Bereitstellen der Verbundauthentifizierung mit Hochverfügbarkeit für Microsoft 365 in Azure
Dieser Artikel enthält Links zu den schritt-für-Schritt-Anweisungen zum Bereitstellen der Hochverfügbarkeitsverbundauthentifizierung für Microsoft 365 in Azure-Infrastrukturdiensten mit diesen virtuellen Computern:
Zwei Webanwendungsproxy-Server
Zwei Active Directory-Verbunddienste (AD FS)
Zwei replizierte Domänencontroller
Ein Verzeichnissynchronisierungsserver, auf dem Microsoft Entra Connect ausgeführt wird
Hier sehen Sie die Konfiguration mit Platzhalternamen für jeden Server.
Eine Hochverfügbarkeitsverbundauthentifizierung für die Microsoft 365-Infrastruktur in Azure
Alle virtuellen Computer befinden sich in einem einzigen standortübergreifenden virtuellen Azure-Netzwerk (VNet).
Hinweis
Für die Verbundauthentifizierung einzelner Benutzer ist kein Rückgriff auf lokale Ressourcen erforderlich. Wenn die standortübergreifende Verbindung jedoch nicht mehr verfügbar ist, erhalten die Domänencontroller im VNET keine Updates für Benutzerkonten und Gruppen, die im lokales Active Directory Domain Services (AD DS) vorgenommen wurden. Zur Vermeidung eines solchen Szenarios können Sie Hochverfügbarkeit für die standortübergreifende Verbindung konfigurieren. Weitere Informationen finden Sie unter Standortübergreifende Hochverfügbarkeit und VNet-zu-VNet-Konnektivität.
Jedes Paar virtuelle Computer für eine bestimmte Rolle befindet sich in einem eigenen Subnetz und einer eigenen Verfügbarkeitsgruppe.
Hinweis
Da dieses VNet mit dem lokalen Netzwerk verbunden ist, umfasst diese Konfiguration keinen virtuellen Jumpbox- oder Überwachungscomputer in einem Verwaltungssubnetz. Weitere Informationen finden Sie unter Ausführen von Windows-VMs für eine N-Schicht-Architektur.
Das Ergebnis dieser Konfiguration ist, dass Sie über eine Verbundauthentifizierung für alle Ihre Microsoft 365-Benutzer verfügen, bei der sie ihre AD DS-Anmeldeinformationen anstelle ihres Microsoft 365-Kontos verwenden können, um sich anzumelden. Die Verbundauthentifizierungsinfrastruktur nutzt einen redundanten Satz von Servern, die in den Azure-Infrastrukturdiensten bereitgestellt sind, nicht in Ihrem lokalen Umkreisnetzwerk. Das ist eine deutlich einfacher zu implementierende Konstellation.
Erforderliche Komponenten
Diese geplante Konfiguration erfordert den folgenden Satz von Azure-Diensten und Komponenten:
Sieben virtuelle Computer
Ein standortübergreifendes virtuelles Netzwerk mit vier Subnetzen
Vier Ressourcengruppen
Drei Verfügbarkeitsgruppen.
Ein Azure-Abonnement
Nachfolgend sehen Sie die virtuellen Computer und ihre Standardgrößen für diese Konfiguration.
| Element | Beschreibung des virtuellen Computers | Azure-Katalogbild | Standardgröße |
|---|---|---|---|
| 1. |
Erster Domänencontroller |
Windows Server 2016 Datacenter |
D2 |
| 2. |
Zweiter Domänencontroller |
Windows Server 2016 Datacenter |
D2 |
| 3. |
Microsoft Entra Connect-Server |
Windows Server 2016 Datacenter |
D2 |
| 4. |
Erster AD FS-Server
|
Windows Server 2016 Datacenter |
D2 |
| 5. |
Zweiter AD FS-Server
|
Windows Server 2016 Datacenter |
D2 |
| 6. |
Erster Webanwendungsproxy-Server
|
Windows Server 2016 Datacenter |
D2 |
| 7. |
Zweiter Webanwendungsproxy-Server
|
Windows Server 2016 Datacenter |
D2 |
Um die geschätzten Kosten für diese Konfiguration zu berechnen, finden Sie unter Azure-Preisrechner weitere Informationen.
Phasen der Bereitstellung
Sie stellen diese Arbeitslast in den folgenden Phasen bereit:
Phase 1: Konfigurieren von Azure. Erstellen von Ressourcengruppen, Speicherkonten, Verfügbarkeitsgruppen und einem standortübergreifenden virtuellen Netzwerk.
Phase 2: Konfigurieren von Domänencontrollern. Erstellen und Konfigurieren Sie AD DS-Replikatdomänencontroller und den Verzeichnissynchronisierungsserver.
Phase 3: Konfigurieren von AD FS-Servern Erstellen und Konfigurieren der beiden AD FS-Server.
Phase 4: Konfigurieren von Webanwendungsproxys Erstellen und Konfigurieren der beiden Webanwendungsproxy-Server
Phase 5: Konfigurieren der Verbundauthentifizierung für Microsoft 365 Konfigurieren Sie die Verbundauthentifizierung für Ihr Microsoft 365-Abonnement.
Diese Artikel enthalten einen ausführlichen, phasenweisen Leitfaden für eine vordefinierte Architektur zum Erstellen einer funktionalen, hochverfüzbaren Verbundauthentifizierung für Microsoft 365 in Azure-Infrastrukturdiensten. Denken Sie dabei an Folgendes:
Wenn Sie ein erfahrener AD FS-Implementierer sind, können Sie die Anweisungen in den Phasen 3 und 4 anpassen und den Satz von Servern erstellen, der Ihren Anforderungen am besten entspricht.
Wenn Sie bereits über eine vorhandene Azure-Hybridcloudbereitstellung mit einem vorhandenen standortübergreifenden virtuellen Netzwerk verfügen, können Sie die Anweisungen in den Phasen 1 und 2 entsprechend anpassen oder überspringen und die AD FS-Server und die Webanwendungsproxy-Server in den entsprechenden Subnetzen platzieren.
Informationen zum Erstellen einer Entwicklungs-/Testumgebung oder eines Proof of Concept dieser Konfiguration finden Sie unter Verbundidentität für Ihre Microsoft 365-Entwicklungs-/Testumgebung.
Nächster Schritt
Starten Sie die Konfiguration dieser Arbeitslast mit Phase 1: Konfigurieren von Azure.
Feedback
Bald verfügbar: Im Laufe des Jahres 2024 werden wir GitHub-Issues stufenweise als Feedbackmechanismus für Inhalte abbauen und durch ein neues Feedbacksystem ersetzen. Weitere Informationen finden Sie unter https://aka.ms/ContentUserFeedback.
Feedback senden und anzeigen für