIpConfig=New-AzVirtualNetworkGatewayIpConfig -Name $vnetGatewayIpConfigName -PublicIpAddressId $publicGatewayVip.Id -Subnet $subnet
# Create the Azure gateway
$vnetGatewayName="AzureGateway"
$vnetGateway=New-AzVirtualNetworkGateway -Name $vnetGatewayName -ResourceGroupName $rgName -Location $locName -GatewayType Vpn -VpnType RouteBased -IpConfigurations $vnetGatewayIpConfig
# Create the gateway for the local network
$localGatewayName="LocalNetGateway"
$localGatewayIP="<Table V - Item 3 - Value column>"
$localNetworkPrefix=@( <comma-separated, double-quote enclosed list of the local network address prefixes from Table L, example: "10.1.0.0/24", "10.2.0.0/24"> )
$localGateway=New-AzLocalNetworkGateway -Name $localGatewayName -ResourceGroupName $rgName -Location $locName -GatewayIpAddress $localGatewayIP -AddressPrefix $localNetworkPrefix
# Define the Azure virtual network VPN connection
$vnetConnectionName="S2SConnection"
$vnetConnectionKey="<Table V - Item 5 - Value column>"
$vnetConnection=New-AzVirtualNetworkGatewayConnection -Name $vnetConnectionName -ResourceGroupName $rgName -Location $locName -ConnectionType IPsec -SharedKey $vnetConnectionKey -VirtualNetworkGateway1 $vnetGateway -LocalNetworkGateway2 $localGateway
Примечание.
Федеративная проверка подлинности для отдельных пользователей не зависит от локальных ресурсов. Однако если vpn-подключение типа "сеть — сеть" становится недоступным, контроллеры домена в виртуальной сети не будут получать обновления для учетных записей пользователей и групп, сделанных в локальная служба Active Directory доменных службах. Чтобы этого не произошло, можно настроить высокий уровень доступности vpn-подключения типа "сеть — сеть". Дополнительные сведения см. в статье Высокодоступные подключения между локальными и виртуальными сетями.
После этого запишите общедоступный IPv4-адрес VPN-шлюза Azure для виртуальной сети из результата этой команды:
Get-AzPublicIpAddress -Name $publicGatewayVipName -ResourceGroupName $rgName
Затем настройте локальное VPN-устройство для подключения к VPN-шлюзу Azure. Дополнительные сведения см. в разделе Настройка VPN-устройства.
Чтобы настроить локальное VPN-устройство, вам потребуется следующее:
Общедоступный IPv4-адрес VPN-шлюза Azure.
Общий ключ IPsec для VPN-подключения типа "сеть — сеть" (таблица V — элемент 5 — столбец значение).
Убедитесь, что адресное пространство виртуальной сети доступно из локальной сети. Для этого добавьте маршрут, соответствующий адресному пространству виртуальной сети на вашем VPN-устройстве и сообщите этот маршрут остальной инфраструктуре маршрутизации в сети организации. Чтобы определить, как это сделать, обратитесь в ИТ-отдел.
После этого определите имена четырех групп доступности. Заполните таблицу A.
| Элемент | Назначение | Имя группы доступности |
|---|---|---|
| 1. |
Контроллеры доменов |
|
| 2. |
Серверы AD FS |
|
| 3. |
Прокси-серверы веб-приложений |
|
Таблица A. Группы доступности
Вам потребуются эти имена при создании виртуальных машин на этапах 2, 3 и 4.
Создайте новые группы доступности с помощью этих команд Azure PowerShell.
$locName="<the Azure location for your new resource group>"
$rgName="<Table R - Item 1 - Resource group name column>"
$avName="<Table A - Item 1 - Availability set name column>"
New-AzAvailabilitySet -ResourceGroupName $rgName -Name $avName -Location $locName -Sku Aligned -PlatformUpdateDomainCount 5 -PlatformFaultDomainCount 2
$rgName="<Table R - Item 2 - Resource group name column>"
$avName="<Table A - Item 2 - Availability set name column>"
New-AzAvailabilitySet -ResourceGroupName $rgName -Name $avName -Location $locName -Sku Aligned -PlatformUpdateDomainCount 5 -PlatformFaultDomainCount 2
$rgName="<Table R - Item 3 - Resource group name column>"
$avName="<Table A - Item 3 - Availability set name column>"
New-AzAvailabilitySet -ResourceGroupName $rgName -Name $avName -Location $locName -Sku Aligned -PlatformUpdateDomainCount 5 -PlatformFaultDomainCount 2
Ниже показана конфигурация, полученная в результате успешного выполнения этого этапа.
Этап 1. Инфраструктура Azure для федеративной проверки подлинности с высоким уровнем доступности для Microsoft 365
Следующее действие
Используйте этап 2. Настройка контроллеров домена для продолжения настройки этой рабочей нагрузки.
См. также
Федеративное удостоверение для среды разработки и тестирования Microsoft 365
Обратная связь
Ожидается в ближайшее время: в течение 2024 года мы постепенно откажемся от GitHub Issues как механизма обратной связи для контента и заменим его новой системой обратной связи. Дополнительные сведения см. в разделе https://aka.ms/ContentUserFeedback.
Отправить и просмотреть отзыв по