Hochverfügbarkeit der Verbundauthentifizierung, Phase 1: Konfigurieren von Azure
In dieser Phase erstellen Sie die Ressourcengruppen, das virtuelle Netzwerk (VNET) und verfügbarkeitsgruppen in Azure, die die virtuellen Computer in den Phasen 2, 3 und 4 hosten. Sie müssen diese Phase abschließen, bevor Sie mit Phase 2: Configure domain controllers fortfahren können. Informationen zu allen Phasen finden Sie unter Bereitstellen von Hochverfügbarkeitsverbundauthentifizierung für Microsoft 365 in Azure .
Azure muss mit den folgenden grundlegenden Komponenten bereitgestellt werden:
Ressourcengruppen
Ein standortübergreifendes virtuelles Azure-Netzwerk (VNet) mit Subnetzen für das Hosting der virtuellen Computer in Azure
Netzwerksicherheitsgruppen zur Isolierung der Subnetze
Verfügbarkeitsgruppen
Konfigurieren der Azure-Komponenten
Bevor Sie mit dem Konfigurieren von Azure-Komponenten beginnen, füllen Sie die folgenden Tabellen aus. Um Sie bei der Konfiguration von Azure zu unterstützen, drucken Sie diesen Abschnitt aus, und notieren Sie sich die erforderlichen Informationen, oder kopieren Sie diesen Abschnitt in ein Dokument, und füllen Sie ihn aus. Füllen Sie tabelle V aus, um die Einstellungen des VNET anzuzeigen.
| Aspekt | Konfigurationseinstellung | Beschreibung | Wert |
|---|---|---|---|
| 1. |
VNet-Name |
Ein Name, der dem VNet zugewiesen wird (z. B. FedAuthNet). |
 |
| 2. |
VNet-Standort |
Das regionale Azure-Rechenzentrum, in dem sich das virtuelle Netzwerk befinden soll |
|
| 3. |
IP-Adresse des VPN-Geräts |
Die öffentliche IPv4-Adresse der Schnittstelle des VPN-Geräts im Internet |
|
| 4. |
VNet-Adressraum |
Der Adressraum für das virtuelle Netzwerk. Fragen Sie Ihre IT-Abteilung nach diesem Adressraum. |
|
| 5. |
Gemeinsam verwendeter IPsec-Schlüssel |
Eine aus 32 zufällig ausgewählten alphanumerischen Zeichen bestehende Zeichenfolge, die zur Authentifizierung beider Seiten der Standort-zu-Standort-VPN-Verbindung verwendet wird. Arbeiten Sie mit Ihrer IT- oder Sicherheitsabteilung zusammen, um diesen Schlüsselwert zu ermitteln. Alternativ finden Sie weitere Informationen dazu unter Create a random string for an IPsec preshared key. |
|
Tabelle V: Konfiguration eines standortübergreifenden virtuellen Netzwerks
Füllen Sie nun Tabelle S für die Subnetze dieser Lösung aus. Alle Adressräume sollten im CIDR (Classless Inter-Domain Routing)-Format angegeben werden, auch Netzwerkpräfixformat genannt. Beispiel: 10.24.64.0/20.
Geben Sie für die ersten drei Subnetze einen Namen und einen einzigen IP-Adressraum aus dem Adressraum des virtuellen Netzwerks an. Gehen Sie wie folgt vor, um den 27-Bit-Adressraum (mit Präfixlänge „/27“) für das Azure-Gatewaysubnetz zu ermitteln:
Setzen Sie die variablen Bits im Adressraum des VNet auf 1, bis zu den für das Gatewaysubnetz verwendeten Bits. Setzen Sie die verbleibenden Bits auf 0.
Übertragen Sie den resultierenden Bitblock ins Dezimalsystem, und drücken Sie ihn als Adressraum aus, wobei Sie als Präfixlänge die Größe des Gatewaysubnetzes festlegen.
Unter Adressraumrechner für Azure-Gatewaysubnetze finden Sie einen PowerShell-Befehlsblock und eine C#- oder Python-Konsolenanwendung, die diese Berechnung für Sie ausführt.
Fragen Sie Ihre IT-Abteilung nach diesen Adressräumen aus dem Adressraum des virtuellen Netzwerks.
| Element | Subnetzname | Subnetzadressraum | Zweck |
|---|---|---|---|
| 1. |
|
|
Das Subnetz, das vom Active Directory Domain Services-Domänencontroller (AD DS) und virtuellen Computern (VMs) des Verzeichnissynchronisierungsservers verwendet wird. |
| 2. |
|
|
Das von den virtuellen Computern von AD FS verwendete Subnetz. |
| 3. |
|
|
Das von den virtuellen Computern des Webanwendungsproxys verwendete Subnetz. |
| 4. |
GatewaySubnet |
|
Das von den virtuellen Computern des Azure-Gateways verwendete Subnetz. |
Tabelle S: Subnetze im virtuellen Netzwerk
Tragen Sie in Tabelle I nun die statischen IP-Adressen ein, die den virtuellen Computern und den Load Balancer-Instanzen zugewiesen werden.
| Element | Zweck | IP-Adresse im Subnetz | Wert |
|---|---|---|---|
| 1. |
Statische IP-Adresse des ersten Domänencontrollers |
Die vierte mögliche IP-Adresse für den Adressraum des in Tabelle S, Element 1 definierten Subnetzes |
|
| 2. |
Statische IP-Adresse des zweiten Domänencontrollers |
Die fünfte mögliche IP-Adresse für den Adressraum des in Tabelle S, Element 1 definierten Subnetzes |
|
| 3. |
Statische IP-Adresse des Verzeichnissynchronisierungsservers |
Die sechste mögliche IP-Adresse für den Adressraum des in Tabelle S, Element 1 definierten Subnetzes |
|
| 4. |
Statische IP-Adresse des internen Lastenausgleichs für die AD FS-Server |
Die vierte mögliche IP-Adresse für den Adressraum des in Tabelle S, Element 2 definierten Subnetzes |
|
| 5. |
Statische IP-Adresse des ersten AD FS-Servers |
Die fünfte mögliche IP-Adresse für den Adressraum des in Tabelle S, Element 2 definierten Subnetzes |
|
| 6. |
Statische IP-Adresse des zweiten AD FS-Servers |
Die sechste mögliche IP-Adresse für den Adressraum des in Tabelle S, Element 2 definierten Subnetzes |
|
| 7. |
Statische IP-Adresse des ersten Webanwendungsproxy-Servers
|
Die vierte mögliche IP-Adresse für den Adressraum des in Tabelle S, Element 3 definierten Subnetzes |
|
| 8. |
Statische IP-Adresse des zweiten Webanwendungsproxy-Servers
|
Die fünfte mögliche IP-Adresse für den Adressraum des in Tabelle S, Element 3 definierten Subnetzes |
|
Tabelle I: Statische IP-Adressen im virtuellen Netzwerk
Füllen Sie Tabelle D für die beiden DNS-Server in Ihrem lokalen Netzwerk aus, die Sie bei der Ersteinrichtung der Domänencontroller in Ihrem virtuellen Netzwerk verwenden möchten. Stellen Sie diese Liste gemeinsam mit Ihrer IT-Abteilung zusammen.
| Element | Anzeigename des DNS-Servers | IP-Adresse des DNS-Servers |
|---|---|---|
| 1. |
|
|
| 2. |
|
|
Tabelle D: Lokale DNS-Server
Zum Weiterleiten von Paketen aus dem standortübergreifenden Netzwerk an Ihr organization Netzwerk über die Site-to-Site-VPN-Verbindung müssen Sie das virtuelle Netzwerk mit einem lokalen Netzwerk konfigurieren, das eine Liste der Adressräume (in CIDR-Notation) für alle erreichbaren Standorte im lokalen Netzwerk Ihres organization enthält. Die Liste der Adressräume, die Ihr lokales Netzwerk definieren, muss eindeutig sein und darf sich nicht mit dem Adressraum überschneiden, der für andere virtuelle Netzwerke oder andere lokale Netzwerke verwendet wird.
Füllen Sie für den Satz lokaler Netzwerkadressräume Tabelle L aus. Beachten Sie, dass drei leere Einträge aufgeführt sind, aber Sie benötigen in der Regel mehr. Arbeiten Sie mit Ihrer IT-Abteilung zusammen, um diese Liste der Adressräume zu ermitteln.
| Element | Adressraum des lokalen Netzwerks |
|---|---|
| 1. |
|
| 2. |
|
| 3. |
|
Tabelle L: Adresspräfixe für das lokale Netzwerk
Nun beginnen wir mit dem Aufbau der Azure-Infrastruktur zum Hosten Ihrer Verbundauthentifizierung für Microsoft 365.
Hinweis
[!HINWEIS] In den folgenden Befehlssätzen wird die aktuelle Version von Azure PowerShell verwendet. Weitere Informationen finden Sie unter Erste Schritte mit Azure PowerShell.
Starten Sie zunächst eine Azure PowerShell-Eingabeaufforderung, und melden Sie sich bei Ihrem Konto an.
Connect-AzAccount
Tipp
Verwenden Sie diese Microsoft Excel-Konfigurationsarbeitsmappe, um ausführungsbereite PowerShell-Befehlsblöcke basierend auf Ihren benutzerdefinierten Einstellungen zu generieren.
Rufen Sie den Namen Ihres Abonnements mithilfe des folgenden Befehls ab.
Get-AzSubscription | Sort Name | Select Name
Verwenden Sie für ältere Versionen von Azure PowerShell stattdessen diesen Befehl.
Get-AzSubscription | Sort Name | Select SubscriptionName
Tragen Sie Ihr Azure-Abonnement ein. Ersetzen Sie alles innerhalb der Anführungszeichen, einschließlich der Zeichen „<" und „>", durch den entsprechenden Namen.
$subscrName="<subscription name>"
Select-AzSubscription -SubscriptionName $subscrName
Erstellen Sie im nächsten Schritt die neuen Ressourcengruppen. Listen Sie mit dem folgenden Befehl alle bereits vorhandenen Ressourcengruppen auf, um eine eindeutige Gruppe von Ressourcengruppennamen zu ermitteln.
Get-AzResourceGroup | Sort ResourceGroupName | Select ResourceGroupName
Tragen Sie die eindeutigen Ressourcengruppennamen in die folgende Tabelle ein.
| Element | Ressourcengruppenname | Zweck |
|---|---|---|
| 1. |
|
Domänencontroller |
| 2. |
|
AD FS-Server |
| 3. |
|
Webanwendungsproxy-Server |
| 4. |
|
Infrastrukturelemente |
Tabelle R: Ressourcengruppen
Erstellen Sie die neuen Ressourcengruppen mit den folgenden Befehlen.
$locName="<an Azure location, such as West US>"
$rgName="<Table R - Item 1 - Name column>"
New-AzResourceGroup -Name $rgName -Location $locName
$rgName="<Table R - Item 2 - Name column>"
New-AzResourceGroup -Name $rgName -Location $locName
$rgName="<Table R - Item 3 - Name column>"
New-AzResourceGroup -Name $rgName -Location $locName
$rgName="<Table R - Item 4 - Name column>"
New-AzResourceGroup -Name $rgName -Location $locName
Erstellen Sie als Nächstes das virtuelle Azure-Netzwerk und seine Subnetze.
$rgName="<Table R - Item 4 - Resource group name column>"
$locName="<your Azure location>"
$vnetName="<Table V - Item 1 - Value column>"
$vnetAddrPrefix="<Table V - Item 4 - Value column>"
$dnsServers=@( "<Table D - Item 1 - DNS server IP address column>", "<Table D - Item 2 - DNS server IP address column>" )
# Get the shortened version of the location
$locShortName=(Get-AzResourceGroup -Name $rgName).Location
# Create the subnets
$subnet1Name="<Table S - Item 1 - Subnet name column>"
$subnet1Prefix="<Table S - Item 1 - Subnet address space column>"
$subnet1=New-AzVirtualNetworkSubnetConfig -Name $subnet1Name -AddressPrefix $subnet1Prefix
$subnet2Name="<Table S - Item 2 - Subnet name column>"
$subnet2Prefix="<Table S - Item 2 - Subnet address space column>"
$subnet2=New-AzVirtualNetworkSubnetConfig -Name $subnet2Name -AddressPrefix $subnet2Prefix
$subnet3Name="<Table S - Item 3 - Subnet name column>"
$subnet3Prefix="<Table S - Item 3 - Subnet address space column>"
$subnet3=New-AzVirtualNetworkSubnetConfig -Name $subnet3Name -AddressPrefix $subnet3Prefix
$gwSubnet4Prefix="<Table S - Item 4 - Subnet address space column>"
$gwSubnet=New-AzVirtualNetworkSubnetConfig -Name "GatewaySubnet" -AddressPrefix $gwSubnet4Prefix
# Create the virtual network
New-AzVirtualNetwork -Name $vnetName -ResourceGroupName $rgName -Location $locName -AddressPrefix $vnetAddrPrefix -Subnet $gwSubnet,$subnet1,$subnet2,$subnet3 -DNSServer $dnsServers
Als Nächstes erstellen Sie Netzwerksicherheitsgruppen für jedes Subnetz, das über virtuelle Computer verfügt. Um die Isolierung der Subnetze durchzuführen, können Sie Regeln für den jeweiligen Typ von Datenverkehr hinzufügen, der für die Netzwerksicherheitsgruppe eines Subnetzes erlaubt oder zurückgewiesen werden soll.
# Create network security groups
$vnet=Get-AzVirtualNetwork -ResourceGroupName $rgName -Name $vnetName
New-AzNetworkSecurityGroup -Name $subnet1Name -ResourceGroupName $rgName -Location $locShortName
$nsg=Get-AzNetworkSecurityGroup -Name $subnet1Name -ResourceGroupName $rgName
Set-AzVirtualNetworkSubnetConfig -VirtualNetwork $vnet -Name $subnet1Name -AddressPrefix $subnet1Prefix -NetworkSecurityGroup $nsg
New-AzNetworkSecurityGroup -Name $subnet2Name -ResourceGroupName $rgName -Location $locShortName
$nsg=Get-AzNetworkSecurityGroup -Name $subnet2Name -ResourceGroupName $rgName
Set-AzVirtualNetworkSubnetConfig -VirtualNetwork $vnet -Name $subnet2Name -AddressPrefix $subnet2Prefix -NetworkSecurityGroup $nsg
New-AzNetworkSecurityGroup -Name $subnet3Name -ResourceGroupName $rgName -Location $locShortName
$nsg=Get-AzNetworkSecurityGroup -Name $subnet3Name -ResourceGroupName $rgName
Set-AzVirtualNetworkSubnetConfig -VirtualNetwork $vnet -Name $subnet3Name -AddressPrefix $subnet3Prefix -NetworkSecurityGroup $nsg
$vnet | Set-AzVirtualNetwork
Verwenden Sie anschließend diese Befehle zum Erstellen der Gateways für die Standort-zu-Standort-VPN-Verbindung.
$rgName="<Table R - Item 4 - Resource group name column>"
$locName="<Azure location>"
$vnetName="<Table V - Item 1 - Value column>"
$vnet=Get-AzVirtualNetwork -Name $vnetName -ResourceGroupName $rgName
$subnet=Get-AzVirtualNetworkSubnetConfig -VirtualNetwork $vnet -Name "GatewaySubnet"
# Attach a virtual network gateway to a public IP address and the gateway subnet
$publicGatewayVipName="PublicIPAddress"
$vnetGatewayIpConfigName="PublicIPConfig"
New-AzPublicIpAddress -Name $vnetGatewayIpConfigName -ResourceGroupName $rgName -Location $locName -AllocationMethod Dynamic
$publicGatewayVip=Get-AzPublicIpAddress -Name $vnetGatewayIpConfigName -ResourceGroupName $rgName
$vnetGatewayIpConfig=New-AzVirtualNetworkGatewayIpConfig -Name $vnetGatewayIpConfigName -PublicIpAddressId $publicGatewayVip.Id -Subnet $subnet
# Create the Azure gateway
$vnetGatewayName="AzureGateway"
$vnetGateway=New-AzVirtualNetworkGateway -Name $vnetGatewayName -ResourceGroupName $rgName -Location $locName -GatewayType Vpn -VpnType RouteBased -IpConfigurations $vnetGatewayIpConfig
# Create the gateway for the local network
$localGatewayName="LocalNetGateway"
$localGatewayIP="<Table V - Item 3 - Value column>"
$localNetworkPrefix=@( <comma-separated, double-quote enclosed list of the local network address prefixes from Table L, example: "10.1.0.0/24", "10.2.0.0/24"> )
$localGateway=New-AzLocalNetworkGateway -Name $localGatewayName -ResourceGroupName $rgName -Location $locName -GatewayIpAddress $localGatewayIP -AddressPrefix $localNetworkPrefix
# Define the Azure virtual network VPN connection
$vnetConnectionName="S2SConnection"
$vnetConnectionKey="<Table V - Item 5 - Value column>"
$vnetConnection=New-AzVirtualNetworkGatewayConnection -Name $vnetConnectionName -ResourceGroupName $rgName -Location $locName -ConnectionType IPsec -SharedKey $vnetConnectionKey -VirtualNetworkGateway1 $vnetGateway -LocalNetworkGateway2 $localGateway
Hinweis
Für die Verbundauthentifizierung einzelner Benutzer ist kein Rückgriff auf lokale Ressourcen erforderlich. Wenn diese Site-to-Site-VPN-Verbindung jedoch nicht mehr verfügbar ist, erhalten die Domänencontroller im VNet keine Updates für Benutzerkonten und Gruppen, die in den lokales Active Directory Domain Services vorgenommen wurden. Um sicherzustellen, dass dies nicht der Fall ist, können Sie Hochverfügbarkeit für Ihre Site-to-Site-VPN-Verbindung konfigurieren. Weitere Informationen finden Sie unter Standortübergreifende Hochverfügbarkeit und VNet-zu-VNet-Konnektivität.
Notieren Sie sich jetzt die öffentliche IPv4-Adresse des Azure-VPN-Gateways für Ihr virtuelles Netzwerk aus der Ausgabe des folgenden Befehls:
Get-AzPublicIpAddress -Name $publicGatewayVipName -ResourceGroupName $rgName
Konfigurieren Sie im nächsten Schritt die Verbindung zwischen dem lokalen VPN-Gerät und dem Azure-VPN-Gateway. Weitere Informationen finden Sie im Artikel zum Thema Konfigurieren von VPN-Geräten.
Sie benötigen folgende Informationen zum Konfigurieren Ihres lokalen VPN-Geräts:
Die öffentliche IPv4-Adresse des Azure-VPN-Gateways
Den vorinstallierten IPsec-Schlüssel für die Standort-zu-Standort-VPN-Verbindung (Tabelle V, Element 5, Spalte „Wert")
Vergewissern Sie sich im nächsten Schritt, dass der Adressraum des virtuellen Netzwerks aus Ihrem lokalen Netzwerk erreichbar ist. In der Regel fügen Sie dazu Ihrem VPN-Gerät eine dem Adressraum des virtuellen Netzwerks entsprechende Route hinzu und senden diese Route anschließend an die restliche Weiterleitungsinfrastruktur Ihres Organisationsnetzwerks. Erkundigen Sie sich bei Ihrer IT-Abteilung, wie Sie vorgehen sollen.
Definieren Sie nun die Namen von drei Verfügbarkeitsgruppen. Füllen Sie Tabelle A aus.
| Element | Zweck | Name der Verfügbarkeitsgruppe |
|---|---|---|
| 1. |
Domänencontroller |
|
| 2. |
AD FS-Server |
|
| 3. |
Webanwendungsproxy-Server |
|
Tabelle A: Verfügbarkeitsgruppen
Sie benötigen diese Namen bei der Erstellung der virtuellen Computer in den Phasen 2, 3 und 4.
Erstellen Sie die neuen Verfügbarkeitsgruppen mithilfe der folgenden Azure PowerShell-Befehle.
$locName="<the Azure location for your new resource group>"
$rgName="<Table R - Item 1 - Resource group name column>"
$avName="<Table A - Item 1 - Availability set name column>"
New-AzAvailabilitySet -ResourceGroupName $rgName -Name $avName -Location $locName -Sku Aligned -PlatformUpdateDomainCount 5 -PlatformFaultDomainCount 2
$rgName="<Table R - Item 2 - Resource group name column>"
$avName="<Table A - Item 2 - Availability set name column>"
New-AzAvailabilitySet -ResourceGroupName $rgName -Name $avName -Location $locName -Sku Aligned -PlatformUpdateDomainCount 5 -PlatformFaultDomainCount 2
$rgName="<Table R - Item 3 - Resource group name column>"
$avName="<Table A - Item 3 - Availability set name column>"
New-AzAvailabilitySet -ResourceGroupName $rgName -Name $avName -Location $locName -Sku Aligned -PlatformUpdateDomainCount 5 -PlatformFaultDomainCount 2
Haben Sie diese Phase erfolgreich abgeschlossen, sieht Ihre Konfiguration wie folgt aus.
Phase 1: Die Azure-Infrastruktur für die Hochverfügbarkeitsverbundauthentifizierung für Microsoft 365
Nächster Schritt
Verwenden Sie Phase 2: Konfigurieren von Domänencontrollern , um mit der Konfiguration dieser Workload fortzufahren.
Siehe auch
Bereitstellen der Verbundauthentifizierung mit Hochverfügbarkeit für Microsoft 365 in Azure
Verbundidentität für Ihre Microsoft 365 Dev/Test-Umgebung
Feedback
Bald verfügbar: Im Laufe des Jahres 2024 werden wir GitHub-Issues stufenweise als Feedbackmechanismus für Inhalte abbauen und durch ein neues Feedbacksystem ersetzen. Weitere Informationen finden Sie unter https://aka.ms/ContentUserFeedback.
Feedback senden und anzeigen für