Этап 4. Федеративная проверка подлинности для обеспечения высокой доступности: настройка прокси веб-приложенийHigh availability federated authentication Phase 4: Configure web application proxies

Сводка: Настройка прокси-серверов веб-приложений для федеративной проверки подлинности с высоким уровнем доступности для Office 365 в Microsoft Azure.Summary: Configure the web application proxy servers for your high availability federated authentication for Office 365 in Microsoft Azure.

На этом этапе развертывания федеративной проверки подлинности с высоким уровнем доступности для Office 365 в службах инфраструктуры Azure создаются внутренний балансировщик нагрузки и два сервера AD FS.In this phase of deploying high availability for Office 365 federated authentication in Azure infrastructure services, you create an internal load balancer and two AD FS servers.

Необходимо выполнить этот этап перед переходом к этапу федеративной проверки подлиннОсти высокого уровня доступности 5: Настройка федеративной проверки подлинности для Office 365.You must complete this phase before moving on to High availability federated authentication Phase 5: Configure federated authentication for Office 365. Описание всех этапов см. в статье Развертывание в Azure федеративной проверки подлинности для обеспечения высокой доступности в случае использования Office 365.See Deploy high availability federated authentication for Office 365 in Azure for all of the phases.

Создание подсистемы балансировки сетевой нагрузки в Azure для выхода из ИнтернетаCreate the Internet-facing load balancer in Azure

Необходимо создать подсистему балансировки нагрузки с выходом в Интернет, чтобы Azure перегрузил входящий трафик проверки подлинности клиента из Интернета между двумя серверами прокси-сервера веб-приложений.You must create an Internet-facing load balancer so that Azure distributes the incoming client authentication traffic from the Internet evenly among the two web application proxy servers.

Примечание

Для указанных ниже последовательностей команд используется последняя версия Azure PowerShell.The following command sets use the latest version of Azure PowerShell. Обратитесь к разделу начало работы с командлетАми Azure PowerShell.See Get started with Azure PowerShell cmdlets.

После того как вы задали значения расположения и группы ресурсов, запустите полученный блок в командной строки Azure PowerShell или в ИНТЕГРИРОВАНной среде выполнения PowerShell.When you have supplied location and resource group values, run the resulting block at the Azure PowerShell command prompt or in the PowerShell ISE.

# Set up key variables
$locName="<your Azure location>"
$rgName="<Table R - Item 4 - Resource group name column>"

$publicIP=New-AzPublicIpAddress -ResourceGroupName $rgName -Name "WebProxyPublicIP" -Location $LocName -AllocationMethod "Static"
$frontendIP=New-AzLoadBalancerFrontendIpConfig -Name "WebAppProxyServers-LBFE" -PublicIpAddress $publicIP
$beAddressPool=New-AzLoadBalancerBackendAddressPoolConfig -Name "WebAppProxyServers-LBBE"
$healthProbe=New-AzLoadBalancerProbeConfig -Name "WebServersProbe" -Protocol "TCP" -Port 443 -IntervalInSeconds 15 -ProbeCount 2
$lbrule=New-AzLoadBalancerRuleConfig -Name "WebTraffic" -FrontendIpConfiguration $frontendIP -BackendAddressPool $beAddressPool -Probe $healthProbe -Protocol "TCP" -FrontendPort 443 -BackendPort 443
New-AzLoadBalancer -ResourceGroupName $rgName -Name "WebAppProxyServers" -Location $locName -LoadBalancingRule $lbrule -BackendAddressPool $beAddressPool -Probe $healthProbe -FrontendIpConfiguration $frontendIP

Чтобы отобразить общедоступный IP-адрес, назначенный подсистеме балансировки нагрузки в Интернете, выполните следующие команды в командной строке Azure PowerShell на локальном компьютере:To display the public IP address assigned to your Internet-facing load balancer, run these commands at the Azure PowerShell command prompt on your local computer:

Write-Host (Get-AzPublicIpaddress -Name "WebProxyPublicIP" -ResourceGroup $rgName).IPAddress

Определение полного ДОМЕНного имени и создание записей DNS для службы федерацииDetermine your federation service FQDN and create DNS records

Необходимо определить DNS-имя, чтобы определить имя службы федерации в Интернете.You need to determine the DNS name to identify your federation service name on the Internet. Azure AD Connect настроит Office 365 с этим именем в фазе 5, которая становится частью URL-адреса, который Office 365 отправляет клиентам для получения маркера безопасности.Azure AD Connect will configure Office 365 with this name in Phase 5, which will become part of the URL that Office 365 sends to connecting clients to get a security token. Например, fs.contoso.com (FS означает служба Федерации).An example is fs.contoso.com (fs stands for federation service).

После того как вы ФДКН службу федерации, создайте запись A общедоступного домена DNS для службы федерации ФДКН, которая разрешается в общедоступный IP-адрес подсистемы балансировки нагрузки Azure, доступного для выхода в Интернет.Once you have your federation service FDQN, create a public DNS domain A record for the federation service FDQN that resolves to the public IP address of the Azure Internet-facing load balancer.

NameName TypeType TTLTTL ЗначениеValue
Служба федерации ФДКНfederation service FDQN
AA
36003600
общедоступный IP-адрес балансировщика нагрузки с выходом в Интернет Azure (отображается с помощью команды Write-Host в предыдущем разделе)public IP address of the Azure Internet-facing load balancer (displayed by the Write-Host command in the previous section)

Вот пример:Here is an example:

NameName TypeType TTLTTL ЗначениеValue
FS.contoso.comfs.contoso.com
AA
36003600
131.107.249.117131.107.249.117

Затем добавьте запись DNS-адреса в личное пространство имен DNS организации, которая разрешает полное ДОМЕНное имя службы Федерации к частному IP-адресу, назначенному внутреннему подсистеме балансировки нагрузки для серверов AD FS (таблица I, элемент 4, столбец "значение").Next, add a DNS address record to your organization's private DNS namespace that resolves your federation service FQDN to the private IP address assigned to the internal load balancer for the AD FS servers (Table I, item 4, Value column).

Создание виртуальных машин прокси-сервера веб-приложений в AzureCreate the web application proxy server virtual machines in Azure

Используйте следующий блок команд Azure PowerShell, чтобы создать виртуальные машины для двух прокси-серверов веб-приложений.Use the following block of Azure PowerShell commands to create the virtual machines for the two web application proxy servers.

Обратите внимание на то, что следующие наборы команд Azure PowerShell используют значения из следующих таблиц:Note that the following Azure PowerShell command sets use values from the following tables:

  • таблица M (для виртуальных машин);Table M, for your virtual machines

  • таблица R (для групп ресурсов);Table R, for your resource groups

  • таблица V (для параметров виртуальной сети);Table V, for your virtual network settings

  • таблица S (для подсетей);Table S, for your subnets

  • таблица I (для статических IP-адресов);Table I, for your static IP addresses

  • таблица A (для групп доступности).Table A, for your availability sets

Помните, что вы определили таблицу M на этапе высокодоступной федеративной проверки подлинности 2: Configure Domain Controllers and Tables R, V, S, I и A with High Availability Authentication Phase 1: Configure Azure.Recall that you defined Table M in High availability federated authentication Phase 2: Configure domain controllers and Tables R, V, S, I, and A in High availability federated authentication Phase 1: Configure Azure.

Задав правильные значения, выполните полученный блок в командной строке Azure PowerShell или в интегрированной среде сценариев PowerShell.When you have supplied all the proper values, run the resulting block at the Azure PowerShell command prompt or in the PowerShell ISE.

# Set up variables common to both virtual machines
$locName="<your Azure location>"
$vnetName="<Table V - Item 1 - Value column>"
$subnetName="<Table R - Item 3 - Subnet name column>"
$avName="<Table A - Item 3 - Availability set name column>"
$rgNameTier="<Table R - Item 3 - Resource group name column>"
$rgNameInfra="<Table R - Item 4 - Resource group name column>"

$rgName=$rgNameInfra
$vnet=Get-AzVirtualNetwork -Name $vnetName -ResourceGroupName $rgName
$subnet=Get-AzVirtualNetworkSubnetConfig -VirtualNetwork $vnet -Name $subnetName
$backendSubnet=Get-AzVirtualNetworkSubnetConfig -Name $subnetName -VirtualNetwork $vnet
$webLB=Get-AzLoadBalancer -ResourceGroupName $rgName -Name "WebAppProxyServers"

$rgName=$rgNameTier
$avSet=Get-AzAvailabilitySet -Name $avName -ResourceGroupName $rgName

# Create the first web application proxy server virtual machine
$vmName="<Table M - Item 6 - Virtual machine name column>"
$vmSize="<Table M - Item 6 - Minimum size column>"
$staticIP="<Table I - Item 7 - Value column>"
$diskStorageType="<Table M - Item 6 - Storage type column>"

$nic=New-AzNetworkInterface -Name ($vmName +"-NIC") -ResourceGroupName $rgName -Location $locName -Subnet $backendSubnet -LoadBalancerBackendAddressPool $webLB.BackendAddressPools[0] -PrivateIpAddress $staticIP
$vm=New-AzVMConfig -VMName $vmName -VMSize $vmSize -AvailabilitySetId $avset.Id

$cred=Get-Credential -Message "Type the name and password of the local administrator account for the first web application proxy server." 
$vm=Set-AzVMOperatingSystem -VM $vm -Windows -ComputerName $vmName -Credential $cred -ProvisionVMAgent -EnableAutoUpdate
$vm=Set-AzVMSourceImage -VM $vm -PublisherName MicrosoftWindowsServer -Offer WindowsServer -Skus 2016-Datacenter -Version "latest"
$vm=Add-AzVMNetworkInterface -VM $vm -Id $nic.Id
$vm=Set-AzVMOSDisk -VM $vm -Name ($vmName +"-OS") -DiskSizeInGB 128 -CreateOption FromImage -StorageAccountType $diskStorageType
New-AzVM -ResourceGroupName $rgName -Location $locName -VM $vm

# Create the second web application proxy virtual machine
$vmName="<Table M - Item 7 - Virtual machine name column>"
$vmSize="<Table M - Item 7 - Minimum size column>"
$staticIP="<Table I - Item 8 - Value column>"
$diskStorageType="<Table M - Item 7 - Storage type column>"

$nic=New-AzNetworkInterface -Name ($vmName +"-NIC") -ResourceGroupName $rgName -Location $locName  -Subnet $backendSubnet -LoadBalancerBackendAddressPool $webLB.BackendAddressPools[0] -PrivateIpAddress $staticIP
$vm=New-AzVMConfig -VMName $vmName -VMSize $vmSize -AvailabilitySetId $avset.Id

$cred=Get-Credential -Message "Type the name and password of the local administrator account for the second web application proxy server." 
$vm=Set-AzVMOperatingSystem -VM $vm -Windows -ComputerName $vmName -Credential $cred -ProvisionVMAgent -EnableAutoUpdate
$vm=Set-AzVMSourceImage -VM $vm -PublisherName MicrosoftWindowsServer -Offer WindowsServer -Skus 2016-Datacenter -Version "latest"
$vm=Add-AzVMNetworkInterface -VM $vm -Id $nic.Id
$vm=Set-AzVMOSDisk -VM $vm -Name ($vmName +"-OS") -DiskSizeInGB 128 -CreateOption FromImage -StorageAccountType $diskStorageType
New-AzVM -ResourceGroupName $rgName -Location $locName -VM $vm

Примечание

Эти виртуальные машины предназначены для работы в интрасети, поэтому им не назначается общедоступный IP-адрес или метка доменного имени DNS и они не подключаются к Интернету.Because these virtual machines are for an intranet application, they are not assigned a public IP address or a DNS domain name label and exposed to the Internet. Однако это также означает, что к ним невозможно подключиться с помощью портала Azure.However, this also means that you cannot connect to them from the Azure portal. Команда Подключиться недоступна при просмотре свойств виртуальной машины.The Connect option is unavailable when you view the properties of the virtual machine. Используйте подключение к удаленному рабочему столу или другой инструмент удаленного рабочего стола, чтобы подключиться к виртуальной машине, используя свой частный IP-адрес или DNS-имя интрасети, а также учетные данные локальной учетной записи администратора.Use the Remote Desktop Connection accessory or another Remote Desktop tool to connect to the virtual machine using its private IP address or intranet DNS name and the credentials of the local administrator account.

Здесь показана конфигурация, полученная в результате успешного выполнения этого этапа (с заполнителями вместо имен компьютеров).Here is the configuration resulting from the successful completion of this phase, with placeholder computer names.

Этап 4: подсистема балансировки нагрузки на основе Интернета и прокси-серверы веб-приложений для инфраструктуры федеративной проверки подлинности с высоким уровнем доступности в AzurePhase 4: The Internet-facing load balancer and web application proxy servers for your high availability federated authentication infrastructure in Azure

Этап 4 инфраструктуры федеративной проверки подлинности Office 365 с высоким уровнем доступности в Azure с помощью прокси-серверов веб-приложений

Следующее действиеNext step

Применение федеративной проверки подлинности с высоким уровнем доступности этап 5: Настройка федеративной проверки подлинности для Office 365 для продолжения настройки этой рабочей нагрузки.Use High availability federated authentication Phase 5: Configure federated authentication for Office 365 to continue configuring this workload.

См. такжеSee Also

Развертывание в Azure федеративной проверки подлинности для обеспечения высокой доступности в случае использования Office 365Deploy high availability federated authentication for Office 365 in Azure

Федеративное удостоверение для среды разработки и тестирования Office 365Federated identity for your Office 365 dev/test environment

Освоение облака и гибридные решенияCloud adoption and hybrid solutions

Параметры федеративной проверки подлинностиFederated authentication options