Sdílet prostřednictvím


Federované ověřování s vysokou dostupností Fáze 2: Konfigurace řadičů domény

V této fázi nasazení vysoké dostupnosti pro federované ověřování Microsoft 365 ve službách infrastruktury Azure nakonfigurujete dva řadiče domény a server synchronizace adresářů ve virtuální síti Azure. Webové žádosti klientů o ověření se pak můžou ověřovat ve virtuální síti Azure, nikoli odesílat tento ověřovací provoz přes připojení VPN typu site-to-site do vaší místní sítě.

Poznámka

Active Directory Federation Services (AD FS) (AD FS) nemůže použít id Microsoft Entra jako náhradu za řadiče domény Active Directory Domain Services (AD DS).

Před přechodem do fáze 3: Konfigurace serverů SLUŽBY AD FS musíte tuto fázi dokončit. Všechny fáze najdete v tématu Nasazení federovaného ověřování s vysokou dostupností pro Microsoft 365 v Azure .

Vytvoření virtuálních počítačů řadiče domény v Azure

Nejprve je potřeba vyplnit sloupec Název virtuálního počítače tabulky M a upravit velikosti virtuálních počítačů podle potřeby ve sloupci Minimální velikost .

Položka Název virtuálního počítače Obrázek galerie Typ úložiště Minimální velikost
1.
Řádku. (první řadič domény, příklad DC1)
Windows Server 2016 Datacentrum
Standard_LRS
Standard_D2
2.
Řádku. (druhý řadič domény, příklad DC2)
Windows Server 2016 Datacentrum
Standard_LRS
Standard_D2
3.
Řádku. (server synchronizace adresářů, příklad DS1)
Windows Server 2016 Datacentrum
Standard_LRS
Standard_D2
4.
Řádku. (první server SLUŽBY AD FS, příklad ADFS1)
Windows Server 2016 Datacentrum
Standard_LRS
Standard_D2
5.
Řádku. (druhý server AD FS, příklad ADFS2)
Windows Server 2016 Datacentrum
Standard_LRS
Standard_D2
6.
Řádku. (první proxy server webových aplikací, příklad WEB1)
Windows Server 2016 Datacentrum
Standard_LRS
Standard_D2
7.
Řádku. (druhý proxy server webových aplikací, příklad WEB2)
Windows Server 2016 Datacentrum
Standard_LRS
Standard_D2

Tabulka M – Virtuální počítače pro federované ověřování s vysokou dostupností pro Microsoft 365 v Azure

Úplný seznam velikostí virtuálních počítačů najdete v tématu Velikosti virtuálních počítačů.

Následující blok příkazů Azure PowerShell vytvoří virtuální počítače pro tyto dva řadiče domény. Zadejte hodnoty proměnných a odeberte < znaky a > . Všimněte si, že tento blok příkazů Azure PowerShell používá hodnoty z následujících tabulek:

  • Tabulka M pro virtuální počítače

  • Tabulka R pro vaše skupiny prostředků

  • Tabulka V pro nastavení virtuální sítě

  • Tabulka S pro vaše podsítě

  • Tabulka I pro vaše statické IP adresy

  • Tabulka A pro vaše skupiny dostupnosti

Vzpomeňte si, že jste definovali tabulky R, V, S, I a A ve fázi 1: Konfigurace Azure.

Poznámka

Následující sady příkazů používají nejnovější verzi Azure PowerShell. Viz Začínáme s Azure PowerShell.

Po zadání všech správných hodnot spusťte výsledný blok na příkazovém řádku Azure PowerShell nebo v prostředí integrovaných skriptů PowerShellu (ISE) na místním počítači.

Tip

Pokud chcete generovat bloky příkazů PowerShellu připravené ke spuštění na základě vlastního nastavení, použijte tento konfigurační sešit Microsoft Excelu.

# Set up variables common to both virtual machines
$locName="<your Azure location>"
$vnetName="<Table V - Item 1 - Value column>"
$subnetName="<Table S - Item 1 - Value column>"
$avName="<Table A - Item 1 - Availability set name column>"
$rgNameTier="<Table R - Item 1 - Resource group name column>"
$rgNameInfra="<Table R - Item 4 - Resource group name column>"

$rgName=$rgNameInfra
$vnet=Get-AzVirtualNetwork -Name $vnetName -ResourceGroupName $rgName
$subnet=Get-AzVirtualNetworkSubnetConfig -VirtualNetwork $vnet -Name $subnetName

$rgName=$rgNameTier
$avSet=Get-AzAvailabilitySet -Name $avName -ResourceGroupName $rgName 

# Create the first domain controller
$vmName="<Table M - Item 1 - Virtual machine name column>"
$vmSize="<Table M - Item 1 - Minimum size column>"
$staticIP="<Table I - Item 1 - Value column>"
$diskStorageType="<Table M - Item 1 - Storage type column>"
$diskSize=<size of the extra disk for Active Directory Domain Services (AD DS) data in GB>

$nic=New-AzNetworkInterface -Name ($vmName +"-NIC") -ResourceGroupName $rgName -Location $locName -Subnet $subnet -PrivateIpAddress $staticIP
$vm=New-AzVMConfig -VMName $vmName -VMSize $vmSize -AvailabilitySetId $avset.Id
$vm=Set-AzVMOSDisk -VM $vm -Name ($vmName +"-OS") -DiskSizeInGB 128 -CreateOption FromImage -StorageAccountType $diskStorageType
$diskConfig=New-AzDiskConfig -AccountType $diskStorageType -Location $locName -CreateOption Empty -DiskSizeGB $diskSize
$dataDisk1=New-AzDisk -DiskName ($vmName + "-DataDisk1") -Disk $diskConfig -ResourceGroupName $rgName
$vm=Add-AzVMDataDisk -VM $vm -Name ($vmName + "-DataDisk1") -CreateOption Attach -ManagedDiskId $dataDisk1.Id -Lun 1
$cred=Get-Credential -Message "Type the name and password of the local administrator account for the first domain controller." 
$vm=Set-AzVMOperatingSystem -VM $vm -Windows -ComputerName $vmName -Credential $cred -ProvisionVMAgent -EnableAutoUpdate
$vm=Set-AzVMSourceImage -VM $vm -PublisherName MicrosoftWindowsServer -Offer WindowsServer -Skus 2016-Datacenter -Version "latest"
$vm=Add-AzVMNetworkInterface -VM $vm -Id $nic.Id
New-AzVM -ResourceGroupName $rgName -Location $locName -VM $vm

# Create the second domain controller
$vmName="<Table M - Item 2 - Virtual machine name column>"
$vmSize="<Table M - Item 2 - Minimum size column>"
$staticIP="<Table I - Item 2 - Value column>"
$diskStorageType="<Table M - Item 2 - Storage type column>"
$diskSize=<size of the extra disk for AD DS data in GB>

$nic=New-AzNetworkInterface -Name ($vmName +"-NIC") -ResourceGroupName $rgName -Location $locName -Subnet $subnet -PrivateIpAddress $staticIP
$vm=New-AzVMConfig -VMName $vmName -VMSize $vmSize -AvailabilitySetId $avset.Id
$vm=Set-AzVMOSDisk -VM $vm -Name ($vmName +"-OS") -DiskSizeInGB 128 -CreateOption FromImage -StorageAccountType $diskStorageType
$diskConfig=New-AzDiskConfig -AccountType $diskStorageType -Location $locName -CreateOption Empty -DiskSizeGB $diskSize
$dataDisk1=New-AzDisk -DiskName ($vmName + "-DataDisk1") -Disk $diskConfig -ResourceGroupName $rgName
$vm=Add-AzVMDataDisk -VM $vm -Name ($vmName + "-DataDisk1") -CreateOption Attach -ManagedDiskId $dataDisk1.Id -Lun 1
$cred=Get-Credential -Message "Type the name and password of the local administrator account for the second domain controller." 
$vm=Set-AzVMOperatingSystem -VM $vm -Windows -ComputerName $vmName -Credential $cred -ProvisionVMAgent -EnableAutoUpdate
$vm=Set-AzVMSourceImage -VM $vm -PublisherName MicrosoftWindowsServer -Offer WindowsServer -Skus 2016-Datacenter -Version "latest"
$vm=Add-AzVMNetworkInterface -VM $vm -Id $nic.Id
New-AzVM -ResourceGroupName $rgName -Location $locName -VM $vm

# Create the directory synchronization server
$vmName="<Table M - Item 3 - Virtual machine name column>"
$vmSize="<Table M - Item 3 - Minimum size column>"
$staticIP="<Table I - Item 3 - Value column>"
$diskStorageType="<Table M - Item 3 - Storage type column>"

$nic=New-AzNetworkInterface -Name ($vmName +"-NIC") -ResourceGroupName $rgName -Location $locName -Subnet $subnet -PrivateIpAddress $staticIP
$vm=New-AzVMConfig -VMName $vmName -VMSize $vmSize

$cred=Get-Credential -Message "Type the name and password of the local administrator account for the directory synchronization server." 
$vm=Set-AzVMOperatingSystem -VM $vm -Windows -ComputerName $vmName -Credential $cred -ProvisionVMAgent -EnableAutoUpdate
$vm=Set-AzVMSourceImage -VM $vm -PublisherName MicrosoftWindowsServer -Offer WindowsServer -Skus 2016-Datacenter -Version "latest"
$vm=Add-AzVMNetworkInterface -VM $vm -Id $nic.Id
$vm=Set-AzVMOSDisk -VM $vm -Name ($vmName +"-OS") -DiskSizeInGB 128 -CreateOption FromImage -StorageAccountType $diskStorageType
New-AzVM -ResourceGroupName $rgName -Location $locName -VM $vm

Poznámka

Vzhledem k tomu, že tyto virtuální počítače jsou určené pro intranetovou aplikaci, nemají přiřazenou veřejnou IP adresu ani popisek názvu domény DNS a nejsou přístupné na internetu. To ale také znamená, že se k nim nemůžete připojit z Azure Portal. Možnost Připojit není k dispozici při zobrazení vlastností virtuálního počítače. Pomocí příslušenství Připojení ke vzdálené ploše nebo jiného nástroje Vzdálená plocha se připojte k virtuálnímu počítači pomocí jeho privátní IP adresy nebo názvu DNS intranetu.

Konfigurace prvního řadiče domény

Použijte klienta vzdálené plochy podle svého výběru a vytvořte připojení ke vzdálené ploše k prvnímu virtuálnímu počítači řadiče domény. Použijte jeho intranetový název DNS nebo název počítače a přihlašovací údaje účtu místního správce.

Dále přidejte další datový disk do prvního řadiče domény pomocí tohoto příkazu z příkazového řádku Windows PowerShell na prvním virtuálním počítači řadiče domény:

Get-Disk | Where PartitionStyle -eq "RAW" | Initialize-Disk -PartitionStyle MBR -PassThru | New-Partition -AssignDriveLetter -UseMaximumSize | Format-Volume -FileSystem NTFS -NewFileSystemLabel "WSAD Data"

Dále otestujte připojení prvního řadiče domény k umístěním v síti vaší organizace pomocí příkazu ping , který příkazem ping otestuje názvy a IP adresy prostředků v síti vaší organizace.

Tento postup zajistí, že překlad názvů DNS funguje správně (že virtuální počítač je správně nakonfigurovaný s místními servery DNS) a že se pakety dají odesílat do a z virtuální sítě mezi různými místy. Pokud tento základní test selže, obraťte se na it oddělení a požádejte o řešení potíží s překladem názvů DNS a doručováním paketů.

Dále na příkazovém řádku Windows PowerShell na prvním řadiči domény spusťte následující příkazy:

$domname="<DNS domain name of the domain for which this computer will be a domain controller, such as corp.contoso.com>"
$cred = Get-Credential -Message "Enter credentials of an account with permission to join a new domain controller to the domain"
Install-WindowsFeature AD-Domain-Services -IncludeManagementTools
Install-ADDSDomainController -InstallDns -DomainName $domname  -DatabasePath "F:\NTDS" -SysvolPath "F:\SYSVOL" -LogPath "F:\Logs" -Credential $cred

Zobrazí se výzva k zadání přihlašovacích údajů účtu správce domény. Počítač se restartuje.

Konfigurace druhého řadiče domény

Použijte klienta vzdálené plochy podle svého výběru a vytvořte připojení ke vzdálené ploše k druhému virtuálnímu počítači řadiče domény. Použijte jeho intranetový název DNS nebo název počítače a přihlašovací údaje účtu místního správce.

Dále je potřeba přidat další datový disk do druhého řadiče domény pomocí tohoto příkazu z Windows PowerShell příkazového řádku na druhém virtuálním počítači řadiče domény:

Get-Disk | Where PartitionStyle -eq "RAW" | Initialize-Disk -PartitionStyle MBR -PassThru | New-Partition -AssignDriveLetter -UseMaximumSize | Format-Volume -FileSystem NTFS -NewFileSystemLabel "WSAD Data"

Dále spusťte následující příkazy:

$domname="<DNS domain name of the domain for which this computer will be a domain controller, such as corp.contoso.com>"
$cred = Get-Credential -Message "Enter credentials of an account with permission to join a new domain controller to the domain"
Install-WindowsFeature AD-Domain-Services -IncludeManagementTools
Install-ADDSDomainController -InstallDns -DomainName $domname  -DatabasePath "F:\NTDS" -SysvolPath "F:\SYSVOL" -LogPath "F:\Logs" -Credential $cred

Zobrazí se výzva k zadání přihlašovacích údajů účtu správce domény. Počítač se restartuje.

Dále musíte aktualizovat servery DNS pro vaši virtuální síť tak, aby Azure přiřadil virtuálním počítačům IP adresy dvou nových řadičů domény, které budou používat jako servery DNS. Vyplňte proměnné a spusťte tyto příkazy z Windows PowerShell příkazového řádku na místním počítači:

$rgName="<Table R - Item 4 - Resource group name column>"
$adrgName="<Table R - Item 1 - Resource group name column>"
$locName="<your Azure location>"
$vnetName="<Table V - Item 1 - Value column>"
$onpremDNSIP1="<Table D - Item 1 - DNS server IP address column>"
$onpremDNSIP2="<Table D - Item 2 - DNS server IP address column>"
$staticIP1="<Table I - Item 1 - Value column>"
$staticIP2="<Table I - Item 2 - Value column>"
$firstDCName="<Table M - Item 1 - Virtual machine name column>"
$secondDCName="<Table M - Item 2 - Virtual machine name column>"

$vnet=Get-AzVirtualNetwork -ResourceGroupName $rgName -Name $vnetName
$vnet.DhcpOptions.DnsServers.Add($staticIP1)
$vnet.DhcpOptions.DnsServers.Add($staticIP2) 
$vnet.DhcpOptions.DnsServers.Remove($onpremDNSIP1)
$vnet.DhcpOptions.DnsServers.Remove($onpremDNSIP2) 
Set-AzVirtualNetwork -VirtualNetwork $vnet
Restart-AzVM -ResourceGroupName $adrgName -Name $firstDCName
Restart-AzVM -ResourceGroupName $adrgName -Name $secondDCName

Všimněte si, že tyto dva řadiče domény restartujeme, aby nebyly nakonfigurované s místními servery DNS jako servery DNS. Vzhledem k tomu, že se jedná o samotné servery DNS, byly při povýšení na řadiče domény automaticky nakonfigurovány s místními servery DNS jako servery pro předávání DNS.

Dále musíme vytvořit lokalitu replikace služby Active Directory, abychom zajistili, že servery ve virtuální síti Azure používají místní řadiče domény. Připojte se k řadiči domény pomocí účtu správce domény a spusťte následující příkazy z Windows PowerShell výzvy na úrovni správce:

$vnet="<Table V - Item 1 - Value column>"
$vnetSpace="<Table V - Item 4 - Value column>"
New-ADReplicationSite -Name $vnet 
New-ADReplicationSubnet -Name $vnetSpace -Site $vnet

Konfigurace serveru synchronizace adresářů

Použijte klienta vzdálené plochy podle svého výběru a vytvořte připojení ke vzdálené ploše k virtuálnímu počítači serveru synchronizace adresářů. Použijte jeho intranetový název DNS nebo název počítače a přihlašovací údaje účtu místního správce.

Potom ho připojte k příslušné doméně služby AD DS pomocí těchto příkazů na příkazovém řádku Windows PowerShell.

$domName="<AD DS domain name to join, such as corp.contoso.com>"
$cred=Get-Credential -Message "Type the name and password of a domain account."
Add-Computer -DomainName $domName -Credential $cred
Restart-Computer

Tady je konfigurace, která je výsledkem úspěšného dokončení této fáze se zástupnými názvy počítačů.

Fáze 2: Řadiče domény a server synchronizace adresářů pro infrastrukturu federovaného ověřování s vysokou dostupností v Azure

Fáze 2 vysoce dostupné infrastruktury federovaného ověřování Microsoftu 365 v Azure s řadiči domény

Další krok

Pokud chcete pokračovat v konfiguraci této úlohy, použijte fázi 3: Nakonfigurujte servery SLUŽBY AD FS .

Viz taky

Nasazení federovaného ověřování s vysokou dostupností pro Microsoft 365 v Azure

Federovaná identita pro vývojové a testovací prostředí Microsoftu 365

Centrum řešení a architektury Microsoftu 365