Fas 4 för hög tillgänglighet för federerad autentisering: Konfigurera proxyprogram för webbprogram
I den här fasen av distributionen av hög tillgänglighet för Microsoft 365 federerad autentisering i Azure-infrastrukturtjänster skapar du en intern belastningsutjämnare och två AD FS-servrar.
Du måste slutföra den här fasen innan du går vidare till fas 5: Konfigurera federerad autentisering för Microsoft 365. Se Distribuera federerad autentisering med hög tillgänglighet för Microsoft 365 i Azure för alla faser.
Skapa belastningsutjämaren mot Internet i Azure
Du måste skapa en belastningsutjämnare på Internet så att Azure distribuerar autentiseringstrafik för inkommande klient från Internet jämnt mellan de två proxyservrarna för webbprogram.
Anteckning
Följande kommandouppsättningar använder den senaste versionen av Azure PowerShell. Se Komma igång med Azure PowerShell.
När du har angett värden för plats och resursgrupp kör du resultatblocket Azure PowerShell kommandotolken eller i PowerShell ISE.
Tips
Om du vill skapa PowerShell-kommandoblock som är färdiga att köra baserat på dina anpassade inställningar använder du den här Microsoft Excel konfigurationsarbetsboken.
# Set up key variables
$locName="<your Azure location>"
$rgName="<Table R - Item 4 - Resource group name column>"
$publicIP=New-AzPublicIpAddress -ResourceGroupName $rgName -Name "WebProxyPublicIP" -Location $LocName -AllocationMethod "Static"
$frontendIP=New-AzLoadBalancerFrontendIpConfig -Name "WebAppProxyServers-LBFE" -PublicIpAddress $publicIP
$beAddressPool=New-AzLoadBalancerBackendAddressPoolConfig -Name "WebAppProxyServers-LBBE"
$healthProbe=New-AzLoadBalancerProbeConfig -Name "WebServersProbe" -Protocol "TCP" -Port 443 -IntervalInSeconds 15 -ProbeCount 2
$lbrule=New-AzLoadBalancerRuleConfig -Name "WebTraffic" -FrontendIpConfiguration $frontendIP -BackendAddressPool $beAddressPool -Probe $healthProbe -Protocol "TCP" -FrontendPort 443 -BackendPort 443
New-AzLoadBalancer -ResourceGroupName $rgName -Name "WebAppProxyServers" -Location $locName -LoadBalancingRule $lbrule -BackendAddressPool $beAddressPool -Probe $healthProbe -FrontendIpConfiguration $frontendIP
Om du vill visa den offentliga IP-adressen som är kopplad till din Internet-belastningsutjämnare kör du följande kommandon Azure PowerShell kommandotolken på den lokala datorn:
Write-Host (Get-AzPublicIpaddress -Name "WebProxyPublicIP" -ResourceGroup $rgName).IPAddress
Bestäm FQDN för federationstjänsten och skapa DNS-poster
Du måste ta reda på DNS-namnet för att kunna identifiera federationstjänstens namn på Internet. Azure AD Anslut konfigurerar Microsoft 365 med det här namnet i fas 5, som blir en del av URL-adressen som Microsoft 365 skickar till anslutande klienter för att få en säkerhetstoken. Ett exempel är fs.contoso.com (fs står för federationstjänst).
När du har federationstjänstens FDQN skapar du en offentlig DNS-domän En post för federationstjänstens FDQN som löser den offentliga IP-adressen för Azure Internet-belastningsutjämnaren.
| Name | Type (typ) | TTL | Värde |
|---|---|---|---|
| federationstjänst FDQN |
A |
3600 |
offentlig IP-adress för Azure-belastningsutjämaren (visas av kommandot Write-Host i föregående avsnitt) |
Här är ett exempel:
| Name | Type (typ) | TTL | Värde |
|---|---|---|---|
| fs.contoso.com |
A |
3600 |
131.107.249.117 |
Lägg sedan till en DNS-adresspost i organisationens privata DNS-namnområde som löser federationstjänstens FQDN till den privata IP-adressen som tilldelats den interna belastningsutjämaren för AD FS-servrarna (tabell I, objekt 4, värdekolumnen).
Skapa webbprogramproxyserverns virtuella datorer i Azure
Använd följande block med Azure PowerShell för att skapa virtuella datorer för de två proxyservrarna för webbprogram.
Observera att följande Azure PowerShell-kommandouppsättningar använder värden från följande tabeller:
Tabell M, för virtuella datorer
Tabell R, för resursgrupper
Tabell V, för dina virtuella nätverksinställningar
Tabell S, för dina undernät
Tabell I, för statiska IP-adresser
Tabell A, för dina tillgänglighetsuppsättningar
Kom ihåg att du definierade Tabell M i fas 2: Konfigurera domänkontrollanter och tabell R, V, S, I och A i fas 1: Konfigurera Azure.
När du har angett alla rätt värden kör du det resulterande blocket Azure PowerShell kommandotolken eller i PowerShell ISE.
# Set up variables common to both virtual machines
$locName="<your Azure location>"
$vnetName="<Table V - Item 1 - Value column>"
$subnetName="<Table R - Item 3 - Subnet name column>"
$avName="<Table A - Item 3 - Availability set name column>"
$rgNameTier="<Table R - Item 3 - Resource group name column>"
$rgNameInfra="<Table R - Item 4 - Resource group name column>"
$rgName=$rgNameInfra
$vnet=Get-AzVirtualNetwork -Name $vnetName -ResourceGroupName $rgName
$subnet=Get-AzVirtualNetworkSubnetConfig -VirtualNetwork $vnet -Name $subnetName
$backendSubnet=Get-AzVirtualNetworkSubnetConfig -Name $subnetName -VirtualNetwork $vnet
$webLB=Get-AzLoadBalancer -ResourceGroupName $rgName -Name "WebAppProxyServers"
$rgName=$rgNameTier
$avSet=Get-AzAvailabilitySet -Name $avName -ResourceGroupName $rgName
# Create the first web application proxy server virtual machine
$vmName="<Table M - Item 6 - Virtual machine name column>"
$vmSize="<Table M - Item 6 - Minimum size column>"
$staticIP="<Table I - Item 7 - Value column>"
$diskStorageType="<Table M - Item 6 - Storage type column>"
$nic=New-AzNetworkInterface -Name ($vmName +"-NIC") -ResourceGroupName $rgName -Location $locName -Subnet $backendSubnet -LoadBalancerBackendAddressPool $webLB.BackendAddressPools[0] -PrivateIpAddress $staticIP
$vm=New-AzVMConfig -VMName $vmName -VMSize $vmSize -AvailabilitySetId $avset.Id
$cred=Get-Credential -Message "Type the name and password of the local administrator account for the first web application proxy server."
$vm=Set-AzVMOperatingSystem -VM $vm -Windows -ComputerName $vmName -Credential $cred -ProvisionVMAgent -EnableAutoUpdate
$vm=Set-AzVMSourceImage -VM $vm -PublisherName MicrosoftWindowsServer -Offer WindowsServer -Skus 2016-Datacenter -Version "latest"
$vm=Add-AzVMNetworkInterface -VM $vm -Id $nic.Id
$vm=Set-AzVMOSDisk -VM $vm -Name ($vmName +"-OS") -DiskSizeInGB 128 -CreateOption FromImage -StorageAccountType $diskStorageType
New-AzVM -ResourceGroupName $rgName -Location $locName -VM $vm
# Create the second web application proxy virtual machine
$vmName="<Table M - Item 7 - Virtual machine name column>"
$vmSize="<Table M - Item 7 - Minimum size column>"
$staticIP="<Table I - Item 8 - Value column>"
$diskStorageType="<Table M - Item 7 - Storage type column>"
$nic=New-AzNetworkInterface -Name ($vmName +"-NIC") -ResourceGroupName $rgName -Location $locName -Subnet $backendSubnet -LoadBalancerBackendAddressPool $webLB.BackendAddressPools[0] -PrivateIpAddress $staticIP
$vm=New-AzVMConfig -VMName $vmName -VMSize $vmSize -AvailabilitySetId $avset.Id
$cred=Get-Credential -Message "Type the name and password of the local administrator account for the second web application proxy server."
$vm=Set-AzVMOperatingSystem -VM $vm -Windows -ComputerName $vmName -Credential $cred -ProvisionVMAgent -EnableAutoUpdate
$vm=Set-AzVMSourceImage -VM $vm -PublisherName MicrosoftWindowsServer -Offer WindowsServer -Skus 2016-Datacenter -Version "latest"
$vm=Add-AzVMNetworkInterface -VM $vm -Id $nic.Id
$vm=Set-AzVMOSDisk -VM $vm -Name ($vmName +"-OS") -DiskSizeInGB 128 -CreateOption FromImage -StorageAccountType $diskStorageType
New-AzVM -ResourceGroupName $rgName -Location $locName -VM $vm
Anteckning
Eftersom dessa virtuella datorer är för ett intranätprogram, tilldelas de inte en offentlig IP-adress eller en DNS-domännamnsetikett och exponeras för Internet. Det innebär dock också att du inte kan ansluta till dem från Azure Portal. Alternativet Anslut inte tillgängligt när du visar egenskaperna för den virtuella datorn. Använd Fjärrskrivbordanslutningstillbehör eller ett annat Fjärrskrivbord-verktyg för att ansluta till den virtuella datorn med dess privata IP-adress eller DNS-namn på intranätet och det lokala administratörskontots autentiseringsuppgifter.
Här är konfigurationen som är ett resultat av att den här fasen slutförs, med platshållardatornamn.
Fas 4: Proxyservrarna för internetbaserad belastningsutjämning och webbprogram för din hög tillgänglighetsinfrastruktur för federerad autentisering i Azure

Nästa steg
Använd fas 5: Konfigurera federerad autentisering för Microsoft 365 att fortsätta konfigurera arbetsbelastningen.
Se även
Distribuera federerad autentisering med hög tillgänglighet för Microsoft 365 i Azure
Federerad identitet för Microsoft 365 utvecklings-/testmiljö