Sdílet prostřednictvím


Federované ověřování s vysokou dostupností Fáze 3: Konfigurace serverů AD FS

V této fázi nasazení vysoké dostupnosti pro federované ověřování Microsoft 365 ve službách infrastruktury Azure vytvoříte interní nástroj pro vyrovnávání zatížení a dva servery SLUŽBY AD FS.

Tuto fázi musíte dokončit před přechodem do fáze 4: Konfigurace proxy webových aplikací. Všechny fáze najdete v tématu Nasazení federovaného ověřování s vysokou dostupností pro Microsoft 365 v Azure .

Vytvoření virtuálních počítačů serveru AD FS v Azure

Pomocí následujícího bloku příkazů PowerShellu vytvořte virtuální počítače pro dva servery SLUŽBY AD FS. Tato sada příkazů PowerShellu používá hodnoty z následujících tabulek:

  • Tabulka M pro virtuální počítače

  • Tabulka R pro vaše skupiny prostředků

  • Tabulka V pro nastavení virtuální sítě

  • Tabulka S pro vaše podsítě

  • Tabulka I pro vaše statické IP adresy

  • Tabulka A pro vaše skupiny dostupnosti

Vzpomeňte si, že jste definovali tabulku M ve fázi 2: Konfigurace řadičů domény a tabulek R, V, S, I a A ve fázi 1: Konfigurace Azure.

Poznámka

Následující sady příkazů používají nejnovější verzi Azure PowerShell. Viz Začínáme s Azure PowerShell.

Nejprve vytvoříte interní nástroj pro vyrovnávání zatížení Azure pro dva servery AD FS. Zadejte hodnoty proměnných a odeberte < znaky a > . Po zadání všech správných hodnot spusťte výsledný blok na příkazovém řádku Azure PowerShell nebo v prostředí POWERShell ISE.

Tip

Pokud chcete generovat bloky příkazů PowerShellu připravené ke spuštění na základě vlastního nastavení, použijte tento konfigurační sešit Microsoft Excelu.

# Set up key variables
$locName="<your Azure location>"
$vnetName="<Table V - Item 1 - Value column>"
$subnetName="<Table R - Item 2 - Subnet name column>"
$privIP="<Table I - Item 4 - Value column>"
$rgName=<Table R - Item 4 - Resource group name column>"

$vnet=Get-AzVirtualNetwork -Name $vnetName -ResourceGroupName $rgName
$subnet=Get-AzVirtualNetworkSubnetConfig -VirtualNetwork $vnet -Name $subnetName

$frontendIP=New-AzLoadBalancerFrontendIpConfig -Name "ADFSServers-LBFE" -PrivateIPAddress $privIP -Subnet $subnet
$beAddressPool=New-AzLoadBalancerBackendAddressPoolConfig -Name "ADFSServers-LBBE"

$healthProbe=New-AzLoadBalancerProbeConfig -Name WebServersProbe -Protocol "TCP" -Port 443 -IntervalInSeconds 15 -ProbeCount 2
$lbrule=New-AzLoadBalancerRuleConfig -Name "HTTPSTraffic" -FrontendIpConfiguration $frontendIP -BackendAddressPool $beAddressPool -Probe $healthProbe -Protocol "TCP" -FrontendPort 443 -BackendPort 443
New-AzLoadBalancer -ResourceGroupName $rgName -Name "ADFSServers" -Location $locName -LoadBalancingRule $lbrule -BackendAddressPool $beAddressPool -Probe $healthProbe -FrontendIpConfiguration $frontendIP

Dále vytvořte virtuální počítače serveru SLUŽBY AD FS.

Po zadání všech správných hodnot spusťte výsledný blok na příkazovém řádku Azure PowerShell nebo v prostředí POWERShell ISE.

# Set up variables common to both virtual machines
$locName="<your Azure location>"
$vnetName="<Table V - Item 1 - Value column>"
$subnetName="<Table R - Item 2 - Subnet name column>"
$avName="<Table A - Item 2 - Availability set name column>"
$rgNameTier="<Table R - Item 2 - Resource group name column>"
$rgNameInfra="<Table R - Item 4 - Resource group name column>"

$rgName=$rgNameInfra
$vnet=Get-AzVirtualNetwork -Name $vnetName -ResourceGroupName $rgName
$subnet=Get-AzVirtualNetworkSubnetConfig -VirtualNetwork $vnet -Name $subnetName
$backendSubnet=Get-AzVirtualNetworkSubnetConfig -Name $subnetName -VirtualNetwork $vnet
$webLB=Get-AzLoadBalancer -ResourceGroupName $rgName -Name "ADFSServers"

$rgName=$rgNameTier
$avSet=Get-AzAvailabilitySet -Name $avName -ResourceGroupName $rgName

# Create the first ADFS server virtual machine
$vmName="<Table M - Item 4 - Virtual machine name column>"
$vmSize="<Table M - Item 4 - Minimum size column>"
$staticIP="<Table I - Item 5 - Value column>"
$diskStorageType="<Table M - Item 4 - Storage type column>"

$nic=New-AzNetworkInterface -Name ($vmName +"-NIC") -ResourceGroupName $rgName -Location $locName -Subnet $backendSubnet -LoadBalancerBackendAddressPool $webLB.BackendAddressPools[0] -PrivateIpAddress $staticIP
$vm=New-AzVMConfig -VMName $vmName -VMSize $vmSize -AvailabilitySetId $avset.Id

$cred=Get-Credential -Message "Type the name and password of the local administrator account for the first AD FS server." 
$vm=Set-AzVMOperatingSystem -VM $vm -Windows -ComputerName $vmName -Credential $cred -ProvisionVMAgent -EnableAutoUpdate
$vm=Set-AzVMSourceImage -VM $vm -PublisherName MicrosoftWindowsServer -Offer WindowsServer -Skus 2016-Datacenter -Version "latest"
$vm=Add-AzVMNetworkInterface -VM $vm -Id $nic.Id
$vm=Set-AzVMOSDisk -VM $vm -Name ($vmName +"-OS") -DiskSizeInGB 128 -CreateOption FromImage -StorageAccountType $diskStorageType
New-AzVM -ResourceGroupName $rgName -Location $locName -VM $vm

# Create the second AD FS virtual machine
$vmName="<Table M - Item 5 - Virtual machine name column>"
$vmSize="<Table M - Item 5 - Minimum size column>"
$staticIP="<Table I - Item 6 - Value column>"
$diskStorageType="<Table M - Item 5 - Storage type column>"

$nic=New-AzNetworkInterface -Name ($vmName +"-NIC") -ResourceGroupName $rgName -Location $locName  -Subnet $backendSubnet -LoadBalancerBackendAddressPool $webLB.BackendAddressPools[0] -PrivateIpAddress $staticIP
$vm=New-AzVMConfig -VMName $vmName -VMSize $vmSize -AvailabilitySetId $avset.Id

$cred=Get-Credential -Message "Type the name and password of the local administrator account for the second AD FS server." 
$vm=Set-AzVMOperatingSystem -VM $vm -Windows -ComputerName $vmName -Credential $cred -ProvisionVMAgent -EnableAutoUpdate
$vm=Set-AzVMSourceImage -VM $vm -PublisherName MicrosoftWindowsServer -Offer WindowsServer -Skus 2016-Datacenter -Version "latest"
$vm=Add-AzVMNetworkInterface -VM $vm -Id $nic.Id
$vm=Set-AzVMOSDisk -VM $vm -Name ($vmName +"-OS") -DiskSizeInGB 128 -CreateOption FromImage -StorageAccountType $diskStorageType
New-AzVM -ResourceGroupName $rgName -Location $locName -VM $vm

Poznámka

Vzhledem k tomu, že tyto virtuální počítače jsou určené pro intranetovou aplikaci, nemají přiřazenou veřejnou IP adresu ani popisek názvu domény DNS a nejsou přístupné na internetu. To ale také znamená, že se k nim nemůžete připojit z Azure Portal. Možnost Připojit není k dispozici při zobrazení vlastností virtuálního počítače. Pomocí příslušenství Připojení ke vzdálené ploše nebo jiného nástroje Vzdálená plocha se připojte k virtuálnímu počítači pomocí jeho privátní IP adresy nebo názvu DNS intranetu.

Pro každý virtuální počítač použijte klienta vzdálené plochy podle svého výběru a vytvořte připojení ke vzdálené ploše. Použijte jeho intranetový název DNS nebo název počítače a přihlašovací údaje účtu místního správce.

Pro každý virtuální počítač je připojte k příslušné doméně Active Directory Domain Services (AD DS) pomocí těchto příkazů na příkazovém řádku Windows PowerShell.

$domName="<AD DS domain name to join, such as corp.contoso.com>"
$cred=Get-Credential -Message "Type the name and password of a domain account."
Add-Computer -DomainName $domName -Credential $cred
Restart-Computer

Tady je konfigurace, která je výsledkem úspěšného dokončení této fáze se zástupnými názvy počítačů.

Fáze 3: Servery služby AD FS a interní nástroj pro vyrovnávání zatížení pro infrastrukturu federovaného ověřování s vysokou dostupností v Azure

Fáze 3 infrastruktury vysoce dostupného federovaného ověřování Microsoftu 365 v Azure se servery AD FS

Další krok

Pokud chcete pokračovat v konfiguraci této úlohy, použijte Fázi 4: Konfigurace proxy webových aplikací .

Viz taky

Nasazení federovaného ověřování s vysokou dostupností pro Microsoft 365 v Azure

Federovaná identita pro vývojové a testovací prostředí Microsoftu 365