Sdílet prostřednictvím

Vysoká dostupnost napříč geografickými nasazeními služby AD FS v Azure pomocí Azure Traffic Manageru

nasazení služby AD FS v Azure poskytuje podrobné pokyny k nasazení jednoduché infrastruktury SLUŽBY AD FS pro vaši organizaci v Azure. Tento článek obsahuje další kroky k vytvoření napříč geografickými nasazeními služby AD FS v Azure pomocí azure Traffic Manageru. Azure Traffic Manager pomáhá vytvořit geograficky rozprostřenou vysokou dostupnost a vysoce výkonnou infrastrukturu služby AD FS pro vaši organizaci tím, že využívá celou řadu metod směrování, které budou dostupné pro různé potřeby z infrastruktury.

Vysoce dostupná infrastruktura služby AD FS napříč geografickými oblastmi umožňuje:

  • Odstranění jediného bodu selhání: S možnostmi převzetí služeb při selhání azure Traffic Manageru můžete dosáhnout vysoce dostupné infrastruktury služby AD FS, i když dojde k výpadku jednoho z datových center v části zeměkoule.
  • Vylepšený výkon: Pomocí navrhovaného nasazení v tomto článku můžete poskytnout vysoce výkonnou infrastrukturu služby AD FS, která uživatelům pomůže rychleji ověřit.

Principy návrhu

Celkový návrh

Základní principy návrhu budou stejné jako uvedené v principech návrhu v článku Nasazení služby AD FS v Azure. Výše uvedený diagram znázorňuje jednoduché rozšíření základního nasazení do jiné geografické oblasti. Níže jsou uvedeny některé body, které je potřeba zvážit při rozšiřování nasazení do nové geografické oblasti.

  • Virtuální síť: V geografické oblasti, ve které chcete nasadit další infrastrukturu služby AD FS, byste měli vytvořit novou virtuální síť. V diagramu výše vidíte virtuální síť Geo1 a virtuální síť Geo2 jako dvě virtuální sítě v každé geografické oblasti.
  • řadiče domény a servery služby AD FS v nové geografické virtuální síti: Doporučuje se nasadit řadiče domény v nové geografické oblasti, aby servery SLUŽBY AD FS v nové oblasti nemusely kontaktovat řadič domény v jiné vzdálené síti, aby se dokončilo ověřování a tím se zlepšil výkon.
  • Účty úložiště: Účty úložiště jsou přidružené k oblasti. Vzhledem k tomu, že budete nasazovat počítače v nové geografické oblasti, budete muset vytvořit nové účty úložiště, které se budou používat v dané oblasti.
  • Skupiny zabezpečení sítě: Stejně jako účty úložiště nemohou být skupiny zabezpečení sítě vytvořené v oblasti použity v jiné geografické oblasti. Proto budete muset vytvořit nové skupiny zabezpečení sítě podobné skupinám v první geografické oblasti pro podsíť INT a DMZ v nové geografické oblasti.
  • popisky DNS pro veřejné IP adresy: Azure Traffic Manager může odkazovat pouze na koncové body prostřednictvím popisků DNS. Proto je nutné vytvořit popisky DNS pro veřejné IP adresy externích nástrojů pro vyrovnávání zatížení.
  • Azure Traffic Manager. Microsoft Azure Traffic Manager umožňuje řídit směrování uživatelského provozu do koncových bodů služeb běžících v různých datacentrech po celém světě. Azure Traffic Manager funguje na úrovni DNS. Pomocí odpovědí DNS směruje provoz koncových uživatelů do globálně distribuovaných koncových bodů. Klienti se pak připojují přímo k těmto koncovým bodům. S různými možnostmi směrování výkonu, vážené a priority můžete snadno zvolit možnost směrování, která je nejvhodnější pro potřeby vaší organizace.
  • připojení V-NET k virtuální síti mezi dvěma oblastmi: Mezi samotnými virtuálními sítěmi nemusíte mít připojení. Vzhledem k tomu, že každá virtuální síť má přístup k řadičům domény a má samotný server AD FS a WAP, můžou fungovat bez jakéhokoli připojení mezi virtuálními sítěmi v různých oblastech.

Postup integrace Azure Traffic Manageru

Nasazení služby AD FS v nové geografické oblasti

Postupujte podle kroků a pokynů v nasazení služby AD FS v Azure a nasaďte stejnou topologii v novém geografickém regionu.

Značky DNS pro veřejné IP adresy internetově orientovaných (veřejných) load balancerů

Jak je uvedeno výše, Azure Traffic Manager může odkazovat pouze na popisky DNS jako koncové body, a proto je důležité vytvořit popisky DNS pro veřejné IP adresy externích nástrojů pro vyrovnávání zatížení. Následující snímek obrazovky ukazuje, jak můžete nakonfigurovat popisek DNS pro veřejnou IP adresu.

Popisek DNS

Nasazení Azure Traffic Manageru

Pomocí následujícího postupu vytvořte profil traffic manageru. Další informace najdete také v tématu Správa profilu služby Azure Traffic Manager.

  1. Vytvoření profilu Traffic Manageru: dejte profilu traffic manageru jedinečný název. Tento název profilu je součástí názvu DNS a funguje jako předpona pro popisek názvu domény Traffic Manageru. Název nebo předpona se přidá k .trafficmanager.net a vytvoří popisek DNS pro správce provozu. Následující snímek obrazovky ukazuje, že předpona DNS Traffic Manageru je nastavená jako mysts a výsledný popisek DNS bude mysts.trafficmanager.net.

    vytvoření profilu Traffic Manageru

  2. metoda směrování provozu : Traffic Manager nabízí tři možnosti směrování:

    • Priority

    • Performance

    • Weighted

      Výkon je doporučená možnost dosažení vysoce responzivní infrastruktury služby AD FS. Můžete ale zvolit jakoukoli metodu směrování, která nejlépe vyhovuje vašim potřebám nasazení. Vybraná možnost směrování nemá vliv na funkčnost služby AD FS. Další informace o metodách směrování provozu Traffic Manageru najdete v části . Na ukázkovém snímku obrazovky výše vidíte vybranou metodu Výkon .

  3. Konfigurace koncových bodů: Na stránce Traffic Manageru klikněte na koncové body a vyberte Přidat. Otevře se stránka Přidat koncový bod podobná snímku obrazovky níže.

    Konfigurace koncových bodů

    Pro různé vstupy postupujte podle následujících pokynů:

    Typ: Vyberte koncový bod Azure, protože budeme odkazovat na veřejnou IP adresu Azure.

    Jméno: Vytvořte název, který chcete přidružit ke koncovému bodu. Toto není název DNS a nemá žádný vliv na záznamy DNS.

    Typ cílového prostředku: Jako hodnotu této vlastnosti vyberte veřejnou IP adresu.

    Cílový prostředek: Budete tak mít možnost si vybrat z různých popisků DNS, které máte v rámci svého předplatného k dispozici. Zvolte popisek DNS odpovídající koncovému bodu, který konfigurujete.

    Přidejte koncový bod pro každou geografickou oblast, do které má Azure Traffic Manager směrovat provoz. Další informace a podrobné pokyny k přidání nebo konfiguraci koncových bodů v Traffic Manageru najdete v tématu Přidání, zakázání, povolení nebo odstranění koncových bodů

  4. Konfigurace sondy: Na stránce Traffic Manageru klikněte na Konfigurace. Na stránce konfigurace musíte změnit nastavení monitoru k testování na portu HTTP 80 a relativní cestu /adfs/probe.

    Konfigurace sondy

    Note

    Po dokončení konfigurace se ujistěte, že stav koncových bodů je ONLINE. Pokud jsou všechny koncové body ve stavu degradovaném, Azure Traffic Manager vynaloží maximální úsilí pro směrování provozu za předpokladu, že diagnostika je chybná a všechny koncové body jsou dostupné.

  5. Úprava záznamů DNS pro Azure Traffic Manager: Vaše federační služba by měla být CNAME záznamem na název DNS Azure Traffic Manageru. Ve veřejných záznamech DNS vytvořte záznam CNAME, aby kdokoli, kdo se pokouší připojit k federační službě, skutečně dosáhl Azure Traffic Manageru.

    Pokud například chcete nasměrovat federační službu fs.fabidentity.com na Traffic Manager, musíte aktualizovat záznam prostředku DNS tak, aby byl následující:

    fs.fabidentity.com IN CNAME mysts.trafficmanager.net

Otestování směrování a přihlášení ke službě AD FS

Test směrování

Velmi základním testem pro testování směrování by bylo provést ping DNS názvu služby federace z počítače v každé geografické oblasti. V závislosti na zvolené metodě směrování se koncový bod, který ve skutečnosti ping provede, projeví v zobrazení příkazu ping. Pokud jste například vybrali výkonnostní směrování, bude dosažen koncový bod nejblíže oblasti klienta. Níže je snímek dvou pingů ze dvou klientských počítačů z různých regionů, jednoho z oblasti EastAsia a druhého z oblasti západní USA.

Test směrování

Test přihlášení ke službě AD FS

Nejjednodušší způsob, jak službu AD FS otestovat, je použití stránky IdpInitiatedSignon.aspx. Aby to bylo možné provést, je nutné povolit IdpInitiatedSignOn ve vlastnostech služby AD FS. Postupujte podle následujících kroků a ověřte nastavení služby AD FS.

  1. Spuštěním následující rutiny na serveru AD FS pomocí PowerShellu ji nastavte na povolenou. Set-AdfsProperties -EnableIdPInitiatedSignonPage $true

  2. Z jakéhokoli externího počítače přístup https://<yourfederationservicedns>/adfs/ls/IdpInitiatedSignon.aspx

  3. Měla by se zobrazit stránka služby AD FS, jak je znázorněno níže:

    test služby AD FS – výzva k ověření

    a při úspěšném přihlášení vám poskytne zprávu o úspěchu, jak je znázorněno níže:

    test služby AD FS – úspěšné ověření

Další kroky

  • Last updated on